W ostatnich latach o ochronie danych osobowych mówi się bardzo dużo, co wiąże się z wejściem w życie RODO. Jak w przypadku każdej zmiany nowe przepisy znalazły gorliwych zwolenników, jak i przeciwników. Pierwsi z nich widzą w nowym rozporządzeniu nadzieję na zwiększenie prywatności i podają przykłady zagrożeń, z jakimi wiąże się nieodpowiednie przetwarzanie danych, drudzy zaś wyliczają absurdy, do jakich prowadzi nadinterpretacja przepisów. Kto ma w tym sporze rację? Prawda zapewne leży po środku.

O czym się mówi w związku z RODO?

Najczęściej o ochronie danych osobowych usłyszymy w związku z karami, jakie grożą za niezgodne z prawem przetwarzanie danych osobowych, obowiązkiem informacyjnym, planowanymi kontrolami Urzędu Ochrony Danych Osobowych oraz z kserowaniem dowodów osobistych.

O ochronie danych osobowych robi się szczególnie głośno, gdy na jaw wyjdzie kolejny „RODOabsurd” np. w związku z przekonaniem, że nauczyciele w szkołach nie mogą posługiwać się nazwiskami swoich uczniów przy sprawdzaniu obecności, a kartkówki powinny być oznaczane numerami nadawanymi uczniom. Innym przykładem sytuacji szeroko omawianej, jako absurdalna było wyczytywanie pacjentów po nadanych im nazwach z bajek, aby uniknąć wyczytywania ich imion i nazwisk. Być może z rozwiązaniem tym nie mieli problemu pacjenci nazwani Herkulesem czy Wenus, jednak nazwanie pacjenta „Czubaką” mogło wywołać negatywne emocje.

Powstaje więc pytanie, czy o to chodziło w RODO? Czy celem samym w sobie było wprowadzenie dodatkowej dokumentacji w postaci zgód na przetwarzanie danych osobowych, obowiązków informacyjnych i polityk bezpieczeństwa? Czy w imię RODO mieliśmy stać się tylko cyferkami lub zamieszkać w Stumilowym Lesie pośród Kubusiów Puchatków z osteoporozą? Odpowiedzieć na to pytanie należy zdecydowanie – nie!

RODO jednak nie tak absurdalne?

Rozporządzenie ma na celu ochronę informacji o osobie fizycznej. Oznacza to jednak nie tylko zwiększenie poczucia prywatności, ale także zapobieganie sytuacjom, w których nasz adres e-mail i hasło do sklepu internetowego czy poczty może poznać każdy użytkownik wyszukiwarki internetowej, a z naszego konta znikną oszczędności z powodu uzyskania naszego numeru karty przez osoby niepożądane. Dokumentacja nie stanowi celu samego w sobie – to tylko jedne ze środków do jego osiągnięcia. Ochrona danych osobowych to, obok umów i dokumentacji, zabezpieczenia fizyczne i techniczne.

Zapewne wielu naszych czytelników słyszało o „wycieku” baz dany Morele.net sp. z o.o., który miał miejsce w 2018 r. „Wyciek” ten był wynikiem niewłaściwego zabezpieczenia danych osobowych. Wśród nich były dane takie jak: imię, nazwisko, adres poczty elektronicznej (e-mail), numer telefonu i adres do doręczeń. W wyniku incydentu Urząd Ochrony Danych Osobowych nałożył na spółkę karę w wysokości prawie 3 milionów złotych.

Podobnych sytuacji nie brakowało też w zeszłym roku. W grudniu było głośno o „wycieku” danych z Virgin Mobile. Wśród danych, do których uzyskały dostęp osoby niepożądane znalazły się imiona, nazwiska, numery PESEL, a także numery dowodów osobistych. W kwietniu 2019 r. na stronie trójmiasto.pl (https://www.trojmiasto.pl/wiadomosci/Loteria-PIT-w-Gdansku-Dane-uczestnikow-zagrozone-n134068.html) pojawił się wpis: „Nie wiemy dokładnie czy dostęp do pliku z danymi 18,5 tysiąca gdańszczan zyskał ktoś, kto może chcieć wykorzystać je w celach przestępczych. Nasz czytelnik udowodnił, że jest to możliwe”. Kilka dni przed opublikowaniem artykułu od redakcji portalu zgłosił się bowiem czytelnik, który poinformował, że odkrył błędy w konfiguracji strony pitwgdansku.pl, za pośrednictwem której prowadzona była loteria „PIT w Gdańsku. Się opłaca!”. Loteria była akcją promocyjną Miasta Gdańsk, jako miejsca odprowadzania podatku dochodowego od osób fizycznych. Baza danych obejmowała dane ponad 18 000 osób, w tym imiona, nazwiska, numery PESEL oraz miejsca złożenia deklaracji PIT za 2018 rok.

Nie były to jedyne naruszenia ochrony danych w zeszłym roku. Choć brzmiące mniej dramatycznie wystąpiły też takie naruszenia jak kradzież laptopa z danymi studentów pracownikowi Szkoły Głównej Gospodarstwa Wiejskiego, zagubienie pendriv’a przez sędziego z Łodzi, który zawierał uzasadnienia wyroków i dane świadków oraz przekazanie przez ubezpieczyciela danych osobowych klienta osobie postronnej. Wszystkie te sytuacje stanowią naruszenie ochrony danych w rozumieniu RODO.

Wniosek z tego może być tylko jeden: zawarcie odpowiednich umów czy realizacja obowiązku informacyjnego, choć z wielu względów istotne, same w sobie nie zapewnią przetwarzanym danym osobowym bezpieczeństwa. Poza odpowiednią dokumentacją konieczne jest podjęcia aktywnych działań zapewniających bezpieczeństwo i to na wielu polach.

Przed czym powinniśmy się zabezpieczyć?

Dane osobowe powinny być zabezpieczone przed dostępem osób trzecich. Oznacza to, że administrator powinien uwzględnić zagrożenia związane z wyciekiem danych w przypadku włamania się do jego siedziby i wyniesienia dokumentacji zawierającej dane osobowe czy sprzętu elektronicznego, na którym dane są przetwarzane. „Docenić” powinien również działania crackerów („komputerowych włamywaczy”), jak i ryzyko zgubienia przez pracownika telefonu komórkowego.

Na administratorze ciąży nie tylko obowiązek ochrony danych osobowych przed dostępem osób nieupoważnionych, ale również przed ich przypadkową utratą, zniszczeniem lub uszkodzeniem. Konieczne jest więc zabezpieczenie się również przed zdarzeniami takimi jak utrata danych w wyniku pożaru czy zepsucia dysku w komputerze.

Ponieważ jednak zagadnienie zabezpieczenia danych jest bardzo obszerne nie sposób opisać go w jednym artykule. W imieniu redakcji RODOkompasu chciałabym zaprosić Państwa na cykl RODOtechnika, w którym postaram się zaprezentować istotne obszary ochrony danych osobowych, o których w mediach mówi się rzadko.

Na zakończenie czytelnikom polecamy korzystanie z serwisów umożliwiających przeszukanie „wycieków” baz danych, które obecnie łatwo znaleźć w Internecie – możemy się z nich dowiedzieć, czy nasze dane zostały uzyskane przez osoby niepożądane (zalecamy jednak upewnić się najpierw, że wybranej stronie można zaufać) jak i oczywiście dalsze śledzenie RODOkompasu.

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.