Obostrzenia przy przetwarzaniu danych osobowych przez samorządy

Od 25 maja 2018 r. zacznie obowiązywać rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO lub rozporządzenie). Wydaje się, że podmioty publiczne, instytucje i organizacje gospodarcze mają dużo czasu na wdrożenie wymagań RODO, jednak nie jest to prawda. Stopień złożoności RODO w porównaniu z istniejącymi przepisami wymagać będzie sporego wysiłku organizacyjnego, technicznego i finansowego.

Szczególnie może to być złożone dla jednostek samorządu terytorialnego (dalej JST), które mają najróżniejsze bieżące zobowiązania finansowe (rozpoczęte inwestycje, zmiany w sferze oświaty, itp.). Niektóre JST w ostatnich latach będąc beneficjentami funduszy europejskich wdrażały i rozwijały systemy informatyczne lub/i rozbudowywały infrastrukturę teleinformatyczną (systemy i portale „informacji medycznej", „Edu-Portale", „Wrota", sieci szerokopasmowe, zapewnienie szerokiego dostępu do Internetu itp.). W wielu z tych systemów są przetwarzane dane osobowe, a więc muszą w nich być spełnione wymagania RODO.

Utrudnienia przy wdrażaniu rozporządzenia

Wdrożenie przepisów RODO może być utrudnione z kilku poniżej wymienionych powodów.

1. Rozporządzenie określa bardzo dużo nowych obowiązków administratora danych (którymi są niewątpliwie JST) w zakresie realizacji praw i wolności osób, których dane dotyczą oraz realizacji obowiązków wobec organu nadzorującego (aktualnie GIODO). Nie chodzi tu tylko o informowanie osób (od maja 2018 będzie o wiele szersze), czy usuwanie danych (prawo do bycia zapomnianym); do nowych obowiązków będzie należeć uzyskiwanie zgody od opiekuna dziecka (art. 7), przenoszenie danych do innego administratora (art. 21), akceptacja braku zgody na profilowanie (art. 22).

2. Dość proste do realizacji, w ramach jeszcze obowiązujących przepisów wymagania dotyczące opracowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym oraz powołania ABI, rozporządzenie rozszerza o:

- stworzenie, zarejestrowanie i stosowanie kodeksu postępowania (pod nadzorem innego podmiotu akredytowanego do kontroli przestrzegania kodeksu); swego rodzaju hamulcem w powstawaniu kodeksów może być obowiązek ich publikowania przez organ nadzorujący a nie przewiduje się żadnej ich ochrony z punktu widzenia własności intelektualnej;

- przeprowadzanie oceny skutków dla ochrony danych dla każdego nowego rodzaju operacji ich przetwarzania (art. 35);

- powołanie (w miejsce ABI) inspektora ochrony danych, którego niezależność (patrz np. art. 38, ust. 3 – „ Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany") może być dla administratora problematyczna. Przykładem może tu być realizacja wspomnianej oceny skutków – na mocy art. 35, ust. 2. „Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych", co oznacza że nie może mu wprost zlecić jej wykonania i rozliczać go z zadania. Oznacza to, że JST muszą do przeprowadzenia oceny wykorzystywać innych – merytorycznie przygotowanych do tego pracowników, albo firmy zewnętrzne. W odniesieniu do organów oraz podmiotów publicznych wyznaczenie inspektora danych osobowych będzie obowiązkowe (art. 37 ust. 1, ust. 3).

3. Jeszcze obowiązujące rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU z 2004 r. nr 100, poz. 1024) wskazuje niezbyt wyrafinowane, ale dokładnie określone (np. ośmioznakowe hasło) środki techniczne przeznaczone do ochrony danych osobowych. W ich miejsce RODO wprowadza obowiązek uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych (Data protection by design and by default) (art. 25) oraz artykuł 32 RODO formułujący wymagania techniczne w zakresie:

- pseudonimizacji (red. – tj. ograniczenia możliwości tworzenia powiązań zbioru danych z prawdziwą tożsamością osoby, której dane dotyczą) i szyfrowania danych osobowych;

- zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

- zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

- regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Analiza ryzyka

Jakie natomiast szczegółowe zabezpieczenia powinien wdrożyć administrator, będzie zależeć od analizy ryzyka, o której RODO wspomina w wielu miejscach i od której wyników uzależnia wykonanie kolejnych działań. Wydaje się, że jest to jeszcze jeden istotny obowiązek, tym bardziej, że rozporządzenie nie wskazuje żadnego dokumentu (polskiej lub międzynarodowej normy, innego zbioru przepisów, rekomendacji branżowej itp.) opisującego właściwą metodykę takiej analizy.

Tymczasem analiza ryzyka jest właśnie szansą na rozwiązanie pewnych problemów związanych z RODO. Poprawnie wykonane szacowanie ryzyka powinno pomóc administratorowi w dobraniu odpowiednich zabezpieczeń i środków realizacji praw osób, których dane są przetwarzane.

Zakłady opieki zdrowotnej

Wydaje się, że w najtrudniejszej sytuacji będą nadzorowane przez JST zakłady opieki zdrowotnej. Dane dotyczące „...zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej.." (nazwijmy je dla uproszczenia dane medyczne) są uznawane za szczególną kategorie danych (art. 9, ust. 2, p. h), które to z kolei wymagają przeprowadzenia obligatoryjnej oceny skutków (patrz art. 35 ust 3), której wynikiem będzie konieczność zastosowania zabezpieczeń technicznych.

Przepis art. 9, ust. 3 RODO wymaga, aby ww. dane medyczne były przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa.

Do tej pory informatycy administrujący zbiorami danych osobowych, choćby ich osobiście nie widzieli na monitorach, nie kopiowali na nośniki itp., byli upoważniani do przetwarzania DO. Szczególnie często było to stosowane, gdy zadania utrzymania systemów informatycznych realizowały firmy trzecie. Jak w nowej sytuacji zakłady opieki zdrowotnej zrealizują ww. przepis wymagający tajemnicy zawodowej?

System zarządzania bezpieczeństwem

Wracając do tematu analizy ryzyka – w lepszej sytuacji niż inne będą te JST, które wdrożyły systemu zarządzania bezpieczeństwem informacji (SZBI):

- i uzyskały certyfikaty na zgodność z Polską Normą ISO/IEC 27001 (na stronie http://www.iso27000.pl/sites/view/form=3=all można znaleźć 22 JST oraz 4 instytucje komunalne lub inne podlegające samorządom posiadające taki certyfikat);

- zgodny wymaganiami par. 20 rozporządzenia z 12.04.2012 w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tekst jedn. DzUz 2016 poz. 113).

Ich przewaga nad pozostałymi będzie wynikała z faktu, że wdrażając SZBI musiały przeprowadzić szacowanie ryzyka, a więc oswoiły się z konkretną metodyką. Jest jednak prawdą, że wprowadzone przez RODO pojęcie „ryzyka naruszenia praw lub wolności osoby, której dane dotyczą" nie jest tym samym co „ryzyko w bezpieczeństwie informacji", o którym traktuje Polska Norma ISO/IEC 27005. Kategoria „ryzyka naruszenia praw lub wolności osoby, której dane dotyczą" obejmuje kategorię „ryzyka w bezpieczeństwie informacji", ale jest od niej znacznie szersza.