naPrzeciw RODO (I)

Zbliża się maj, miesiąc rozpoczęcia działania Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO) [ang. General Data Protection Regulation (GDPR)].

Od kilkunastu miesięcy obserwuję wzmożoną narastającą aktywność prawników w prezentowaniu i objaśnianiu treści tego rozporządzenia.

Nie przypominam sobie, aby jakiekolwiek inne rozporządzenia czy ustawa miały taką promocję na taki okres przed dniem wejścia w życie. Tutaj jest inaczej, gdyż w zapisach pojawiają się kwoty maksymalnych kar o znacznej wartości, które są dobrą motywacją dla tych prawników, którzy przez swoją aktywność promują siebie, jako potencjalnych specjalistów od uchronienia lub obronienia administratora przed aż taką karą.

Sam miałem do czynienia z ochroną danych osobowych już od 1992 roku, od pierwszych dni prac nad pierwszą ustawą tego tyczącą. Wtedy wszyscy wiele się uczyliśmy jakie dane powinny być chronione i jak ustawowo zapewnić nakaz ich ochrony przez wszelkie instytucje i firmy je gromadzące. Po wejściu ustawy w życie w 1997 roku kontynuowano dyskusje wokół ustawy w sferach prawniczych. Z rzadka dopuszczano głos informatyków, a z czasem dopiero zmieniono wymaganie, że zastępca Generalnego Inspektora nie musi mieć wykształcenia prawniczego, ale też nie skorzystano z tej opcji.

Występując na wielu konferencjach, jako inżynier, zwracałem uwagę na konieczność nieco odmiennego spojrzenia na problemy ochrony danych osobowych – przenosząc wymagania ochrony danych sankcjonowane prawem na wymagania techniczne samej ochrony. Większość z tych tez jest przedstawiona w felietonie : Iluzja ochrony podstawowych danych osobowych

Wszystkie te dyskusje, nie tylko w Polsce, ujawniły brak możliwości skutecznej ochrony danych według dotychczas przyjętych zasad. W rezultacie powstało rozporządzenie (GDPR-RODO), w które wpisano kilka rewolucyjnych zmian. Znacznie wzmocniono prawa osoby, której dane są przechowywane, nakładając na administratorów obowiązek skutecznej ich ochrony odpornej na wszelkie zagrożenia – sankcjonowane koniecznością zapłacenia odszkodowania i niezwykle wysokimi karami.

I tutaj do napisania tego felietonu skłonił mnie wpis jednego z subskrybentów listy ELKA (nie mogę podać jego danych osobowych, bez jego zgody!), który na frazę - Companies that fail to protect themselves effectively from cyber-attacks will face fines of up to £17m, the government has announced. – zareagował: WRESZCIE!.

Na ten wpis stwierdziłem – „Rzeczywiście genialny pomysł - karać tego, który został okradziony”. I tak rozpoczęła się nasza polemika, na podstawie której powstał ten tekst.

Nikt z nas nie byłby zadowolony z wypłynięcia naszych danych osobowych w nieznane obszary internetu, szczególnie gdy są kontrolowane przez przestępców czy nawet tylko osoby nam nieprzychylne.

Tu jednak mam już kilka zastrzeżeń:

Od lat uważam, że podstawowe dane osobowe – imię, nazwisko, adres mejlowy oraz inne dane do ustalenia – nie powinny podlegać ochronie, chociaż powinny być dostępne w rozsądnie ograniczonym trybie. Dlaczego? – dane te są i tak wielokrotnie rozpowszechnione, że nawet w przypadku ich pojawienia się w niekontrolowanej przestrzeni publicznej nie będzie wiadomym skąd wypłynęły i kto ma zapłacić ewentualne odszkodowanie. Tak jest na przykład w USA i jakoś sobie z tym dają radę. Za 50$ można tam dostać tax i criminal record danej osoby, że już o adresie zamieszkania nie wspomnę. Ale niech ktoś z tej okazji skorzysta wbrew interesom danej osoby – może się z nią spotkać w sądzie z pozwem na znaczną sumę.

Za to gdzie i komu i jakie dane osobowe ujawniamy powinniśmy również my sami odpowiadać i po prostu nie udostępniać tych danych podejrzanym firmom, nawet kosztem rezygnacji z oferowanej tam usługi. Fakt, że często jesteśmy do tego zmuszani - to tutaj powinno działać RODO nakłaniając administratorów do ograniczania zakresu zbieranych danych. Bo na przykład: po co PKP nasze nazwisko przy sprzedaży biletu przez internet? Po co e-sklepom nasze dane osobowe z wyjątkiem adresu lub tylko identyfikatora dla odbioru przesyłki? Dla omówienia tych przykładów trzeba by napisać osobny felieton.

Podczas jednej z dyskusji o ODO, stwierdziłem, że prostym ograniczeniem pozyskiwania danych osobowych byłby zakaz spersonalizowanej reklamy w internecie – oczywiście wzbudziło to protest, bo jak można ograniczać tak rozbudowany finansowo sektor reklamowy.

Instytucjom i firmom przechowującym obecnie nasze dane osobowe radziłbym jak najszybciej samodzielnie dokonać ich redukcji usuwając dane niepotrzebne dla dalszej działalności. Warto też przeanalizować czy dalej musimy gromadzić aż tyle danych o jednym kliencie. Zalecam też wyodrębnienie podzbioru danych archiwalnych już dzisiaj niepotrzebnych, ale koniecznych do przechowywania i przeniesione ich na inny nośnik schowany do sejfu – niedostępny przez sieć. Tym samym znacząco ograniczamy ewentualną ilość skopiowanych czy też utraconych danych.

Kluczowym elementem RODO jest wpisanie możliwości nałożenia na administratora administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Kara ta miałaby być nałożona przez lokalne UODO, gdy w przypadku zorientowania się przez administratora, że gromadzone przez niego dane osobowe zostały wykradzione - nie powiadomił on w czasie 72 godzin tegoż UODO oraz po stwierdzeniu w trakcie kontroli, że administrator naruszył zapisy RODO.

Tu również mam kilka zastrzeżeń:

Administrator zagrożony tak wysoką karą, znajduje się w zasadzie w sytuacji bez wyjścia. Nie ma on przecież wpływu nawet na nieumyślny wypływ danych, spowodowany błędem pracownika, a tym bardziej na działanie e-przestępców, którzy bywają lepsi do aktualnie dostępnych najnowszych metod zabezpieczeń systemów. Nie ma on też wpływu na jakość użytkowanego systemu i pewności czy w tym systemie nie ma furtek umożliwiających nieautoryzowane wejście do niego. Oprócz już typowych i standardowych procedur ochrony przetwarzanych danych, administrator i działająca w jego imieniu jednostka przetwarzająca nie mają szansy ani pewności, że ich nie dotknie ta kara. Kara, która może zniszczyć firmę.

Wróćmy do dostawców sprzętu i oprogramowania, z którego może skorzystać dana jednostka przetwarzania danych. Wiemy już, że nawet procesory mogą mieć nieumyślnie (czy na pewno?) istniejące furtki umożliwiające nieautoryzowane przejęcie systemu. Od lat też dowiadujemy się o kolejnych dziurach w oprogramowaniu – w tym o furtkach stworzonych na potrzeby służb, a z czasem przejętych przez hakerów. Dodatkowo wiele firm oferuje własne rozwiązania zabezpieczające (jak programy antywirusowe), z których niektóre dopiero po jakimś czasie okazują się dziurawe. I z takim sprzętem oraz systemem musi sobie poradzić administrator, mając tak poważne zagrożenie finansowe. Co więcej nie będzie w stanie po kryzysie z wyciekiem danych, uzyskać odszkodowania od dostawcy dziurawego oprogramowania, gdyż już może go być nie stać na prawników. Dlaczego RODO nie uwzględniło w swoich zapisach wspomagania tego typu przypadków i rozłożenia odpowiedzialności również na firmy dostawców wadliwego sprzętu czy oprogramowania. Wielu w tym miejscu powie – a co nas obchodzą problemy firmy, to jest dla dobra naszych danych.

W tym miejscu warto zadać pytanie, dlaczego te środki finansowe z kar mają zasilać skarb Państwa? Według polskiej ustawy 1% z tych kar ma być przeznaczany na Fundusz Ochrony Danych Osobowych (ciekawe na jakie środki liczy ten Fundusz?). A dlaczego całość tych środków ma nie wrócić do danej firmy jako opłacenie przymusowego projektu naprawczego w zakresie ochrony danych osobowych oraz jako fundusz odszkodowawczy dla osób, które doznały strat z powodu wycieku czy kradzieży ich danych. A tak UE ustanowiła mechanizm dodatkowego pseudo-podatku zasilającego budżety państw, przy czym im więcej będzie tego typu przypadków tym wyższe będą przychody. Jako żywo przypomina to plan zbierania mandatów – gdzie zapobieganie przestępstwu kradzieży danych nie leży w interesie budżetów państw. A w polskiej ustawie kary dla administratorów będących podmiotami publicznymi są ograniczone do 100 000 zł., które zostaną zapłacone z budżetu do budżetu, a sprawcy czynu może co najwyżej stracą pracę.

Pomocą dla administratorów mają być kodeksy postępowania oraz certyfikacja procesu przetwarzania. RODO daje prawo certyfikacji państwowym UODO oraz podmiotom spełniającym określone warunki. W projekcie polskiej ustawy o ochronie danych osobowych certyfikacja jest domeną tylko Prezesa UODO. Pytaniem jest, jak będzie traktowany administrator mający certyfikat Prezesa UODO, gdy będzie poddany kontroli z powodu wycieku danych? Czy kontrola będzie mogła podważyć jakość dokonanej certyfikacji? A jak będzie traktowany administrator nie mający takiej certyfikacji? I ile też będzie kosztować taka certyfikacja, stanowiąca dochód UODO? Jakoś ta sytuacja nie wydaje mi się klarowna – a czytelnikom?

RODO w żadnym miejscu nie wspomina o przyczynie, dlaczego wprowadza tak silne zasady prawne zagrożone takimi wysokimi karami. Nie wspomina o przestępcach, którzy dokonują włamań do systemów podmiotów przetwarzających dane, wykradając je lub też kasując, czy szyfrując – przysparzając tym podmiotom poważnych kłopotów finansowych oraz operacyjnych. To jest zadziwiające i niezrozumiałe, gdyż właśnie na poziomie unijnym powinny być zorganizowane służby wykrywające i aresztujące lub unieszkodliwiające tych przestępców. A środki na działanie tych służb mogą pochodzić w całości z tych kar. Przyjęcie, że ci przestępcy są wykrywani i łapani według standardowych procedur walki z przestępczością, nie jest zasadne. Obecnie przy niezwykłej, rosnącej aktywności w próbach, często skutecznych, w nieuprawnionym pozyskiwaniu danych osobowych z systemów teleinformatycznych – nie słychać wiadomości o sukcesach w złapaniu oraz ukaraniu tych przestępców. A powołany w RODO Europejski Organ Ochrony Danych Osobowych w żadnym z punktów swego działania nie ma zadania zmniejszenia liczby przestępstw kradzieży danych osobowych. Dziwię się, że ten negatywny aspekt RODO nie był i nie jest podnoszony.

Wielu już pisało o RODO, ale też nie spotkałem wpisów kontestujących to rozwiązanie, bo według mnie jest wiele do zarzucenia temu rozporządzeniu, co niestety okaże się dopiero w kolejnych miesiącach. Aż się dziwię, że państwa, a szczególnie społeczności zgodziły się na niektóre z zapisów – bo firm to raczej nikt tutaj nie pytał o zdanie. Dobrze by było za jakiś czas dowiedzieć się ile kar nałożono na administratorów, a w tym na firmy europejskie i poza europejskie. Żebyśmy tylko nie zobaczyli jak, skądinąd słuszne działania ochrony naszych danych osobowych, nie spowodowały likwidacji wielu europejskich firm.

Wacław Iszkowski