Szyfrowanie danych osobowych

szyfrowanieCzy często zdarzyło się Wam wysyłać jakieś informacje za pomocą poczty elektronicznej, które nie są w żaden sposób zabezpieczone, czy to hasłem, czy za pomocą jakiegokolwiek innego sposobu szyfrowania danych osobowych. W sytuacji kiedy wysyłamy takie informacje w naszych prywatnych celach to o tyle nie jest to problemem, gdyż ustawa o ochronie danych osobowych nie ma zastosowania do tzw. przetwarzania danych w celach osobistych lub domowych, a w takim przypadku możemy jedynie narazić się na utratę informacji o naszej prywatności. Jako przykład można wskazać korzystanie gwiazd telewizji czy filmowych. Swojego czasu było głośno o tym jak to aktorka Scarlett Johansson wysłała mailem swoje zdjęcia w negliżu i potem one wyciekły do sieci. Gdyby się taka sytuacja zdarzyła w Polsce to Scarlett mogłaby dochodzić swoich roszczeń na drodze cywilnej w oparciu o przepisy dotyczące dóbr osobistych (prawa do prywatności). Jeżeli jednak szyfrowanie danych osobowych jest dla nas problematyczne w pracy to możemy narazić się na negatywne konsekwencje z tym związane.

Inaczej natomiast wygląda sytuacja gdyby te same zdjęcia zrobiła agencja reklamowa i np. w związku z ich procesowaniem pracownicy tej agencji przesyłaliby je między sobą i doszło do ich udostępnienia osobom nieupoważnionym. Wizerunek w oparciu o przepisy ustawy stanowi dane osobowe i Scarlett mogłaby np. powiadomić Prokuratora o możliwości popełnienia przestępstwa z art. 52 ustawy o ochronie danych osobowych. Jednakże mało prawdopodobne jest abyśmy kiedyś dostali do procesowania zdjęcia Scarlett, proponuję więc zająć się w tym momencie bardziej przyziemnymi sprawami.  Przyjmijmy, że w naszej codziennej pracy przesyłamy, czy to między pracownikami, czy do naszych kontrahentów umowy, kwestionariusze lub inne dokumenty zawierające dane osobowe. Z punktu widzenia ustawy o ochronie danych osobowych przetwarzany w ten sposób dane osobowe, bowiem stosownie do definicji przetwarzania danych osobowych stanowią ją jakiekolwiek operacje wykonywane na danych osobowych, a więc i przesyłanie. Administrator danych jest zobowiązany, stosownie do przepisów ustawy o ochronie danych osobowych i Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych odpowiednio do zagrożeń zabezpieczyć dane przed ich utratą. Przepisy prawa nie wskazują jakie sposób zabezpieczenia danych osobowych jest odpowiedni. Administrator danych musi sam ocenić, jakie w jego przypadku zabezpieczenia będą najodpowiedniejsze.

Jeżeli chodzi o odpowiedzialność to przez nieodpowiednie zabezpieczenie danych osobowych możemy ponieść odpowiedzialność karną z art. 51 lub 52 ustawy o ochronie danych osobowych. Administrator danych powinien zadbać z kolei o stosowanie odpowiedniego rodzaju zabezpieczeń poprzez opisanie go w dokumentacji dotyczącej ochrony danych osobowych i rozpropagowanie poprzez szkolenia oraz zebranie od pracowników oświadczeń o zachowaniu danych w poufności i zapoznania się z dokumentacją. Warto również wspomnieć o stracie wizerunkowej wyciegu takich informacji. Jako kilka przykładów można wskazać bazę filmweb.pl, bazę CV PKO BP, bazę użytkowników wrocławskiej karty miejskiej.

Przechodząc na grunt praktyczny minimalnym, a jednocześnie zgodnym z przepisami prawa poziomem takiej ochrony będzie hasłowanie dokumentów. Co do zasad dotyczących haseł można by napisać osobny artykuł, tutaj tylko wspomnę, że w naszym przypadku powinniśmy używać hasła składającego się z co najmniej 8 znaków, zawierającego małe i wielkie litery oraz cyfry lub znaki specjalne i zmieniane co 30 dni. Dodatkowo warto wspomnieć, żeby hasła nie przekazywać tą samą drogą (np. dokument zahasłowany wysłany mailem, a następnym mailem hasło). Przykładami takiej alternatywnej drogi jest wysyłanie hasła smsem. W odniesieniu do innych formy przykładami szyfrowania może być stosowanie firewalla, czy stosowanie połączenia NTFS z systemem szyfrowania plików. Na rynku jest wiele programów dedykowanych dla mniejszych lub większych podmiotów. Poziom ich zabezpieczeń jest różny – dużą rolę pełni tu cena produktu.

Reasumując należy dbać o to, żeby w jakikolwiek sposób zabezpieczać służbową pocztę elektroniczną (osobistą oczywiście też można). Jeżeli tego nie zrobimy i dojdzie do wycieku danych to możemy narazić się przede wszystkim na stratę wizerunkową, ale i ponieść odpowiedzialność karną. Wybór sposobów do osiągnięcia tego celu należy już do nas, ważne aby takie zabezpieczenie było skuteczne i dostosowane odpowiednio do zagrożeń.

Naruszenie prawa do ochrony danych osobowych

Wielu z nas doświadczyło, lub niestety doświadczy w najbliższej przyszłości naruszenia praw do ochrony własnych danych osobowych. Nie jest prawdą, że w takiej sytuacji jesteśmy całkowicie bezsilni i nie mamy żadnych uprawnień, które mogłyby skutecznie doprowadzić do zaprzestania naruszeń i ich wynagrodzenia. Na czym polegać może naruszenie prawa do ochrony danych osobowych? Z mojej praktyki wynika, że biznes (rzadziej administracja) dopuszcza się następujących praktyk, naruszających nasze prawo do prywatności:

  1. wysyłka niezamówionych informacji marketingowych na adres email
  2. telefony z przedstawieniem niezamówionych ofert handlowych
  3. sprzedaż danych kontrahentowi bez zgody osoby, której dane dotyczą
  4. niezabezpieczenie danych osobowych i potencjalne umożliwienie pozyskania do nich dostępu przez osoby nieupoważnione
  5. wyciek danych osobowych
  6. niedopełnianie wymaganych przez ustawę o ochronie danych osobowych obowiązków informacyjnych

Warto zwrócić uwagę, że ww. „uchybienia” mogą, zależnie od formy i natężenia, doprowadzić nawet do poniesienia przez nas szkody materialnej lub naruszenia dóbr osobistych.

Jeżeli przytrafi nam się jedna z ww. sytuacji, nie jesteśmy całkowicie bezbronni. Ustawa o ochronie danych osobowych, prawo cywilne oraz prawo karne zapewnia nam narzędzia, które możemy wykorzystać do dochodzenia swoich praw i ukarania podmiotów / osób, odpowiedzialnych za naruszenie prawa do ochrony naszych danych osobowych. Pierwszym krokiem, który zawsze warto podjąć, jeżeli będziemy podejrzewali, że ktoś przetwarza nasze dane osobowe niezgodnie z ustawą, to przygotowania i wysłanie w trybie art. 33 ustawy o ochronie danych osobowych, wniosku o uzyskanie informacji na temat sposobu przetwarzania danych osobowych. Taki wniosek nie rodzi po naszej stronie żadnych uprawnień, ale zmusza adresata to udzielenia w terminie 30 dni odpowiedzi na piśmie, która będzie zawierała informacje na temat sposobu przetwarzania i ochrony naszych danych osobowych.

 We wniosku warto zadać następujące pytania:

  1. jaka jest podstawa prawna przetwarzania danych osobowych?
  2. w jakim zbiorze danych osobowych przetwarzane są dane osobowe?
  3. jakie jest źródło i kiedy dane osobowe zostały pozyskane?
  4. w jakim zakresie przetwarzane są dane osobowe?
  5. w jakim celu dane osobowe są przetwarzane?
  6. od kiedy przetwarzane są nasze dane osobowe?
  7. komu i  na jakiej podstawy nasze dane osobowe zostały przekazane?

Otrzymana odpowiedź na ww. wniosek pozwoli nam podjąć decyzję co do dalszego działania oraz ustalenie ewentualnie innych podmiotów, które naruszają nasze prawo do ochrony danych osobowych. Warto w tym kontekście pamiętać, że pod adresem egiodo.giodo.gov.pl możemy sprawdzić, czy adresat naszego wniosku zarejestrował zbiór danych, w ramach którego przetwarza nasze dane osobowe, i w jaki sposób ten zbiór opisał. Wszelkie wykryte niezgodności mogą nam się w przyszłości przydać do egzekwowania naszych słusznych praw.

W przypadku kiedy odpowiedzi nie otrzymamy, adresat wniosku popełnia przestępstwo określone w art. 54 ustawy o ochronie danych osobowych i w efekcie powinniśmy o tym fakcie zawiadomić GIODO i prokuraturę.

Jeśli odpowiedź uzyskamy, a proszę mi wierzyć, że administratorzy dwoją się i troją by przygotować odpowiedź na czas, możemy przystąpić do identyfikacji niezgodności z ustawą i dopominania się o swoje prawa. Tutaj wiele zależy od konkretnego przypadku, ale w praktyce najczęściej spotykam się z następującymi drogami postępowania. Zdecydowana większość osób, o niezgodnościach informuje GIODO. Osobiście uważam, że nie jest to do końca pożądane i efektywne dla osoby, której prawo do ochrony danych osobowych zostało naruszone, postępowanie. Po pierwsze, postępowanie przed GIODO w żaden sposób nie zadośćuczyni poczynionej nam krzywdy poza tym, że będziemy mogli mieć satysfakcję, z tego, że administrator danych będzie miał kłopoty z kontrolą GIODO. Po drugie, wiele kontroli GIODO kończy się w sposób, który pozostawia z punktu widzenia zwykłych obywateli niedosyt. Jest to jednak temat na odrębny artykuł w którym opowiem o moich postrzeganiu sposobu pracy inspektorów GIODO, szczegółowości prowadzonych audytów, ich rozliczalności oraz skutków.

Na tym etapie zachęcałbym Państwa do skierowania do adresata naszego wniosku zawezwania do próby ugodowej. Mówiąc wprost, proponuję, byśmy w takich sytuacjach wyceniali nasze straty (nie tylko materialne ale również niematerialne) i składali wnioski o zawarcie ugody, której elementem byłoby zadośćuczynienie finansowe. Z praktyki mogę powiedzieć, że coraz częściej takie wnioski się pojawiają, a administratorzy danych, nie chcąc by sprawa dot. naruszenia przez nich zasad ochrony danych osobowych wyszła na światło dzienne, skłonni są do podjęcia tego typu rozmów. Oczywiście wypłacane sumy są niskie, jednak należy pamiętać, że wszystko zależy od konkretnego przypadku. Spotkałem się z wachlarzem kwot od 1000,00 zł do nawet 50 000,00 zł.

Jeżeli próba ugodowa nie przyniesie rezultatu, zawsze możemy udać się do pobliskiej kancelarii prawnej i zlecić poprowadzenie postępowania z tytułu naruszenia dóbr osobistych. Efektem takiego postępowania bardzo często jest wyrok nakazujący wypłatę zadośćuczynienia lub odszkodowania. Wydaje się, że ukształtowała się już praktyka, zgodnie z którą, naruszenie prawa do ochrony danych osobowych traktowane jest jako naruszenie prawa do prywatności a więc, jednego z dóbr osobistych wymienionych w art. 23 kodeksu cywilnego.

Dopiero, jeśli próba ugodowa i postępowanie cywilne nie przyniosą pożądanego dla nas rezultatu zalecam powiadomienie o sprawie GIODO i prokuratury. Dlaczego dpiero? Odnośnie GIODO, argumenty przedstawiłem wyżej. Co do prokuratury, należy pamiętać, że wcześniejsze powiadomienie o podejrzeniu popełnienia przestępstwa z ustawy o ochronie danych osobowych, przed wszczęciem postępowania cywilnego może spowodować zawieszenie tego ostatniego i wydłużenie całej procedury. Alternatywnie, w ramach postępowania cywilnego można również składać wnioski o wypłatę odszkodowania, taki jednak sposób działania jest nadal rzadkością w polskich sądach.