Monitoring w szkołach nieuwzględniony w ramach programu Bezpieczna+

380814854_615413d2d3_bMinisterstwo Edukacji Narodowej opublikowało nową wersję projektu rozporządzenia dotyczącego programu „Bezpieczna+”. Nie ma w nim już mowy o dofinansowaniu szkolnych systemów monitoringu. MEN uzależniło ich wprowadzenie od przyjęcia ustawy obejmującej całość przedmiotowej materii. Cała sprawa jest związana z następującym stanem faktycznym.

W maju 2015 r., Ministerstwo Edukacji Narodowej przeprowadziło konsultacje pilotażowego programu „Bezpieczna+” ,który stanowi komplementarne działanie w stosunku do realizowanego Rządowego programu „Bezpieczna i przyjazna szkoła” przyjętego na lata 2014-16.

Zakres przedmiotowy omawianego programu jest bardzo szeroki. Obejmuje on w szczególności poprawę bezpieczeństwa szkoły poprzez audyt bezpieczeństwa, opracowanie rekomendacji do szkolnych procedur działania w nagłych sytuacjach kryzysowych, przekazanie wiedzy o zasadach postępowania w takich sytuacjach pracownikom szkoły ,a także wdrożenie i efektywne wykorzystanie monitoringu w szkołach.

Jednym z postulatów programu jest poprawa bezpieczeństwa fizycznego zarówno uczniów jak i pracowników poprzez wyposażenie szkół w elementy monitoringu.

Pomysł wprowadzenia monitoringu wzbudził liczne kontrowersje. Głos zabrali Rzecznik Praw Dziecka, Generalny Inspektor Ochrony Danych Osobowych, Fundacja PanoptykonCentrum Edukacji Obywatelskiej oraz Związek Nauczycielstwa Polskiego. W swoich wystąpieniach wypowiadali się krytycznie na temat przeprowadzanej reformy. Wielokrotnie wskazywali na sprzeczność założeń programu z obowiązującymi przepisami.

W dyskusji na temat projektu Programu podkreślano, iż Program przewiduje minimalny okres przechowywania nagrań z monitoringu. Okres ten nie będzie przekraczał 30 dni. Dodatkowo wskazano dopuszczalne miejsca instalacji (nie ma wśród nich sal lekcyjnych ani toalet) i obowiązek ich oznaczenia. Następnie dodano wymóg zgodności z Polską Normą PN-EN 50132-7. Należy zwrócić uwagę, że dokument ten jest dostępny tylko w języku angielskim, a jego udostępnianie następuje w formie odpłatnej.

Fundacja Panoptykon w swoim stanowisku na temat projektów rozporządzenia Rady Ministrów i uchwały Rady Ministrów dotyczących programu „Bezpieczna+”, postulowała o wykreślenie z projektu Programu propozycji wprowadzenia monitoringu w szkołach.

Generalny Inspektor Ochrony Danych Osobowych zwrócił szczególną uwagę na konieczność uregulowania kwestii monitoringu w przepisach rangi ustawowej. Podyktowane jest to koniecznością zapewnienia bezpieczeństwa danych osobowych. Zdaniem GIODO niejednokrotnie może dochodzić do gromadzenia danych wrażliwych w rozumieniu art. 27 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2014.1182 j.t.).

Rzecznik Praw Obywatelskich w swoim wystąpieniu z dnia 15 lutego 2010r. wypowiedział się jednoznacznie na temat monitoringu wskazując, iż nie jest to środek zmierzający do poprawy bezpieczeństwa: „Stwarzanie bezpiecznych warunków nauki nie sprowadza się wyłącznie do ochrony dziecka przed fizyczną bądź psychiczną przemocą ze strony innych uczniów. Budowanie poczucia bezpieczeństwa to także, a może przede wszystkim, stwarzanie warunków do swobodnego i nieskrępowanego rozwoju młodych ludzi w atmosferze wzajemnego zaufania oraz poszanowania przyrodzonej i niezbywalnej godności człowieka. Obowiązek ten w sposób szczególny ciąży na szkołach i placówkach oświatowych (…). Trudno jest zatem mówić o budowaniu poczucia bezpieczeństwa wśród dzieci uczących się w szkole bądź placówce oświatowej, w której każdy krok jest śledzony przez oko kamery, a uczeń może być nagrywany nawet w sytuacjach najbardziej intymnych”.

Konkludując, MEN nie odniósł się do opinii wyżej wymienionych podmiotów.

Należy jednak zwrócić uwagę na to, że projekt zawiera także pozytywne aspekty. Zakłada on m.in. stworzenie systemu otwartej szkoły oparty na współpracy szkół z rodzicami uczniów oraz organizacjami pozarządowymi. Wskazuje on dodatkowo na rozszerzenie kompetencji i zdolności radzenia sobie z zagrożeniami cyfrowymi wśród nauczycieli i dzieci, poprzez upowszechnienie wiedzy o bezpiecznym korzystaniu z nowych technologii.

Podsumowując sprawa z monitoringiem w szkołach zwróciła uwagę na poważny problem jakim jest brak ustawy regulującej całość materii odnoszącej się do monitoringu. W obecnym stanie prawnym przepisy rozproszone są pomiędzy różne akty prawne. W konsekwencji rodzi to pewne nieścisłości i przysparza wiele problemów interpretacyjnych.

Monitoring, a u.o.d.o. Należy się zastanowić czy odnoszenie się do przepisów ustawy o ochronie danych osobowych jest wystarczające? Czy nie prowadzi to do absurdalnych sytuacji? Do sytuacji, w których zobowiązani będziemy do konieczności dopełnienia obowiązku informacyjnego w stosunku do osób, których dane dotyczą.

Źródło:

1. http://www.giodo.gov.pl/

2. https://men.gov.pl/

3. https://panoptykon.org/

Urządzenia mobilne a ochrona danych osobowych

smartphon1Urządzenia mobilne takie jak smartphony czy tablety są coraz powszechniej przez nas wykorzystywane.

Wszystkie te urządzenia zapewniają nie tylko praktycznie stały dostęp do Internetu ale również cały szereg przeróżnych aplikacji[1] ułatwiających nam codzienne życie. Urządzenia mobilne, dzięki wyżej wskazanym zaletom są wykorzystywane również w pracy zawodowej. O ile ich wykorzystanie w życiu codziennym, do celów prywatnych nie podlega „zainteresowaniu” ustawy o ochronie danych osobowych[2], o tyle sytuacja odmiennie wygląda w odniesieniu do ich biznesowego zastosowania.
Nie ulega wątpliwości, iż urządzenia mobilne przechowują dane osobowe naszych klientów, potencjalnych klientów, współpracowników czy kontrahentów. W poniższym artykule skoncentrujemy się na tym jak uregulować kwestie smartphonów w naszej organizacji z punktu wiedzenia wymagań związanych z ochroną danych osobowych. Wybór smartphonów nie jest przypadkowy. Ich udział w rynku telefonów komórkowych stale rośnie od kilku lat o czym świadczy poniższy wykres:

wykres_3

Na początku należy wyjaśnić czym właściwie jest smartphon? Zgodnie z definicją zawartą wikipedi smartphon to urządzenie łączące w sobie funkcję telefonu i komputera przenośnego. Jest to o tyle ważne, iż smartphon jako komputer przenośny powinien zostać zaliczony do systemu informatycznego. W związku z powyższym smartphon powinien spełniać takie same wymogi jakie są stawiane komputerom.

Wymogi wynikające z ustawy o ochronie danych osobowych oraz aktów wykonawczy wydanych na jej podstawie:

Po pierwsze należy uwzględnić smartphon w dokumentacji z ochrony danych osobowych. W polityce bezpieczeństwa danych osobowych powinniśmy uwzględnić urządzenia przenośne w części dotyczącej:

  • obszarów przetwarzania danych osobowych,
  • wykazie programów służących do przetwarzania danych osobowych,
  • sposobów przepływu danych między poszczególnymi systemami informatycznymi,
  • środków technicznych i organizacyjnych stosowanych w celu ochrony danych osobowych.

Dosyć problematyczne może być uzupełnienie pierwszego z wymienionych elementów polityki tj. obszarów przetwarzania danych. Urządzenia mobilne, jak sama nazwa wskazuje nie muszą być przechowywane cały czas w tym samym miejscu. Smartphon mamy w kieszeni lub torebce kiedy spędzamy czas w biurze lub np. jedziemy do klienta. Obszarem przetwarzania danych osobowych może być bez mała cały świat. Warto pamiętać, że jeszcze niedawno inspektorzy GIODO wymagali, aby w części dotyczącej obszarów przetwarzania wpisywać nie tylko dokładny adres nieruchomości ale również numer pokoju. Jak więc pogodzić takie wymagania z wykorzystywaniem smartphonów? W mojej ocenie, z uwagi na archaiczność przepisów rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych nie można wskazać dokładnego obszaru przetwarzania danych i niestety musimy się z tym pogodzić.
Kolejnym problematycznym zagadnieniem związanym z polityką bezpieczeństwa, a szerzej z zabezpieczeniem przetwarzanych danych jest hasło. Zgodnie z wyżej przytoczonym rozporządzeniem jeżeli urządzenie ma dostęp do Internetu to hasło powinno się składać z przynajmniej 8 znaków (wielkie litery, cyfry i znaki specjalne) i powinno być zmieniane przynajmniej co 30 dni. O ile ten wymóg jest już problematyczny w odniesieniu do komputerów stacjonarnych czy laptopów to w przypadku smartphonów wydaje się jeszcze trudniejszy do zrealizowania z uwagi na częste „logowanie” się do nich. Warto jednak pamiętać, że hasło jest pierwszą linią obrony przed uzyskaniem nieupoważnionego dostępu do naszego urządzenia.

Kolejnym dokumentem wymagającym aktualizacji jest instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych. We wskazanym dokumencie należy rozważyć zmiany w następujących częściach instrukcji:

  • sposób, miejsce i okres przechowywania kopii zapasowych,
  • procedura tworzenia kopii zapasowych,
  • środki zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania,
  • procedury wykonywania przeglądów i konserwacji systemów i nośników informacji służących do przetwarzania danych osobowych.

Warto również wspomnieć o kilku tzw. dobrych praktykach związanych z używaniem smarphonów. Niżej wymienione zasady korzystania z firmowych smartphonów mogą zostać zawarte w pisemnej procedurze. Bardzo częstą praktyką w wielu podmiotach jest przygotowanie i udostępnienie pracownikom procedury opisującej zasady korzystania z komórkowych telefonów służbowych. W mojej ocenie warto rozszerzyć ww. procedurę o kilka punktów, tak aby uwzględnić fakt, że część z tych telefonów stanowią smartphony. Co prawda wprowadzenie odpowiedniej procedury nie wyeliminuje wszystkich zagrożeń związanych korzystaniem ze smartphonów ale przynajmniej je ograniczy. Do największych i najczęstszych zagrożeń należy zaliczyć kradzieże/pozostawienie telefony w miejscach publicznych oraz ataki hakerskie. Z badań przeprowadzych przez Redwood City, opartych na Check Point Software Technologies wynika, że w ciągu sześciu miesięcy, ponad 21 tys. smartophonów pozostawiono w taksówkach w samym tylko Chicago.
O czym należy więc pamiętać przygotowując procedurę dotyczącą korzystania ze smartphonów?

Pierwszą z dobrych praktyk jest instalowanie na urządzeniach mobilnych wyłącznie zaufanych/sprawdzonych aplikacji mobilnych (oraz oczywiście legalnych). Instalacja powinna być możliwa wyłącznie dla osób z odpowiednimi uprawnieniami np. z działu IT. Tego typu podejście ograniczy możliwość instalacji aplikacji, które mogłyby się okazać szkodliwe dla przechowywanych danych osobowych. Kolejnym elementem związanym z prawidłowym zabezpieczeniem naszego firmowego smartphona są aktualizacje oprogramowania. Aktualizacje mogą być czasami trochę uciążliwe dla użytkowników (zabierają czas, nie można wtedy korzystać z urządzenia czasami trzeba podłączyć smartfon do komputera lub pobrać aktualizację za pośrednictwem połączenia bezprzewodowego, który jest również niewygodne itp.). Ale unikanie aktualizacji może doprowadzić do narażenia smartphona na ataki hakerskie. Twórcy oprogramowania takiego jak np. Android i iOS dokładają ciągłych wysiłków, aby za pomocą aktualizacji zamknąć luki i potencjalne exploity.
W procedurze warto również wskazać, iż jeżeli nie jest to na niezbędne do urządzenie z automatu nie powinno mieć włączonego GPS, Bluetooth i Wireless. Nie tylko powodują szybkie wyładowanie baterii (np. stale próbując znaleźć inne sieci bezprzewodowe, urządzenia Bluetooth, i oceniając swoje położenie). Dodatkowo nawiązując automatyczne połączenie można doprowadzić do infekcji naszego urządzenia mobilnego. Ostatnim elementem o jakim należy pamiętać jest instalacja oprogramowania umożliwiającego zdalne usunięcie danych oraz poinformowanie użytkowników o tej możliwości w procedurze. Powyższe może okazać się bardzo przydatne np. w związku z kradzieżą smartphona. Zainstalowanie odpowiedniej aplikacji pozwoli na zdalny dostęp za pomocą przeglądarki internetowej i usunięcie danych. Zazwyczaj takie oprogramowanie będzie miało zdalny dostęp do telefonu za pośrednictwem sygnału radiowego lub innego przekaźnika i przywróci zapisane ustawienia w urządzeniu do ustawień fabrycznych, całkowicie usuwając wszystkie zapisane informacje. Co jest również ważne należy pamiętać o tym aby przed oddaniem/utylizacją sprzętu skutecznie usunąć zawarte na nim informacje. Wydaje się to oczywiste ale jak wynika z badań przeprowadzonych przez Trust Digital nie wszystkie firmy się do tego stosują. Powyższy wniosek płynie z badania przeprowadzonego przez tą amerykańską firmę. Trust Digital kupiło dziewięć losowo wybranych smartphonów na eBay. Inżynierowie z firmy McLean Wirginia odzyskali prawie 27.000 stron danych w zakupionych telefonach,. Informacje dotyczyły np. informacji finansowych, korporacyjnych, dokumentów sprzedaży oraz ewidencji klientów biznesowych.
Na koniec warto wspomnieć o konieczności uświadomienia użytkowników o istniejących zagrożeniach. Nawet najlepsza dokumentacja, zabezpieczenia techniczne i procedury nie zdadzą egzaminu jeżeli pracownik nie zostanie odpowiednio przeszkolony i wyczulony na grożące niebezpieczeństwa.

 

 

 

[1] http://blog.e-odo.pl/2014/09/18/aplikacje-mobilne-ochrona-danych-osobowych/

[2] Art. 3a ust. 1 pkt 1 ustawy o ochronie danych osobowych – Ustawy nie stosuje się do: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych

Współpraca z headhunterami

W obecnych czasach praktycznie każdy z podmiotów działających na rynku korzysta z wyspecjalizowanych firm trudniących się rekrutacją. Headhunterzy posiadają niezbędne „know-how” i sprawdzoną metodologię do znalezienia odpowiedniego kandydata do pracy. Powstaje jednak pytanie, jak ten proces wygląda z punktu widzenia ustawy o ochronie danych osobowych.

Pierwszą kwestią jest ustalenie, który z podmiotów (zlecający czy headhunter) jest administratorem danych w procesie rekrutacji. Zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych, administrator danych jest podmiot, który decyduje o celach i środkach przetwarzania. W omawianym stanie faktycznym to zlecający decyduje o środkach (czyli ile pieniędzy przeznaczy na projekt rekrutacyjny) oraz o celach (czyli, że poszukuje np. księgowych, a nie spawaczy). Wiemy więc kto jest administratorem danych, a kto podmiotem, któremu zlecono przetwarzanie (headhunter). Teraz pozostaje odpowiedzieć na pytanie, jakie konsekwencje ma ww. rozkład ról w procesie przetwarzania danych osobowych.

Po pierwsze, administrator danych powinien podpisać umowę powierzenia przetwarzania danych z headhunterem. Umowa powierzenia powinna określać przynajmniej zakres i cel przetwarzanych danych oraz powinna być zawarta w formie pisemnej. Do umowy powierzenia warto oczywiście dodać dodatkowo inne postanowienia, które będą w większym zakresie chronić interes danej strony umowy. Przykładowo, w interesie zlecającego (administratora danych) jest zastrzeżenie prawa do kontroli sposobu przetwarzania danych osobowych przez headhuntera, czy np. zastrzeżenie kar umownych na wypadek wycieku danych osobowych z winy headhuntera.

Dodatkowo, headhunter powinien zostać zobowiązany umownie do spełnienia obowiązku informacyjnego z art. 24 ust. 1 ustawy o ochronie danych osobowych z uwagi na okoliczność, iż zlecający nie będzie miał technicznej możliwości spełnienia takiego obowiązku. Zlecający nie może zastrzec sobie anonimowości w procesie rekrutacji. Należy podkreślić, iż w razie wystąpienia jakiegoś incydentu związanego z naruszeniem zasad ochrony danych osobowych np. udostępnienia danych osobie nieupoważnionej, odpowiada zarówno administrator danych jak i procesor. W internecie można znaleźć liczne przypadki gdy dokumenty zawierające dane osobowe zostały wyrzucone na śmietnik lub gdy były dostępne online dla każdej osoby. Niektóre z tych spraw skończyły się w prokuraturze np. wyciek danych z Pekao.

Sytuacja komplikuje się jednak w sytuacji, gdy headhunter pozyskuje dane osobowe potencjalnych pracowników również dla siebie („Przykład nr 6: łowcy głów” – Opinia Grupy Roboczej art. 29 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”) – czyli chce je wciągnąć do administrowanej przez siebie bazy danych. Tego typu sytuacja ma miejsce np. w sytuacji jeżeli headhunter ma własny portal przeznaczony dla osób szukających pracy. Osoba rejestrując się na takim portalu podaje swoje dane, których administratorem danych staje się headhunter. Headhunter przekazuje następnie dane osób, które spełniają określone kryteria do potencjalnego pracodawcy. Wspomniane przekazanie danych należy uznać za ich udostępnienie. Na skutek udostępniania, administratorem danych staje się podmiot, któremu udostępniono dane osobowe, a więc firma poszukująca pracownika (zlecający).

W takiej sytuacji, co do zasady, nie należy podpisywać umowy powierzenia przetwarzania z headhunterem. Należy jednak pamiętać o konieczności spełniania obowiązku informacyjnego z art. 25 ust. 1 ustawy o ochronie danych osobowych względem osób, których dane osobowe zostały udostępnione. Konieczność spełnienia obowiązku informacyjnego z art. 25 ust 1 ustawy o ochronie danych osobowych wynika z okoliczności, że dane zostały udostępnione na rzecz zlecającego przez headhuntera a więc nie zostały zebrane bezpośrednio od osób, których dane dotyczą. Należy podkreślić, iż jeżeli headhunter wysyła wyłącznie tzw. „blind CV” to nie udostępnia danych osobowych i wobec takich kandydatów do pracy nie należy spełniać obowiązku informacyjnego o którym mowa powyżej.

Przesłanką legalizującą przetwarzanie danych jest w opisywanej sytuacji art. 23 ust 1 pkt 1, 3 i 5 ustawy o ochronie danych osobowych zarówno w przypadku huadhuntera jak i potencjalnego pracodawcy.

Jeżeli dane pomiędzy headhunterem a zlecającym są przesyłane siecią publiczną to taki przepływ powinien być zabezpieczony za pomocą kryptograficznych środków ochrony (jeżeli CV i listy motywacyjne są przesyłane jako załącznik e-maila to taki załącznik powinien być zahasłowany).