Regulacje prawne chroniące dane wrażliwe
Wraz z rozwojem nowych technologii pojawiają się również nowe wyzwania w zakresie przetwarzania danych osobowych w postaci cyfrowej. Wymusza to także konieczność wypracowania nowych regulacji prawnych, które należycie zabezpieczą dane osobowe przetwarzane przez różne podmioty w infrastrukturze informatycznej (instytucje, organizacje, przedsiębiorstwa). W Europie nadrzędnym prawem regulującym proces przetwarzania danych osobowych jest prawo wspólnotowe stanowione przez UE, które obowiązuje we wszystkich państwach członkowskich.
Najważniejszy obowiązujący akt to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, które weszło w życie 25.05.2018 r. Wraz z pojawieniem się rozporządzenia została usunięta z porządku prawnego dyrektywa 95/46/WE (ogólne rozporządzenie o ochronie danych), co stanowiło radyklaną zmianę w rozwoju prawa ochrony danych osobowych.
Ujednolicenie przepisów prawnych w tym zakresie ma zapewnić spójny rynek cyfrowy w całej UE oraz zwiększyć pewność prawa i bezpieczeństwo transakcji. Ponadto prawa związane z otrzymywaniem treści i usług cyfrowych przez konsumentów powinny być przejrzyste i zrozumiałe na terenie całej Unii.
Podsumowując, zgodnie z zasadą integralności i poufności danych, wyrażoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Czy RODO należycie zabezpiecza dane wrażliwe?
Dane wrażliwe to typy danych dotyczące sfery prywatnej konkretnych osób, wymagające szczególnej ochrony przed nieuprawnionym dostępem. W Polsce taką ochronę prawną zapewnia Ogólne Rozporządzenia o Ochronie Danych Osobowych (RODO), którego postanowienia dotyczące przetwarzania danych osobowych obowiązują na terenie całej Unii Europejskiej. Dodatkowym krajowym aktem prawnym jest Ustawa o Ochronie Danych Osobowych z dn. 10 maja 2018 r., dotycząca wszystkich instytucji i firm zbierających, przechowujących i przetwarzających dane osób fizycznych. Niezastosowanie się do wymogów RODO wiąże się z wysokimi karami finansowymi, które mogą się negatywnie odbić na ciągłości finansowej danego podmiotu. Organ nadzorczy, którym w Polsce jest Urząd Ochrony Danych Osobowych, może nałożyć kary pieniężne w kwocie do 10 mln euro lub 2% rocznego obrotu za niewłaściwe zabezpieczenie danych osobowych oraz do 20 mln euro lub 4% rocznego obrotu firmy za niezgodnie z przepisami RODO przetwarzanie danych. W związku z tym, w interesie podmiotów przetwarzających dane osobowe jest szczególna dbałość o ich ochronę, w tym jakie dane i komu udostępniają.
Jak są definiowane dane wrażliwe i które informacje dotyczące osób fizycznych uznawane są według zapisów RODO za wrażliwe? Rozporządzenie jasno określa różne rodzaje danych wrażliwych:
– pochodzenie rasowe i etniczne
– przekonania religijne lub światopoglądowe
– poglądy polityczne
– przynależność do związków zawodowych
– dane biometryczne
– dane genetyczne i dane dotyczące zdrowia
– dane dotyczące orientacji seksualnej.
Warto również dodać, że dane takie jak nr PESEL, stan cywilny czy nr rachunku bankowego nie są danymi wrażliwymi. Zagrożeniem może być ujawnienie niepowołanej osobie nr PESEL wraz z imieniem i nazwiskiem danej osoby, ponieważ taki zestaw informacji pozwala na zidentyfikowanie jej i bezprawne użycie tych danych.
Czy dane wrażliwe mogą zostać ujawnione? W jakich sytuacjach są wykorzystywane?
Zgodnie z zapisami RODO, przetwarzanie danych wrażliwych jest zakazane, jednak istnieją pewne wyjątkowe sytuacje, które pozwalają na ich wykorzystanie:
– jeśli osoba, której dane wrażliwe dotyczą wyrazi na to zgodę
– kiedy administrator danych musi użyć danych wrażliwych, aby wypełnić swoje obowiązki (np. w obszarze prawa pracy lub zabezpieczenia społecznego)
– użycie danych osoby jest umotywowane dochodzeniem jej praw przed sądem
– dane upubliczniane są bezpośrednio przez osobę, której dotyczą.
Jeśli dane wrażliwe są używane w sytuacjach innych niż wymienione wyżej, oznacza to złamanie postanowień RODO. W związku z tym podmiot, firma czy instytucja, która nie zabezpieczyła odpowiednio gromadzonych danych wrażliwych, musi liczyć się z odpowiedzialnością prawną i finansową.
Co o przetwarzaniu danych w sektorze finansowym mówi KNF?
Komisja Nadzoru Finansowego to organ pełniący nadzór nad rynkiem finansowym w Polsce, regulujący działalność sektorów bankowego, ubezpieczeniowego, emerytalnego, kapitałowego, spółdzielczych kas oszczędnościowo-kredytowych i usług płatniczych. Główne zadanie KNF to zapewnienie prawidłowego funkcjonowania oraz stabilności i bezpieczeństwa rynku finansowego, w tym ochrona interesów jego uczestników.
Stanowisko KNF w zakresie przetwarzania danych osobowych przez instytucje finansowe jasno wskazuje na wagę problemu, jakim jest zapewnienie przetwarzania merytorycznie poprawnych i jakościowych danych osobowych na terenie całej UE. KNF zwraca również uwagę, że dane osobowe klientów instytucji finansowych powinny być przetwarzane rzetelnie, z należytą starannością i poprawnością.
Jednym z głównych zagadnień szeroko omawianych przez KNF jest szybki postęp technologiczny w obszarze chmury i związane z tym wątpliwości w zakresie przetwarzania danych.
Proces ten rodzi wiele pytań po stronie nadzorowanych przez KNF podmiotów, w obszarze gromadzenia i przetwarzania informacji prawnie chronionych. Jednocześnie Nadzór jasno wskazuje, że ochrona informacji przetwarzanych przez te podmioty ma charakter priorytetowy.
Urząd Komisji Nadzoru Finansowego przychyla się także do procesu standaryzacji wdrożeń rozwiązań chmurowych, inicjowanych przez zrzeszenia sektora finansowego. Co prawda, opinie te nie są wiążące w zakresie standardów branżowych, ponieważ UKNF nie ma umocowania do ich wydawania, ale mają na celu indywidualną ocenę każdego przypadku w kontekście przepisów powszechnie obowiązującego prawa. Ponadto UKNF wyjaśnia także, że zamiar przetwarzania danych w chmurze obliczeniowej przez instytucje finansowe powinien być komunikowany przez te podmioty. Umowa z dostawcą usług chmury obliczeniowej powinna precyzować także zasady rozwiązywania umowy, w tym zasady i terminy zwrotu lub usunięcia przetwarzanych informacji.
Należy także dodać, że komunikaty UKNF w obszarze przetwarzania informacji w chmurze obliczeniowej nie są źródłem prawa, a zbiorem wytycznych organu nadzoru w celu stworzenia jednolitego standardu we wszystkich sektorach rynku finansowego. Najświeższe aktualności i komunikaty dotyczące problematyki przetwarzania danych wrażliwych przez instytucje finansowe znajdują się na stronie głównej KNF https://www.knf.gov.pl/.
Przetwarzanie danych osobowych w środowisku chmurowym
Kto jest administratorem danych osobowych osób trzecich umieszczanych w chmurze?
Zgodnie z art. 4 pkt 7 rozporządzenia 2016/679 (RODO) administratorem jest podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Dostawca usług w chmurze obliczeniowej może występować jako podmiot przetwarzający dane w imieniu użytkownika lub jako administrator wyłącznie jego danych. Konstrukcja umowy przechowywania danych w chmurze nie pozwala użytkownikowi na decydowanie o sposobie, miejscu i czasie wykorzystania konkretnych zasobów teleinformatycznych, oraz na uzyskanie informacji na temat tego wykorzystania. Powyższe wątki pozostają w wyłącznej kompetencji dostawcy usług w chmurze, który niezależnie decyduje o lokalizacji centrum przetwarzania danych, dynamicznym wykorzystywaniu infrastruktury komputerowej, migracji danych pomiędzy urządzeniami, a nawet skorzystaniu z zasobów innych dostawców. Pojawiają się głosy, że wymuszenie na dostawcy usług cloud sposobu przetwarzania danych zgodnie z wytycznymi użytkownika, może się negatywnie odbić na jakości świadczonych usług, oraz przyczynić do wzrostu kosztów, co może z kolei prowadzić do spowolnienia rozwoju chmury.
Usługi świadczone w chmurze obliczeniowej zwykle mają charakter globalny, a stronami zaangażowanymi w proces przetwarzania danych są dostawcy usług cloudowych oraz podmioty trzecie świadczące swoje usługi w środowisku chmurowym.
W interesie dostawców usług w chmurze jest zachowanie niezależności w procesie decydowania o wykorzystaniu zasobów teleinformatycznych (bez ponoszenia dodatkowych kosztów) oraz dążenie do uniknięcia odpowiedzialności za niezgodne z prawem przetwarzanie danych osobowych. W związku z tym, dostawcy mogą zastrzegać w treści umowy niedopuszczalność umieszczania danych w chmurze. Innym sposobem na przechowywania danych osobowych może być także ich anonimizacja. W motywie 26 rozporządzenia 2016/679 stwierdzono, że zasady ochrony danych nie powinny mieć zastosowania do informacji anonimowych, czyli nie powiązanych z żadną osobę fizyczną, uniemożliwiające identyfikację.
Bezpieczeństwo przetwarzanych informacji to podstawa funkcjonowania oraz wartość nadrzędna dla dostawców usług chmurowych. Ponadto mnogość regulacji prawnych, poświadczeń bezpieczeństwa oraz regularnych audytów, którym podlegają dostawcy, gwarantuje zabezpieczenie infrastruktury chmurowej na najwyższym poziomie. Drugim elementem wzmacniającym bezpieczeństwo informacji w chmurze jest edukacja i wyposażenie użytkowników chmury w zestaw dobrych praktyk, które mają zapobiec wyciekowi danych.
Warto dodać, że ostanie zmiany związane z pandemią, wojną na Ukrainie oraz inflacją wpłynęły na zwiększenie zaufania do rozwiązań chmurowych oraz szybszą adopcję chmury. Wysoki poziom bezpieczeństwa, które oferuje środowisko chmurowe, stało się kluczową wartością, do której dążą organizacje. Ponadto większa elastyczność oraz skalowalność środowiska chmurowego napędza zrównoważony rozwój firm co przekłada się na sprawniejsze działanie i niższe koszty.
Co zmienia rozporządzenie DORA (Digital Operational Resilience Act)?
Projekt rozporządzenia DORA został przyjęty pod koniec 2022 r. a jego postanowienia zaczną obowiązywać na początku 2025 r. Głównym celem wprowadzenia w życie rozporządzenia jest zapewnienie cyberbezpieczeństwa oraz zwiększenie stabilności i odporność cyfrowej podmiotów w unijnym sektorze finansowym.
Rozporządzenie DORA nakłada na podmioty finansowe zaimplementowanie kompleksowej strategii w celu zapewnienia ciągłości działania w zakresie ICT, opartej na implementacji najlepszych praktyk chroniących dane i umożliwiających właściwą reakcję na incydenty bezpieczeństwa. Dokument ten powinien być integralnym elementem ogólnej strategii organizacji, regulującym proces zarządzania ryzykiem związanym z systemem ICT.
Do istotnych dokumentów wspierających tworzenie takiej strategii należą:
– lista procesów biznesowych
– lista kluczowych zasobów niezbędnych do realizacji procesów biznesowych
– lista usług IT wykorzystywanych w procesach biznesowych.
Jak ocenić właściwe przygotowanie infrastruktury oraz pracowników pod kątem zapewnienia ciągłości procesów biznesowych?
Przeglądy audytowe i testowanie to kluczowe czynności monitorujące poziom bezpieczeństwa, identyfikujące ryzyka i zmiany w systemach. Dzięki temu możliwe jest generowanie raportów i wyciąganie wniosków niezbędnych do aktualizacji strategii odporności cyfrowej. Testowanie i audyty powinny być cyklicznie powtarzane w oparciu o plany i scenariusze testowania. Pomaga to ocenić przygotowanie infrastruktury i pracowników w celu zapewnienia ciągłości i dostępności procesów biznesowych.
Co jest nadrzędnym celem takich działań?
Przede wszystkim opracowanie planu reagowania na wypadek sytuacji kryzysowych oraz przywrócenie pełnej sprawności w systemach ICT organizacji.
Ponadto rozporządzenie DORA obok testowania i audytów wymaga opracowania dodatkowych elementów:
– wyznaczenie rzecznika ds. kontaktu
– ewidencja działań przed
– zgłoszenie kosztów i strat.
W ramach zarządzania ryzykiem związanym z ICT podmioty finansowe:
– wdrażają plany reagowania i przywracania sprawności ICT, które podlegają niezależnym wewnętrznym przeglądom audytowym
– utrzymują odpowiednie plany ciągłości działania w zakresie ICT
– co najmniej raz w roku oraz po wprowadzeniu istotnych zmian w systemach ICT testują plany ciągłości działania oraz plany reagowania i przywracania sprawności w zakresie ICT
– testują plany działań informacyjnych na wypadek wystąpienia sytuacji kryzysowej
– regularnie uaktualniają swoją strategię na rzecz ciągłości działania w zakresie ICT oraz planów przywracania sprawności ICT z uwzględnieniem wyniki testów oraz zaleceniami z kontroli audytowej.
Dodatkowe DORA narzuca obowiązek wyznaczenie w organizacji rzecznika ds. kontaktu odpowiedzialnego za powyższe kwestie.
Regulacje prawne obowiązują wszystkie podmioty przetwarzające dane
W ciągu ostatnich kilku lat, w związku z szybko postępującą cyfryzcją procesów w organizacjach, równoczesnie rozwinęły się regulacje prawne, zarówno wspólnotowe jak i krajowe w celu zapewnienia należytej ochrony danych osobowych przetwarzanych przez te podmioty. W interesie organizacji, instytucji i wszystkich firm, które gromadzą te dane jest ich najwyższa ochrona. Wiąże się to ze stworzeniem nowych strategii bezpieczeństwa całych systemów IT w których są one przetwarzane, zapewnieniem regularnych kontroli i audytów, wprowadzaniem ulepszeń oraz budowaniem świadomości o możliwych zagrożeniach. Jest to trwały proces, który stale się rozwija i wymaga od organizacji ciągłego doskonalenia i nieustannej edukacji zasobów ludzkich.