Strona główna serwisu Gazeta Policyjna

W oczekiwaniu na RODO

Nadchodzi nowa era w ochronie danych osobowych, które to dane znaczna część praktyków zaczyna nazywać danymi prywatnymi. Nowe regulacje szczególny nacisk kładą na poszanowanie praw i wolności osób fizycznych, nie ograniczając co do zasady swobodnego przepływu tych danych.

Rozwój technologiczny i szerokie możliwości przetwarzania danych osobowych stanowią realne zagrożenie dla jednostki. Znane i szeroko komentowane były próby wykorzystania tego rodzaju danych przy manipulowaniu wynikami wyborów za oceanem. Również w Unii Europejskiej dostrzeżono ten problem i podjęto działania dotyczące stworzenia przepisów gwarantujących równorzędny stopień ochrony danych osobowych na jej terenie.

NOWE WYZWANIA

Z dniem 25 maja 2018 r. zacznie obowiązywać w polskim porządku prawnym Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – określane powszechnie jako RODO (Dz.Urz. UE L 119/1 z dn. 4.05.2016 r.). Do tego czasu, nasz kraj zobowiązany jest do zapewnienia jego skutecznego stosowania przez przyjęcie właściwych przepisów wewnętrznych. Od 25 maja 2018 r. przepisy odnoszące się do danych osobowych będą nakładały na administratorów wiele nowych obowiązków, co stanowi dla Policji nowe wyzwania.

Mając na uwadze potrzebę wdrożenia rozwiązań wynikających z rozporządzenia RODO i dyrektywy Parlamentu Europejskiego i Rady UE 2016/680 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW, zwanej dalej DODO, w Biurze Bezpieczeństwa Informacji KGP przygotowano materiały, które stanowią pomoc w realizacji niezbędnych działań przez kierowników jednostek organizacyjnych Policji i komórek organizacyjnych KGP. I tak opracowano: „Metodę zarządzania ryzykiem dla systemów teleinformatycznych w Policji” (dla systemów jawnych), umożliwiającą ocenę podatności, jak również sposobów przeciwdziałań dla stwierdzonych zagrożeń w sieciach, systemach teleinformatycznych z ich zasobami informacyjnymi i na stanowiskach dostępowych, opartą m.in. na polskiej normie PN-ISO/IEC 27005:2014 Technika informatyczna – Techniki bezpieczeństwa –  Zarządzanie ryzykiem w bezpieczeństwie informacji oraz na dokumencie „Metodyka zarządzania ryzykiem cyberprzestrzeni w systemach zarządzania bezpieczeństwem informacji podmiotów rządowych”. Metodyka ta dla sieci i systemów teleinformatycznych Policji opisuje sposób postępowania, monitorowania oraz kategoryzowania ryzyk. Przygotowano także tabelę macierzy, pozwalającą na określenie wartości ryzyk. Opracowano formularz audytu zgodności przetwarzania danych do weryfikacji przez administratora danych osobowych pod kątem spełnienia wymagań, o których mowa w RODO i DODO oraz materiał szkoleniowy RODO, niezbędny do wykorzystania w procesie samokształcenia.

Wyniki przeprowadzonych czynności pozwolą na dokonanie oceny stanu ochrony danych osobowych, bezpieczeństwa sieci, systemów teleinformatycznych i stanowisk dostępowych w Policji oraz stwierdzenia ewentualnej konieczności podjęcia dalszych działań.

NOWE ROZWIĄZANIA

Podkreślić należy, że w RODO pojawiają się zupełnie nowe pojęcia, kategorie danych, procedury. Za naruszenie przepisów o ochronie danych osobowych odpowiadać będzie kierownik jednostki organizacyjnej zarówno przed urzędem kontroli, jak i przed sądem cywilnym czy karnym. Odpowiedzialność jest bezpośrednia, nie można cedować jej na innych pracowników. RODO wprowadza kary finansowe za szkody spowodowane przetwarzaniem naruszającym przepisy o ochronie danych osobowych.

Inspektor ochrony danych zastępuje administratora bezpieczeństwa informacji. Jest odpowiedzialny za monitorowanie przestrzegania przepisów ochrony danych osobowych. Będzie uczestniczył w raportowaniu o naruszeniach dotyczących praw lub wolności osób fizycznych (które powinny być zgłoszone nawet do 72 godzin do organu nadzorczego), prowadzeniu rejestru naruszeń i analizy ryzyka.

NOWE DEFINICJE

W art. 4 ust. 13 RODO zdefiniowano jako dane genetyczne:

Dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej.

Natomiast w art. 4 ust. 14 RODO zawarto definicję danych biometrycznych:

Dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

W art. 7 RODO opisano zgodę na przetwarzanie danych osobowych:

– administrator musi być w stanie wykazać, że podmiot danych wyraził zgodę na przetwarzanie swoich danych osobowych;

– dobrowolna – w jednym lub większej liczbie określonych celów;

– zrozumiała i łatwo dostępna forma, jasny i prosty język;

– prawo wycofania zgody w dowolnym momencie;

– wycofanie zgody musi być równie łatwe, jak jej wyrażenie;

– zgoda dziecka w przypadku usług społeczeństwa informacyjnego – art. 8 RODO.

W art. 8 RODO określono warunki zgody dziecka w przypadku usług społeczeństwa informacyjnego:

– wyrażenie zgody przez dziecko, które ukończyło 13 lat;

– przetwarzanie danych osobowych dziecka poniżej 13. roku życia wymaga zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem oraz przetwarzania wyłącznie w zakresie wyrażonej zgody;

– państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat, w takich przypadkach administrator uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.

Dane dotyczące zdrowia (art. 4 ust. 15 RODO):

Dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie zdrowia.

Pseudonimizacja – art. 4 ust. 5 RODO:

Oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisa-nie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

NOWE ZASADY

RODO stawia przed organizatorami systemów szczególne wyzwania. Art. 25 wprowadza dwie zasady o charakterze systemowym. Privacy by design – zasada ta oznacza obowiązek administratora danych do uwzględniania zagadnień prywatności już na etapie opracowania sposobów przetwarzania danych, jak również na każdym etapie faktycznego przetwarzania. Dane muszą być zatem odpowiednio bezpieczne, rozliczane i zgodne z zasadą minimalizacji, niezależnie od tego kogo dane dotyczą. Druga zasada Privacy by default zobowiązuje administratorów danych do wdrożenia i stosowania takich środków zarówno technicznych, jak również organizacyjnych, które zapewnią domyślne przetwarzanie jedynie takich danych, jakie są konieczne do konkretnego celu ich przetwarzania.

Trwają prace nad ostatecznym kształtem aktów prawnych wdrażających przepisy unijne. Niewiele czasu dzieli nas od rewolucji w prawie dotyczącej ochrony danych osobowych. RODO to przede wszystkim wyzwanie, a nie problem. Dlatego też mające na celu przygotowanie całej organizacji do wdrożenia zadań wynikających z RODO i DODO realizowane są działania podnoszące wiedzę, umiejętności i świadomość pracowników i funkcjonariuszy Policji. 

mł. insp. KATARZYNA JANISZEWSKA
naczelnik WBTiODO BBI KGP

 

Dokonaj oceny

Jakie dane osobowe przetwarzasz?

Jakie szczególne kategorie danych przetwarzasz?

Jaka jest podstawa prawna przetwarzania?

Gdzie i w jakich dokumentach wskazano te podstawy?

Gdzie i przez kogo, na jakiej podstawie dane są przetwarzane?

Jakie środki techniczne, organizacyjne stosujesz?

Jak mierzysz i oceniasz skuteczność zastosowanych środków?

Jak zapewniasz poufność, integralność, dostępność do systemów i usług przetwarzania?

Czy dane są przekazywane innym przedmiotom, w tym zagranicznym lub podmiotom przetwarzającym dane w imieniu administratora?

Jak realizujesz prawa podmiotów do dostępu do danych?

Jakie zmiany musisz wprowadzić?

 

Formy biometrii na podstawie źródeł danych biometrycznych


Ochrona danych „by default” i „by design”

Ochrona danych na etapie projektowania

Art. 25 ust. 1 RODO Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania [...] administrator [...] wdraża odpowiednie środki techniczne i organizacyjne, [...] w celu skutecznej realizacji zasad ochrony danych, (...) w celu nadania przetwarzaniu niezbędnych zabezpieczeń, [...] oraz chronić prawa osób, których dane dotyczą.

Domyślna ochrona danych

Art. 25 ust. 2 RODO Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. [...]