Warszawa, 17 marca 2014 r.

Transkrypt

1 Warszawa, 17 marca 2014 r. Stanowisko Zespołu Ekspertów powołanego przez GIODO, dotyczące potrzeby zmiany art. 39a ustawy o ochronie danych osobowych (zawierającego delegację do wydania rozporządzenia) oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Zdaniem Zespołu Ekspertów GIODO, dalej Zespołu występuje potrzeba zmian przepisów wykonawczych do ustawy o ochronie danych osobowych, stanowiących wykonanie upoważnienia zawartego w art. 39a ustawy o ochronie danych osobowych (Dz.U z 2002 r., Nr 101, poz. 926, ze zm.), dalej u.o.d.o. Obecnie aktem wykonawczym realizującym wspomnianą delegację jest rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), dalej rozporządzenie. W opinii Zespołu określone w rozporządzeniu środki zabezpieczenia technicznego i organizacyjnego nie przystają już do wyzwań współczesnych technologii i do globalnego charakteru przetwarzania danych osobowych. Szeroki dostęp do Internetu i powszechne wykorzystanie sieci ogólnodostępnych do przetwarzania danych osobowych powodują, że określone w rozporządzeniu kryteria trzech poziomów bezpieczeństwa danych w systemie informatycznym, nie opisują poprawnie zagrożeń w rzeczywistych warunkach przetwarzania danych osobowych. Nie uwzględniają one m. in. faktu, że oparte na zestawie nowoczesnych technologii przetwarzanie danych w chmurze obliczeniowej umożliwia łatwy i tani, dostęp do różnych modeli usług przetwarzania danych, szybkie ich wdrożenie oraz elastyczne, odpowiednie do potrzeb, wykorzystanie zasobów przetwarzania. Obecnie znaczna część przetwarzania danych osobowych dokonywana jest na wielką skalę w złożonych procesach przetwarzania z wykorzystaniem technologii sieciowych i wirtualizacji zasobów. Należy przyjąć, że taki sposób przetwarzania danych osobowych, w związku z dalszym postępem technologicznym i przynoszeniem korzyści ekonomicznych, będzie się rozwijał. Następną cechą współczesnego przetwarzania danych osobowych jest jego duża złożoność i dynamika, w 1

2 szczególności wydłużanie oraz komplikacja łańcuchów przetwarzania poprzez jego powierzanie i podpowierzanie, często połączone z przekazywaniem danych osobowych do państwa trzeciego. Powoduje to, że środki techniczne i organizacyjne ochrony danych osobowych powinny zapewniać bezpieczeństwo nie tylko zbiorów i pojedynczych danych osobowych lecz powinny zapewniać także bezpieczeństwo operacji przetwarzania danych osobowych. W szczególności operacji przetwarzania, które stwarzają szczególne zagrożenie dla praw podmiotu danych, a więc operacji przetwarzania danych osobowych wrażliwych, o których mowa w art. 27 ust. 1 u.o.d.o. oraz szczególnych operacji przetwarzania innych danych osobowych, które ze względu na swój charakter, a także zakres i cele przetwarzania, stwarzają takie zagrożenie. Za szczególne operacje przetwarzania danych osobowych należy uznać przetwarzanie tych danych z wykorzystaniem określonych technologii takich jak chmura obliczeniowa, wirtualizacja zasobów, identyfikacja radiowa oraz przetwarzanie w określonym celu takim jak profilowanie. Nie można zapewnić bezpieczeństwa operacji przetwarzania danych osobowych w systemach teleinformatycznych poprzez spełnienie wymagań określonych w obowiązującym rozporządzeniu w tym poprzez stosowanie zestawów środków technicznych i organizacyjnych przypisanych do sztywno zdefiniowanych i nieadekwatnych do rzeczywistych zagrożeń poziomów bezpieczeństwa przetwarzania danych. Zespół proponuje aby w projektowanym rozporządzeniu bezpieczeństwo przetwarzania danych osobowych rozumiane jako bezpieczeństwo zbiorów danych osobowych, pojedynczych danych oraz operacji przetwarzania danych osobowych, było oparte na zarządzaniu bezpieczeństwem danych osobowych. Podstawą takiego zarządzania powinno być stosowanie, określonych w rozporządzeniu, wymagań i środków w zakresie bezpieczeństwa danych osobowych. Podstawowe wymagania i środki zarządzania bezpieczeństwem danych osobowych to: 1) przeprowadzanie analizy zagrożeń (ryzyka) dla przetwarzania danych osobowych, w odniesieniu do kategorii przetwarzanych danych oraz sposobów i operacji przetwarzania danych przez ADO i przetwarzających (procesorów, którym dane są powierzane do przetwarzania). Analiza ma na celu określenie poziomu zagrożeń oraz doboru odpowiednich środków technicznych i organizacyjnych (zabezpieczeń) dla minimalizacji występowania zagrożeń podstawowych lub rozszerzonych, które 2

3 powinny być zrealizowane dla zabezpieczenia danych przez ADO i przetwarzającego. a. Przeprowadzanie podstawowej analizy zagrożeń (ryzyka) przez wszystkich ADO i przetwarzających w odniesieniu do kategorii przetwarzanych danych oraz sposobów i operacji ich przetwarzania. b. Przeprowadzanie rozszerzonej analizy zagrożeń przez podmioty wykonujące operacje przetwarzania danych, które stwarzają szczególne ryzyko dla praw podmiotu danych, a więc operacji przetwarzania danych osobowych wrażliwych, o których mowa w art. 27 ust. 1 u.o.d.o. oraz szczególnych operacji przetwarzania innych danych osobowych, które ze względu na swój charakter a także zakres i cele przetwarzania stwarzają takie ryzyko. 2) dobór technicznych i organizacyjnych środków ochrony danych zabezpieczenia na poziomie podstawowym lub rozszerzonym w zależności od poziomu zagrożeń - który wynika z analizy zagrożeń przetwarzania danych osobowych uwzględniającej kategorie i sposoby przetwarzania danych oraz wykonywanie szczególnych operacji przetwarzania. 3) wdrożenie środków technicznych i organizacyjnych dotyczących zarządzania bezpieczeństwem danych osobowych, przez ADO lub przetwarzających, na poziomie podstawowym wynikających z przeprowadzonej analizy zagrożeń przetwarzania danych osobowych. 4) wdrożenie i funkcjonowanie systemu zarządzania bezpieczeństwem danych osobowych, który powinien zapewnić poufność, dostępność oraz integralność danych osobowych z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność przez ADO i przetwarzających, którzy przetwarzają dane osobowe wrażliwe, o których mowa w art. 27 ust. 1 u.o.d.o. oraz wykonują szczególne operacje przetwarzania danych, które ze względu na swój charakter a także zakres i stwarzają szczególne ryzyko dla podmiotu danych. Ze względu na stan regulacji dotyczących kwestii definicyjnych Zespół proponuje aby w dalszych pracach nad projektowanym rozporządzeniem, po kolejnych analizach, określić: kategorie danych osobowych, sposoby ich przetwarzania oraz szczególne operacje przetwarzania, które ze względu na 3

4 swój charakter a także zakres stwarzają szczególne ryzyko dla podmiotu danych - które powinny być przedmiotem rozszerzonej analizy zagrożeń (ryzyka). 5) wdrożenie środków technicznych i organizacyjnych ochrony danych przez ADO i przetwarzających w momencie ustalania środków niezbędnych do przetwarzania danych osobowych, jak i w momencie samego przetwarzania tych danych. Jak wynika z powyższego Zespół proponuje także wprowadzenie w projektowanym rozporządzeniu, bez obniżenia poziomu ochrony danych osobowych, zróżnicowania sposobu wypełniania wymogów dotyczących stosowania środków technicznych i organizacyjnych ochrony danych przez ADO i przetwarzających na poziomie podstawowym i rozszerzonym. Podstawą tego zróżnicowania jest poziom zagrożenia jaki wynika z realizowanych procesów przetwarzania danych osobowych przez ADO i przetwarzających. Rozporządzenie nie różnicuje obecnie obowiązków ADO i przetwarzających w zależności od określonego poziomu zagrożenia, wynikającego realizacji procesów przetwarzania danych. Powoduje to nałożenie jednakowych obowiązków na wszystkie podmioty przetwarzające dane, bez względu czy ryzyko ich przetwarzania jest wysokie czy niskie. ADO i przetwarzający będą obowiązani do przeprowadzenia podstawowej lub także rozszerzonej analizy zagrożeń przetwarzania danych osobowych, która obejmuje: 1) opis operacji przetwarzania danych osobowych objętych analizą, 2) identyfikację zagrożeń oraz oszacowanie prawdopodobieństwa ich wystąpienia podczas przetwarzania danych osobowych, 3) określenie środków technicznych i organizacyjnych ochrony przetwarzanych danych osobowych, odpowiednich do oszacowanego poziomu zagrożeń występującego podczas przetwarzania danych osobowych, 4) sprawozdanie z przeprowadzonej analizy zagrożeń przetwarzania danych osobowych. Listy celów i potencjalnych zagrożeń dla przeprowadzenia podstawowej i rozszerzonej analizy zagrożeń będą załącznikami do projektowanego rozporządzenia. Projektowane rozporządzenie będzie zawierało także katalogi technicznych i organizacyjnych środków ochrony danych osobowych odpowiednich do ograniczenia (minimalizacji) podstawowego i wysokiego poziomu zagrożeń występującego podczas realizacji procesów przetwarzania danych osobowych. Środki te będą 4

5 określone w sposób umożliwiający ich przejrzyste stosowanie i dokonanie oceny, czy zostały one zastosowane. W odniesieniu do powyższej propozycji zróżnicowania wymagań i stosowania środków ochrony danych na podstawowe i rozszerzone, w projektowanym rozporządzeniu określone będą również wymogi dotyczące prowadzenia dokumentacji przetwarzania danych zgodnie z art. 36 ust. 2 u.o.d.o. Obecne przepisy wymagają od wszystkich ADO i przetwarzających opracowania Polityki bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. W praktyce wymienione dokumenty są opracowywane przede wszystkim przez podmioty, dla których wypełnienie wymogów prawa ochrony danych osobowych ma ważne znaczenie w osiągnięciu ich celów biznesowych lub w wypełnieniu zadań publicznych. Dla tych podmiotów opracowanie takiej dokumentacji nie stanowi problemu, ponieważ stosowane przez nich metody zarządzania i rozwiązania organizacyjne zakładają tworzenie różnych polityk, instrukcji i procedur związanych z prowadzoną działalnością. Dla małych przedsiębiorców, w tym mikroprzedsiębiorców oraz osób fizycznych prowadzących jednoosobową działalność gospodarczą, opracowanie takiej dokumentacji stanowi duże obciążenie, zarówno organizacyjne, jak i finansowe, co w praktyce powoduje niewykonywanie tego obowiązku. Wobec powyższego Zespół proponuje wprowadzenie obowiązku prowadzenia Podstawowej dokumentacji przetwarzania danych osobowych przez wszystkich ADO i przetwarzających, w której zostaną zawarte zapisy dokumentujące wypełnianie podstawowych obowiązków przetwarzania i ochrony danych zgodnie z u.o.d.o. Natomiast podmioty, w których realizacja procesów przetwarzania danych osobowych powoduje wysoki poziom zagrożeń będą zobowiązane aby oprócz Podstawowej dokumentacji jako minimum prowadzić taką samą dokumentację jaka obowiązuje obecnie, a więc - Politykę bezpieczeństwa danych osobowych oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych i jaką wcześniej posiadały, w ramach prowadzonego systemu zarządzania bezpieczeństwem danych osobowych (system taki powinien być zgodny z uznanymi metodykami i standardami). 5

6 Uproszczenie form wypełnienia wyżej wymienionych obowiązków jest istotną deregulacją obecnie obowiązujących wymogów. W opinii Zespołu deregulacja zmniejszy obciążenia podmiotów, w których przetwarzanie danych osobowych powoduje zagrożenia na poziomie podstawowym, a które wykonują obowiązki dotyczące zabezpieczenia danych osobowych. Przyczyni się także do wykonywania tych obowiązków przez znaczną liczbę podmiotów z tej grupy, które dotąd tego nie czynią. Zespół proponuje także aby w projektowanym rozporządzeniu znalazły się regulacje dotyczące realizacji wymogów, o których mowa w art. 38 u.o.d.o. Przepisy określać będą zasady i tryb przeprowadzania kontroli przetwarzania danych osobowych w systemie teleinformatycznym, zapewniające rozliczalność przetwarzania danych osobowych oraz przepisy określające sposób odnotowywania informacji niezbędnych do kontroli przetwarzania danych osobowych. W obowiązującym rozporządzeniu przepisy dotyczące realizacji wymogów określonych w art. 38 u.o.d.o. zawarte są w 7 i wprowadzają obowiązek odnotowywania w systemie informatycznym: daty wprowadzenia danych do systemu oraz identyfikatora osoby wprowadzającej dane. Przepisy tego samego paragrafu odnoszą się również do art. 32 ust. 3 i 33 ust. 1 u.o.d.o., dotyczących prawa do kontroli przetwarzania danych przez osobę, której dane dotyczą oraz realizacji obowiązku udzielania informacji tym osobom przez ADO. W opinii Zespołu oraz opinii reprezentantów wielu podmiotów (ADO) obecny zapis w 7 rozporządzenia jest nieczytelny oraz wprowadza niepotrzebne obowiązki związane z odnotowywaniem w systemie informatycznym informacji dotyczących: źródła pozyskania danych, informacji o odbiorcach podmiotach którym dane są przekazywane oraz informacji o sprzeciwie na przetwarzanie danych w celach marketingowych lub wobec przekazania jej danych innemu ADO. W art. 32 i 33 u.o.d.o. nie istnieje żadne wymaganie dotyczące odnotowywania takich informacji przez ADO w systemie informatycznym. Zgodnie z art. 32 ust. 5 u.o.d.o. osoba, której dane dotyczą ma możliwość raz na 6 miesięcy wystąpić do ADO z wnioskiem o udzielenie informacji na temat przetwarzania jej danych osobowych, w tym: w jaki sposób zebrano dane (informacje o źródle danych) w jakim zakresie oraz komu dane zostały udostępnione (informacje o odbiorcach danych) 6

7 Powyższe informacje, potrzebne do udzielenia odpowiedzi ADO może zapisywać w dowolnie prowadzonym przez niego rejestrze informatycznym lub papierowym, ale nie ma takiego obowiązku. Z kolei w art. 32 ust. 3 jest zapis dotyczący możliwości prowadzenia przez ADO rejestru osób, które wyraziły sprzeciw na przetwarzanie danych w celach marketingowych lub przekazywania ich innemu ADO. ADO ma więc wybór prowadzenia lub nie, takiego rejestru w celach kontrolnych, zarówno w formie papierowej lub informatycznej. Wobec powyższego proponujemy uporządkowanie zapisów w tym zakresie przez usunięcie w projektowanym rozporządzeniu odniesień do art. 32 oraz 33 u.o.d.o. a pozostawienia jedynie przepisów dotyczących realizacji wymagań art. 38 u.o.d.o., zwłaszcza że delegacja określona w art. 39a u.o.d.o. odnosi się jedynie do obowiązków zabezpieczenia danych osobowych zawartych w Rozdziale 5 art u.o.d.o. Taka propozycja ma także charakter deregulacyjny. Nie obniża poziomu ochrony danych osobowych. Zmniejsza natomiast koszty budowy i funkcjonowania systemu informatycznego oraz racjonalnie ogranicza wykonywanie czynności związane z odnotowywaniem informacji zgodnie z u.o.d.o. w tym systemie. Aby uniknąć problemów związanych z kolizją przepisów prawa, w tym możliwego braku zgodności, czy też odpowiedniości wymagań dotyczących zabezpieczania przetwarzanych informacji (w szczególności danych osobowych) oraz dublowania działań organizacyjnych zawartych w różnych przepisach, Zespół proponuje także zastosowanie w projektowanym rozporządzeniu przepisów odsyłających dla wypełnienia powyższych wymogów. W szczególności proponujemy zwolnienie z części wymogów podmioty zobowiązane do realizacji wymagań zarządzania bezpieczeństwem systemów teleinformatycznych na podstawie rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526) oraz Rozporządzenia Prezesa Rady Ministrów z dnia 20 lipca 2011r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. z 2011 r., Nr 159, poz. 948). W opinii Zespołu Ekspertów obecna delegacja zawarta w art. 39a u.o.d.o. powinna uzyskać nowe brzmienie, przy okazji nowelizacji u.o.d.o. w ramach projektu deregulacji dla przedsiębiorców przygotowywanej przez Ministerstwo Gospodarki 7

8 (projekt ustawy o ułatwieniu warunków wykonywania działalności gospodarczej). Zmieniona delegacja powinna zawierać wytyczne wskazujące, że rozporządzenie ma bardziej regulować cele i zasady jakim ma odpowiadać zarządzanie bezpieczeństwem przetwarzania danych osobowych niż kazuistycznie normować jego poszczególne elementy. Ponadto, wytyczne powinny zawierać fakt, iż stopień sformalizowania wymagań i środków zarządzania bezpieczeństwem przetwarzania danych osobowych musi uwzględniać analizę zagrożeń dla przetwarzania określonych kategorii danych osobowych oraz wykonywania szczególnych operacji przetwarzania danych, a w przypadkach gdy skala zagrożeń związanych z przetwarzaniem jest mała, wymogi formalne powinny być wprowadzone tylko w niezbędnym zakresie. Wobec powyższego proponujemy zmianę art. 39a u.o.d.o. i dołączenie jej do projektu deregulacji Ministerstwa Gospodarki. Przedstawione poniżej nowe brzmienie tego przepisu zapewni pełną zgodność brzmienia delegacji ustawowej i nowych przepisów wykonawczych spełniających podane powyżej warunki: Art. 39a Minister właściwy do spraw administracji publicznej, po zasięgnięciu opinii Generalnego Inspektora, określi, w drodze rozporządzenia wymagania dla zarządzania bezpieczeństwem przetwarzania danych osobowych i wynikające z tego środki techniczne i organizacyjne, o których mowa w art. 36 ust. 1, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2 i sposób wykonywania kontroli, o której mowa w art. 38, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do kategorii danych objętych ochroną oraz zagrożeń wynikających z operacji przetwarzania danych osobowych... Należy zaznaczyć, że w opinii Zespołu możliwe jest wydanie projektowanego rozporządzenia także na podstawie obowiązującej delegacji zawartej w art. 39a u.o.d.o. Opracował Zespół Ekspertów powołany przez GIODO w składzie: Maciej Byczkowski (Przewodniczący Zespołu), Piotr Dzwonkowski, Aleksander Frydrych, Małgorzata Michniewicz, Andrzej Rutkowski, dr Stefan Szyszko. 8