Wywiad

Udostępnianie danych osobowych – ochrona czy niebezpieczeństwo?

30 czerwca 2020, Aktualizacja 1 lipca 2020Przemysław Chąciak

dane osobowe

Mówi się, że dane osobowe to ropa XXI wieku. W czasach stanów klęski żywiołowej mogą służyć także do zapewnienia bezpieczeństwa obywatelom. Na co zwracać uwagę przy udostępnianiu informacji na swój temat, jakie zmiany prawne mogą nas czekać na tym polu w najbliższym czasie i jak przygotowane są na nie polskie firmy? O tym rozmawiamy z Przemysławem Chąciak, Inspektorem Ochrony Danych.

W skrócie

Stan pandemii spowodował większe zainteresowanie kwestią cyberbezpieczeństwa

Państwa są uprawnione do przetwarzania danych osobowych w sytuacjach nadzwyczajnych

Przez lata ochrona prywatności była żadna. Wszystkie organizacje robiły z naszymi danymi tak naprawdę co chciały i nie gwarantowały na tym polu bezpieczeństwa

Swobodny dostęp do wszystkich danych przez prywatne organizacje stwarza więcej zagrożeń niż korzyści

Dziś w Polsce trudno wskazać kogoś, kto jest w 100% zgodny z RODO

Każda organizacja powinna indywidualnie zdefiniować swoje zagrożenia, bowiem ma inny cel biznesowy, jest na innym etapie rozwoju, dysponuje innym kapitałem i możliwościami, działa na innych rynkach z różnymi produktami, posiada swoją konkurencję, a także ma inną kulturę organizacyjną. Musimy pamiętać, że udostępnianie danych osobowych nie zawsze wynika z procesu biznesowego, może również wynikać z przepisów prawa, wówczas jest obowiązkowe (np. instytucje publiczne lub organy ścigania), tak więc jeśli robimy to dobrze, zgodnie z kalkulacją ryzyka, to niebezpieczeństwo staje się znikome.

Dane osobowe w dobie pandemii

Jak będzie wyglądała kwestia prywatności w świecie po COVID-19?

Tak naprawdę to ciężko odpowiedzieć na to pytanie w krótki sposób, na to można byłoby poświęcić cały wywiad. Jak widać po tym, co się dzieje, cyberprzestępcy nie śpią i wykorzystują COVID-19 do swoich celów, włamując się na serwery, kradnąc prywatne dane użytkowników czy wyłudzając pieniądze pod pretekstem walki z pandemią. W UE obowiązuje RODO, które normuje kwestie związane z ochroną prywatności i moim zdaniem przynajmniej w Europie świadomość się nie zmieni i wszystko powróci do normy, a może i będzie lepiej, bo obecnie panująca sytuacja daje również czas administratorom na przemyślenia i zmianę swojego podejścia do tego tematu. Wbrew pozorom to właśnie stan pandemii spowodował większe zainteresowanie kwestią cyberbezpieczeństwa, wynika to głównie z konieczności wprowadzenia pracy zdalnej i wiążących się z tym faktem stosownych i adekwatnych wymogów technicznych i organizacyjnych.

Czy słyszał pan o systemie „digital fence”, który został wprowadzony przez rząd w Tajwanie do monitorowania osób w kwarantannie?

Tylko tyle, ile udało mi się dowiedzieć z doniesień medialnych. To system, który identyfikuje miejsce pobytu danej osoby na podstawie położenia jej telefonu komórkowego względem pobliskich nadajników. System służy przede wszystkim do monitorowania osób przebywających w kwarantannie, ale jednocześnie służy on do alarmowania właściwych służb o przypadkach łamania kwarantanny. Twórcy systemu przekonują, że system chroni prywatność użytkowników, ale jednocześnie zaspokaja potrzeby monitorowania ich jako sposobu walki z rozprzestrzenianiem się pandemii COVID-19.

Czy z punktu widzenia europejskiego prawa byłoby to już pogwałcenie prywatności?

RODO_UE

Nie do końca, Europejska Rada Ochrony Danych wydała oświadczenie w sprawie przetwarzania danych podczas pandemii COVID-19 obejmujące m.in. temat przetwarzania danych szczególnych kategorii. RODO pozwala właściwym organom ds. zdrowia publicznego na przetwarzanie danych osobowych w kontekście epidemii w sytuacjigdy przetwarzanie danych jest konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego. Co więcej, państwa mają prawo do takich działań, jeśli wprowadzą właściwe przepisy wewnętrzne oraz będą minimalizować ingerencję w życie prywatne. Zatem wszystko zależy od zmian w przepisach prawa. EROD (Europejska Rada Ochrony Danych) stwierdza, że programy tego typu powinny mieć charakter dobrowolny, wykorzystywać jak najmniejszą ilość danych i nie powinny umożliwiać śledzenia przemieszczenia się osób, lecz raczej wykorzystywać informacje o bezpośrednich kontaktach użytkowników. Tutaj pragnę podkreślić, iż RODO jest dokumentem przygotowanym z myślą o wielu aspektach, w ramach których dochodzi do przetwarzania danych osobowych.

Czy przypadkiem jako społeczeństwa nie zagalopowaliśmy się w tym dążeniu do schlebiania indywidualizmowi? Każdy może decydować o najmniejszych detalach swoich danych. Ale przecież każdy z nas jest częścią większej zbiorowości, nie żyjemy na pustyni, zatem czy to niekiedy nie jest w sprzeczności z bezpieczeństwem zbiorowości? Czy aktualna sytuacja nie obnaża boleśnie niedoskonałości przyjętego modelu?

Przez lata ochrona prywatności, czyli naszych danych osobowych, w sumie była żadna. Wszystkie organizacje robiły z naszymi danymi tak naprawdę, co chciały, i nie gwarantowały na tym polu bezpieczeństwa, więc ja uważam, że na gruncie przepisów RODO to dobrze, że możemy indywidualnie podchodzić do tematu naszych danych. Oczywiście występują pewne niedoskonałości chociażby w zakresie właściwych przepisów prawa krajowego gwarantujących ich przestrzeganie. Musimy pamiętać, że nie tylko RODO reguluje kwestie prywatności w sieci, mamy również szereg przepisów krajowych w tym zakresie i to od kierunku tych zmian będą uzależnione mechanizmy dotyczące przetwarzania danych osobowych w systemach informatycznych lub potocznie w sieci.

Czy wraz z perspektywą nowych zagrożeń, zarówno tych biologicznych, jak i klimatycznych, model zarządzania danymi obywateli będzie dryfował w stronę cyfrowego nadzoru – aplikacje z trackingiem, rozpoznawanie twarzy – by rządy mogły szybko reagować w sytuacjach awaryjnych?

Biorąc pod uwagę rozwój technologii, to jest to całkiem możliwe, ale ważne jest, aby zastosowane systemy były wykorzystywane we właściwych celach i aby były one właściwie zabezpieczone. Już dzisiaj na terenie Polski stosowane są kamery pomagające np. policji w śledzeniu ruchu pojazdów czy wykrywaniu przestępców. Ważne jest to, aby takie systemy były wykorzystywane wyłącznie do zapewnienia bezpieczeństwa obywateli. 

A co z sektorem prywatnym? Czy swobodniejszy dostęp firm do danych klientów nie pozwoliłby im lepiej realizować potrzeb klientów? Automatyzacja zamówień, precyzyjniejsze dopasowanie, alerty mogłyby służyć tzw. wyższym celom – wyobrażam sobie sytuację, w której apteka dostarcza seniorowi odpowiednie leki na czas, kiedy on zmuszony jest zostać w domu, aplikacja turystyczna ostrzega przed zagrożeniami występującymi w określonym kraju, kiedy wie, że chcę wybrać się tam na wakacje…

dane osobowe_internet

Jasne, ale przecież już dzisiaj można korzystać z tego wszystkiego, o co pan pyta. Każdy ma prawo decydować o swoim losie i o swoich danych poprzez wyrażenie zgody na tego rodzaju działania, dzięki czemu nie widzę żadnych ograniczeń w możliwości dostarczania leków na czas seniorowi. Problem raczej tkwi w czymś innym. Po pierwsze, kiedyś (przed RODO) wszyscy (prawie) robili tego rodzaju rzeczy, nikogo nie pytając o zgodę, a teraz, kiedy się zmieniła rzeczywistość, nie każdy potrafi sobie z tym poradzić. Dodatkowo dochodzi do tego kwestia cyberbezpieczeństwa. Pamiętajmy, że wiele danych przetwarzanych cyfrowo już teraz jest wykorzystywanych nielegalnie, np. do zaciągania na kogoś pożyczek, więc swobodny dostęp do wszystkich danych dla prywatnych organizacji stwarza więcej zagrożeń niż korzyści. 

Ochrona danych osobowych

Czy nie jest tak, że mimo tych wszystkich akcji uświadamiających w zakresie prywatności, powziętych regulacji prawnych, i tak nasze dane krążą niczym rój komarów czyhających na ofiarę w mazurskich zaroślach?

I tu znowu wracamy do rzeczywistości. Fakt, akcje uświadamiające są, jednak (niestety dotyczy to wszystkich grup wiekowych) wiele osób nadal nie jest do końca zainteresowanych tym, co się dzieje z ich danymi, oczywiście do czasu, kiedy nie wydarzy się z nimi coś złego. Często spotykana jest również sytuacja, w której użytkownicy serwisu WWW rezygnują z danej czynności z uwagi na silne zabezpieczenia (trudne hasło czy wieloetapowa weryfikacja), w innym przypadku dla skorzystania ze świetnej promocji wiele osób udostępni swoje dane osobowe komukolwiek, bez przeczytania regulaminów, klauzul informacyjnych itp., a potem są one zdziwione, że ich dane krążą nie wiadomo gdzie. 

Wraz z upowszechnianiem technologii głosowych ten zbiór będzie się jedynie powiększał?

Tak, ale jak wspominałem wcześniej, wszystko zależy od nas samych i od tego, na co się zgadzamy, co i komu powierzamy. Zdecydowana większość rozwiązań od Google’a lub Facebooka uzależniona jest od naszych decyzji, a nie ze względu na budowę danej aplikacji. Na pewno przykładem takiej sytuacji jest komunikat naszego urządzenia mobilnego w chwili, gdy uruchomimy aplikację Google Maps, czyli „Google chce użyć informacji o Twoim położeniu, czy chcesz zezwolić”. Inny przykład to dodawanie zdjęć na Facebooku, wówczas aplikacja również pyta nas o zgodę na dostęp do biblioteki zdjęć.

Wszystkie nowoczesne i przydatne aplikacje, jak również rozwiązania systemowe przygotowywane są w taki sposób, aby to użytkownik decydował, w jakim zakresie chce wykorzystać dostępne opcje, kluczowe w tym zakresie jest jednak czytanie regulaminów, bo jeśli gdzieś ukrywa się przysłowiowa gwiazdka, to właśnie tam.

RODO w firmie

A co z polskimi firmami, ile z nich na dziś spełnia wymogi RODO?

Dziś w Polsce trudno wskazać kogoś, kto jest w 100 proc. zgodny z RODO. Z danych statystycznych wynika, że ok. 68 proc. firm nie jest przygotowanych do RODO, ale ok. 28 proc. firm deklaruje pełną gotowość. Należy jednak pochwalić tych, którzy pomimo napotykanych trudności podejmują wysiłek dostosowania swojego biznesu do obecnej rzeczywistości wynikającej z Ogólnego Rozporządzenia o Ochronie Danych.

RODO_firma

Jakie kryteria musi spełnić organizacja, jeśli zbiera dane i zamierza je przetwarzać?

Przede wszystkim musi być świadoma tego, co robi. Ogólne Rozporządzenie o Ochronie Danych w obecnej formie zmusza do samodzielnego myślenia i podejmowania właściwych decyzji. Jeżeli nie jesteśmy gotowi, nie mamy fachowej wiedzy, to powinniśmy skorzystać z porad specjalistów w tej dziedzinie, bo każda organizacja jest inna i nie ma jednego słusznego szablonu dla każdego. Podstawowym kryterium jest przestrzeganie zasad takich jak minimalizacja danych, przetwarzanie w określonym celu, a także innych zasad wynikających wprost z art. 5 RODO. Pamiętajmy, że ten akt to nie tylko „coś złego, niezrozumiałego”, jak twierdzi wielu przedsiębiorców, ale może być również „szansą” dla organizacji na prowadzenie biznesu nastawionego na bezpieczeństwo klienta. 

Na koniec kilka porad dla zwykłego użytkownika – na co powinien głównie zwracać uwagę podczas korzystania z aplikacji internetowych, by czuć się spokojnym o swoje dane? 

Najprościej mówiąc, należy do każdej aplikacji podchodzić, kierując się tzw. zasadą ograniczonego zaufania. Jeśli dzisiaj dopiero co kogoś poznaliśmy, to nie podawajmy mu swoich danych teleadresowych. Zastanawiajmy się, jakie zamieszczamy treści i kogo czy czego one dotyczą. Choć to trudne (bo długie, męczące, itp.), pamiętajmy, aby zapoznać się z regulaminami, zanim podamy, wpiszemy jakiekolwiek dane, bo „internet sam nie zapomina” i raz zamieszczone informacje zostają w sieci. Pamiętajcie o ustawieniach prywatności w programach, z których korzystacie. Nie pobierajcie plików od nieznanych dostawców, nie podawajcie danych do logowania obcym osobom. Stosowanie prostych czynności spowoduje zwiększenie naszego bezpieczeństwa, a także ograniczy przesyłanie i wykorzystywanie danych przez osoby obce.

Rozmawiał Bartosz Maz.



Jak przydatny był ten post?

Kliknij gwiazdkę, aby go ocenić!

Średnia ocena 4.2 / 5. Liczba głosów: 5

Dotychczas brak głosów! Oceń ten post jako pierwszy.


Udostępnij

Przemysław Chąciak

Inspektor Ochrony Danych w Inspektorzy ODO Sp. z o.o., który od przeszło 7 lat specjalizuje się w zakresie ochrony danych osobowych. Wcześniej, jako wieloletni pracownik administracji państwowej, związany był z ochroną informacji niejawnych. Jest certyfikowanym Administratorem Bezpieczeństwa Informacji (certyfikat TÜV SÜD), certyfikowanym Audytorem Systemu Zarządzania Bezpieczeństwem Informacji wg Normy ISO 27001 oraz Audytorem Systemu Zarządzania Jakością wg Normy ISO 9001. Na co dzień specjalizuje się w wspieraniu kontroli zabezpieczeń teleinformatycznych i opracowywaniu dokumentacji w tej materii oraz prowadzeniu punktu kontaktowego dla pracowników obsługiwanych organizacji.

Powiązane Artykuły

Wideokonferencja – jak ją przeprowadzić? Przegląd programów

Lenovo

Uzależnienie od telefonu, uzależnienie od komputera. Uzależnienie od internetu. Nastała era człowieka wirtualnego?

Lenovo

Jak zainstalować Windows 10?

Lenovo

Komentarze do artykułu


widget instagram lenovo
widget twitter lenovo
widget facebook lenovo
widget youtube lenovo
Przeczytaj poprzedni wpis:
nano 569
Najmniejszy w historii komputer stacjonarny Lenovo ThinkCentre z mocą procesora AMD

Komputery stacjonarne o formacie nano ThinkCentre M75n i M75n IoT już w sprzedaży Firma Lenovo wprowadziła do oferty nowe komputery...

Zamknij