Stanowisko ZE w sprawie zmiany RTO_17 03 2014

Warszawa, 17 marca 2014 r.
Stanowisko Zespołu Ekspertów powołanego przez GIODO, dotyczące potrzeby
zmiany art. 39a ustawy o ochronie danych osobowych (zawierającego delegację
do wydania rozporządzenia) oraz rozporządzenia Ministra Spraw
Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków technicznych i
organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych
Zdaniem Zespołu Ekspertów GIODO, dalej „Zespołu” występuje potrzeba zmian
przepisów wykonawczych do ustawy o ochronie danych osobowych, stanowiących
wykonanie upoważnienia zawartego w art. 39a ustawy o ochronie danych osobowych
(Dz.U z 2002 r., Nr 101, poz. 926, ze zm.), dalej „u.o.d.o”. Obecnie aktem
wykonawczym realizującym wspomnianą delegację jest rozporządzenie Ministra
Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków technicznych i
organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), dalej
„rozporządzenie”.
W opinii Zespołu określone w rozporządzeniu środki zabezpieczenia
technicznego i organizacyjnego nie przystają już do wyzwań współczesnych
technologii i do globalnego charakteru przetwarzania danych osobowych. Szeroki
dostęp do Internetu i powszechne wykorzystanie sieci ogólnodostępnych do
przetwarzania danych osobowych powodują, że określone w rozporządzeniu kryteria
trzech poziomów bezpieczeństwa danych w systemie informatycznym, nie opisują
poprawnie zagrożeń w rzeczywistych warunkach przetwarzania danych osobowych.
Nie uwzględniają one m. in. faktu, że oparte na zestawie nowoczesnych technologii
przetwarzanie danych w chmurze obliczeniowej umożliwia łatwy i tani, dostęp do
różnych modeli usług przetwarzania danych, szybkie ich wdrożenie oraz elastyczne,
odpowiednie do potrzeb, wykorzystanie zasobów przetwarzania. Obecnie znaczna
część przetwarzania danych osobowych dokonywana jest na wielką skalę w
złożonych procesach przetwarzania z wykorzystaniem technologii sieciowych i
wirtualizacji zasobów. Należy przyjąć, że taki sposób przetwarzania danych
osobowych, w związku z dalszym postępem technologicznym i przynoszeniem
korzyści ekonomicznych, będzie się rozwijał. Następną cechą współczesnego
przetwarzania danych osobowych jest jego duża złożoność i dynamika, w
1
szczególności wydłużanie oraz komplikacja łańcuchów przetwarzania poprzez jego
powierzanie i podpowierzanie, często połączone z przekazywaniem danych
osobowych do państwa trzeciego. Powoduje to, że środki techniczne i organizacyjne
ochrony danych osobowych powinny zapewniać bezpieczeństwo nie tylko zbiorów i
pojedynczych danych osobowych lecz powinny zapewniać także bezpieczeństwo
operacji przetwarzania danych osobowych. W szczególności operacji przetwarzania,
które stwarzają szczególne zagrożenie dla praw podmiotu danych, a więc operacji
przetwarzania danych osobowych wrażliwych, o których mowa w art. 27 ust. 1
u.o.d.o. oraz „szczególnych operacji” przetwarzania innych danych osobowych, które
ze względu na swój charakter, a także zakres i cele przetwarzania, stwarzają takie
zagrożenie. Za szczególne operacje przetwarzania danych osobowych należy uznać
przetwarzanie tych danych z wykorzystaniem określonych technologii takich jak
chmura
obliczeniowa,
wirtualizacja
zasobów,
identyfikacja
radiowa
oraz
przetwarzanie w określonym celu takim jak profilowanie.
Nie
można
zapewnić
bezpieczeństwa
operacji
przetwarzania
danych
osobowych w systemach teleinformatycznych poprzez spełnienie wymagań
określonych w obowiązującym rozporządzeniu w tym poprzez stosowanie zestawów
środków technicznych i organizacyjnych przypisanych do sztywno zdefiniowanych i
nieadekwatnych do rzeczywistych zagrożeń poziomów bezpieczeństwa przetwarzania
danych. Zespół proponuje aby w projektowanym rozporządzeniu bezpieczeństwo
przetwarzania danych osobowych rozumiane jako bezpieczeństwo zbiorów danych
osobowych, pojedynczych danych oraz operacji przetwarzania danych osobowych,
było oparte na zarządzaniu bezpieczeństwem danych osobowych. Podstawą takiego
zarządzania powinno być stosowanie, określonych w rozporządzeniu, wymagań i
środków w zakresie bezpieczeństwa danych osobowych. Podstawowe wymagania i
środki zarządzania bezpieczeństwem danych osobowych to:
1)
przeprowadzanie analizy zagrożeń (ryzyka) dla przetwarzania danych
osobowych, w odniesieniu do kategorii przetwarzanych danych oraz
sposobów i operacji przetwarzania danych przez ADO i przetwarzających
(procesorów, którym dane są powierzane do przetwarzania). Analiza ma
na celu określenie poziomu zagrożeń oraz doboru odpowiednich środków
technicznych
i
organizacyjnych
(zabezpieczeń)
dla
minimalizacji
występowania zagrożeń – podstawowych lub rozszerzonych, które
2
powinny być zrealizowane dla zabezpieczenia danych przez ADO
i przetwarzającego.
a. Przeprowadzanie podstawowej analizy zagrożeń (ryzyka) przez
wszystkich ADO i przetwarzających – w odniesieniu do kategorii
przetwarzanych danych oraz sposobów i operacji ich przetwarzania.
b. Przeprowadzanie rozszerzonej analizy zagrożeń przez podmioty
wykonujące
operacje
przetwarzania
danych,
które
stwarzają
szczególne ryzyko dla praw podmiotu danych, a więc operacji
przetwarzania danych osobowych wrażliwych, o których mowa w
art. 27 ust. 1 u.o.d.o. oraz „szczególnych operacji” przetwarzania
innych danych osobowych, które ze względu na swój charakter a
także zakres i cele przetwarzania stwarzają takie ryzyko.
2)
dobór technicznych i organizacyjnych środków ochrony danych –
zabezpieczenia na poziomie podstawowym lub rozszerzonym w zależności
od poziomu zagrożeń - który wynika z analizy zagrożeń przetwarzania
danych osobowych uwzględniającej kategorie i sposoby przetwarzania
danych oraz wykonywanie szczególnych operacji przetwarzania.
3)
wdrożenie
środków
technicznych
i
organizacyjnych
dotyczących
zarządzania bezpieczeństwem danych osobowych, przez ADO lub
przetwarzających,
na
poziomie
podstawowym
wynikających
z
przeprowadzonej analizy zagrożeń przetwarzania danych osobowych.
4)
wdrożenie i funkcjonowanie systemu zarządzania bezpieczeństwem
danych osobowych, który powinien zapewnić poufność, dostępność oraz
integralność danych osobowych z uwzględnieniem takich atrybutów, jak
autentyczność, rozliczalność, niezaprzeczalność i niezawodność przez
ADO i przetwarzających, którzy przetwarzają dane osobowe wrażliwe, o
których mowa w art. 27 ust. 1 u.o.d.o. oraz wykonują „szczególne operacje
przetwarzania danych”, które ze względu na swój charakter a także zakres
i stwarzają szczególne ryzyko dla podmiotu danych.
Ze względu na stan regulacji dotyczących kwestii definicyjnych Zespół
proponuje aby w dalszych pracach nad projektowanym rozporządzeniem, po
kolejnych analizach, określić: kategorie danych osobowych, sposoby ich
przetwarzania oraz „szczególne operacje” przetwarzania, które ze względu na
3
swój charakter a także zakres stwarzają szczególne ryzyko dla podmiotu danych
- które powinny być przedmiotem rozszerzonej analizy zagrożeń (ryzyka).
wdrożenie środków technicznych i organizacyjnych ochrony danych przez
5)
ADO i przetwarzających w momencie ustalania środków niezbędnych do
przetwarzania
danych
osobowych,
jak
i
w
momencie
samego
przetwarzania tych danych.
Jak wynika z powyższego Zespół proponuje także wprowadzenie w projektowanym
rozporządzeniu, bez obniżenia poziomu ochrony danych osobowych, zróżnicowania
sposobu wypełniania wymogów dotyczących stosowania środków technicznych i
organizacyjnych ochrony danych przez ADO i przetwarzających na poziomie
podstawowym i rozszerzonym. Podstawą tego zróżnicowania jest poziom zagrożenia
jaki wynika z realizowanych procesów przetwarzania danych osobowych przez ADO
i przetwarzających. Rozporządzenie nie różnicuje obecnie obowiązków ADO i
przetwarzających w zależności od określonego poziomu zagrożenia, wynikającego
realizacji procesów przetwarzania danych. Powoduje to nałożenie jednakowych
obowiązków na wszystkie podmioty przetwarzające dane, bez względu czy ryzyko
ich przetwarzania jest wysokie czy niskie.
ADO i przetwarzający będą obowiązani do przeprowadzenia podstawowej lub
także rozszerzonej analizy zagrożeń przetwarzania danych osobowych, która
obejmuje:
1) opis operacji przetwarzania danych osobowych objętych analizą,
2) identyfikację
zagrożeń
oraz
oszacowanie
prawdopodobieństwa
ich
wystąpienia podczas przetwarzania danych osobowych,
3) określenie środków technicznych i organizacyjnych ochrony przetwarzanych
danych osobowych, odpowiednich do oszacowanego poziomu zagrożeń
występującego podczas przetwarzania danych osobowych,
4) sprawozdanie z przeprowadzonej analizy zagrożeń przetwarzania danych
osobowych.
Listy celów i potencjalnych zagrożeń dla przeprowadzenia podstawowej i
rozszerzonej analizy zagrożeń będą załącznikami do projektowanego rozporządzenia.
Projektowane rozporządzenie będzie zawierało także katalogi technicznych i
organizacyjnych środków ochrony danych osobowych odpowiednich do ograniczenia
(minimalizacji) podstawowego i wysokiego poziomu zagrożeń występującego
podczas realizacji procesów przetwarzania danych osobowych. Środki te będą
4
określone w sposób umożliwiający ich przejrzyste stosowanie i dokonanie oceny, czy
zostały one zastosowane.
W odniesieniu do powyższej propozycji zróżnicowania wymagań i stosowania
środków ochrony danych na podstawowe i rozszerzone, w projektowanym
rozporządzeniu
określone
będą
również
wymogi
dotyczące
prowadzenia
dokumentacji przetwarzania danych zgodnie z art. 36 ust. 2 u.o.d.o.
Obecne przepisy wymagają od wszystkich ADO i przetwarzających
opracowania Polityki bezpieczeństwa oraz Instrukcji zarządzania systemem
informatycznym służącym do przetwarzania danych osobowych. W praktyce
wymienione dokumenty są opracowywane przede wszystkim przez podmioty, dla
których wypełnienie wymogów prawa ochrony danych osobowych ma ważne
znaczenie w osiągnięciu ich celów biznesowych lub w wypełnieniu zadań
publicznych. Dla tych podmiotów opracowanie takiej dokumentacji nie stanowi
problemu, ponieważ stosowane przez nich metody zarządzania i rozwiązania
organizacyjne zakładają tworzenie różnych polityk, instrukcji i procedur związanych
z
prowadzoną
działalnością.
Dla
małych
przedsiębiorców,
w
tym
mikroprzedsiębiorców oraz osób fizycznych prowadzących jednoosobową działalność
gospodarczą, opracowanie takiej dokumentacji stanowi duże obciążenie, zarówno
organizacyjne, jak i finansowe, co w praktyce powoduje niewykonywanie tego
obowiązku.
Wobec powyższego Zespół proponuje wprowadzenie obowiązku prowadzenia
„Podstawowej dokumentacji przetwarzania danych osobowych” przez wszystkich
ADO i przetwarzających, w której zostaną zawarte zapisy dokumentujące
wypełnianie podstawowych obowiązków przetwarzania i ochrony danych zgodnie z
u.o.d.o.
Natomiast podmioty, w których realizacja procesów przetwarzania danych
osobowych powoduje wysoki poziom zagrożeń będą zobowiązane aby oprócz
„Podstawowej dokumentacji” jako minimum prowadzić taką samą dokumentację jaka
obowiązuje obecnie, a więc - Politykę bezpieczeństwa danych osobowych oraz
Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych
osobowych – i jaką wcześniej posiadały, w ramach prowadzonego systemu
zarządzania bezpieczeństwem danych osobowych (system taki powinien być zgodny
z uznanymi metodykami i standardami).
5
Uproszczenie form wypełnienia wyżej wymienionych obowiązków jest istotną
deregulacją obecnie obowiązujących wymogów. W opinii Zespołu deregulacja
zmniejszy obciążenia podmiotów, w których przetwarzanie danych osobowych
powoduje zagrożenia na poziomie podstawowym, a które wykonują obowiązki
dotyczące zabezpieczenia danych osobowych. Przyczyni się także do wykonywania
tych obowiązków przez znaczną liczbę podmiotów z tej grupy, które dotąd tego nie
czynią.
Zespół proponuje także aby w projektowanym rozporządzeniu znalazły się
regulacje dotyczące realizacji wymogów, o których mowa w art. 38 u.o.d.o. Przepisy
określać będą zasady i tryb przeprowadzania kontroli przetwarzania danych
osobowych
w
systemie
teleinformatycznym,
zapewniające
rozliczalność
przetwarzania danych osobowych oraz przepisy określające sposób odnotowywania
informacji niezbędnych do kontroli przetwarzania danych osobowych.
W obowiązującym rozporządzeniu przepisy dotyczące realizacji wymogów
określonych w art. 38 u.o.d.o. zawarte są w § 7 i wprowadzają obowiązek
odnotowywania w systemie informatycznym: daty wprowadzenia danych do systemu
oraz identyfikatora osoby wprowadzającej dane.
Przepisy tego samego paragrafu odnoszą się również do art. 32 ust. 3 i 33 ust. 1
u.o.d.o., dotyczących prawa do kontroli przetwarzania danych przez osobę, której
dane dotyczą oraz realizacji obowiązku udzielania informacji tym osobom przez
ADO. W opinii Zespołu oraz opinii reprezentantów wielu podmiotów (ADO) obecny
zapis w § 7 rozporządzenia jest nieczytelny oraz wprowadza niepotrzebne obowiązki
związane z odnotowywaniem w systemie informatycznym informacji dotyczących:
źródła pozyskania danych, informacji o odbiorcach – podmiotach którym dane są
przekazywane oraz informacji o sprzeciwie na przetwarzanie danych w celach
marketingowych lub wobec przekazania jej danych innemu ADO. W art. 32 i 33
u.o.d.o. nie istnieje żadne wymaganie dotyczące odnotowywania takich informacji
przez ADO w systemie informatycznym.
Zgodnie z art. 32 ust. 5 u.o.d.o. osoba, której dane dotyczą ma możliwość raz na
6 miesięcy wystąpić do ADO z wnioskiem o udzielenie informacji na temat
przetwarzania jej danych osobowych, w tym:
•
w jaki sposób zebrano dane (informacje o źródle danych)
•
w jakim zakresie oraz komu dane zostały udostępnione (informacje o
odbiorcach danych)
6
Powyższe informacje, potrzebne do udzielenia odpowiedzi ADO może zapisywać w
dowolnie prowadzonym przez niego rejestrze informatycznym lub papierowym, ale
nie ma takiego obowiązku.
Z kolei w art. 32 ust. 3 jest zapis dotyczący możliwości prowadzenia przez
ADO rejestru osób, które wyraziły sprzeciw na przetwarzanie danych w celach
marketingowych lub przekazywania ich innemu ADO. ADO ma więc wybór
prowadzenia lub nie, takiego rejestru w celach kontrolnych, zarówno w formie
papierowej lub informatycznej.
Wobec powyższego proponujemy uporządkowanie zapisów w tym zakresie
przez usunięcie w projektowanym rozporządzeniu odniesień do art. 32 oraz 33
u.o.d.o. a pozostawienia jedynie przepisów dotyczących realizacji wymagań art. 38
u.o.d.o., zwłaszcza że delegacja określona w art. 39a u.o.d.o. odnosi się jedynie do
obowiązków zabezpieczenia danych osobowych zawartych w Rozdziale 5 – art. 36 –
39 u.o.d.o. Taka propozycja ma także charakter deregulacyjny. Nie obniża poziomu
ochrony danych osobowych. Zmniejsza natomiast koszty budowy i funkcjonowania
systemu informatycznego oraz racjonalnie ogranicza wykonywanie czynności
związane z odnotowywaniem informacji zgodnie z u.o.d.o. w tym systemie.
Aby uniknąć problemów związanych z kolizją przepisów prawa, w tym
możliwego braku zgodności, czy też odpowiedniości wymagań dotyczących
zabezpieczania przetwarzanych informacji (w szczególności danych osobowych) oraz
dublowania działań organizacyjnych zawartych w różnych przepisach, Zespół
proponuje także zastosowanie w projektowanym rozporządzeniu przepisów
odsyłających dla wypełnienia powyższych wymogów. W szczególności proponujemy
zwolnienie z części wymogów podmioty zobowiązane do realizacji wymagań
zarządzania
bezpieczeństwem
systemów
teleinformatycznych
na
podstawie
rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych
Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów
teleinformatycznych (Dz. U. z 2012 r., poz. 526) oraz Rozporządzenia Prezesa Rady
Ministrów z dnia 20 lipca 2011r. w sprawie podstawowych wymagań bezpieczeństwa
teleinformatycznego (Dz. U. z 2011 r., Nr 159, poz. 948).
W opinii Zespołu Ekspertów obecna delegacja zawarta w art. 39a u.o.d.o.
powinna uzyskać nowe brzmienie, przy okazji nowelizacji u.o.d.o. w ramach projektu
deregulacji dla przedsiębiorców przygotowywanej przez Ministerstwo Gospodarki
7
(projekt ustawy o ułatwieniu warunków wykonywania działalności gospodarczej).
Zmieniona delegacja powinna zawierać wytyczne wskazujące, że rozporządzenie ma
bardziej regulować cele i zasady jakim ma odpowiadać zarządzanie bezpieczeństwem
przetwarzania danych osobowych niż kazuistycznie normować jego poszczególne
elementy. Ponadto, wytyczne powinny zawierać fakt, iż stopień sformalizowania
wymagań i środków zarządzania bezpieczeństwem przetwarzania danych osobowych
musi uwzględniać analizę zagrożeń dla przetwarzania określonych kategorii danych
osobowych oraz wykonywania „szczególnych operacji” przetwarzania danych, a w
przypadkach gdy skala zagrożeń związanych z przetwarzaniem jest mała, wymogi
formalne powinny być wprowadzone tylko w niezbędnym zakresie.
Wobec powyższego proponujemy zmianę art. 39a u.o.d.o. i dołączenie jej do projektu
deregulacji Ministerstwa Gospodarki. Przedstawione poniżej nowe brzmienie tego
przepisu zapewni pełną zgodność brzmienia delegacji ustawowej i nowych przepisów
wykonawczych spełniających podane powyżej warunki:
„Art. 39a Minister właściwy do spraw administracji publicznej, po zasięgnięciu opinii
Generalnego Inspektora, określi, w drodze rozporządzenia wymagania dla
zarządzania bezpieczeństwem przetwarzania danych osobowych i wynikające z tego
środki techniczne i organizacyjne, o których mowa w art. 36 ust. 1, sposób
prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2 i sposób
wykonywania kontroli, o której mowa w art. 38, uwzględniając zapewnienie ochrony
przetwarzanych danych osobowych odpowiedniej do kategorii danych objętych
ochroną oraz zagrożeń wynikających z operacji przetwarzania danych osobowych..”.
Należy zaznaczyć, że w opinii Zespołu możliwe jest wydanie projektowanego
rozporządzenia także na podstawie obowiązującej delegacji zawartej w art. 39a
u.o.d.o.
Opracował Zespół Ekspertów powołany przez GIODO w składzie:
Maciej Byczkowski (Przewodniczący Zespołu), Piotr Dzwonkowski, Aleksander Frydrych, Małgorzata
Michniewicz, Andrzej Rutkowski, dr Stefan Szyszko.
8