Bernadeta Gronowska, e-QSM Informatyczne Systemy Zarządzania, Poznań 2013 Ochrona danych osobowych to temat niejednorodny i wielowątkowy, a przez to rodzący wiele wątpliwości i problemów. Trudno, aby było inaczej, skoro Ustawa o ochronie danych osobowych w wielu miejscach odsyła do zapisów ustaw sektorowych, co wymusza konieczność zgłębiania szeregu innych przepisów prawnych, które również nie są w wielu przypadkach precyzyjne, np. z powodu braku aktualizacji. A nadmiar złego, wszystko to ma lub powinno mieć swoje odzwierciedlenie np. w zapisach w umowach z klientami i kontrahentami. „Nie myli się tylko ten, co nic nie robi” – to stare i mądre powiedzenie zawsze mam w pamięci, gdy znajduję różnego rodzaju błędy w zapisach. Bo oczywiście nie chodzi o wytykanie błędów, a jedynie o uniknięcie ich konsekwencji, które w przypadku niewłaściwych zapisów w umowach mogą być dotkliwe. Pierwszy przypadek, to wadliwe lub nieprecyzyjne zapisy z zakresu ochrony danych osobowych w umowach z klientami. Artykuł 24, ust. 1 Ustawy z dnia 29.08.1997roku o ochronie danych osobowych nakłada na administratorów danych obowiązek informacyjny w stosunku do osoby, której dane przetwarza m.in. w zakresie znanych lub przewidywanych odbiorców danych. Oznacza to, że klient powinien być poinformowany komu (jakiej instytucji), jego dane będą lub mogą być przekazywane. Standardowo Banki Spółdzielcze, w związku z realizacją umów z kontrahentami i innymi instytucjami przekazują dane swoich klientów m.in. do Banku Zrzeszającego. Ponadto na podstawie art. 105 Prawa bankowego dane klienta mogą trafić do BIK S.A. i/lub Bankowego Rejestru Związku Banków Polskich, a na podstawie art. 3 Ustawy o udostępnianiu informacji gospodarczych na warunkach określonych w art. 14 tej ustawy (Dz.U.2010.81.530 z póź. zm.) – do KRD BIG S.A i/lub BIG Infomonitor S.A. Niestety te sztandarowe instytucje nie wyczerpują najczęściej kręgu odbiorców, dlatego w każdym banku zwykle należy uwzględnić indywidualnych kontrahentów, o których klient powinien być poinformowany – w przeciwnym bowiem razie może zgłaszać pretensje do banku lub złożyć zażalenie do GIODO. Druga kwestia związana z zapisami w umowach, to sposób ich konstrukcji. Niestety, często napotykanym błędem jest zawarcie dwóch celów przetwarzania danych w jednej zgodzie klienta. Traktowane to jest jako wymuszenie – ma to miejsce m.in. przy wyrażaniu zgody na przetwarzanie danych w celach marketingowych, przy okazji wyrażenia zgody np. na wykonanie czynności związanych ze złożonym wnioskiem kredytowym. Część niewłaściwych zapisów w umowach z klientami bierze się często z nieprecyzyjnych zapisów w umowach z kontrahentami, dotyczących przekazywania, powierzania oraz dostępu do danych. Zawierając umowę z kontrahentem uświadomić sobie należy jaki faktycznie jest jej zakres i co to oznacza w odniesieniu do zapisów Ustawy o ochronie danych osobowych. Wszędzie tam, gdzie ma miejsce przekazywanie danych – należy określić, czy jest to jedynie udostępnianie, czy powierzenie do przetwarzania. Różnica czasem na pierwszy rzut oka wyraźna….. ale czy zawsze? Co więcej, istotny z punktu widzenia obowiązku jest także kierunek przekazywania. Jeżeli powierzamy dane osobowe ze swojego zbioru do przetwarzania innemu podmiotowi – konieczna jest umowa, która powinna precyzyjnie określać zakres tych danych, cel przetwarzania, odpowiedzialności stron, w tym zobowiązanie do należytego zabezpieczenia danych i spełnienia wymagań ustawy o ochronie danych osobowych i to my powinniśmy o te zapisy zadbać, gdyż to my za nie odpowiadamy. Podobnie, gdy to nam inny podmiot powierza do przetwarzania dane ze swojego zbioru – tyle tylko, że to on powinien wówczas zadbać o spisanie umowy. Jak łatwo o pomyłkę pokazuje praktyka. Generalnie bowiem w bankach występują obydwa przypadki kierunków powierzenia danych do przetwarzania. Niestety pozory czasem mylą i to, co wydaje się powierzeniem danych do przetwarzania na zewnątrz – jest tego dokładną odwrotnością, czyli przyjęciem danych do przetwarzania. To powoduje, iż nagle okazuje się, że bank przetwarza dane osobowe, których nie jest właścicielem (Administratorem), co w praktyce oznacza jedynie lub aż zdjęcie obowiązku rejestracyjnego. Przykładem takiej sytuacji może być system Dokumenty Zastrzeżone. System umożliwia osobie, która straciła dokument tożsamości zastrzec go w ogólnopolskiej bazie, co ma zapobiec posłużeniu się tym dokumentem w celu np. wyłudzenia kredytu. Co więcej wcale nie musi tego robić w macierzystym banku. Część banków przyjmuje wnioski o zastrzeżenia dokumentów jedynie od swoich klientów i tu sprawa jest prosta. Coraz większa jednak liczba banków przystępuje do wariantu, w którym to każda osoba – nie tylko klient – może taki wniosek złożyć. Dochodzi wówczas do zbierania i przetwarzania (w ograniczonym zakresie, ale jednak przetwarzania) danych osobowych nie należących do zbioru klientów banku. Nasuwa się tu pytanie: kto jest ich właścicielem (administratorem) i na kim spoczywa obowiązek rejestracyjny? Administratorem danych zawartych w systemie Dokumenty Zastrzeżone jest Związek Banków Polskich. Dane te najpierw trafiają jednak do banku i tam są zbierane i przechowywane w formie papierowej, a dopiero w drugim kroku trafiają do systemu. Czy zatem bank jest też administratorem i powinien zgłosić następny zbiór danych osobowych do GIODO? Analizując zapisy zawarte w formularzach wypełnianych przez osoby składające wniosek o zastrzeżenie dokumentów w Banku – nasuwa się odpowiedź twierdząca: TAK – każdy bank przyjmujący wnioski o dokonanie zastrzeżenia dokumentów od osób nie będących jego klientami jest administratorem i powinien zgłosić do GIODO kolejny zbiór danych osobowych. Co więcej Klient, osoba zgłaszający utratę dokumentów jest informowany o tym, że dane będą przekazane do bazy systemu Dokumenty Zastrzeżone, co tym bardziej tworzy obraz banku jako administratora tych danych. Spójrzmy jednak na to inaczej – czy nie można było tego inaczej zorganizować i uchronić banki przed kolejnymi obowiązkami – nie związanymi bezpośrednio z działalnością bankową? W końcu działając we współpracy z towarzystwem ubezpieczeniowym nie rejestrujemy zbioru ubezpieczanych, prawda? Skoro Związek Banków Polskich jest administratorem centralnej bazy systemu Dokumenty Zastrzeżone, może na drodze umowy, o której mowa powyżej, powierzyć do przetwarzania dane zawarte w swoim zbiorze w zakresie ich zbierania i przekazywania każdemu z banków przystępujących do umowy. Wydaje się to logiczne zarówno z punktu widzenia istnienia jednego systemu, jak i z uwagi na bardzo ograniczony zakres przetwarzania tych danych przez same banki (tylko zbieranie i przechowywanie wniosków w formie papierowej). Problem polega jednak na tym, że wszelkie kwestie z tym związane powinny być uregulowane na poziomie zapisów w umowie ze Związkiem Banków Polskich. Ustawa o ochronie danych osobowych nakłada szereg obowiązków, ale – czasami podsuwa rozwiązania i uproszczenia, z których warto korzystać dla ułatwienia sobie życia, a tym samym uniknięcia powielania działań, mnożenia zbiorów i zwiększania ryzyka popełnienia błędów.
Jacek Rembikowski, e-QSM Informatyczne Systemy Zarządzania, Poznań 2013 Niestety jakoś tak dziwnie się wszystko na świecie układa, że każdy kij ma dwa końce. Coś, co często bywa dobrodziejstwem, z innego punktu widzenia bywa przekleństwem. Ot, zwyczajnie – nie ma wolności absolutnej, a perpetuum mobile to jedynie marzenie. W tej samej kategorii można, a wręcz należy postrzegać wszelkiego rodzaju zabezpieczenia – nie ma takich, które by były idealne i nie ma takich, które z jakiegoś punktu widzenia nie utrudniałyby nam życia. Jak ktoś nie wierzy, proszę poczekać na zdarzenie: „o rany, zaspałem” - wówczas denerwuje nie tylko konieczność zamknięcia drzwi na klucz, ale nawet plączący się w nieskończoność pęk kluczy. Jednym z nieodzownych zabezpieczeń oraz narzędzi wykorzystywanych w obszarze polityki bezpieczeństwa są systemy do nadzorowania sieci. Z jednej strony dają sporo – jeżeli spojrzymy na to od strony bezpieczeństwa, z drugiej sporo zabierają, jeżeli spojrzymy od strony ergonomii. Tym razem jednak nie chodzi o rozważanie za i przeciw, a o coś zupełnie innego. Monitorowanie infrastruktury IT, w tym zachowań użytkowników, to praktycznie wymóg prawny, gdyż wiele zadań nakładanych przez Ustawodawcę bez wsparcia narzędziowego w ogóle nie jest możliwe do wykonania. Wystarczy dobrze przyjrzeć się znaczeniu słowa „monitoring” – niestety nie jest to jedynie ocena, która najczęściej ma charakter dorywczy. Jednym z elementów wskazujących na to, że powinniśmy korzystać z tego typu narzędzi, jest prawo pracy – a nie wygląda, prawda? Oczywiście nie wprost. Artykuły 22, 94, 100, 120 i 128 kodeksu pracy mówią m.in. o konieczności zapewnienia możliwości pełnego wykorzystania czasu pracy i braku uciążliwości pracy, o obowiązku wykonywania pracy w zadanym czasie i obowiązku przestrzegania regulaminów. Ponadto pracownik ma obowiązek zachowania w tajemnicy informacji związanej z wykonywaną pracą, a w dobie epoki elektronicznej bez odpowiednich narzędzi nie da się udowodnić, co i kiedy pracownik czytał, a więc miał dostęp do informacji i być może był źródłem wycieku. O przykładzie takich praktyk, jak gromadzenie informacji w celu otworzenia konkurencyjnej firmy, pisaliśmy już dość dawno, więc tu nie będę ponownie opisywał przypadku. W każdym bądź razie to jedna z dwóch stron medalu. Dlaczego? Otóż może się okazać, iż dokładając wszelkich starań w zakresie bezpieczeństwa naruszymy prawo w innym miejscu, narażając firmę na kłopoty Ustawa o Ochronie Danych Osobowych wskazuje na zadania, które nierozerwalnie wiążą się z monitoringiem, a więc i z narzędziami, które do tego wykorzystamy. Podobnie Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne – w szczególności w zakresie definiowanym jako podwyższony (punkt XII.2 załącznika do Rozporządzenia). Problem zaczyna się wtedy, gdy nie sprawdzimy lub co gorsza nie jesteśmy świadomi zakresu danych jakie przechowuje nasz system do monitorowania sieci. Dlaczego? Dane zgromadzone poprzez system do monitorowania pracy użytkowników mogą być danymi osobowymi pracowników. I jeżeli spełniony jest warunek gromadzenia informacji stanowiących dane osobowe, wówczas dane te mogą być przechowywane prze określony czas i muszą być zabezpieczone zgodnie z zasadami, o których mówi w/w Ustawa i Rozporządzenie, co więcej należy zarejestrować w GIODO zbiór danych z określeniem wszystkich parametrów, jakie w tym zakresie są wymagane. Kiedy nie mamy takiego problemu? Wtedy, gdy dane nie są gromadzone z przypisaniem do użytkownika, a jedynie do stanowiska i nie będzie możliwy do spełnienia warunek, że określenie personalne osoby będzie wymagało niskiego nakładu kosztów. To jednak niewielki problem. Jeżeli bowiem monitorujemy ruch na styku sieci – publicznej i wewnętrznej, w której przetwarza się dane osobowe i będziemy zbyt gorliwi w rejestrowaniu danych, może się okazać, że zaczniemy przetwarzać dane wrażliwe. I tu najlepszym przykładem są tzw. brzydkie strony. Jeżeli rejestrujemy tylko adresy główne – to pół biedy, ale jeżeli rejestrujemy co na tych witrynach było oglądane, to mamy niestety zbiór danych określający preferencje seksualne. Brzmi śmiesznie, prawda, ale jak się dobrze temu przyjrzeć, to problem jest poważny. Wystarczy sobie tylko wyobrazić, że taka baza „wyjeżdża” nam z zasobów na zewnątrz – konsekwencje mogą być opłakane. Zatem albo zweryfikujemy to, co gromadzimy i poprzestaniemy na tym, co jest nam potrzebne albo rejestrujemy zbiór – przy czym tu musimy się liczyć z tym, że GIODO go nie zarejestruje, bo nie uzna naszego uzasadnienia, po co nam wiedza na temat brunetki czy blondynki. Warto też zawsze rozważyć ograniczenie ruchu do obszarów Internetu związanych z pracą, to ułatwi nam życie. A i tak nie zmieni to faktu, że Ustawa o Ochronie Danych Osobowych to jak Kuchnia Pełna Niespodzianek i jeżeli nie potraktujemy tematu poważnie, nigdy nie będziemy pewni co nam jutro przyniesie.
Bernadet Gronowska, Jacek Rembikowski, Poznań 2013 Zgodnie z art. 37. Ustawy z dnia 29.08.1997 roku o ochronie danych osobowych, do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby posiadające upoważnienie nadane przez Administratora Danych (Bank). Jednocześnie art. 39 ust.1. Ustawy z dnia 29.08.1997roku o ochronie danych osobowych kładzie na Administratora Danych obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych, która powinna zawierać co najmniej: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Zarówno dopuszczenie do przetwarzania danych osobowych osób posiadających upoważnienie, jak i prowadzenie ewidencji tych osób jest punktem wyjścia do spełnienia wymagania zawartego w art. 38. Ustawy z dnia 29.08.1997roku o ochronie danych osobowych, czyli zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Natomiast osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia (art. 39. ust. 2. Ustawy z dnia 29.08.1997roku o ochronie danych osobowych). Jak widać, ustawodawca nie określa precyzyjnie, czy osoby dopuszczone do przetwarzania danych osobowych powinny być związane jakąkolwiek umową cywilno-prawną z Administratorem. O tym, kto ma być dopuszczony do przetwarzania decyduje sam Administrator danych mając na uwadze zarówno własną organizację, jak i wymagania przytoczone powyżej. Stażyści kierowani do pracy w Banku przez Urzędy Pracy nie są związani bezpośrednio z Bankiem umową o pracę, jednak Bank posiada o nich informacje wystarczające do wystawienia upoważnienia i uzupełnienia ewidencji osób upoważnionych, a z uwagi na to, że trudno znaleźć czynności, które nie wiązałyby się z dostępem do danych osobowych klientów (Bank przetwarza je przecież zarówno w formie papierowej, jak i elektronicznej), trudno przyjąć zasadę niedopuszczenia tych osób do dostępu i przetwarzania danych osobowych. Należy jednak zaznaczyć, iż o ile samo dopuszczenie do dostępu i przetwarzania danych osobowych stażystów może mieć miejsce, o tyle należy wnikliwie przeanalizować zakres, w jakim mogą być oni upoważnieni. Uwzględnić tu należy możliwość odejścia tych osób z banku po odbyciu stażu, zarówno z inicjatywy Banku, jak i ich samodzielnej decyzji. Konsekwencją tej oceny może być np. niedopuszczenie lub ograniczenie uprawnień w systemie informatycznym służącym do przetwarzania danych osobowych. Bezwzględnie należy też dochować obowiązku pobierania oświadczeń o zachowaniu w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia w stosunku do wszystkich osób przetwarzających lub posiadających dostęp do danych, w tym stażystów. Podobnie rzecz się ma w przypadku praktycznie wszystkich działań innych stron trzecich, pracujących na rzecz banku w ramach jego struktur organizacyjnych oraz na terenie banku – jest to dość istotne rozgraniczenie, bo nie każda strona trzecia musi mieć kontakt z danymi osobowymi. Skoro zatem Ustawodawca nie precyzuje form współpracy jako warunku dopuszczenia do przetwarzania danych, poprawnym podejściem wydaje się być traktowanie każdej pracującej na rzecz banku osoby na tych samych prawach, na jakich funkcjonują etatowi pracownicy – oceniając bowiem zakres praw i obowiązków danej osoby (niezależnie od formy współpracy) i odnosząc go do wykonywania działań w ramach etatu otrzymamy zawsze poprawną odpowiedź czy dopuszczenie i stosowne oświadczenia są w danym przypadku i zakresie potrzebne, czy też nie. Jeżeli bank zatrudnia osoby do utrzymania czystości, to z pewnością nie muszą mieć dopuszczenia, ale muszą podpisać oświadczenie o zachowaniu poufności. Jeżeli te osoby zastąpimy firmą sprzątającą zmieni się jedynie podmiot wykonujący ale zakres odpowiedzialności i dostępności danych pozostanie taki sam. Stażysta to zatem taki sam pracownik banku, tyle że najczęściej ze znacznie mniejszym doświadczeniem i z pewnością wymagający większego nadzoru i zakresu szkoleń, ale na tym różnice się kończą, tym bardziej, że często stażyści wspierają działania banku w okresach intensywnych działań lub okresach urlopowych, a więc zastępując chociażby częściowo pracowników banku.
Jacek Rembikowski, Poznań 2011 W ramach działań określanych, jako Polityka Bezpieczeństwa Informacji często można zetknąć się z pytaniami klasy „a po co”, „a dlaczego” i odpowiedziami przypominającymi syndrom palacza, czyli „mnie to nie dotyczy”, „ja jestem zabezpieczony”. Jak ktoś nie wierzy, to niech spróbuje i pokaże palaczowi paczkę papierosów i spyta go co myśli o napisach na nich umieszczonych – gwarantuję, że dziewięć no może osiem osób na dziesięć zwyczajnie się uśmiechnie i tylko uśmiechnie. Takie zachowania to nic dziwnego. Gdybyśmy nie podchodzili w ten sposób do zagrożeń, to większość z nas nigdy nie wyszłaby z domu, po wywrotce na rowerze już nigdy by na niego nie wsiadła itd. Jednak co innego spaść z konia, a co innego być święcie przekonanym i często tylko przekonanym, że mi nic nie grozi, że moje zabezpieczenia są najlepsze itd. Można tu dla żartu przywołać cytat z pewnego kultowego filmu – „niedoceniasz potęgi mocy” – wiemy jak ostatecznie skończył wypowiadający te słowa, choć moc ciemna była w nim nader silna, prawda. W filmach już tak jest, że dobro zwycięża zło – w życiu wbrew pozorom też. Jednak w filmach nie widać wszystkiego. Nikt nie wie np. jak bardzo bolało Kopciuszka, że jest Kopciuszkiem, ile się musieli napocić bohaterowie Szklanej Pułapki aby w końcu wygrać ze złoczyńcami, nie mówiąc już o tym ile kosztowało budżet miasta odbudowanie infrastruktury po tym jak Bruce Willis ścigał się ciężarówką z eFem 35-tym. W filmie to nie istotne, kto za to sprzątanie zapłaci, w życiu już niekoniecznie. Nie raz okazuje się, że zwycięstwo ma jednak gorzki posmak porażki. Swoją drogą polecam tą bajkę pod tytułem Szklana Pułapka IV, zwłaszcza w kontekście komputerów i PBI. Samą Politykę Bezpieczeństwa Informacji można przyrównać do fizyki, której zdecydowana większość z nas nie lubi, choć nie bardzo wiem dlaczego. Poziom przekonania do fizyki rośnie wraz ze wzrostem dostrzegania jej w otoczeniu. Piszę tak może dlatego, że moi nauczyciele m.in. od fizyki uczyli jej na bazie otaczającego nas świata i zjawisk, co dawało możliwość szybkiego przyswajania wiedzy i jej wykorzystywania na co dzień. Podobnie jest z PBI. Jeżeli zaprzestaniemy ślepo wierzyć w technikę i moc zabezpieczeń i uwierzymy w możliwości ludzkiej wyobraźni oraz jeżeli zaczniemy uważnie obserwować rzeczywistość dostrzeżemy, że zagadnienia te wcale nie są takie trudne. Trudnym natomiast zadaniem jest niewątpliwie poszukiwanie „środka”, w którym leży prawda, czyli umiejętność dokonywania rzetelnej oceny zagrożeń. Całkiem niedawno miałem do czynienia z kilkoma, a dokładniej mówiąc dwoma zjawiskami, które potwierdzają moją, być może nawet mocno subiektywną teorie. Pierwsze z nich dotyczy kwestii uświadamiania pracowników co do zagrożeń niesionych za pośrednictwem wirusów. W odpowiedzi na zalecenie można przeczytać, iż poziom zabezpieczeń i obowiązujące procedury właściwie wykluczają konieczność prowadzenia wewnętrznych szkoleń z tej materii, czyli konieczność uświadamiania pracowników. Nie trzeba było długo czekać, a w sieci dało się przeczytać, że hakerzy podrzucili kilku bankom wirusy. Ktoś może powiedzieć, że widocznie te banki były słabo zabezpieczone. Może być to prawdą, choć trudno w to uwierzyć, bo dotyczy to wiodących, a więc i dostatecznie bogatych jednostek, których infrastruktura z pewnością nie przypomina domowej sieci, często funkcjonującej w trybie prowizorki. Uświadamianie natomiast, to jeden z lepszych sposobów na ograniczanie potencjalnego wystąpienia zagrożeń i szczerze mówiąc chyba jedno z najtańszych, a często mocno skutecznych. Innym zagadnieniem, z którym przyznam się miałem dość sporo kłopotów była kwestia weryfikacji, że tak powiem praworządności kandydata do pracy. Dyskusja oparła się o to, że prawo z jednej strony zabrania gromadzenia danych wrażliwych bez zgody zainteresowanego, a z drugiej o dobre praktyki w tym zakresie. Do tego w dyskusji poruszono jeszcze dwa elementy jako przeciwstawne – możliwość weryfikacji danej osoby, pod kątem niekaralności oraz prawo do rehabilitacji osoby, która gdzieś tam w życiu zbłądziła ale swój błąd zrozumiała i chce być dobrym obywatelem. Prawda – w tym drugim zestawie trudno o udzielenie jednoznacznej odpowiedzi. Jednak co pomyślałby sobie każdy z nas jako klient np. banku, który zatrudnia Ala Capone lub jego krewnych. No właśnie… Ale zostawmy kwestie etyczno moralne i rzućmy okiem na otaczającą nas namacalną rzeczywistość. Spotkałem się z rozwiązaniem, które ogranicza się do tego, że instytucje, w których swego czasu zaświadczenia o niekaralności stanowiły podstawę zatrudnienia, ograniczyły swoje działania do wymogu przedłożenia takiego dokumentu przez pracownika i odnotowania faktu przez kadry o zapoznaniu się z jego treścią. Super – zachowanie informacji w postaci jawnej też oznacza przechowywanie tych informacji ale ktoś może powiedzieć, że to naciągana teoria, wiec rzućmy okiem na inne faktycznie zdarzenie. Jak możemy przeczytać w ostatniej Polityce, właśnie ujęto gang podrabiaczy dokumentów – ponoć można było zbudować sobie pełną historię, całkiem nowego życia. Szajkę złapano, teraz zamierzają łapać klientów szajki. Ponoć w komputerach znaleziono rejestr ich klientów – cóż za niedopatrzenie, prawda. Całkowity brak profesjonalizmu w zakresie ochrony danych, o braku zgłoszenia do GIODO nie wspominając. No ale to nie nasze zmartwienie i chciałbym zwrócić uwagę na zupełnie innych fakt. Otóż, do Polskiego Towarzystwa Kryminalistycznego, zgłosiła się klientka, takiej fałszywej drukarni dokumentów i wylegitymowała się dyplomem wyższej uczelni – prawda, że brzmi jak opowieść rodem z literatury przedziwnej? No to proszę teraz wykorzystać wyobraźnię i pomyśleć, że ktoś przedstawia nam dokument o niekaralność, my piszemy, że i owszem i o.k. a tu psikus, bo taki dokument po prostu nie istnieje. Przykłady zagrożeń można wręcz mnożyć. Co więcej, gdyby zebrać tylko opowieści o awariach wynikających ze zbagatelizowania tematu, to wyszłoby dzieło godne co najmniej Kafki, choć do rywalizacji ze znanym nam wszystkim „Procesem” bardziej nadaje się rzeczywistość ustawodawcza, tu dopiero można poszaleć, zwłaszcza w zakresie ochrony danych. Ostatnio bowiem znowu zadając trudne pytanie wprawiliśmy w zadumę Pana Urzędnika ale póki co czekamy na rozwiązanie zagadki, a jak już to nastąpi z pewnością podzielimy się wiedzą.
Bernadeta Gronowska, Jacek Rembikowski, Poznań 2009 Jak donoszą serwisy, właśnie rozpoczyna się dochodzenie w sprawie wycieku poufnych danych, dotyczących PGNiG. Podejrzanymi w sprawie są doradcy inwestycyjni. Na GPW wrze, dziennikarze mają temat, a maklerom poza sankcjami prawnymi, powiedzmy standardowymi grozi utrata prawa do wykonywania zawodu (Onet, 22. lipca 2009). W zakresie informacji poufnej sprawa jest dość prosta. Wiadomo co jest poufne, a co nie, a przynajmniej co powinno być. Wiadomo kto ma prawo korzystać i w jakim zakresie z dostępnych dla niego danych. No i na koniec wiadomo, co grozi za naruszenie zasad poufności, choć czytając czasem wiadomości można w to zwątpić. Niestety ciut gorzej sprawa się ma w przypadku ochrony danych osobowych, które jak to kiedyś stwierdził jedne z kolegów przez pięćdziesiąt lat były jawne, jak sygnalizacja świetlna, a teraz się okazuje, że jawnymi nie są. Ustawa o ochronie danych osobowych obowiązuje nas od dawna. Można na nią patrzeć pod różnym kątem – zarówno jako na coś pozytywnego, jak i negatywnego, bo np. jak nie odnieść wrażenia, że ktoś coś kręci albo przynajmniej przesadza, bo skoro Klient nie pyta nas, co my z tymi danymi robimy, to po co tyle szumu? Nie można napisać prostej, jednozdaniowej ustawy, w której napisano by – dane chronić, nie rozpowiadać bo ktoś nas za to postawi do kąta? Co więcej, żyjemy w kraju, w którym jakość zapisów prawnych pozostawia wiele do życzenia, co powoduje że wiele osób nie bardzo przejmuje się tym o czym stanowi prawo, a skupiają uwagę na prawie domniemanym. Nie raz mieliśmy do czynienia ze stwierdzeniami, że niczego rejestrować nie będę, bo jak to zrobię, to mnie skontrolują, a tak mam spokój. No i coś w tym jest, bo jak poważnie podejść do ustawy, przy której Komisja Przyjazne Państwo mogłaby się wykazać? Jak podejść do czegoś, czego do końca nie potrafią zinterpretować urzędy, nie mówiąc już o tym, że twórcy, pisząc ową ustawę zapomnieli o pewnych realiach. Jak się nie denerwować, kiedy człowiek czyta „o ile przepis innej ustawy nie stanowią inaczej”? Toż to ustawodawczy majstersztyk, porównywalny z budową dziur do łatania na drogach, czy ustawianiem domina z całą masą furtek, zakrętów i innych bardzo ciekawych sztuczek. Autor pewnie się obrazi, bo w zamyśle z pewnością miał uzupełnienie w późniejszym terminie setek ustaw, dając pole do popisu prawnikom w stylu - znajdź brakujący element, no i z resztą dał. Całość ma prawo spotęgować także fakt, iż my sami generalnie nie przywiązujemy do tych zagadnień wagi. Raz z powodu braku czasu, którego i tak nie mamy w nadmiarze, dwa – i tak nie znamy całości prawa, więc wolimy nie dotykać, bo o lawinę nie trudno, no i trzy – chyba nie wszyscy uznają własne imię za swego rodzaju majątek – jedyny, którego do całkiem niedawna nie dało się ukraść. To wszystko powoduje, że połowa ustawy faktycznie jest martwa. Ustalamy formularze, zasady, których wykorzystanie w przyszłości jest bardzo wątpliwe – no to jak się człowiek ma nauczyć czegoś, co i tak mu się w najbliższej przyszłości nie przyda? Rozważanie tego typu można by ciągnąć w nieskończoność, chociażby dlatego, że interpretatorów w kraju mamy często tylu ilu nas tu mieszka, a i tak może się okazać, że tematu nie wyczerpiemy i naprawdę, taka postawa nie jest godna polecenia. Warto bowiem jednak spojrzeć na ODO z zupełnie innej strony. A wszystko dlatego, że w tej całej rzeczywistości musimy się odnaleźć i nadal funkcjonować. Ustawa jest, to fakt. Obowiązywały i/lub obowiązują nas zatem jakieś zasady. Co więcej, powoli rośnie nam pokolenie ‘amerykańskich prawników’, którzy pod przykrywką rzekomego działania na rzecz Klienta, kopią niczym górnicy w stertach akt i zapisów, tropiąc haczyki, których można się czepić oraz dziury, w które można wrzucić nieświadomą zagrożenia ofiarę. Jak zatem wygląda nasza ustawa, a właściwie nasze podejście do niej? W wolnych chwilach, tropiąc coś, czego można by się złapać, udało nam się natknąć m.in. na przypadki niby niegroźne, a jednak… Otóż, przychodzi Klient do banku i prosi o kredyt. Bank odpowiada, że i owszem. Daje do wypełnienia wniosek i rozpoczyna procedurę sprawdzania wiarygodności, sięgając do BIKu… No i problem gotowy. W tym przypadku nie dla banku, w końcu kto pyta nie błądzi. Tylko kto pozwolił udostępniać BIKowi dane stronie trzeciej? Ale spokojnie… Sami Klienci póki co korzystają z BIKu w ciut inny sposób. Składają wnioski, potem sprawdzają BIK i idą do tych, których nie znajdą w rejestrze – sprytne prawda? Generalnie w wielu przypadkach na etapie umowy pojawia się zapis, zgodny z ustawą o tym, że bank będzie przekazywał nasze dane do BIK ale BIK, to podmiot obcy i dalsza dyspozycja nie jest już taka oczywista. Problem chyba tkwi w tym, że skupiamy się na ogólnie tworzonych, nazwijmy je ‘mitach’ w myśl których Klient oświadcza nam, że wyraża zgodę na przetwarzanie danych w ramach umowy, choć ustawa wcale tego nie wymaga (art. 23 ust.1 lit 3 Ustawy o ochronie danych osobowych – Dz. U. rok 2002, nr 101, poz. 926 z późn. zmianami) i mamy wrażenie, że wszystko jest OK. Niestety sprawa, aż tak banalna nie jest… Brak uporządkowania wielu kwestii, a w tym przypadku dbałości o zapisy może okazać się bardziej zgubny niż się wydaje na pierwszy rzut oka. Ręka do góry kto posiada w umowach lub regulaminach zapis, dotyczący zgody lub informację o dłuższym przechowywaniu danych? Ustawa dopuszcza taki przypadek ale musi mieć to formę jawną, w przeciwnym razie Klient może nam się zagotować i bigos gotowy (art. 23 ust.2 Ustawy o ochronie danych osobowych – Dz. U. rok 2002, nr 101, poz. 926 z późn. zmianami). Ale tropmy dalej… Skoro zgodnie z zapisem dane w stosownym momencie mają być usunięte lub ich wykorzystanie ma ograniczony charakter, a ustawodawca nakłada na administratora odpowiedzialność za dane, to dalsze dysponowanie nimi w BIKu nie powinno mieć miejsca. A co to oznacza? A no to, że w umowie brak zapisu o tym, że dane będą przechowywane dłużej (dopuszczalne jest 12 lat – art. 105a Ustawy Prawo Bankowe z dnia 29 sierpnia 1997 r. z późn. zmianami) skutkuje koniecznością ich usunięcia i cała idea BIKu ulatuje niczym babie lato, co więcej może się okazać, że ktoś narobi przy tej okazji bałaganu, krzycząc na całe gardło, że ktoś tu łamie prawo – zwłaszcza ten, co ma problemy ze spłatą zadłużenia, bo nagle okaże się, że wartość jego imienia bez względu na wzgląd osiągnie niewyobrażalny poziom. Na całe szczęście okres 10 lat okazał się okresem owocnym i doczekaliśmy się stosownych aktualizacji – przecież kilka akapitów wyżej o tym pisaliśmy, że tak będzie tylko później… Nowelizacja Ustawy Prawo Bankowe zmienia obraz sytuacji na zgoła inną i wprowadza zasadę mówiącą o tym, że Klient, który ‘nawala’ nie ma prawa głosu, natomiast zgodę może wyrazić i odwołać w każdej chwili ten, co nie ma nic do ukrycia, a więc wywiązuje się z zobowiązań: Instytucje, o których mowa w ust. 1, mogą, z zastrzeżeniem ust. 3, przetwarzać informacje stanowiące tajemnicę bankową w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą. Zgoda ta może być w każdym czasie odwołana. Instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnice bankowe dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inna instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu Świadczenia wynikającego z umowy zawartej z bankiem lub inna instytucja ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważniona do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody. (art. 105a Ustawy Prawo Bankowe z dnia 29 sierpnia 1997 r.; zmiana z dnia 26. 01. 2007r. – Dz.U. 2007. nr 42. poz. 272) Uff, prawda – co za ulga, można odetchnąć – prawnicy z Sejmu się sprawili. Problem w tym, iż w wielu przypadkach cały ten okres – od wejścia ustawy do aktualizacji generalnie sprawa była dość kiepsko poukładana, a tak niestety wygląda wiele polskich ustaw. Co to oznacza? A no wprowadzając stosowne informacje i rzetelnie informując Klienta faktycznie wpływamy na pozytywna stronę BIKu, nie robiąc tego budujemy wizerunek banku, który tylko czyha na błąd nieznającego prawa obywatela, a nie śledząc uważnie tego co dzieje się w ramach ODO, czyli traktując zabawę po macoszemu, sami narażamy się na to, że staniemy się pożywką dla ‘amerykańskich prawników’, znajdując się nagle po nie właściwej stronie barykady, bo to my okażemy się tym co prawa nie znają i muszą się nagle bronić, a to są niepotrzebne koszty i nerwy. Dlatego właśnie konieczne jest przeglądanie umów pod kątem zapisów i ich odświeżanie, uwzględniające zmiany, aby uchronić się przed konsekwencjami nawet nieświadomego naruszenia prawa. Z tego samego powodu konieczne jest przeglądanie i akceptacja informacji publikowanych na zewnątrz, bo z jednej strony pełne publikowanie regulaminów i procedur, to niewątpliwie ruch pro-kliencki, lecz z drugiej strony niedźwiedzia przysługa, którą możemy sami sobie zafundować…