W naj­now­szym nume­rze Młodej Palestry – Czasopiśmie Aplikantów Adwokackich opu­bli­ko­wa­ny został arty­kuł moje­go autor­stwa doty­czą­cy pra­wa ochro­ny danych oso­bo­wych pod tytu­łem Problem dobo­ru środ­ków tech­nicz­nych i orga­ni­za­cyj­nych w sys­te­mach infor­ma­tycz­nych w per­spek­ty­wie ogól­ne­go roz­po­rzą­dze­nia o ochro­nie danych (GDPR).

W arty­ku­le sta­wiam tezę opo­nu­ją­cą do poja­wia­ją­cych się wśród pol­skich praw­ni­ków poglą­dów – moim zda­niem moż­na speł­nić wymo­gi pri­va­cy by design bez spe­cjal­nej doku­men­ta­cji, zaś wymo­gi oce­ny skut­ków prze­twa­rza­nia danych oso­bo­wych w przy­pad­ku sys­te­mów infor­ma­tycz­nych mogą zostać speł­nio­ne w przy­pad­ku zacho­wa­nia odpo­wied­nich mate­ria­łów z eta­pu roz­wo­jo­we­go opro­gra­mo­wa­nia. Wskazuję tak­że, w jaki spo­sób postę­po­wać w okre­sie przej­ścio­wym – wycho­dząc z pol­skiej usta­wy, a wcho­dząc w GDPR (potocz­nie nazy­wa­ne RODO). GDPR jest prze­ze mnie jed­no­znacz­nie oce­nia­ny jako wiel­ka szan­sa pozwa­la­ją­ca ode­rwać się od skost­nia­łych z tech­no­lo­gicz­ne­go punk­tu widze­nia prze­pi­sów pol­skie­go pra­wa, któ­re w absur­dal­ny spo­sób wymu­sza­ją zmia­nę haseł co 30 dni czy sto­so­wa­nie opro­gra­mo­wa­nia anty­wi­ru­so­we­go w każ­dym sys­te­mie.

Artykuł może być szcze­gól­nie inte­re­su­ją­cy dla pro­gra­mi­stów ze wzglę­du na wyja­śnie­nie róż­nic pomię­dzy obec­nym sta­nem praw­nym a nad­cho­dzą­cą refor­mą – sta­ram się odpo­wie­dzieć jak wyglą­da­ją obec­ne i jak będą wyglą­da­ły przy­szłe ramy wymo­gów praw­nych sta­wia­nych sys­te­mom infor­ma­tycz­nym. Coś dla sie­bie znaj­dą tak­że oso­by inte­re­su­ją­ce się ochro­ną danych na eta­pie pro­jek­to­wa­nia (pri­va­cy by design). Postarałem się jasno nakre­ślić jakie wymo­gi powin­ny speł­niać sys­te­my infor­ma­tycz­ne w per­spek­ty­wie refor­my pra­wa ochro­ny danych, któ­rą zacznie­my sto­so­wać za nie­ca­ły rok. W arty­ku­le znaj­du­je się tak­że odnie­sie­nie do funk­cjo­no­wa­nia kan­ce­la­rii praw­nych, któ­rych przed­sta­wi­cie­le sta­no­wią spo­rą gru­pę Czytelników moje­go blo­ga.

Zachęcam Cię do lek­tu­ry – arty­kuł zawie­szam poni­żej w for­mie PDF, a jeśli z jakichś przy­czyn nie chcesz czy­tać PDFa – możesz klik­nąć poni­żej i prze­czy­tać go osa­dzo­ne­go na tej stro­nie z inte­rak­tyw­ny­mi przy­pi­sa­mi lub sko­rzy­stać z lin­ku do stro­ny Młodej Palestry ????, gdzie dostęp­ny jest cały numer 13.

Ustawa o ochro­nie danych oso­bo­wych jed­no­znacz­nie okre­śla wymo­gi, któ­re powin­ny speł­niać sys­te­my infor­ma­tycz­ne wyko­rzy­sty­wa­ne przez admi­ni­stra­to­rów danych oso­bo­wych. 27 kwiet­nia 2016 r. przy­ję­to ogól­ne roz­po­rzą­dze­nie o ochro­nie danych oso­bo­wych, któ­re wkrót­ce uchy­li prze­pi­sy naszej usta­wy. Rozporządzenie usta­no­wi­ło wła­sne wymo­gi wzglę­dem sys­te­mów infor­ma­tycz­nych, któ­re nie są już tak jed­no­znacz­ne jak prze­pi­sy usta­wy. Należy zatem poszu­kać odpo­wie­dzi na prak­tycz­ne pyta­nia: czym róż­nią się od sie­bie oba akty praw­ne, któ­rą pod­sta­wę praw­ną nale­ży sto­so­wać w aktu­al­nym okre­sie przej­ścio­wym oraz jakie prak­tycz­ne impli­ka­cje dla kan­ce­la­rii praw­nych nie­sie za sobą nowe roz­po­rzą­dze­nie.

Obowiązująca usta­wa o ochro­nie danych oso­bo­wych[1]Ustawa z dnia 29 sierp­nia 1997 r. o ochro­nie danych oso­bo­wych (tj. Dz. U. 2016, poz. 922). na pod­sta­wie art. 36 ust. 2 zobo­wią­zu­je wszyst­kich admi­ni­stra­to­rów danych oso­bo­wych do pro­wa­dze­nia doku­men­ta­cji opi­su­ją­cej spo­sób prze­twa­rza­nia danych oraz środ­ki tech­nicz­ne i orga­ni­za­cyj­ne zapew­nia­ją­ce ochro­nę prze­twa­rza­nych danych oso­bo­wych odpo­wied­nią do zagro­żeń oraz kate­go­rii danych obję­tych ochro­ną. Środki te powin­ny w szcze­gól­no­ści zabez­pie­czyć dane przed ich udo­stęp­nie­niem oso­bom nie­upo­waż­nio­nym, zabra­niem przez oso­bę nie­upraw­nio­ną, prze­twa­rza­niem z naru­sze­niem usta­wy oraz zmia­ną, utra­tą, uszko­dze­niem lub znisz­cze­niem. W 2004 roku usta­wo­daw­ca zno­we­li­zo­wał usta­wę doda­jąc art. 39a[2]Ustawa z dnia 22 stycz­nia 2004 r. o zmia­nie usta­wy o ochro­nie danych oso­bo­wych oraz usta­wy o wyna­gro­dze­niu osób zaj­mu­ją­cych kie­row­ni­cze sta­no­wi­ska pań­stwo­we (Dz. U. 2004, nr 33, poz. 285).. Ustanowiono w ten spo­sób dele­ga­cję na pod­sta­wie któ­rej Minister wła­ści­wy do spraw infor­ma­ty­za­cji okre­ślił (w dro­dze roz­po­rzą­dze­nia) spo­sób pro­wa­dze­nia i zakres doku­men­ta­cji opi­su­ją­cej spo­sób prze­twa­rza­nia danych oraz pod­sta­wo­we warun­ki tech­nicz­ne i orga­ni­za­cyj­ne, jakim powin­ny odpo­wia­dać urzą­dze­nia i sys­te­my infor­ma­tycz­ne słu­żą­ce do prze­twa­rza­nia danych oso­bo­wych. Właściwy Minister 29 kwiet­nia 2004 r. wydał sto­sow­ne roz­po­rzą­dze­nie[3]Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwiet­nia 2004 r. w spra­wie doku­men­ta­cji prze­twa­rza­nia danych oso­bo­wych oraz warun­ków tech­nicz­nych i orga­ni­za­cyj­nych, jakim powin­ny odpo­wia­dać urzą­dze­nia i sys­te­my infor­ma­tycz­ne słu­żą­ce do prze­twa­rza­nia danych oso­bo­wych (Dz. U. 2004, Nr 100, poz. 2014). sta­tu­ują­ce 3 zróż­ni­co­wa­ne pozio­my ochro­ny. Ich wybór został uza­leż­nio­ny od zło­żo­no­ści i cha­rak­te­ru pro­ce­sów prze­twa­rza­nia danych oso­bo­wych przy uży­ciu sys­te­mów infor­ma­tycz­nych.

Ustawodawca wykre­ował zatem sytu­ację, w któ­rej ist­nie­ją­ce prze­pi­sy pra­wa pozwa­la­ją zre­kon­stru­ować nor­my praw­ne kom­plek­so­wo regu­lu­ją­ce jakie­go typu środ­ki tech­nicz­ne i orga­ni­za­cyj­ne powin­ny zostać wdro­żo­ne przez admi­ni­stra­to­rów danych oso­bo­wych aby speł­nić wyma­ga­nia sta­wia­ne przez art. 36 ust. 2 obo­wią­zu­ją­cej usta­wy w sto­sun­ku do wyko­rzy­sty­wa­nych sys­te­mów infor­ma­tycz­nych. Ponadto, roz­po­rzą­dze­nie wyko­naw­cze w spo­sób szcze­gó­ło­wy okre­śli­ło rów­nież róż­ne stop­nie ryzy­ka – kla­sy­fi­ku­jąc je w posta­ci pozio­mów bez­pie­czeń­stwa okre­ślo­nych jako pod­sta­wo­wy, pod­wyż­szo­ny i wyso­ki. Zabieg ten pozwo­lił na dobór odpo­wied­nich w rozu­mie­niu usta­wy, środ­ków tech­nicz­nych i orga­ni­za­cyj­nych. Sytuacja ta, jak traf­nie skon­sta­to­wał M. Cwener, jest bez­po­śred­nim następ­stwem chę­ci stwo­rze­nia przez usta­wo­daw­cę sztyw­nych ram praw­nych ochro­ny danych oso­bo­wych[4]M. Cwener, Nowe obo­wiąz­ki doku­men­ta­cyj­ne zwią­za­ne z prze­twa­rza­niem danych oso­bo­wych [w:] M. Kawecki (red.), Ogólne roz­po­rzą­dze­nie o ochro­nie danych oso­bo­wych. Wybrane zagad­nie­nia, Warszawa 2017 r., s. 97..

27 kwiet­nia 2016 r., po wie­lo­let­niej pro­ce­du­rze legi­sla­cyj­nej, przez Parlament Europejski osta­tecz­nie przy­ję­te zosta­ło ogól­ne roz­po­rzą­dze­nie o ochro­nie danych (GDPR)[5]Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwiet­nia 2016 r. w spra­wie ochro­ny danych osób fizycz­nych w związ­ku z prze­twa­rza­niem danych oso­bo­wych i w spra­wie swo­bod­ne­go prze­pły­wu takich danych oraz uchy­le­nia dyrek­ty­wy 95/46/WE (ogól­ne roz­po­rzą­dze­nie o ochro­nie danych) (Dz. U. UE L 119/1 tom 59 z 4 maja 2016 r.).. Rozporządzenie w moty­wie 15 wska­zu­je, iż z zało­że­nia ma być neu­tral­ne pod wzglę­dem tech­nicz­nym. Pojęcie neu­tral­no­ści tech­nicz­nej było już dys­ku­to­wa­ne na eta­pie legi­sla­cyj­nym GDPR. Europejski Inspektor Ochrony Danych w swo­jej opi­nii z 2015 r. komen­tu­ją­cej osta­tecz­ny tekst GDPR pod­kre­ślił rolę neu­tral­no­ści tech­no­lo­gicz­nej pra­wa jako sprzy­ja­ją­cą roz­wo­jo­wi inno­wa­cji oraz korzyst­ną ze spo­łecz­ne­go punk­tu widze­nia[6]Zalecenia Europejskiego Inspektora Ochrony Danych doty­czą­ce moż­li­wo­ści refor­my ochro­ny danych w EU z dnia 27 lip­ca 2015 r. (Dz. U. UE C nr 301, s. 1–8).. Twierdzenia te nale­ży oce­nić jako logicz­ną kon­se­kwen­cję uwag pod­no­szo­nych wcze­śniej przez komi­sa­rza Unii Europejskiej ds. ochro­ny kon­su­men­ta, któ­ra wska­zy­wa­ła jed­no­znacz­nie, że „dane oso­bo­we są nową ropą inter­ne­tu i nową walu­tą cyfro­we­go świa­ta”[7]M. Kuneva, Europejski komi­sarz ds. ochro­ny kon­su­men­ta, Keynote spe­ech: Roundtable on Online Data Collection, Targeting and Profiling z 31 mar­ca 2009 r., dostęp­ne w sie­ci web pod adre­sem: http://europa.eu/rapid/press-release_SPEECH-09–156_en.htm [ostat­ni dostęp: 20 maja 2017 r.].. Do toż­sa­mych war­to­ści wyda­ją się odwo­ły­wać przed­sta­wi­cie­le pol­skiej dok­try­ny pra­wa ochro­ny danych oso­bo­wych. A. Grzelak wska­zu­je, iż GDPR poprzez obra­nie neu­tral­nych tech­no­lo­gicz­nie ram praw­nych pozwo­li lepiej reago­wać na wyzwa­nia sta­wia­ne przez szyb­ki roz­wój nowych tech­no­lo­gii, któ­re zmie­nia­ją gospo­dar­kę i życie spo­łecz­ne[8]A. Grzelak, Główne cele ogól­ne­go roz­po­rzą­dze­nia o ochro­nie danych [w:] M. Kawecki, Ogólne roz­po­rzą­dze­nie o ochro­nie danych oso­bo­wych. Wybrane zagad­nie­nia, Warszawa 2017 r., s. 21–23.. Autorka traf­nie zesta­wia to twier­dze­nie z moty­wem 6 GDPR, wska­zu­jąc jed­no­cze­śnie że wpro­wa­dze­nie neu­tral­ne­go tech­nicz­nie pra­wa jest wręcz jed­nym z celów GDPR. M. Cwener wska­zu­je z kolei, iż szyb­ki roz­wój tech­no­lo­gii prze­twa­rza­nia danych stoi w sprzecz­no­ści z sztyw­ny­mi wymo­ga­mi sta­wia­ny­mi sys­te­mom infor­ma­tycz­nym[9]M. Cwener, Nowe…, s. 98.. Przepisy GDPR jego zda­niem zosta­ły zbu­do­wa­ne w opar­ciu o kon­cep­cję rela­ty­wi­za­cji ochro­ny danych oso­bo­wych[10]M. Cwener, Nowe…, s. 99..

Rozdział IV sek­cji 1 GDPR okre­śla obo­wiąz­ki admi­ni­stra­to­ra (odpo­wied­ni­ka admi­ni­stra­to­ra danych oso­bo­wych z pol­skiej usta­wy). Zgodnie z tre­ścią art. 24 GDPR admi­ni­stra­tor wdra­ża odpo­wied­nie środ­ki tech­nicz­ne i orga­ni­za­cyj­ne, któ­re zapew­nią prze­twa­rza­nie danych oso­bo­wych zgod­ne z zało­że­nia­mi GDPR. Wdrożenie tych środ­ków powin­no uwzględ­niać cha­rak­ter, zakres, kon­tekst i cele prze­twa­rza­nia danych oraz ryzy­ko naru­sze­nia praw lub wol­no­ści osób fizycz­nych o róż­nym praw­do­po­do­bień­stwie i wadze zagro­że­nia. Administrator powi­nien móc wyka­zać, że wdro­żył środ­ki tech­nicz­ne i orga­ni­za­cyj­ne uwzględ­nia­jąc powyż­sze wymo­gi. Obowiązek dobo­ru odpo­wied­nich środ­ków tech­nicz­nych i orga­ni­za­cyj­nych powi­nien nastą­pić już w momen­cie okre­śla­nia przez admi­ni­stra­to­ra spo­so­bów prze­twa­rza­nia danych oraz póź­niej w cza­sie ich prze­twa­rza­nia, co wyni­ka z art. 25 GDPR. Natomiast zawar­ty w sek­cji 2 tego same­go roz­dzia­łu art. 32 GDPR wska­zu­je, iż admi­ni­stra­tor lub pod­miot prze­twa­rza­ją­cy wdra­ża­ją odpo­wied­nie środ­ki tech­nicz­ne i orga­ni­za­cyj­ne, aby zapew­nić sto­pień bez­pie­czeń­stwa odpo­wia­da­ją­cy ryzy­ku.

Mamy zatem do czy­nie­nia z ponow­nym ure­gu­lo­wa­niem w GDPR kwe­stii wcze­śniej pre­cy­zyj­nie ure­gu­lo­wa­nych przez pol­skie­go usta­wo­daw­cę. W pierw­szej kolej­no­ści wyja­śnie­nia zatem wyma­ga, któ­ry z aktów praw­nych powi­nien być sto­so­wa­ny przez admi­ni­stra­to­rów danych w chwi­li obec­nej. W dru­giej kolej­no­ści wyja­śnie­nia wyma­ga zagad­nie­nie prak­tycz­ne­go wymia­ru dobo­ru środ­ków tech­nicz­nych i orga­ni­za­cyj­nych speł­nia­ją­cych wymo­gi GDPR w odnie­sie­niu do wyko­rzy­sty­wa­nych sys­te­mów infor­ma­tycz­nych.

Zgodnie z tre­ścią art. 99 GDPR weszło ono w życie 25 maja 2016 r., nato­miast jego sto­so­wa­nie roz­pocz­nie się dopie­ro 25 maja 2018 r. Tego same­go dnia nastą­pi też uchy­le­nie dotych­czas obo­wią­zu­ją­cej dyrek­ty­wy 95/46/WE[11]Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 paź­dzier­ni­ka 1995 r. w spra­wie ochro­ny osób fizycz­nych w zakre­sie prze­twa­rza­nia danych oso­bo­wych i swo­bod­ne­go prze­pły­wu tych danych (Dz. Urz. UE L nr 281 z 1995 r., s. 31 ze zm.)., któ­rej imple­men­ta­cją jest obo­wią­zu­ją­ca w Rzeczypospolitej Polskiej usta­wa o ochro­nie danych oso­bo­wych (w sku­tek przy­ję­cia sze­re­gu nowe­li­za­cji). Mamy zatem do czy­nie­nia z sytu­acją, w któ­rej sta­tus „będą­cych w życiu” dzier­żą obec­nie rów­no­cze­śnie dwa akty nor­ma­tyw­ne o zróż­ni­co­wa­nej pozy­cji w hie­rar­chii źró­deł pra­wa (z per­spek­ty­wy pol­skie­go porząd­ku kon­sty­tu­cyj­ne­go). Są nimi pol­ska usta­wa oraz GDPR. Oba akty nor­ma­tyw­ne, jak wska­za­łem wcze­śniej, sta­tu­ują tak­że koniecz­ność wdro­że­nia środ­ków tech­nicz­nych i orga­ni­za­cyj­nych mają­cych zapew­nić prze­twa­rza­nie danych oso­bo­wych w spo­sób zgod­ny z ich regu­la­cja­mi.

Jak wska­zu­ją prze­pi­sy same­go GDPR uchy­li ono dotych­cza­so­wą pod­sta­wę har­mo­ni­za­cji pra­wa ochro­ny danych oso­bo­wych w posta­ci dyrek­ty­wy. Z racji bez­po­śred­nie­go powią­za­nia pol­skiej usta­wy o ochro­nie danych oso­bo­wych z dyrek­ty­wą oraz przy­ję­ciem GDPR będą­ce­go roz­po­rzą­dze­niem – prze­pi­sy pol­skiej usta­wy w myśl regu­ły koli­zyj­nej lex supe­rior dero­gat legi infe­rio­ri zastą­pią wła­śnie prze­pi­sy GDPR[12]Więcej o tej regu­le koli­zyj­nej i jej impli­ka­cjach K. Ziemski, Rola i miej­sce reguł koli­zyj­nych w pro­ce­sie deko­do­wa­nia tek­stu praw­ne­go, Ruch Prawniczy, Ekonomiczny i Socjologiczny, Poznań 1978, z. 2, s. 7.. Uchylenie pol­skich prze­pi­sów nastą­pi oczy­wi­ście we wska­zy­wa­nym wcze­śniej momen­cie roz­po­czę­cia sto­so­wa­nia GDPR. M. Kawecki traf­nie wska­zu­je, iż sytu­acja taka jest tak­że rezul­ta­tem zasto­so­wa­nia utrwa­lo­nej w dok­try­nie i orzecz­nic­twie TSUE zasa­dy pierw­szeń­stwa pra­wa unij­ne­go nad pra­wem kra­jo­wym oraz zasa­da lojal­nej współ­pra­cy[13]M. Kawecki, Wybór roz­po­rzą­dze­nia jako instru­men­tu praw­ne­go unij­nej refor­my pra­wa ochro­ny danych oso­bo­wych oraz kon­se­kwen­cje takie­go roz­wią­za­nia [w:] M. Kawecki (red.), Ogólne roz­po­rzą­dze­nie o ochro­nie danych oso­bo­wych. Wybrane zagad­nie­nia, Warszawa 2017 r., s. 8.. Jego zda­niem mimo powyż­sze­go, dero­ga­cji nie będą pod­le­ga­ły prze­pi­sy sta­tu­ują­ce dzia­ła­nie Generalnego Inspektora Ochrony Danych Osobowych. Wszystko wska­zu­je jed­nak na to, iż pol­ski usta­wo­daw­ca uchy­li całą usta­wę przyj­mu­jąc w jej miej­sce nową[14]Świadczy o tym cho­ciaż­by pierw­szy pro­jekt nowej usta­wy o ochro­nie danych oso­bo­wych przy­go­to­wa­ny przez Ministerstwo Cyfryzacji i opu­bli­ko­wa­ny 28 mar­ca 2018 r. Więcej w sie­ci web pod adre­sem http://m.mc.gov.pl/aktualnosci/projekt-ustawy-o-ochronie-danych-osobowych [ostat­ni dostęp: 22.05.2017 r.].. Warto tak­że wska­zać, jak pod­kre­ślał jesz­cze przed przy­ję­ciem GDPR W. Wiewiórowski, iż koniecz­ność odro­cze­nia roz­po­czę­cia sto­so­wa­nia prze­pi­sów GPDR podyk­to­wa­na jest wymo­giem zapew­nia­nia admi­ni­stra­to­rom danych moż­li­wo­ści dosto­so­wa­nia się do nowych, dalej idą­cych wymo­gów praw­nych[15]W. Wiewiórowski, Nowe ramy ochro­ny danych oso­bo­wych w Unii Europejskiej, Dodatek spe­cjal­ny do Monitora Prawniczego 2012, nr 7, s. 3..

Wskazywane już art. 24 i 32 GDPR w prze­ci­wień­stwie do art. 36 usta­wy o ochro­nie danych oso­bo­wych nie znaj­du­ją ana­lo­gicz­ne­go uzu­peł­nie­nia w posta­ci aktu nor­ma­tyw­ne­go okre­śla­ją­ce­go kon­kret­ne środ­ki tech­nicz­ne i orga­ni­za­cyj­ne czy pozio­my ryzy­ka w odnie­sie­niu do sys­te­mów infor­ma­tycz­nych. GDPR w sto­sun­ku do obu prze­pi­sów co praw­da dodat­ko­wo wska­zu­je, iż w przy­pad­kach pro­por­cjo­nal­nych dzia­ła­nia te powin­ny obej­mo­wać wdro­że­nie przez admi­ni­stra­to­ra odpo­wied­nich poli­tyk ochro­ny danych. Ponadto, admi­ni­stra­tor może wspie­rać się zatwier­dzo­ny­mi kodek­sa­mi postę­po­wa­nia lub zatwier­dzo­ny­mi mecha­ni­zma­mi cer­ty­fi­ka­cji (któ­re obec­nie jesz­cze nie ist­nie­ją). Zabieg ten nie jest przy­pad­ko­wy i sta­no­wi kon­se­kwen­cję przy­ję­cia opi­sa­nej już zasa­dy neu­tral­no­ści tech­nicz­nej GDPR[16]A. Grzelak, Główne …, s. 22..

Ponad powyż­sze, art. 24 GDPR doda­je, iż nakła­da­ny na admi­ni­stra­to­ra obo­wią­zek powi­nien zostać zre­ali­zo­wa­ny w spo­sób moż­li­wy do wyka­za­nia. Zobowiązanie takie moż­na poczy­ty­wać jako obo­wią­zek udo­ku­men­to­wa­nia albo przy­naj­mniej zebra­nia sze­re­gu infor­ma­cji mają­cych postać dowo­dów, któ­re pozwo­lą admi­ni­stra­to­ro­wi wyka­zać jakie kon­kret­nie środ­ki tech­nicz­ne i orga­ni­za­cyj­ne zosta­ły przez nie­go przy­ję­te. M. Cwener wska­zu­je wprost, iż obo­wią­zek ten de fac­to wymu­si na nie­któ­rych admi­ni­stra­to­rach przy­ję­cie sto­sow­nej doku­men­ta­cji, któ­ra potwier­dzi nie­ja­ko zasto­so­wa­nie tych środ­ków[17]M. Cwener, Nowe…, s. 109.. Uważam jed­nak, że w odnie­sie­niu do sys­te­mów infor­ma­tycz­nych, któ­re przy­bie­ra­ją trwa­łą postać choć­by w posta­ci kodu wyni­ko­we­go, wymu­sze­nie to nie będzie tak oczy­wi­ste. Jestem bowiem zda­nia, iż sam kod i okre­ślo­na w nim funk­cjo­nal­ność speł­ni sta­wia­ne rygo­ry dowo­do­we. Obowiązek oce­ny ryzy­ka jest nato­miast roz­wi­ja­ny przez art. 35 GDPR, któ­ry naka­zu­je by oce­na taka mia­ła cha­rak­ter uprzed­ni – to zna­czy nastą­pi­ła przed roz­po­czę­ciem prze­twa­rza­nia danych. Za uza­sad­nio­ne uznać nale­ży zatem, iż admi­ni­stra­tor powi­nien być w sta­nie udo­wod­nić, iż doko­nał takiej uprzed­niej oce­ny. Za wąt­pli­wą nale­ży uznać pró­bę reali­za­cji tego wymo­gu poprzez oka­za­nie kodu opro­gra­mo­wa­nia. Uważam nato­miast, że odpo­wied­nio sko­men­to­wa­na doku­men­ta­cja pro­jek­to­wa lub roz­wo­jo­wa opro­gra­mo­wa­nia mogła­by być wystar­cza­ją­cym dowo­dem czy­nią­cym zadość temu wymo­go­wi.

Oceniając powyż­szy stan praw­ny nale­ży skon­sta­to­wać, iż GDPR daje admi­ni­stra­to­rom dużo mniej­szy poziom pew­no­ści praw­nej. Narzuca na nich obo­wią­zek samo­dziel­ne­go dobo­ru środ­ków tech­nicz­nych i orga­ni­za­cyj­nych oraz samo­dziel­nej oce­ny ryzy­ka. Bez wąt­pie­nia, z punk­tu widze­nia war­to­ści jaką jest pew­ność obo­wią­zu­ją­ce­go sta­nu pra­wa, regu­la­cje funk­cjo­nu­ją­ce na grun­cie dotych­cza­so­wej usta­wy o ochro­nie danych oso­bo­wych w odnie­sie­niu do sys­te­mów infor­ma­tycz­nych dawa­ły o wie­le więk­szy kom­fort admi­ni­stra­to­rom danych oso­bo­wych.

Fakt ist­nie­nia wią­żą­ce­go do 24 maja 2018 r. kata­lo­gu środ­ków tech­nicz­nych i orga­ni­za­cyj­nych war­to wyko­rzy­stać jako ostat­nią szan­sę pozwa­la­ją­cą uzy­skać peł­ną zgod­ność z pra­wem w zakre­sie wyko­rzy­sty­wa­nych do prze­twa­rza­nia danych sys­te­mów infor­ma­tycz­nych. Oczywiście zasto­so­wa­nie się do wska­za­nych wymo­gów nie spo­wo­du­je, iż admi­ni­stra­tor danych auto­ma­tycz­nie speł­ni nakła­da­ne przez GDPR nowe obo­wiąz­ki. Znajdzie się jed­nak w kom­for­to­wej sytu­acji dys­po­nu­jąc kata­lo­giem już wdro­żo­nych środ­ków tech­nicz­nych i orga­ni­za­cyj­nych, dobra­nych w spo­sób ade­kwat­ny do jed­ne­go z okre­ślo­nych pozio­mów ryzy­ka przez same­go usta­wo­daw­cę.

Wyjaśnienia wyma­ga tak­że kwe­stia zwią­za­na z tym w jaki spo­sób zacząć dobie­rać środ­ki tech­nicz­ne i orga­ni­za­cyj­ne oraz sza­co­wać ryzy­ko po 25 maja 2018 r. Poza opar­ciem się o dotych­cza­so­we roz­wią­za­nia admi­ni­stra­to­rzy mogą już sko­rzy­stać z przy­ję­tych w dniu 4 kwiet­nia 2017 r. wytycz­nych opra­co­wa­nych przez Grupę Roboczą art. 29[18]Zob. Guidelines on Data Protection Impact Assessment (DPIA) and deter­mi­ning whe­ther pro­ces­sing is “like­ly to result in a high risk” for the pur­po­ses of Regulation 2016/679 przy­ję­te w dniu 4 kwiet­nia 2017 r. przez Grupę Roboczą art. 29 ds. Ochrony Danych, WP 248, dostęp­ne w sie­ci web pod adre­sem: https://ec.europa.eu/newsroom/document.cfm?doc_id=44137 [ostat­ni dostęp: 23.05.2017 r.].. Zawierają one kon­kret­ne wska­zów­ki doty­czą­ce tego kie­dy i czy w ogó­le w rozu­mie­niu GDPR admi­ni­stra­tor powi­nien podej­mo­wać okre­ślo­ne dzia­ła­nia zwią­za­ne z oce­nia­niem ryzy­ka dla ochro­ny danych. Dodatkowo zawie­ra­ją one zestaw pro­po­zy­cji kry­te­riów uży­tecz­nych pod­czas pró­by oce­ny ryzy­ka i dobo­ru środ­ków tech­nicz­nych i orga­ni­za­cyj­nych w celu jego mini­ma­li­za­cji.

Część z prak­ty­ków wska­zu­je rów­nież na moż­li­wość sko­rzy­sta­nia z mię­dzy­na­ro­do­wej nor­my stan­da­ry­za­cyj­nej ISO/IEC 27001[19]Tak choć­by TQMConsulting, zob. http://www.tqmc.pl/oferta/wdrazanie-systemow/informacja-iso-27001 [ostat­ni dostęp: 23.05.2017 r.].. Norma ta odno­si się do sys­te­mów zarzą­dza­nia bez­pie­czeń­stwem infor­ma­cji i pro­po­nu­je sze­reg uży­tecz­nych roz­wią­zań zwięk­sza­ją­cych bez­pie­czeń­stwo danych (nie tyl­ko oso­bo­wych) w sys­te­mach (nie tyl­ko infor­ma­tycz­nych). Do tego typu zało­żeń nale­ży jed­nak pod­cho­dzić dość scep­tycz­nie, bowiem nor­ma ta nie prze­wi­du­je oce­ny ryzy­ka z punk­tu widze­nia naru­sze­nia pra­wa do ochro­ny danych oso­bo­wych jed­nost­ki. W związ­ku z tym nale­ży uznać, iż powin­na ona peł­nić rolę jedy­nie pomoc­ni­czą przy sza­co­wa­niu ryzy­ka dla sys­te­mów infor­ma­tycz­nych.

Omawiane zagad­nie­nie dobo­ru odpo­wied­nich środ­ków tech­nicz­nych i orga­ni­za­cyj­nych oraz oce­ny ryzy­ka w sto­sun­ku do wyko­rzy­sty­wa­nych sys­te­mów infor­ma­tycz­nych znaj­du­je prak­tycz­ne prze­ło­że­nie na realia pra­cy setek kan­ce­la­rii adwo­kac­kich w Polsce. Nie spo­sób obec­nie wyobra­zić sobie funk­cjo­no­wa­nie tego typu pod­mio­tu bez uży­cia jakie­go­kol­wiek sys­te­mu infor­ma­tycz­ne­go – choć­by sys­te­mu ope­ra­cyj­ne­go kom­pu­te­ra słu­żą­ce­go do spo­rzą­dza­nia pism pro­ce­so­wych czy sys­te­mu infor­ma­tycz­ne­go obsłu­gu­ją­ce­go pocz­tę elek­tro­nicz­ną. Zarówno aktu­al­nie obo­wią­zu­ją­ce prze­pi­sy jak i GDPR trak­tu­ją kan­ce­la­rie adwo­kac­kie w spo­sób podob­ny do zde­cy­do­wa­nej więk­szo­ści innych pod­mio­tów ryn­ko­wych. W związ­ku z powyż­szy wyko­rzy­sty­wa­nie sys­te­mów infor­ma­tycz­nych powin­no wią­zać się z wdra­ża­niem środ­ków tech­nicz­nych i orga­ni­za­cyj­nych odpo­wied­nich do wystę­pu­ją­ce­go ryzy­ka. Powagę sytu­acji pod­kre­śla fakt, iż prze­twa­rza­ne przez kan­ce­la­rie adwo­kac­kie dane oso­bo­we bar­dzo czę­sto zali­cza­ją się do kate­go­rii wraż­li­wych danych oso­bo­wych, dla któ­rych nawet poten­cjal­na moż­li­wość naru­sze­nie bez­pie­czeń­stwa będzie rodzić szcze­gól­nie wyso­kie ryzy­ko. Warto tak­że wska­zać, iż od adwo­ka­tów wyma­ga się szcze­gól­nej sta­ran­no­ści, któ­rą to sta­tu­uje mię­dzy inny­mi obo­wią­zek zacho­wa­nia tajem­ni­cy zawo­do­wej wią­żą­cy się z koniecz­no­ścią zabez­pie­cze­nia dobra wła­snych klien­tów. Powyższe argu­men­ty wyda­ją się dodat­ko­wo zwięk­szać koniecz­ność dobo­ru ponad­prze­cięt­nie sku­tecz­nych środ­ków tech­nicz­nych i orga­ni­za­cyj­nych, odpo­wied­nio zabez­pie­cza­ją­cych dane oso­bo­we prze­twa­rza­ne przez kan­ce­la­rie adwo­kac­kie.

Szansą dla całej adwo­ka­tu­ry było­by z pew­no­ścią opra­co­wa­nie w przy­szło­ści bran­żo­we­go kodek­su postę­po­wa­nia, któ­ry wspo­ma­gał­by kan­ce­la­rie w dobo­rze ade­kwat­nych środ­ków tech­nicz­nych i orga­ni­za­cyj­nych oraz sza­co­wa­niu pozio­mów ryzy­ka. Rozwiązanie takie jest moż­li­we do przy­ję­cia na mocy wska­zy­wa­nych już prze­pi­sów GDPR.

Pragmatycznie oce­nia­jąc sytu­ację, sto­so­wa­na obec­nie doku­men­ta­cja w posta­ci Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym mogą być bar­dzo dobrym punk­tem wyj­ścia pozwa­la­ją­cym roz­po­cząć reali­za­cję wymo­gów GDPR. Posiadają one okre­ślo­ną struk­tu­rę, któ­ra sama w sobie sta­no­wią śro­dek orga­ni­za­cyj­ny mają­cy na celu zabez­pie­cza­nie danych.

Bez wąt­pie­nia obec­nie trwa­ją­cy okres przej­ścio­wy może­my potrak­to­wać jako szan­sę dla pod­mio­tów nie posia­da­ją­cych zło­żo­nych tech­no­lo­gicz­nie sys­te­mów infor­ma­tycz­nych, do któ­rych czę­sto może­my zali­czyć kan­ce­la­rie adwo­kac­kie. Z jed­nej stro­ny war­to wska­zać, iż zastęp­ca Europejskiego Inspektora Ochrony Danych odno­si się kry­tycz­nie do obec­nie obo­wią­zu­ją­cej w Polsce regu­la­cji. Podnosi on, m.in. iż przy­ję­te roz­wią­za­nia prze­sta­ły odpo­wia­dać realiom współ­cze­śnie funk­cjo­nu­ją­cych sys­te­mów infor­ma­tycz­nych[20]W. Wiewiórowski, Unijna refor­ma ochro­ny danych oso­bo­wych, wystą­pie­nie pod­czas kon­fe­ren­cji Człowiek w cyber­prze­strze­ni zor­ga­ni­zo­wa­nej na UKSW w Warszawie 11 paź­dzier­ni­ka 2016 r., mate­ria­ły wła­sne.. Z twier­dze­niem takim bez wąt­pie­nia nale­ży się zgo­dzić. Od 2004 roku sys­te­my infor­ma­tycz­ne roz­wi­nę­ły swo­je moż­li­wo­ści i ule­gły prze­kształ­ce­niom. Opracowane zosta­ły nowe roz­wią­za­nia pozwa­la­ją­ce zapew­niać o wie­le wyż­szy poziom bez­pie­czeń­stwa danych. Stanowią one środ­ki kon­ku­ren­cyj­ne do tych wska­zy­wa­nych przez roz­po­rzą­dze­nie wyko­naw­cze np. obo­wiąz­ku wymu­sza­nia zmia­ny hasła co 30 dni, sto­so­wa­nia opro­gra­mo­wa­nia anty­wi­ru­so­we­go lub roz­wią­zań typu fire­wall. Zdecydowana więk­szość współ­cze­snych sys­te­mów ope­ra­cyj­nych sto­su­je roz­wią­za­nia typu 2FA[21]Zob. opra­co­wa­nie Escal Institute of Advanced Technologies z 15 wrze­śnia 2015 r., Two-Factor Authentication (2FA) using OpenOTP, dostęp­ne w sie­ci web pod adre­sem: https://www.sans.org/reading-room/whitepapers/authentication/two-factor-authentication-2fa-openotp-36087 [ostat­ni dostęp: 23.05.2017 r.]., User Account Control[22]Zob. opra­co­wa­nie Microsoftu z 24 kwiet­nia 2017 r., How User Account Control works, dostęp­ne w sie­ci web pod adre­sem: https://docs.microsoft.com/en-us/windows/access-protection/user-account-control/how-user-account-control-works [ostat­ni dostęp: 23.05.2017 r.]. czy posia­da wbu­do­wa­ne mecha­ni­zmy zastę­pu­ją­ce opro­gra­mo­wa­nie anty­wi­ru­so­we[23]Zob. opra­co­wa­nie Microsoftu z 24 kwiet­nia 2017 r., Windows Defender Antivirus in Windows 10, dostęp­ne w sie­ci web pod adre­sem: https://docs.microsoft.com/en-us/windows/threat-protection/windows-defender-antivirus/windows-defender-antivirus-in-windows-10 [ostat­ni dostęp: 23.05.2017 r.]. lub roz­wią­za­nia typu fire­wall[24]Zob. opra­co­wa­nie Microsoftu z 24 kwiet­nia 2017 r., Windows Firewall with Advanced Security, dostęp­ne w sie­ci web pod adre­sem: https://docs.microsoft.com/en-us/windows/access-protection/windows-firewall/windows-firewall-with-advanced-security [ostat­ni dostęp: 23.05.2017 r.].. Pojawiają się rów­nież publi­ka­cje oraz gło­sy eks­per­tów, iż odpo­wied­nia archi­tek­tu­ra orga­ni­za­cyj­na pozba­wia przy­mus sto­so­wa­nia tego typu roz­wią­zań racji bytu[25]Zob. raport Institute for Critical Infrastructure Technology z 9 lute­go 2017 r., Signature Based Malware Detection is Dead, s. 6–8, dostęp­ny w sie­ci web pod adre­sem: http://icitech.org/wp-content/uploads/2017/02/ICIT-Analysis-Signature-Based-Malware-Detection-is-Dead.pdf [ostat­ni dostęp: 23.05.2017 r.]..

Podkreślić jed­nak tak­że nale­ży, iż szcze­gól­nie w sek­to­rze małych i śred­nich firm (do któ­re­go może­my zali­czyć prze­cież część kan­ce­la­rii adwo­kac­kich) roz­wią­za­nia wska­zy­wa­ne przez pol­skie­go usta­wo­daw­cę, spo­sób ich dobo­ru oraz podzia­łu są nadal bar­dzo dobrym punk­tem wyj­ścia. Obowiązujące roz­wią­za­nia – zwłasz­cza te o cha­rak­te­rze orga­ni­za­cyj­nym – pozwa­la­ją w pod­sta­wo­wym stop­niu przy­go­to­wać się do wymo­gów sta­wia­nych przez GDPR. Warto zatem zain­te­re­so­wać się ich wdro­że­niem jesz­cze przed roz­po­czę­ciem sto­so­wa­nia GDPR, gdyż mogą być one swo­istym pomo­stem uła­twia­ją­cym samo­dziel­ny dobór środ­ków orga­ni­za­cyj­nych i tech­nicz­nych oraz sza­co­wa­nia ryzy­ka dla sys­te­mów infor­ma­tycz­nych po uchy­le­niu obo­wią­zu­ją­cych obec­nie prze­pi­sów pra­wa.

STRESZCZENIE

Aktualnie obo­wią­zu­ją­ce prze­pi­sy usta­wy o ochro­nie danych oso­bo­wych okre­śla­ją jasno i zwięź­le środ­ki tech­nicz­ne i orga­ni­za­cyj­ne wyma­ga­ne od admi­ni­stra­to­rów danych oso­bo­wych wyko­rzy­stu­ją­cych sys­te­my infor­ma­tycz­ne. Przyjęte 26 kwiet­nia 2016 r. roz­po­rzą­dze­niem ogól­ne w spra­wie ochro­ny danych wpro­wa­dza zasa­dę neu­tral­no­ści tech­nicz­nej i naka­zu­je admi­ni­stra­to­rom samo­dziel­nie dobie­rać środ­ki tech­nicz­ne i orga­ni­za­cyj­ne wyko­rzy­sty­wa­ne w sys­te­mach infor­ma­tycz­nych. Znajdujemy się obec­nie w okre­sie przej­ścio­wym, w któ­rym obo­wią­zu­ją cały czas dotych­cza­so­we regu­la­cje, ale admi­ni­stra­to­rzy powin­ni dosto­so­wać wyko­rzy­sty­wa­ne przez sie­bie sys­te­my infor­ma­tycz­ne do wymo­gów nowe­go roz­po­rzą­dze­nia. Warto sko­rzy­stać z dotych­czas wypra­co­wa­nych wzor­ców, któ­re uła­twią samo­dziel­ne ich opra­co­wy­wa­nie w przy­szło­ści, po uchy­le­niu pol­skiej usta­wy. Okres przej­ścio­wy może mieć szcze­gól­ne zna­cze­nie i być szan­są dla więk­szo­ści kan­ce­la­rii adwo­kac­kich.

SUMMARY

The cur­rent pro­vi­sions of Polish Personal Data Protection Act cle­ar­ly and stric­tly spe­ci­fy the tech­ni­cal and orga­ni­za­tio­nal measu­res requ­ired from con­trol­lers of per­so­nal data which are using com­pu­ter sys­tems. General Data Protection Regulation enac­ted on 27th April, 2016, intro­du­ces the prin­ci­ple of tech­no­lo­gi­cal­ly neu­tra­li­ty, and requ­ires con­trol­lers to select the tech­ni­cal and orga­ni­za­tio­nal measu­res used in the com­pu­ter sys­tems. We are cur­ren­tly in a trans­i­tio­nal period, but con­trol­lers sho­uld to adapt the­ir IT sys­tems to the requ­ire­ments of the new regu­la­tion. It is worth to use the pre­vio­usly pat­terns, which will faci­li­ta­te futu­re ela­bo­ra­tion of measu­res after repe­aling the Polish law. The trans­i­tion period can be very impor­tan­ce and give an oppor­tu­ni­ty for most law firms.

↓ PDF Z ARTYKUŁEM ↓