Bezpieczeństwo danych osobowych
całokształt przedsięwzięć technicznych i organizacyjnych ukierunkowanych na zabezpieczenie procesów przetwarzania informacji dotyczących osób fizycznych. Podstawowy cel tworzonych współcześnie systemów bezpieczeństwa danych osobowych może być zdefiniowany jako zapewnienie skutecznej ochrony prywatności osób fizycznych w coraz bardziej zinformatyzowanym i zglobalizowanym świecie.
Dane osobowe są informacjami, których przetwarzanie stanowi jedną z tajemnic prawnie chronionych. Definiowane są jako
wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Przetwarzanie danych osobowych obejmuje natomiast wszelkie operacje z ich wykorzystaniem, takie jak:
zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Zasadniczo rozróżnia się tzw. dane osobowe zwykłe (podstawowe dane o osobie fizycznej, takie jak imię i nazwisko, adres zamieszkania, numer telefonu, adres poczty elektronicznej) oraz dane osobowe wrażliwe, obejmujące tzw. szczególne kategorie danych (ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne i biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej) oraz dane o czynach zabronionych i wyrokach skazujących.
Ochrona danych osobowych związana jest ściśle z ideą ochrony praw człowieka, u których podstaw leży przyrodzona godność osoby ludzkiej. Zgodnie z tą koncepcją człowiek traktowany jest jako pewna wartość. Każdy ma prawo do życia, wolności i własności (tzw. pierwsza generacja prawa człowieka). Należy również pamiętać, że wolność (prawa) jednych kończy się tam, gdzie zaczyna się wolność (prawa) innych. W tym aspekcie należy wiązać ochronę danych osobowych z tzw. autonomią informacyjną jednostki, która obejmuje w szczególności takie prawa, jak prawo do prywatności (życia prywatnego), prawo do bycia niezależnym, prawo do kontroli informacji na własny temat oraz prawo do bycia pozostawionym w spokoju.
Pierwsze postulaty objęcia ochroną prywatności osób fizycznych pojawiły się w Stanach Zjednoczonych Ameryki pod koniec XIX w. w związku z rozwojem nowej technologii fotograficznej, umożliwiającej robienie zdjęć osobom bez pozowania. W 1890 r. na łamach czasopisma „Harvard Law Review” pojawił się artykuł pt. The Right to Privacy autorstwa L. Brandeisa i S. Warrena, w którym zawarta została argumentacja na rzecz uznania „prawa do bycia pozostawionym samemu sobie” (ang. „a right to be let alone”). Początkowo przepisy prawa międzynarodowego dotyczące przedmiotowego zagadnienia były ściśle związane z ochroną prywatności osób fizycznych, nie zaś bezpośrednio ukierunkowane na ochronę danych osobowych. W dokumentach dwóch najbardziej powszechnych organizacji w zakresie ochrony praw człowieka – tj. Organizacji Narodów Zjednoczonych (ONZ) oraz Rady Europy (RE) – które zawarły stosowne zapisy odpowiednio w art. 3 i 12 Powszechnej Deklaracji Praw Człowieka z 1948 r. oraz w art. 8 Europejskiej Konwencji Praw Człowieka, pojawiły się kwestie dotyczące ochrony m.in. godności jednostek, życia prywatnego, rodzinnego, domowego czy korespondencji. Przepisy dotyczące wprost ochrony danych osobowych pojawiły się nieco później i związane były z rozpoczęciem elektronicznego przetwarzania danych. Za pierwszy akt prawny na świecie w tym zakresie uznawana jest ustawa o ochronie danych osobowych w Hesji z 1970 r. Zagadnienia dotyczące ochrony danych osób fizycznych w ramach tworzonych elektronicznych banków danych zawarte zostały następnie w stosownych rezolucjach RE, najpierw dla sektora prywatnego (rezolucja nr 22 z 1973 r.), a następnie publicznego (nr 29 z 1974 r.). Z kolei wytyczne Organizacji Współpracy Gospodarczej i Rozwoju (OECD) z 1980 r. stanowiły próbę uregulowania ochrony prywatności i przepływu danych osobowych przez granice państwowe. Istotne znaczenie miała Konwencja RE nr 108 o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych z 1981 r., uznawana jest za jeden z najstarszych, podstawowych prawnych instrumentów ochrony danych osobowych. Natomiast fundamentalne znaczenie dla tworzonych i funkcjonujących w państwach europejskich systemów ochrony danych osobowych miała Dyrektywa 95/46/WE (Parlamentu Europejskiego i Rady) z 1995 r., która zobowiązywała państwa członkowskie Unii Europejskiej (UE) do ujednolicenia systemów w ramach Europejskiego Obszaru Gospodarczego (EOG) oraz stanowiła podstawę budowy systemów ochrony danych osobowych w państwach aspirujących do członkostwa w UE. Określone w niej przesłanki legalnego przetwarzania danych osobowych pozostają aktualne do dnia dzisiejszego. Kwestie ochrony danych osobowych zostały również zawarte w art. 8 Karty praw podstawowych UE z 2000 r. Obecnie podstawowe znaczenie dla ochrony danych osobowych w Unii ma Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz.Urz.UE.L Nr 119, s. 1 z późn. zm.), najczęściej określane jako RODO albo Rozporządzenie 2016/679. Jest ono bezpośrednio stosowane i egzekwowane w państwach członkowskich UE od 25 maja 2018 r. i zawiera podstawowe zasady i wytyczne dotyczące przetwarzania danych osobowych.
W Polsce zasadnicze przesłanki ochrony danych osobowych zawarte zostały przede wszystkim w Konstytucji Rzeczpospolitej Polskiej z 1997 r., w której w rozdziale drugim wskazane zostały podstawowe prawa, wolności i obowiązki człowieka i obywatela, w tym m.in. zasada poszanowania i ochrony wolności człowieka, zasada ochrony życia prywatnego oraz ochrona informacji o osobie. W 1997 r. wprowadzona została również ustawa o ochronie danych osobowych, która stanowiła implementację Dyrektywy 95/46/WE oraz innych wytycznych i zasad określonych w dokumentach międzynarodowych. Ta ustawa oraz wydawane na jej podstawie rozporządzenia normowały procesy przetwarzania danych osobowych w sektorze publicznym i prywatnym. Organem właściwym w sprawach ochrony danych był wówczas Generalny Inspektor Ochrony Danych Osobowych (GIODO). Podmioty publiczne i prywatne przetwarzające dane (kierownicy prywatnych oraz publicznych jednostek organizacyjnych) określani byli jako administratorzy danych osobowych (ADO) i byli odpowiedzialni za zapewnienie zgodnego z prawem przetwarzania oraz bezpieczeństwa danych osobowych w ramach podległych im podmiotów jako ci, którzy decydują o celach i sposobach przetwarzania danych. Dla efektywniejszej realizacji tych obowiązków ADO mógł powołać administratora bezpieczeństwa informacji (ABI), który w jego imieniu nadzorował procesy przetwarzania danych osobowych i wypełniał określone prawem zadania. Większość zadań i obowiązków poszczególnych podmiotów, a także spraw w zakresie stosowania odpowiednich zabezpieczeń przetwarzania danych określona była w stosownych aktach prawnych, przede wszystkim w rozporządzeniach.
Od 25 maja 2018 r. również w Polsce podstawowym aktem prawnym regulującym kwestie przetwarzania danych osobowych jest RODO (Rozporządzenie 2016/679), które obowiązuje wszystkie podmioty i osoby włączone w procesy przetwarzania danych osobowych zarówno w sektorze prywatnym, jak i publicznym. Podstawowym założeniem było stworzenie systemu bardziej elastycznego, pozwalającego ADO reagować na bieżąco na zmiany zachodzące w środowisku bezpieczeństwa, szczególnie w kontekście nowych technologii informatycznych, pojawiania się nowych zagrożeń, zmiany ich charakteru, jak również nowych możliwości ochrony przed nimi. W miejsce ścisłych wytycznych, ustalonych odgórnie w aktach prawnych dotyczących sposobów zabezpieczenia procesów przetwarzania danych, wprowadzone zostały ogólne obowiązki dla ADO, polegające na rzeczywistym zabezpieczeniu danych i procesów ich przetwarzania adekwatnie do stopnia ryzyka, zapewnieniu zgodności przetwarzania z przepisami prawa, konieczności monitorowania tych procesów, informowania i realizowania praw osób, których dane dotyczą, oraz wykazaniu spełnienia tych obowiązków. Podstawą nowego systemu jest podejście oparte na ryzyku (ang. risk-based approach), polegające na ocenianiu i bieżącym monitorowaniu ryzyka procesów przetwarzania danych z punktu widzenia praw i wolności osób, których dane dotyczą, oraz dobieraniu odpowiednich do stopnia ryzyka zabezpieczeń. Istotne znaczenie w nowej rzeczywistości mają dwie ogólne i fundamentalne zasady: ochrony danych w fazie projektowania (ang. privacy by design), dotycząca konieczności uwzględniania ochrony danych osobowych w fazie projektowania rozwiązań technicznych i organizacyjnych, oraz domyślnej ochrony danych (ang. privacy by default), która dotyczy wbudowania ochrony danych w konstrukcję tworzonych rozwiązań. Przed administratorami danych osobowych postawione zostały pewne formalne obowiązki dotyczące najbardziej wrażliwych kwestii, m.in. konieczność przeprowadzenia w odniesieniu do określonych procesów oceny skutków dla ochrony danych (pogłębiona ocena ryzyka, ang. data protection impact assesment, DPIA), uprzednich konsultacji z organem nadzorczym, zgłaszania naruszeń ochrony danych organowi nadzorczemu w terminie 72 godzin od stwierdzenia naruszenia, spełnienia obowiązku informacyjnego i realizacji praw podmiotów danych w określonym terminie oraz prowadzenia określonych rejestrów. Organem właściwym w sprawie ochrony danych osobowych (organem nadzorczym) w miejsce GIODO został Prezes Urzędu Ochrony Danych Osobowych (PUODO). Natomiast odpowiednikiem funkcji ABI w nowych warunkach jest Inspektor Ochrony Danych (IOD), którego powołanie stało się obligatoryjne dla niektórych podmiotów (przede wszystkim publicznych oraz przetwarzających na dużą skalę szczególne kategorie danych). Ogólne założenia w przedmiocie organizacji nowego systemu ochrony danych zawarte zostały w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych. Natomiast ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości doprecyzowuje system w kontekście pewnych aspektów funkcjonowania organów i służb odpowiedzialnych za realizację zadań z zakresu zapobiegania i zwalczania przestępczości (implementacja Dyrektywy Parlamentu Europejskiego i Rady [UE] 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW, s. 89).
Ochrona danych osobowych dotyczy bezpieczeństwa przetwarzania danych osób fizycznych, natomiast realizowana jest najczęściej przez osoby prawne (instytucje publiczne, m.in. urzędy administracji publicznej, szkoły, ośrodki zdrowia, instytucje kultury, oraz podmioty prywatne, np. ubezpieczeniowe, finansowe, ochrony zdrowia, produkcyjne, marketingowe, a także organizacje pozarządowe, np. fundacje, stowarzyszenia itp.). To przede wszystkim na tych podmiotach – jako na administratorach danych osobowych – spoczywa odpowiedzialność za bezpieczeństwo danych osobowych. Współcześnie w ramach realizacji przez nie tak rozumianej ochrony danych osobowych można wyróżnić dwa równoległe procesy:
- zagwarantowanie bezpieczeństwa danych osobowych jako informacji – proces ten związany jest przede wszystkim z koniecznością zapewnienia poufności (zachowania danych w tajemnicy, zapewnienia, żeby nie były one ujawniane podmiotom i procesom do tego nieuprawnionym), integralności (zachowania dokładności i kompletności danych, zapewnienia, aby nie zostały one zniszczone lub zmienione w sposób niezgodny ze stanem prawnym i faktycznym) oraz dostępności (zachowania dostępu do danych, zapewnienia, żeby były one dostępne dla uprawnionych podmiotów w odpowiednim czasie i miejscu);
- zapewnienie realizacji określonych praw osób, których dane dotyczą, takich jak prawo do informacji na temat przetwarzania danych, dostępu do danych, ich poprawiania, sprostowania, sprzeciwu wobec przetwarzania, prawa do usunięcia danych (tzw. prawo do bycia zapomnianym), prawo do ograniczenia przetwarzania czy prawo do przenoszenia danych w określonych przypadkach.
Podstawową rolę w tym zakresie odgrywa stosowanie odpowiednich zabezpieczeń samych danych przetwarzanych w systemach tradycyjnych (papierowych) i informatycznych, a także procesów ich przetwarzania i obowiązków prawnych ciążących na administratorze, które powinny być dobierane adekwatnie do stopnia ryzyka stwierdzonego podczas procesu jego oceny. Wśród zabezpieczeń można wyróżnić w szczególności zabiezpieczenia:
- organizacyjne (m.in. polityki bezpieczeństwa, instrukcje zarządzania systemami informatycznymi, procedury nadawania uprawnień do pracy w systemach informatycznych, procedury zgłaszania incydentów bezpieczeństwa i naruszeń ochrony danych osobowych, rejestrowanie czynności przetwarzania, rejestrowanie incydentów bezpieczeństwa, regulaminy korzystania ze sprzętu, obiegu dokumentów, umowy powierzenia przetwarzania danych, szkolenia);
- techniczne (m.in. programy antywirusowe, segmentacja sieci, kopie zapasowe, zasilacze awaryjne, zapory sieciowe – firewall, UTM, szyfrowanie);
- fizyczne (m.in. fizyczna ochrona budynku, monitoring, wydzielenie stref ochronnych, systemy alarmowe, punkty przeciwpożarowe, elektroniczna kontrola dostępu, plombowanie pomieszczeń i miejsc);
- personalne (m.in. upoważnienia do przetwarzania danych osobowych, weryfikacja uprawnień do pracy w systemach informatycznych, indywidualne loginy i hasła, klauzule o zachowaniu danych w poufności);
Przetwarzanie danych osobowych musi się również odbywać według określonych zasad, wśród których najważniejsze to:
- zasada legalności – zapewnienie przetwarzania zgodnego z prawem (konieczność spełnienia co najmniej jednej z przesłanek z art. 6 i 9 RODO oraz zgodności z pozostałymi przepisami prawa);
- zasada integralności i poufności – dane muszą być w odpowiedni sposób zabezpieczone przed ich niezgodnymi z prawem ujawnieniem, utratą lub modyfikacją;
- zasada rzetelności – dotyczy przetwarzania danych w sposób uczciwy i rzetelny, w szczególności z uwzględnieniem interesów i oczekiwań osób, których dane dotyczą;
- zasada przejrzystości – operacje przetwarzania danych powinny być transparentne dla podmiotów danych i dokładnie wyjaśnione w postaci tzw. klauzul informacyjnych;
- zasada ograniczenia celu – dane mogą być zbierane jedynie w konkretnych i wyraźnych celach i przetwarzane dalej tylko zgodnie z tymi celami;
- zasada minimalizacji danych – przetwarzanie danych może mieć miejsce jedynie w zakresie niezbędnym dla osiągnięcia celu; dane zbierane mogą być tylko wtedy, gdy celu nie można osiągnąć w inny sposób;
- zasada prawidłowości (merytorycznej poprawności) – przetwarzane dane powinny być prawidłowe oraz w razie potrzeby i możliwości na bieżąco uaktualniane, usuwane lub prostowane;
- zasada ograniczenia przechowywania (retencji danych) – dane mogą być przechowywane jedynie przez okres nie dłuższy, niż jest to niezbędne dla realizacji celów, w których są przetwarzane;
- zasada rozliczalności – dotyczy zdolności administratora danych do wykazania spełnienia spoczywających na nim obowiązków prawnych oraz właściwego sposobu zabezpieczenia przetwarzania danych.
Agencja Praw Podstawowych UE, Rada Europy, Kancelaria Europejskiego Trybunału Praw Człowieka, Podręcznik europejskiego prawa o ochronie danych, Urząd Publikacji Unii Europejskiej, Luksemburg 2014; M. Jabłoński, S. Jarosz-Żukowska, Prawa człowieka i systemy ich ochrony. Zarys wykładu, Wydawnictwo Uniwersytetu Wrocławskiego, Wrocław 2004; L. Kępa, Ochrona danych osobowych. Praktyczny przewodnik dla przedsiębiorców, C.H. Beck, Warszawa 2018; Generalny Inspektor Ochrony Danych Osobowych, Jak stosować podejście oparte na ryzyku? Poradnik RODO. Podejście oparte na ryzyku, cz. 2, GIODO 2017; Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r., Dz.Urz.UE.L nr 119 z późn. zm.; M. Sakowska-Baryła, Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, C.H. Beck, Warszawa 2018; Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz.U. z 2018 r. poz. 1000 z późn. zm.; Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, Dz.U. z 2019 r. poz. 125; Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, t.j. Dz.U. z 2016 r. poz. 922 z późn. zm.