Bądźmy ostrożni i nie udostępniajmy naszych danych
osobowych nieznanym podmiotom – apeluje minister Andrzej Lewiński, zastępca
GIODO.
W opinii ministra Andrzeja Lewińskiego, zastępcy Generalnego
Inspektora Ochrony Danych Osobowych (GIODO), brak należytej staranności
i nasza niefrasobliwość bardzo często prowadzą do kradzieży tożsamości.
Tymczasem o pozyskanie naszych danych, by następnie wykorzystać je
w przestępczych celach, starają się „zawodowcy”, stosujący wyrafinowane
niekiedy sposoby i metody.
Często myślimy, że kradzież tożsamości to sztuczny problem,
z którym nigdy nie będziemy mieli do czynienia. Pomimo wiedzy, że takie
zjawisko istnieje, uważamy, że nam nic złego się nie przydarzy. Tymczasem każdy
z nas narażony jest na to, że ktoś skradnie nam naszą tożsamość
i - podszywając się pod nas - zaciągnie na nasze konto np.
kredytu w banku. To my będziemy musieli go spłacać, bo oficjalnie to my
figurujemy jako kredytobiorca.
– Znany jest przypadek starszego małżeństwa, które popełniło
samobójstwo, gdy egzekutor zaczął domagać się od nich spłaty kredytu, którego
nigdy nie zaciągnęli. Dlatego żeby nie dopuścić do kradzieży tożsamości,
udostępniając swoje dane osobowe powinniśmy zachować należytą staranność
i ostrożność, zwłaszcza w kontaktach z osobami, których nie
znamy – mówił
minister Andrzej Lewiński w rozmowie z redaktor Darią Górką
z TVN24 z programu „Czarno na białym”.
Przestrzegał, że konsekwencje finansowe, to nie jedyne, jakie
mogą nas spotkać, gdy ktoś się pod nas podszyje i kupi coś w naszym
imieniu lub zaciągnie innego rodzaju zobowiązania. Bowiem osoby, którym
skradziono tożsamość narażone są także na konieczność stawiania się na każde
wezwanie organów ścigania prowadzących sprawy przestępstw popełnionych
z użyciem naszych danych. Żeby temu zapobiec minister Andrzej Lewiński
zadeklarował, że Generalny Inspektor będzie popierał utworzenie specjalnego
rejestru osób, którym skradziono tożsamość. Dzięki niemu nie będą one musiały
składać wyjaśnień we wszystkich postępowaniach prowadzonych przez policję czy
sąd. Wystarczy bowiem jednorazowe oczyszczenie ich z zarzutu
i odnotowanie tego w rejestrze. Uchroni to osoby, którym skradziono
tożsamość, przed czasochłonnymi i kosztownymi – często poza miejscem ich
zamieszkani – wizytami na policji czy w sądzie, a także usprawni
pracę tych organów.
Unijne rozporządzenie dotyczące ochrony danych osobowych
wprowadza nowe instrumenty, które mają poprawić ochronę naszych danych. Są to
m.in.: podejście oparte na ryzyku, pseudonimizacja
i certyfikacja.
Koncepcja podejścia opartego na ryzyku (Risk Based Approach,
RBA), zakłada, że im ryzyko związane z przetwarzaniem danych
osobowych jest większe, tym większy powinien być zakres obowiązków ciążących na
administratorze danych. Dr Edyta Bielak-Jomaa,
Generalny Inspektor Ochrony Danych Osobowych (GIODO) w rozmowie
z redaktor Beatą Marek dla rpodo.eu podkreśliła, że w rozwiązanie to
będzie miało szczególnie istotny wpływ na działalność tych podmiotów, które
korzystają np. z BIG DATA bądź chmury obliczeniowej (cloud
computing).
Zaznaczała, że zarówno Parlament, jak i Rada
w projektach ogólnego rozporządzenia wskazują, iż ocena ryzyka powinna
zostać przeprowadzona z uwzględnieniem charakteru, zakresu, kontekstu
i celu przetwarzania oraz prawdopodobieństwa i powagi zagrożenia dla
praw i wolności osób fizycznych. –Przykładowo
im zakres przetwarzanych danych jest szerszy bądź obejmuje dane osobowe
wrażliwe, tym poziom zabezpieczenia powinien być wyższy – mówiła dr Edyta Bielak-Jomaa.
Pytana o dobrowolną certyfikację dla wykazania przez
administratora lub przetwarzającego zgodności działania
z ochroną danych osobowych, wskazała, że w procesie tworzenia
systemów certyfikacyjnych, czy to na poziomie krajowym, czy na poziomie
europejskim, ważną rolę będą musiały odgrywać organy ochrony danych osobowych,
gdyż wprowadzenie mechanizmów certyfikacji w żadnym razie nie może
prowadzić do obniżenia standardów ochrony danych osobowych określonych
przepisami prawa.–Jednocześnie certyfikacja nie
wyłączy uprawnień kontrolnych organów ochrony danych osobowych –
podkreśliła.
Odnosząc się zaś do kwestii pseudonimizacji
proponowanej w projektach rozporządzenia podkreśliła, że wskazane byłoby
wręcz wprowadzenie ogólnego obowiązku anonimizacji
lub pseudonimizacji danych osobowych, tam gdzie jest to wykonalne i proporcjonalne
w stosunku do celu przetwarzania danych.
Opublikowanie w BIP szpitala psychiatrycznego danych osób,
które nie odebrały depozytów, pośrednio sugeruje, że leczyły się one w tej
placówce.
O skomentowanie opublikowania w BIP jednego ze szpitali
psychiatrycznych listy z danymi osób, które nie odebrały depozytów,
zwróciła się do Generalnego Inspektora Ochrony Danych Osobowych (GIODO)
Telewizja TVN24. Minister Andrzej Lewiński, zastępca GIODO, w rozmowie
z reporterem tej stacji zaznaczył, że wprawdzie treść art. 6 ust.
5 ustawy z dnia 18 października 2006 r. o likwidacji
niepodjętych depozytów przesądza, że w sytuacji, w której brak było
możliwości doręczenia wezwania do odbioru depozytu lub ustalenia uprawnionego,
szpital ma obowiązek dokonać wezwania do odbioru depozytu poprzez jego
wywieszenie na tablicy informacyjnej w swojej siedzibie na okres
6 miesięcy, a jeśli szacunkowa wartość depozytu przekracza 5 000
zł, - zamieścić również ogłoszenie w dzienniku poczytnym w danej
miejscowości lub w Biuletynie Informacji Publicznej.
Podkreślił jednak, że nikt nie zwrócił uwagi na niezmiernie
ważny przepis art. 27 ustawy z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych. Dotyczy on przetwarzania danych wrażliwych, do których
zalicza się m.in. informacje o stanie zdrowia.
W tym przypadku powinien być on brany pod uwagę, gdyż
upublicznione przez szpital informacje o osobach, które nie odebrały
depozytów, mogą pośrednio sugerować, że były one pacjentami tej placówki,
a tym samym świadczyć o ich stanie zdrowia.
Powołany przepis przesądza zaś, że przetwarzanie danych
wrażliwych bez zgody osoby, której dane dotyczą, jest legalne wówczas, gdy
zezwala na to przepis szczególny innej ustawy, stwarzający pełne gwarancje ich
ochrony.
– Mam poważne wątpliwości co do zgodności art. 6 ust.
5 ustawy o likwidacji niepodjętych depozytów z przepisami ustawy
o ochronie danych osobowych, która wyraźnie mówi, że przetwarzanie danych
szczególnie wrażliwych musi stwarzać pełne gwarancje ochrony danych pacjenta – powiedział minister Andrzej Lewiński. – Z drugiej strony, niezastosowanie się przez szpital do
przepisu ustawy może skutkować odpowiedzialnością Skarbu Państwa za
przywłaszczenie, bezpodstawne wzbogacenie lub nawet zagarnięcie mienia – dodał.
Zaznaczył, że powołany przepis ustawy o likwidacji
niepodjętych depozytów powinien być doprecyzowany tak, by jego stosowanie nie
prowadziło do naruszania prawa do ochrony danych osobowych.
Minister Andrzej Lewiński dodał ponadto, że potrzebne jest
podjęcie wzmożonych działań edukacyjnych na rzecz podnoszenia świadomości osób,
które mają do czynienia z danymi o stanie zdrowia, by dbały
o ich należyte zabezpieczenie.
Współpraca GIODO z Wydziałem Prawa
i Administracji Uniwersytetu Warszawskiego będzie dotyczyła prawnych aspektów
ochrony prywatności i danych osobowych.
Działalność naukowo-badawcza,
edukacyjna, a także dotycząca promocji i wydawnictw, to przewidywane
obszary wspólnej aktywności obu stron porozumienia. Będzie ona dotyczyła m.in.
takich zagadnień, jak: prowadzenie monitoringu krajowych i światowych
rozwiązań ochrony prywatności, danych osobowych oraz tajemnic prawnie
chronionych, współorganizowanie seminariów, sympozjów i konferencji
naukowych. W ramach współpracy edukacyjnej i dydaktycznej będą
prowadzone szkolenia z udziałem zarówno ekspertów z GIODO, jak
i z UW. Planuje się również wspólną realizację projektów zewnętrznych
(krajowych i unijnych) w obszarze ochrony prywatności, danych
osobowych i tajemnic prawnie chronionych,.
W obszarze zaś działalności wydawniczej przewidziane jest wspólne
wydawanie monografii i materiałów konferencyjnych dotyczących ochrony
prywatności i danych osobowych. Dodatkową wartością tej umowy jest
zapowiedź utworzenia – przy merytorycznym i kadrowym wsparciu GIODO –
studiów podyplomowych na Wydziale Prawa i Administracji UW.
Zacieśnienie i sformalizowanie
współpracy między GIODO a Wydziałem Prawa i Administracji UW
zapowiadane było już w maju 2015 r. podczas spotkania przedstawicieli
obu instytucji. Obecnie weszło zaś w fazę realizacji.
Porozumienie zostało zawarte
5 listopada 2015 r. Podpisała je dr Edyta Bielak-Jomaa,
Generalny Inspektor Ochrony Danych Osobowych (GIODO) oraz prof. dr hab.
Krzysztof Rączka, Dziekan Wydziału Prawa i Administracji. Podczas
uroczystości obecni byli także minister Andrzej Lewiński, zastępca GIODO oraz
prof. dr hab. Tomasz Giaro, Prodziekan ds. współpracy
z zagranicą i kadry naukowej.
To już kolejne, 16. porozumienie organu
ds. ochrony danych osobowych z wyższą uczelnią. Wykaz tych, z którymi
GIODO już współpracuje jest dostępny tutaj.
W dniu 10 października 2015 r. rozpoczęły się zajęcia na pierwszej
edycji studiów podyplomowych „Wykonywanie funkcji
administratora bezpieczeństwa informacji” organizowanych przez Instytut Nauk Prawnych Polskiej
Akademii Nauk pod patronatem Generalnego Inspektora Ochrony Danych Osobowych
oraz Stowarzyszenia Administratorów Bezpieczeństwa Informacji.
W tym dniu uroczystego otwarcia studiów – razem z prof.
Władysławem Czaplińskim, dyrektorem Instytutu Nauk Prawnych PAN oraz Maciejem
Byczkowski, Prezesem Stowarzyszenia ABI – dokonał Minister Andrzej Lewiński,
Zastępca Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Wykład
inauguracyjny wygłosił prof. Zbigniew Cieślak na temat aksjologii ochrony
informacji.
– Działalność obecnych administratorów bezpieczeństwa informacji,
a pod rządami przyszłego unijnego ogólnego rozporządzenia
- inspektorów ochrony danych, stanowi podstawowy element przestrzegania
przepisów o ochronie danych osobowych. Dlatego tak ważne jest właściwe
przygotowanie merytoryczne tych osób oraz ich postawy etyczne – powiedział minister Andrzej Lewiński.
Na rozpoczętych studiach podyplomowych 80 słuchaczy przygotowuje
się do wykonywania zadań administratora bezpieczeństwa informacji.
W programie studiów przewidziano m.in. przedmioty dotyczące prawnych
obowiązków z zakresu ochrony danych osobowych i zasad zarządzania
bezpieczeństwem informacji oraz blok warsztatowy, służący nauce przeprowadzania
czynności przez ABI. Poza zagadnieniami prawnymi na zajęciach będą omawiane
kwestie bezpieczeństwa technicznego danych osobowych oraz zagadnienia etyki wykonywania
funkcji ABI i jej psychologicznych aspektów. Ze względu na ogromne
zainteresowanie studiami podyplomowymi już obecnie zapowiedziano uruchomienie
drugiej ich edycji w następnym roku kalendarzowym.
Trybunał Konstytucyjny podzielił
zastrzeżenia GIODO do niektórych przepisów nowelizacji Prawa o ustroju
sądów powszechnych.
Zastrzeżenia Generalnego Inspektora
Ochrony Danych Osobowych (GIODO) budziła kwestia przyznania ministrowi
sprawiedliwości statusu administratora danych osobowych w odniesieniu do,
zawartych w centralnych systemach teleinformatycznych obsługujących
postępowanie sądowe lub sądy, danych stron, pełnomocników uczestników
postępowań sądowych i innych osób uczestniczących w postępowaniach
sądowych. Swoje uwagi organ do spraw ochrony danych osobowych zgłaszał zarówno
na etapie prac rządowych nad projektem założeń przedmiotowej ustawy, jak
i na etapie prac nad projektem ustawy, a następnie na etapie prac
parlamentarnych.
W opinii GIODO, regulacja, zgodnie
z którą organ władzy wykonawczej (minister sprawiedliwości) miałby
decydować o celach i środkach przetwarzania danych osobowych
uczestników postępowań sądowych (w szerokim rozumieniu tego pojęcia),
pozostawała w sprzeczności z zasadą odrębności i niezależności
władzy sądowniczej od innych władz (art. 173 Konstytucji RP) oraz budziła
wątpliwości w kontekście zasady trójpodziału władz (art. 10 ust.
1 Konstytucji RP).
Niestety, argumentacja GIODO przez
dłuższy czas nie znajdowała zrozumienia. Główny problem polegał na
niezrozumieniu roli, jaką minister sprawiedliwości pełnić ma w procesie
informatyzacji oraz w ramach nadzoru administracyjnego ministra nad
sądami.
W pierwszej z tych kwestii
GIODO uważał, iż rola ta ma być ograniczona jedynie do administrowania systemem
informatycznym, tak aby zapewniony został maksymalny stopień zabezpieczenia
danych osobowych w nim zawartych. Co do drugiej kwestii, organ ds. ochrony
danych osobowych uważał, iż realizacja zadań ministra sprawiedliwości
w ramach wykonywanego przez niego nadzoru zewnętrznego (administracyjnego)
może się odbywać bez dostępu do akt spraw sądowych zawierających ogromne ilości
danych osobowych, w tym danych wrażliwych.
Trybunał Konstytucyjny w pełni
podzielił stanowisko GIODO i w motywach ustnych przytaczał wprost
uwagi GIODO wyrażone podczas odbywającej się 1 października 2015 r.
rozprawy.
W opinii dr Edyty Bielak-Jomaa, Generalnego Inspektora Ochrony Danych Osobowych,
wydany 14 października 2015 r. wyrok TK w tej sprawie to bezdyskusyjne
zwycięstwo GIODO, zaś dla wszystkich odpowiedzialnych za informatyzację
w Polsce cenna wskazówka, w jaki sposób i na jakim etapie musi
być dokonywana analiza wpływu planowanych przedsięwzięć na ochronę prywatności.
Jest to również dowód na to, że pomijanie stanowiska GIODO w procesie
legislacyjnym może prowadzić do postawienia zarzutów dotyczących naruszenia
gwarantowanych przez Konstytucję RP praw, w tym prawa do prywatności.