Ochrona danych osobowych w dużym skrócie polega na odpowiednim przetwarzaniu i zabezpieczaniu danych osobowych przez osoby, które są w ich posiadaniu. Dotyczy to więc przede wszystkim działalności gospodarczych, które siłą rzeczy wchodzą w posiadanie tych danych podczas zawieranych transakcji czy innych aktywności. W Polsce już 29 sierpnia 1997 roku weszła w życie ustawa o ochronie danych osobowych, która była nowelizowana w maju 2018 roku słynnym RODO, czyli Rozporządzeniem Ogólnym o Ochronie Danych Osobowych.
Co to jest ochrona danych osobowych?
Ochrona danych osobowych odnosi się do ochrony informacji na temat osób fizycznych przez podmioty, które dysponują tymi danymi. Sam akt ochrony obejmuje: zabezpieczenie danych przed utratą, a w tym przed wyciekami czy udostępnieniem dostępu podmiotom nieupoważnionym do ich przetwarzania. Oznacza to, że podmiot, np. firma ma prawny obowiązek chronić dane osobowe klientów zarówno wewnątrz firmy, jak i zewnątrz, a więc musi zabezpieczać się przed włamaniami.
Co ciekawe, rozporządzenie RODO nie reguluje dokładnie, jak firma powinna się zabezpieczać, a sugeruje, że powinna dołożyć wszelkich starań, by dane były możliwie najlepiej chronione. Sam dobór środków do ochrony danych zależy również od ilości tych danych i możliwości firmy do ich ochrony. Tym samym czego innego wymaga się od małego biura rachunkowego, a czego innego od dużej, międzynarodowej korporacji. Nie ma jednak odgórnie wyznaczonych reguł - skala ewentualnych kar jest bezpośrednio związana z poczynionych w dobrej wierze kroków przed niedopełnieniem obowiązku ochrony. Oznacza to, że każda firma powinna traktować temat ochrony danych poważnie na miarę środków, którymi dysponuje.
Co obejmuje ochrona danych osobowych?
Zgodnie z rozporządzeniem RODO dane osobowe to wszelkie informacje, które pozwalają zidentyfikować daną osobę fizyczną. Tak więc naturalnie jest to: imię i nazwisko, numer dowodu czy numer PESEL. Natomiast z mniej oczywistych jest to adres IP, a nawet dane określające cechy fizyczne, fizjologiczne, umysłowe czy ekonomiczne danej osoby.
Warto jednak pamiętać, że ochrona danych osobowych obejmuje jedynie ściśle określone grupy danych, a przedsiębiorstwa przetwarzają tych danych wiele i nie zawsze są to dane osobowe.
Najciekawszych przykładem są firmy analityczne, które zbierają duże ilości danych w celu zbudowania raportu na dowolny temat. Jeśli podstawa raportu, czyli jego baza, zawiera zanonimizowane dane, które finalnie wskazują jedynie % udział odpowiedzi na zadane pytania to w takim przypadku nie mówimy o przetwarzaniu danych osobowych, ponieważ przedstawione wyniki nie pozwalają na identyfikację osób fizycznych.
Jednak, jeśli za tymi samymi wynikami stoi baza danych zawierające imiona i nazwiska, numery dowodów, adresy IP czy adresy e-mail, to taka baza podlega rozporządzeniu o ochronie danych osobowych, a więc musi być odpowiednio chroniona i przetwarzana.
Przetwarzane oznacza więc operację na danych osobowych niezależnie od formy tej operacji - zautomatyzowaną lub niezautomatyzowaną, która ma na celu między innymi zbieranie, organizowanie, modyfikowanie, utrwalanie, pobieranie, przeglądanie, usuwanie, łącznie, lub nawet ujawnianie danych przez przesyłanie. W praktyce oznacza to, że każdorazowe gromadzenie danych, nawet bez zamiaru wykorzystywania tych danych, nakłada na nas obowiązek odpowiedniego przetwarzania i chronienia tych danych.
Nic dziwnego więc, że wejście w życie rozporządzenia wywołało w 2018 roku ogromną panikę przedsiębiorców, ponieważ poprzednia ustawa o ochronie danych osobowych była bardzo łagodna i choć całkiem dobrze regulowała ochronę danych, to kary były nieporównywalnie niższe w porównaniu z RODO.
Dlaczego ochrona danych osobowych jest ważna?
Dane osobowe to jedno z najcenniejszych dóbr wykorzystywanych w celach marketingowych i handlowych. Co jakiś czas słyszymy przecież o wycieku dużej bazy danej, która następnie jest wystawiona na sprzedaż za ogromne pieniądze lub o sytuacji, w której firmy płacą ogromne pieniądze pod szantażem hakerów, żeby do wycieku nie doszło. To wskazuje, że z pozoru niegroźne dane, jak adres e-mail mają ogromną wartość, ale właściwie dlaczego?
Wyobraźmy sobie prostą sytuację: firma X przygotowuje korespondencję seryjną do klientów, lub - co gorsza kontrahentów. Podczas wysyłki powstaje z pozoru proste zaniedbanie nieukrycia listy adresów e-mail, do których została wysłana dana wiadomość. Oznacza to, że każdy z kontrahentów widzi długą listę maili, które otrzymały tą samą, lub podobną wiadomość. W takim wypadku doszło do poważnego naruszenia niezależnie czy była to korespondencja do klientów czy kontrahentów. Jednak w przypadku kontrahentów sprawa komplikuje się jeszcze bardziej, ponieważ doszło do udostępnia potencjalnie dużej bazy e-maili biznesowych.
Taka sytuacja jest bardzo poważnym naruszeniem, nawet jeśli dotyczy dosłownie kilku odbiorców, ponieważ maksymalizuje ryzyko dalszych niefortunnych zdarzeń. Jeśli okaże się bowiem, że choć jeden z maili wpadnie w niepożądane ręce oszusta, to zyska on solidny grunt do ataku, np. podszywając się pod inne osoby i wysyłając zainfekowane linki, które dadzą mu dostęp do skrzynek pocztowych kolejnych pracowników, a potencjalnie narzędzia ich pracy i w efekcie doprowadzą do poważnego wycieku danych osobowych, o którym usłyszymy w wiadomościach.
Oczywiście taka sytuacja jest najgroźniejsza na wysokim szczeblu, ponieważ jeśli maile są ogólnodostępne, np. podane na stronie internatowej, to znaleźć je można nawet w bezpłatnych wyszukiwarkach osób, które zbierają takie dane.
Szczególnie ważna jest ochrona danych szczególnie wrażliwych, jak imię i nazwisko w połączeniu z numerem PESEL, ponieważ takie dane mogą oszustowi pozwolić nawet na włamanie do naszego konta bankowego czy wyłudzenia kredytu na nasze dane. Wyciek takich danych następuje zwykle w wyniku ludzkich zaniedbań, np. błędów w komunikacji, kiedy np. wysyłający maila pomyli adresata i załączy dane wrażliwe w mailu do osoby trzeciej.
Kto zajmuje się ochroną danych osobowych?
W naszym kraju organem, który sprawuje funkcję kontrolną i nadzorczą nad gromadzeniem i przetwarzaniem informacji o danych osobowych, jest Generalny Inspektor Ochrony Danych, w skrócie GIDO. Inspektor ten pełni rolę pośrednika między podmiotem przetwarzającym dane oraz osobą, której dane są przetwarzane, a urzędem ochrony danych osobowych. W zakres jego obowiązków wchodzi również informowanie podmiotów o obowiązkach, jakie muszą spełniać zgodnie z rozporządzeniem RODO, czyli doradzanie, jak spełniać te przepisy oraz monitorowanie ich działań, a ewentualnie ocena skutków zaniechań odpowiednich działań, np. wprowadzenia zabezpieczeń na oczekiwaną skalę.
Co więcej, artykuł 61 rozporządzenia RODO stanowi o regule wzajemności, która ma na celu zwiększenie skuteczności stosowania rozporządzenia. Oznacza to, że organy nadzorcze mogą na podstawie wzajemnych wniosków, udostępniać sobie pewne informacje i dane, jednak tylko i wyłącznie w celu ich ochrony lub zbadania powstałych zaniedbań. Tym samym GIDO ma obowiązek zachowania poufności podczas wykonywania zadań mających na celu ochronę danych osobowych.