Prawa i przepisy regulujące bezpieczeństwo cybernetyczne

Ogólne rozporządzenie o ochronie danych (UE) 2016/679[1] jest jednym z głównych międzynarodowych dokumentów prawnych bezpośrednio związanych z kwestią cyberbezpieczeństwa, choć nie jest ono skierowane przede wszystkim do sektora ICT.

"GDPR ≠ IT + oprogramowanie.

Nowe rozporządzenie o ochronie danych liczy 778 wierszy, a tylko 26 z nich jest bezpośrednio związanych z bezpieczeństwem informatycznym. Czy masz pojęcie, co zawierają pozostałe "

Mgr. Eva Škorničková[2]

To właśnie GDPR i realizacja obowiązków wynikających z tej regulacji pokazują, że wskazane jest kompleksowe podejście do kwestii bezpieczeństwa, a nie sztuczne wyodrębnianie obowiązków wynikających z różnych norm prawnych (w tym przypadku ustawy o cyberbezpieczeństwie i GDPR).

Celem niniejszej publikacji nie jest przedstawienie odrębnej i kompleksowej analizy GDPR. W tym miejscu zdefiniowane zostaną jedynie częściowe pojęcia oraz prawa i obowiązki wynikające z GDPR i pokrywające się z bezpieczeństwem cybernetycznym.

GDPR to ogólne ramy prawne dotyczące ochrony danych osobowych, obowiązujące w całej UE, a w niektórych przypadkach także poza nią. Główne cele GDPR to zapewnienie kompleksowej ochrony praw osób, których dane dotyczą, przed nieuprawnionym przetwarzaniem ich danych i danych osobowych, osiągnięcie równowagi między uzasadnionymi interesami administratorów, podmiotów przetwarzających i osób, których dane dotyczą, stworzenie systemu jednolitego egzekwowania przepisów i jednolitego mechanizmu sankcji w tej dziedzinie itp.

Gromadzenie i udostępnianie danych osobowych znacznie się nasiliło dzięki technologiom informacyjno-komunikacyjnym i związanym z nimi usługom. Technologie informacyjno-komunikacyjne pozwalają zarówno firmom prywatnym, jak i organom publicznym w niespotykanym dotąd zakresie wykorzystywać dane osobowe do prowadzenia swojej działalności. Z drugiej strony, można też zaobserwować masowe, dobrowolne ujawnianie danych osobowych przez zainteresowane osoby fizyczne.

Technologie informacyjno-komunikacyjne znacząco zmieniły gospodarkę i życie społeczne, dlatego powinny ułatwiać swobodny przepływ danych osobowych w Unii Europejskiej oraz przekazywanie ich do krajów trzecich i organizacji międzynarodowych. Równocześnie jednak technologie te i związane z nimi procesy powinny zapewniać wysoki poziom ochrony danych osobowych. [3]

Powyższe rozważania prowadzą jednak do interesującego paradoksu, który polega na następujących kwestiach:

·      Osoby fizyczne same i dobrowolnie ujawniają coraz większą ilość danych (zdjęć, nagrań wideo itp.) na swój temat, zazwyczaj korzystając z usług społeczeństwa informacyjnego w celu rozpowszechniania tych danych, które opierają się na umowach EULA[4] lub SLA[5] między użytkownikiem a dostawcą usług,

·      Większość danych osobowych jest publikowana na portalach społecznościowych, które ze swej natury oczekują takiej publikacji i określają w warunkach umownych zasady traktowania takich danych,

·      Osoby fizyczne, korzystając z wielu usług społeczeństwa informacyjnego, zakładają i często oczekują interakcji między tymi technologiami a swoją cyberosobowością[6] ,

·      Społeczność międzynarodowa, państwo i same osoby fizyczne wymagają większego bezpieczeństwa danych osobowych i uniemożliwienia dostępu do nich innym (zwykle nieuprawnionym) podmiotom, przy jednoczesnym zachowaniu pierwszych trzech punktów tego paradoksu.

Konsekwencja tego paradoksu jest oczywista. W związku z tym dostawcy usług społeczeństwa informacyjnego[7] muszą poświęcić więcej wysiłku na zabezpieczenie poszczególnych usług, które świadczą na rzecz użytkownika końcowego, na wyższy poziom bezpieczeństwa danych dotyczących użytkownika, na modyfikację istniejących warunków umownych oraz na wprowadzenie innych wymogów wynikających z GDPR.

7.2.1 Lokalny zakres GDPR

Można by pomyśleć, że sposobem na uniknięcie GDPR jest przeniesienie się poza jego zasięg, tj. poza UE. GDPR ma jednak zastosowanie, gdy:

·      siedziba administratora lub podmiotu przetwarzającego znajduje się w UE, niezależnie od tego, czy przetwarzanie odbywa się w UE,

·      administratorzy danych lub podmioty przetwarzające nie mają siedziby w UE, ale

Dzięki takiemu zdefiniowaniu lokalnego zakresu GDPR ma zasięg eksterytorialny i de facto będzie miało zastosowanie do wszystkich usług społeczeństwa informacyjnego, do których można uzyskać dostęp z terytorium geograficznego UE lub które monitorują zachowanie osób, których dane dotyczą, na terytorium UE.

7.2.2 Dane osobowe

Zgodnie z art. 4 ust. 1 GDPR, dane osobowe to "wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej". Możliwa do zidentyfikowania osoba fizyczna to osoba fizyczna, której tożsamość można ustalić bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator sieciowy lub jeden bądź kilka szczególnych elementów fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby fizycznej. "

Zgodnie z przepisami GDRP dane osobowe to wszelkie informacje (np. wizualne, pisemne, ustne, cyfrowe, genetyczne, medyczne itp.), które są powiązane (treść - np. imię i nazwisko, adres, stanowisko, adres e-mail itp.[9] Z tego punktu widzenia oraz zgodnie z interpretacją przedstawioną w motywach 30, 34, 35 i 38 GDPR[10] , za dane osobowe należy uznać następujące elementy:

·      imię i nazwisko,

·      numer identyfikacyjny,

·      numer urodzenia,

·      dane o lokalizacji (geo-),

·      wiek i data urodzenia,

·      płeć,

·      stan osobowy,

·      obywatelstwo,

·      identyfikatory sieci,

• Adres IP,
• identyfikatory plików cookie,
• identyfikatory o częstotliwości radiowej itp.,

·      fotografie,

·      elementy tożsamości fizycznej, fizjologicznej, genetycznej, psychologicznej, ekonomicznej, kulturowej lub społecznej,

·      adres osobisty lub służbowy,

·      numer telefonu osobistego lub służbowego,

·      prywatną lub służbową pocztę elektroniczną,

·      dane identyfikacyjne uwierzytelniania,

·      numery identyfikacyjne nadane przez państwo.

Dane osobowe zapisane pogrubioną czcionką dotyczą zazwyczaj technologii informacyjno-komunikacyjnych oraz aplikacji wykorzystujących te technologie. Rozszerzenie zakresu danych, które można uznać za dane osobowe, ma istotne implikacje dla bezpieczeństwa cybernetycznego i ochrony danych zarządzanych przez organizację.

Jeśli skupimy się na identyfikatorach sieciowych i danych uwierzytelniających, okaże się, że szereg danych, które umożliwiają podstawowe funkcjonowanie systemu komputerowego w sieci, może być i prawdopodobnie będzie uznawanych za dane osobowe.

Pytanie - czy adres IP to dane osobowe?

Oprócz GDPR w tej kwestii należy wziąć pod uwagę orzecznictwo Trybunału Sprawiedliwości UE, który wydał wyrok m.in. w sprawie Patrick Breyer przeciwko Republice Federalnej Niemiec. [11]

Patrick Bayer zwrócił się do sądów niemieckich o zaprzestanie przechowywania jego adresów IP, które zostały uzyskane podczas jego "wizyt" na kilku publicznie dostępnych stronach internetowych niemieckich władz federalnych. Z punktu widzenia operatorów odnośnych stron internetowych było to klasyczne logowanie usług oferowanych przez dostawcę usług internetowych.[12]

Sądy niemieckie zawiesiły postępowanie i zwróciły się do Trybunału Sprawiedliwości UE z pytaniem prejudycjalnym, ponieważ w tej sprawie nie ma jednolitej wykładni prawa UE.

W szczególności chodzi o to, czy kryterium "obiektywne" lub "względne" jest wymagane, by dane były danymi osobowymi, a zatem by można było zidentyfikować konkretną osobę.

"Obiektywne" kryterium oznacza, że dane takie jak adresy IP mogą być uznane za dane osobowe przetwarzane przez dostawcę usług innych niż połączenie (np. operatora strony internetowej), nawet jeśli tylko strona trzecia (zazwyczaj dostawca usług internetowych połączenia) byłaby w stanie zidentyfikować konkretnego użytkownika.

Kryterium "względności" oznacza, że adresy IP mogą być uznane za dane osobowe przez dostawcę usług internetowych, ponieważ umożliwiają mu dokładną identyfikację użytkownika, ale nie przez dostawcę usług, który w rzeczywistości dysponuje tylko danymi dotyczącymi adresów IP i nie zna nazwiska odwiedzającego.

TSUE orzekł, że bezsporne jest, iż dynamiczny adres IP nie stanowi informacji o "zidentyfikowanej osobie", ponieważ adres ten nie ujawnia bezpośrednio tożsamości osoby fizycznej będącej właścicielem komputera, z którego odwiedzono stronę internetową, ani tożsamości żadnej innej osoby, która mogła korzystać z tego komputera.

Z drugiej jednak strony Trybunał Sprawiedliwości (druga izba) uznał również (a następnie orzekł), że dynamiczny adres protokołu internetowego przechowywany przez dostawcę internetowych usług medialnych w związku z dostępem danej osoby do strony internetowej udostępnionej publicznie przez tego dostawcę stanowi dla tego dostawcy dane osobowe w rozumieniu art. 2 ust. 1 lit. a) Traktatu WE. (a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, pod warunkiem że dostawca dysponuje środkami prawnymi umożliwiającymi identyfikację osoby, której dane dotyczą, na podstawie dodatkowych informacji posiadanych przez dostawcę połączenia internetowego tej osoby.

Dynamiczny adres IP może w pewnych okolicznościach stanowić dane osobowe, zgodnie z tym wyrokiem z dnia 19 października 2016 r.

Wpływ faktu, że adres IP oraz inne identyfikatory sieciowe mogą być danymi osobowymi, pokazujemy na dwóch przykładach.

Poniższy rysunek przedstawia komunikację między komputerem PC a poszczególnymi elementami sieci (AP, serwer DHCP) oraz późniejsze podłączenie komputera PC do sieci.

Obraz:DHCP

Jeśli konsekwentnie skupimy się na danych (informacjach), które są związane z osobą, której dane dotyczą, i które umożliwiają jej identyfikację, to w tym przypadku danymi osobowymi nie będą tylko adres IP elementu łączącego i adres IP serwera DHCP.

Teoretycznie czas żądania również stanowi dane osobowe, ponieważ jest to ślad, który można wykorzystać do identyfikacji osoby fizycznej, zwłaszcza w połączeniu z unikalnymi identyfikatorami i innymi informacjami gromadzonymi przez serwery.[13] Jest to również bardzo ważna informacja, ponieważ bez dokładnego czasu nie można określić, komu (jakiemu systemowi komputerowemu) został przydzielony dany adres IP.

Innym przykładem ilustrującym zakres przetwarzania danych, które można uznać za dane osobowe, jest przetwarzanie danych osobowych podczas wysyłania wiadomości e-mail za pomocą protokołu SMTP.

Obraz:SMTP

I znów, jeśli konsekwentnie skupiamy się na danych (informacjach), które są związane z osobą, której dane dotyczą, i które umożliwiają jej identyfikację, to w tym przypadku danymi osobowymi nie będzie tylko adres IP serwera.

E-mail służbowy może ponownie stanowić dane osobowe, jeżeli zostaną z nim powiązane dodatkowe identyfikatory umożliwiające identyfikację osoby fizycznej.

Kluczowe pytanie brzmi, czy w kontekście wszystkich procesów zachodzących w systemach komputerowych (elementach TIK) zarządzanych przez dany podmiot (osobę fizyczną lub prawną) jesteśmy w stanie odróżnić sytuację, w której dane są przekazywane wyłącznie między systemami komputerowymi, bez związku z jakąkolwiek osobą fizyczną, od sytuacji, w której osoba fizyczna jako podmiot danych w rozumieniu GDPR jest już zaangażowana w te procesy.

Uważamy, że - poza szczególnymi wyjątkami - nie będziemy w stanie wyizolować procesów, które zachodzą bez udziału człowieka. Na podstawie tego stwierdzenia wymogi GDPR należy stosować do wszystkich procesów, w których przetwarzane są informacje związane z osobą, której dane dotyczą, i umożliwiające jej identyfikację. Jednocześnie konieczne będzie podjęcie odpowiednich środków bezpieczeństwa w celu właściwej ochrony zarówno systemu transmisji, systemów komputerowych i aplikacji przetwarzających takie informacje, jak i samych informacji (lub danych).

Oprócz powyższych danych osobowych, GDPR definiuje specjalne kategorie danych osobowych, które obejmują dane dotyczące:

·      pochodzenie rasowe lub etniczne,

·      religia,

·      poglądy polityczne,

·      członkostwo w związkach zawodowych lub innych organizacjach,

·      orientacja seksualna,

·      popełnianie wykroczeń (przestępstw/wykroczeń itp.) i bycie za nie ukaranym,

·      dane genetyczne (DNA i RNA),

·      dane biometryczne,

·      dane dotyczące zdrowia.

7.2.3 Przetwarzanie danych osobowych

Zgodnie z art. 4 ust. 2 GDRP przetwarzanie danych osobowych oznacza każdą operację lub zestaw operacji wykonywanych przy pomocy procesów zautomatyzowanych lub bez ich pomocy, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, pobieranie, konsultowanie, wykorzystywanie, ujawnianie przez transmisję, rozpowszechnianie lub jakiekolwiek inne ujawnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Ochrona osób, których dane dotyczą, ma zastosowanie do przetwarzania danych osobowych, jeśli dane te są przechowywane w rejestrze lub mają być do niego wprowadzone.[14]

Jednak pojęcie przetwarzania w rozumieniu GDPR nie może być rozumiane jako jakiekolwiek przetwarzanie danych osobowych. Przetwarzanie danych osobowych należy uznać za bardziej zaawansowaną działalność, którą administrator danych prowadzi z danymi osobowymi w określonym celu i z pewnej perspektywy robi to systematycznie. [15]

Z przetwarzania danych osobowych na mocy GDPR wyłączone są między innymi czynności wykonywane przez osobę fizyczną w czysto osobistym charakterze lub czynności wykonywane wyłącznie w domu, a więc bez związku z działalnością zawodową lub handlową. [16]

W art. 5 ust. 1 lit. a) GDPR określono zasady przetwarzania danych osobowych. Zgodnie z GDPR zasady te obejmują:

·      zgodność z prawem, rzetelność, przejrzystość [art. 5 ust. 1 lit. a) GDPR] - administrator danych jest zobowiązany:

-       zastosowane zabezpieczenia i środki ostrożności.

·      ograniczenie celu [art. 5 ust. 1 lit. b) GDPR] - dane osobowe muszą być gromadzone w określonych, jednoznacznych i legalnych celach i nie mogą być dalej przetwarzane w sposób niezgodny z tymi celami,

·      minimalizację danych [art. 5 ust. 1 lit. c) GDPR] - dane osobowe muszą być adekwatne i istotne w stosunku do celu, w jakim są przetwarzane,

·      dokładność [art. 5 ust. 1 lit. d) GDPR] - dane osobowe muszą być dokładne i w razie potrzeby aktualizowane; należy podjąć wszelkie uzasadnione kroki w celu niezwłocznego usunięcia lub poprawienia danych osobowych, które są niedokładne, z uwzględnieniem celów, dla których są przetwarzane,

·      ograniczenie przechowywania [art. 5 ust. 1 lit. e) GDPR] - dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, wyłącznie przez okres niezbędny do celów, w których są przetwarzane,

·      integralność i poufność [art. 5 ust. 1 lit. f) GDPR] - dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę za pomocą odpowiednich środków technicznych lub organizacyjnych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem technicznego i organizacyjnego bezpieczeństwa danych osobowych.

7.2.4 Bezpieczeństwo danych osobowych

Jednym z obszarów wyraźnie uwzględnionych w GDPR jest bezpieczeństwo przetwarzania danych osobowych.

Artykuł 32 GDPR stanowi, że administrator (lub podmiot przetwarzający, w zależności od przypadku) musi, uwzględniając stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania, a także różne prawdopodobne i różnie poważne zagrożenia dla praw i wolności osób fizycznych, podjąć odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa stosowny do danego ryzyka, w tym, w stosownych przypadkach:

·      pseudonimizację i szyfrowanie danych osobowych,

·      zdolność do zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

·      zdolność do przywrócenia dostępności i dostępu do danych osobowych w odpowiednim czasie w przypadku incydentów fizycznych lub technicznych,

·      proces regularnego testowania, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych stosowanych w celu zapewnienia bezpieczeństwa przetwarzania danych.

"Oceniając odpowiedni poziom bezpieczeństwa, należy wziąć pod uwagę w szczególności ryzyko związane z przetwarzaniem, zwłaszcza przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób. "[17]

Określenie ryzyka opiera się w szczególności na kategorii danych osobowych, których może dotyczyć naruszenie, charakterze naruszenia oraz liczbie osób, których dane dotyczą. Większe ryzyko stanowią bardziej "wrażliwe" dane osobowe (zob. np. specjalne kategorie danych osobowych), większy zbiór danych osobowych lub dane, które mogą wyrządzić szkodę osobie, której dane dotyczą, lub naruszyć jej prawa.

Zgodnie z art. 32 ust. 4 GDPR administrator i podmiot przetwarzający podejmują środki w celu zapewnienia, by każda osoba fizyczna działająca w imieniu administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała te dane osobowe wyłącznie na polecenie administratora, chyba że przetwarzanie jest już wymagane przez prawo Unii lub państwa członkowskiego.

7.2.5 Ocena wpływu na ochronę danych (DPIA)

Ocena skutków dla ochrony danych (DPIA) to narzędzie, które należy stosować, gdy określony rodzaj przetwarzania, w szczególności przy wykorzystaniu nowych technologii, może spowodować wysokie ryzyko dla praw i wolności osób fizycznych, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania. Jest to narzędzie, które może pomóc administratorom w identyfikacji potencjalnego ryzyka związanego z przetwarzaniem danych osobowych oraz we wprowadzeniu odpowiednich środków.

Ocena skutków dla ochrony danych musi być przeprowadzona w następujących przypadkach:

·      systematyczna i szeroko zakrojona ocena aspektów osobowych dotyczących osób fizycznych, oparta na zautomatyzowanym przetwarzaniu, w tym profilowaniu, na podstawie której podejmowane są decyzje wywołujące skutki prawne w odniesieniu do osób fizycznych lub mające podobnie znaczący wpływ na osoby fizyczne,

·      przetwarzanie szczególnych kategorii danych osobowych (danych biometrycznych lub danych dotyczących wyroków skazujących i przestępstw oraz związanych z nimi środków bezpieczeństwa),

·      szeroko zakrojone, systematyczne monitorowanie przestrzeni publicznie dostępnych,

·      wszelkie inne operacje, w przypadku których właściwy organ nadzorczy uzna, że przetwarzanie może stanowić wysokie ryzyko dla praw i wolności osób, których dane dotyczą.

Treść oceny skutków dla ochrony danych powinna obejmować:

·      opis planowanych operacji przetwarzania,

·      ocena konieczności i proporcjonalności operacji w odniesieniu do ich celu (test proporcjonalności),

·      ocenę zagrożeń dla praw i wolności uczestników,

·      środki planowane w celu przeciwdziałania tym zagrożeniom, w tym zabezpieczenia, środki bezpieczeństwa itp.

Samo GDPR zawiera również inne kategorie (np. pseudonimizacja, wymagania dotyczące usuwania lub przenoszenia danych osobowych itp.), które mogą odnosić się do czynności wykonywanych w ramach systemów informacyjno-komunikacyjnych i które wymagają odpowiedniego poziomu bezpieczeństwa i ochrony.

Niezbędne jest określenie wpływu GDPR na organizację, jej poszczególne części i procesy. De facto chodzi o przeprowadzenie audytu tego, gdzie dane osobowe są przetwarzane w związku z GDPR wszędzie w organizacji lub przez osobę fizyczną. Następnie procedura polega na modyfikacji lub tworzeniu zasad i procesów (w razie potrzeby) zarówno wewnątrz organizacji, jak i w odniesieniu do osoby, której dane dotyczą. Wszystkie te działania powinny być prowadzone z poszanowaniem podstawowych zasad bezpieczeństwa.

Podobnie jak w przypadku wdrażania zasad bezpieczeństwa w ogóle, przy wdrażaniu GDPR lub innych dokumentów i zaleceń należy pamiętać, że nie ma jednej zasady, modelu, narzędzia, rozwiązania czy procedury, która miałaby zastosowanie w każdej organizacji i w każdej sytuacji.

Należy przyjąć i wdrożyć własne rozwiązanie zgodne z GDPR.

Konieczne jest indywidualizowanie.