Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



07.08.2019

Kurzinformation it-sa, 8-10...

It-sa is one of the leading international trade fairs for IT security. With around 700...
08.07.2019

Narzędzie EDR

ESET Enterprise Inspector
08.07.2019

Usuwanie skutków awarii

Veeam Availability Orchestrator v2
08.07.2019

Indywidualna konfiguracja

baramundi Management Suite 2019
05.07.2019

Technologia Ceph

SUSE Enterprise Storage 6
05.07.2019

Szybkie i bezpieczne...

Konica Minolta bizhub i-Series
05.07.2019

Edge computing

Atos BullSequana Edge
04.07.2019

Terabitowa ochrona

Check Point 16000 i 26000
04.07.2019

Obsługa wideokonferencji

Poly G7500

Absurdy RODO w świecie IT

Data publikacji: 20-12-2018 Autor: Tomasz Cygan

Już od ponad sześciu miesięcy obowiązuje rodo. Okres ten można scharakteryzować przez pryzmat dwóch elementów: panika (niekiedy bardzo przesadzona) podsycana publikacjami na temat kar i ich wysokości oraz absurdalne rozwiązania mające (w zamyśle ich twórców) chronić dane osobowe. W praktyce oba te elementy napędzały się wzajemnie, prowadząc do wniosku, że przed 25 maja 2018 r. ani nic nie słyszeliśmy o ochronie danych osobowych, ani ich nie chroniliśmy, o zabezpieczeniu systemów informatycznych czy sprzętu użytkowników nie wspominając.

 

Liczba absurdów w świecie bezpieczeństwa danych osobowych wcale nie maleje. Rozpocznijmy jednak od interpretacji, która odnosiła się do przetwarzania danych osobowych w sposób inny niż zautomatyzowany. Otóż dotyczyła ona oznaczeń na pomieszczeniach, czyli popularnych tabliczek z danymi w postaci imienia, nazwiska, względnie stanowiska osoby, która pracuje w danym miejscu. Aby zapewnić legalność takich oznaczeń, prezentowano koncepcję wypisywania ręcznie przez każdą osobę siedzącą w pomieszczeniu swoich danych osobowych, bowiem w ten sposób wyrażałaby ona zgodę na przetwarzanie danych w postaci imienia i nazwiska na owej tabliczce. Powyższe rozważania dobrze obrazują, że w niektórych sytuacjach sposoby interpretacji rodo doszły już do ściany. Żaden przecież przepis rodo nie wymaga w takim przypadku wyrażenia zgody na przetwarzanie danych osobowych. Tym bardziej gdy dotyczy to danych służbowych, a działania związane z podawaniem danych kontaktowych mieszczą się w zakresie obowiązków danego pracownika.

Podobną sytuacją było umieszczanie klauzuli zgody na przetwarzanie danych na rewersie tradycyjnej wizytówki. W opracowaniu „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców. Poradnik RODO”, opublikowanym w październiku 2018 roku, Prezes Urzędu Ochrony Danych Osobowych wskazał m.in.: „Informacje o pracowniku takie jak np. jego imię i nazwisko, czy właśnie służbowy adres e-mail są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Dane te mogą być wykorzystywane (np. udostępniane) przez pracodawcę nawet bez zgody pracownika, którego one dotyczą. Pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji i pozostających w kontakcie z podmiotami zewnętrznymi – kontrahentami, klientami. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika. Z tego też względu za dopuszczalne uznać także należy umieszczanie imion i nazwisk pracowników na drzwiach w zakładach pracy, na pieczątkach imiennych, pismach sporządzanych w związku z pracą oraz prezentowanie w informatorach o instytucjach i przedsiębiorstwach. Kwestie tego typu uregulowane powinny zostać w regulaminach pracy, a pracownik powinien być świadomy tego przed nawiązaniem stosunku pracy”.

> KORZYSTANIE Z POCZTY ELEKTRONICZNEJ

Odnosząc się do nietypowych i zazwyczaj nieznajdujących oparcia w rodo rozwiązań informatycznych, na wstępie podzielić je można na dwie kategorie: dotyczące użytkowania narzędzi informatycznych oraz dotyczące stosowania zabezpieczeń informatycznych; choć niejednokrotnie będą się one przenikały.

Największa liczba absurdalnych interpretacji rodo wiąże się z korzystaniem z poczty elektronicznej. Okazuje się, że z dniem 25 maja 2018 r. pojawiły się przepisy prawa regulujące zarówno treść maili, jak i podpisy w nich, sposób ich dystrybucji poza organizacją oraz wewnątrz organizacji.

W pierwszej kolejności można wskazać „rozwiązania” dotyczące wykorzystania szyfrowania przy prowadzeniu korespondencji elektronicznej. Zdarzają się sytuacje, w których z uwagi na rodo pusty formularz do wypełnienia jest przesyłany w formie zaszyfrowanej. Pusty, czyli w całości należy go wypełnić i dostarczyć w formie wydrukowanej opatrzonej włas­noręcznym podpisem. W związku z tym sytuację taką można ocenić jako minimalizującą ryzyko wycieku danych, których administrator jeszcze nie przetwarza.

Innym przykładem absurdalnego rozwiązania jest pomysł szyfrowania stopek w mailach jako zawierających dane osobowe. Podobną sytuacją jest usuwanie danych kontaktowych ze stron internetowych, zwłaszcza usuwanie danych pracowników handlowych, „bo rodo”. Obydwa rozwiązania zakwalifikować należy jako przeciwskuteczne – trudno bowiem prowadzić normalną działalność, gdy brak jest informacji, z kim można się kontaktować w sprawach dotyczących tej działalności. Pojawiają się też opinie, że rodo zabrania tworzenia służbowych adresów poczty elektronicznej przy użyciu danych kontaktowych (imię i nazwisko lub pierwsza litera imienia i nazwisko). Przepisu na to nie znaleźliśmy.

Osobną kategorią rozwiązań podobno wynikających z rodo są zakazy związane z dystrybucją poczty elektronicznej. Zdaniem niektórych rodo zabrania przekazywania wizytówek w sytuacji, gdy przełożony dostał ją od klienta np. w celach handlowych, a następnie przekazał podległemu pracownikowi w celu załatwienia sprawy. Zakaz ten nie ma nic wspólnego z przepisami rodo, ale spotkać można dalej idące interpretacje. Z rodo miałby wynikać też zakaz przekazywania („forwardowania”) korespondencji elektronicznej do osób właściwych do załatwienia sprawy, a także zakaz korzystania z opcji programów pocztowych „do wiadomości”.

Kolejnym pomysłem, który niekoniecznie przynosi zamierzony efekt, jest szyfrowanie wszystkich maili przesyłanych w ramach organizacji. Jako uzasadnienie takiego stanu rzeczy można usłyszeć, że „kiedyś mail został wysłany nie do tej osoby”. Samo rozwiązanie nie jest złe – zdarza się bowiem także w ramach jednej organizacji korespondencja, która powinna mieć ograniczony zakres odbiorców. Problemem jest jednak sytuacja wprowadzenia zasady, która nie jest w ogóle przestrzegana.

 

[...]

 

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12.

 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"