Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


20.12.2018

Większa moc

QNAP Mustang-200
20.12.2018

Nowa era Wi-Fi

NETGEAR Nighthawk AX8
20.12.2018

Szybkie skanowanie

Brother ADS-1700W i ADS-1200
06.12.2018

Niższe moce

UPS Eaton 9SX
03.12.2018

Monitory dla MŚP

AOC E1
29.11.2018

Wykrycie szkodliwego...

Sophos Intercept X Advanced
27.11.2018

Automatyzacja zabezpieczeń

Red Hat Ansible Automation
23.11.2018

Nieograniczona skalowalność

SUSE Enterprise Storage 5.5
20.11.2018

Dwa procesory Threadripper

AMD Ryzen Threadripper 2970WX i 2920X

Absurdy RODO w świecie IT

Data publikacji: 20-12-2018 Autor: Tomasz Cygan

Już od ponad sześciu miesięcy obowiązuje rodo. Okres ten można scharakteryzować przez pryzmat dwóch elementów: panika (niekiedy bardzo przesadzona) podsycana publikacjami na temat kar i ich wysokości oraz absurdalne rozwiązania mające (w zamyśle ich twórców) chronić dane osobowe. W praktyce oba te elementy napędzały się wzajemnie, prowadząc do wniosku, że przed 25 maja 2018 r. ani nic nie słyszeliśmy o ochronie danych osobowych, ani ich nie chroniliśmy, o zabezpieczeniu systemów informatycznych czy sprzętu użytkowników nie wspominając.

 

Liczba absurdów w świecie bezpieczeństwa danych osobowych wcale nie maleje. Rozpocznijmy jednak od interpretacji, która odnosiła się do przetwarzania danych osobowych w sposób inny niż zautomatyzowany. Otóż dotyczyła ona oznaczeń na pomieszczeniach, czyli popularnych tabliczek z danymi w postaci imienia, nazwiska, względnie stanowiska osoby, która pracuje w danym miejscu. Aby zapewnić legalność takich oznaczeń, prezentowano koncepcję wypisywania ręcznie przez każdą osobę siedzącą w pomieszczeniu swoich danych osobowych, bowiem w ten sposób wyrażałaby ona zgodę na przetwarzanie danych w postaci imienia i nazwiska na owej tabliczce. Powyższe rozważania dobrze obrazują, że w niektórych sytuacjach sposoby interpretacji rodo doszły już do ściany. Żaden przecież przepis rodo nie wymaga w takim przypadku wyrażenia zgody na przetwarzanie danych osobowych. Tym bardziej gdy dotyczy to danych służbowych, a działania związane z podawaniem danych kontaktowych mieszczą się w zakresie obowiązków danego pracownika.

Podobną sytuacją było umieszczanie klauzuli zgody na przetwarzanie danych na rewersie tradycyjnej wizytówki. W opracowaniu „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców. Poradnik RODO”, opublikowanym w październiku 2018 roku, Prezes Urzędu Ochrony Danych Osobowych wskazał m.in.: „Informacje o pracowniku takie jak np. jego imię i nazwisko, czy właśnie służbowy adres e-mail są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Dane te mogą być wykorzystywane (np. udostępniane) przez pracodawcę nawet bez zgody pracownika, którego one dotyczą. Pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji i pozostających w kontakcie z podmiotami zewnętrznymi – kontrahentami, klientami. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika. Z tego też względu za dopuszczalne uznać także należy umieszczanie imion i nazwisk pracowników na drzwiach w zakładach pracy, na pieczątkach imiennych, pismach sporządzanych w związku z pracą oraz prezentowanie w informatorach o instytucjach i przedsiębiorstwach. Kwestie tego typu uregulowane powinny zostać w regulaminach pracy, a pracownik powinien być świadomy tego przed nawiązaniem stosunku pracy”.

> KORZYSTANIE Z POCZTY ELEKTRONICZNEJ

Odnosząc się do nietypowych i zazwyczaj nieznajdujących oparcia w rodo rozwiązań informatycznych, na wstępie podzielić je można na dwie kategorie: dotyczące użytkowania narzędzi informatycznych oraz dotyczące stosowania zabezpieczeń informatycznych; choć niejednokrotnie będą się one przenikały.

Największa liczba absurdalnych interpretacji rodo wiąże się z korzystaniem z poczty elektronicznej. Okazuje się, że z dniem 25 maja 2018 r. pojawiły się przepisy prawa regulujące zarówno treść maili, jak i podpisy w nich, sposób ich dystrybucji poza organizacją oraz wewnątrz organizacji.

W pierwszej kolejności można wskazać „rozwiązania” dotyczące wykorzystania szyfrowania przy prowadzeniu korespondencji elektronicznej. Zdarzają się sytuacje, w których z uwagi na rodo pusty formularz do wypełnienia jest przesyłany w formie zaszyfrowanej. Pusty, czyli w całości należy go wypełnić i dostarczyć w formie wydrukowanej opatrzonej włas­noręcznym podpisem. W związku z tym sytuację taką można ocenić jako minimalizującą ryzyko wycieku danych, których administrator jeszcze nie przetwarza.

Innym przykładem absurdalnego rozwiązania jest pomysł szyfrowania stopek w mailach jako zawierających dane osobowe. Podobną sytuacją jest usuwanie danych kontaktowych ze stron internetowych, zwłaszcza usuwanie danych pracowników handlowych, „bo rodo”. Obydwa rozwiązania zakwalifikować należy jako przeciwskuteczne – trudno bowiem prowadzić normalną działalność, gdy brak jest informacji, z kim można się kontaktować w sprawach dotyczących tej działalności. Pojawiają się też opinie, że rodo zabrania tworzenia służbowych adresów poczty elektronicznej przy użyciu danych kontaktowych (imię i nazwisko lub pierwsza litera imienia i nazwisko). Przepisu na to nie znaleźliśmy.

Osobną kategorią rozwiązań podobno wynikających z rodo są zakazy związane z dystrybucją poczty elektronicznej. Zdaniem niektórych rodo zabrania przekazywania wizytówek w sytuacji, gdy przełożony dostał ją od klienta np. w celach handlowych, a następnie przekazał podległemu pracownikowi w celu załatwienia sprawy. Zakaz ten nie ma nic wspólnego z przepisami rodo, ale spotkać można dalej idące interpretacje. Z rodo miałby wynikać też zakaz przekazywania („forwardowania”) korespondencji elektronicznej do osób właściwych do załatwienia sprawy, a także zakaz korzystania z opcji programów pocztowych „do wiadomości”.

Kolejnym pomysłem, który niekoniecznie przynosi zamierzony efekt, jest szyfrowanie wszystkich maili przesyłanych w ramach organizacji. Jako uzasadnienie takiego stanu rzeczy można usłyszeć, że „kiedyś mail został wysłany nie do tej osoby”. Samo rozwiązanie nie jest złe – zdarza się bowiem także w ramach jednej organizacji korespondencja, która powinna mieć ograniczony zakres odbiorców. Problemem jest jednak sytuacja wprowadzenia zasady, która nie jest w ogóle przestrzegana.

 

[...]

 

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12.

 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"