Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


07.06.2022

Red Hat Enterprise Linux 9

Red Hat zaprezentował system operacyjny Red Hat Enterprise Linux 9 (RHEL 9)...
07.06.2022

Technologiczna piaskownica

Koalicja partnerów KIR, IBM, Chmura Krajowa, PKO Bank Polski, Urząd Komisji Nadzoru...
07.06.2022

Sztuczna inteligencja w...

OVHcloud wprowadziło na rynek AI Notebooks – najnowszy element w ofercie usług...
07.06.2022

Spójna ochrona brzegu sieci

Fortinet zaprezentował FortiOS 7.2 – najnowszą wersję swojego flagowego systemu...
07.06.2022

Zarządzanie transferem

Firma Progress wypuściła nową wersję oprogramowania do zarządzania transferem plików...
07.06.2022

Notebook ekstremalny

Panasonic przedstawił 14-calowy Toughbook 40, notebook do pracy w ekstremalnych...
07.06.2022

Zestaw startowy dla robotyki

Firma AMD przedstawiła najnowszy produkt w portfolio adaptacyjnych modułów SOM...
07.06.2022

Precyzja kadrowania

Najnowsze rozwiązania klasy pro firmy Poly mają sprostać zmieniającym się potrzebom...
07.06.2022

Serwer klasy korporacyjnej

QNAP zaprezentował nowy model serwera NAS, TS-h1886XU-RP R2, który działa na systemie...

Zbieranie logów a ochrona danych osobowych

Data publikacji: 07-06-2022 Autor: Tomasz Cygan

Logi to źródło danych, czasem bardzo wrażliwych. Dlatego dopuszczalność ich zbierania i wykorzystywania nie może być oceniana tylko jako czynność mająca charakter techniczny. Istotne jest jej umocowanie organizacyjne. Trzeba wiedzieć, co o zbieraniu logów mówią przepisy oraz orzecznictwo.

 

Zbieranie logów z połączeń sieciowych to czynność czasem tak dyskretna, że nie jest odnotowywana jako przetwarzanie danych osobowych w stosownych rejestrach ani analizowana jako zagadnienie mające swoje oparcie w przepisach prawa. Może ono obejmować dane o pracownikach, klientach czy gościach. Czasem dane bardzo wrażliwe – w zależności od tego, czego dotyczy połączenie. Co za tym idzie, jest to czynność dająca dodatkową wiedzę o zachowaniach użytkowników, ich preferencjach czy zainteresowaniach, umożliwiająca wgląd w nie, a także stosowana jako forma kontroli nad wykorzystywaniem urządzeń oraz czasu. Dodatkowo ma walor dowodowy – czym byłaby informatyka śledcza bez analizy logów. Ale to także czynność istotna z punktu widzenia zapewniania cyberbezpieczeństwa – analiza ruchu sieciowego, wyłapywanie nietypowego ruchu czy transferu ma znaczenie dla ochrony zasobów i stanowi element defensywnego podejścia do cyberbezpieczeństwa.


Mimo wielorakiego wykorzystania zbieranie logów z połączeń sieciowych stanowi czynność dość dyskretną – takie „skanowanie w tle”. Bardzo często bez bieżącego przełożenia na funkcjonowanie organizacji – „kto by to analizował”, „jest tego zbyt dużo”. Przypominamy sobie o tej czynności najczęściej po jakimś incydencie, aby ustalić choćby wektor ataku, ale także sprawcę, okoliczności czy wyrządzoną szkodę. Wówczas sięgamy po logi jako źródło wiedzy – czasem wystarczą własne zapisy, a czasem musimy sięgnąć do providerów. Z punktu widzenia przepisów prawa o zagadnieniu przypominają nam dyskusje o okresie retencji danych pochodzących z połączeń telekomunikacyjnych, co stanowi jednak tylko wycinek regulacji w tym zakresie.


> Prawny punkt widzenia


Czym jest zbieranie logów z połączeń sieciowych? Od strony technicznej odpowiedź na to pytanie jest prosta. Od strony organizacyjnej – niekoniecznie. Co istotne, dopuszczalność zbierania i wykorzystywania logów nie może być oceniana wyłącznie jako czynność o charakterze technicznym. Ważne jest jej umocowanie organizacyjne. W tym celu warto sprawdzić, jak zbieranie logów kwalifikują przepisy oraz orzecznictwo.
Ogólne rozporządzenie o ochronie danych, znane jako rodo, zawiera istotną wskazówkę. Zgodnie z motywem 49: „Przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji – tj. zapewnienia odporności sieci lub systemu informacyjnego na danym poziomie poufności na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych – oraz bezpieczeństwa związanych z nimi usług oferowanych lub udostępnianych poprzez te sieci i systemy przez organy publiczne, zespoły reagowania na zagrożenia komputerowe, zespoły reagowania na komputerowe incydenty naruszające bezpieczeństwo, dostawców sieci i usług łączności elektronicznej oraz dostawców technologii i usług w zakresie bezpieczeństwa jest prawnie uzasadnionym interesem administratora, którego sprawa dotyczy. Może to obejmować na przykład zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu «odmowa usługi», a także przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej”.


Równie szeroko do zagadnienia podchodzi Międzynarodowa Organizacja Pracy, która w Protection of workers’ personal data z 1997 r. określa monitoring jako korzystanie z urządzeń takich jak komputery, aparaty fotograficzne, sprzęt wideo, urządzenia dźwiękowe, telefony i inny sprzęt komunikacyjny, różne metody ustalania tożsamości i lokalizacji lub dowolne inne metody nadzoru.


Z kolei w wyroku z 6 czerwca 2012 r. Wojewódzki Sąd Administracyjny w Warszawie (II SA/Wa 453/12) zauważył, że: „Oprogramowanie zbierające informacje o połączeniach pomiędzy siecią wewnętrzną Spółki a siecią publiczną, zastosowane w ramach monitoringu (kontroli) (…) w istocie stanowi też monitoring pracownika w miejscu pracy, skoro pozwala na sprawdzenie wykazów odwiedzanych stron internetowych, czasu zainicjowanych połączeń, adresów stron lub plików, z którymi nastąpiło połączenie. Taki monitoring, jak podkreśla się w piśmiennictwie, musi spełniać wymogi zgodności z prawem, usprawiedliwionego celu, proporcjonalności, transparentności oraz uwzględnienia przepisów o ochronie danych osobowych. Wymóg transparentności oznacza zaś, że pracownicy powinni mieć świadomość, iż są poddawani monitoringowi. Pracodawca winien zatem szczegółowo określić zasady monitoringu i zapoznać z nimi pracowników, którzy fakt zapoznania się powinni potwierdzić stosownym podpisanym oświadczeniem o ich akceptacji. Kwestie monitoringu w miejscu pracy były wielokrotnie przedmiotem orzecznictwa Europejskiego Trybunału Praw Człowieka”.


Z kolei Naczelny Sąd Administracyjny w wyroku z 13 lutego 2014 r. (I OSK 2436/12) wskazał, że: „Niepoinformowanie pracownika o istnieniu funkcjonalności systemu polegającej na gromadzeniu informacji pomiędzy siecią wewnętrzną a siecią internet powoduje, że skarżący nie ma świadomości, że jest poddawany monitoringowi, a brak ten pozbawia prowadzonego monitoringu transparentności i narusza prawo do prywatności. Przy przyjęciu, że monitoring systemu informatycznego jest niezbędny dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez pracodawcę jako administratora danych, art. 23 ust. 1 pkt 5 u.o.d.o. nie może być przesłanką legalnego przetwarzania danych osobowych, gdyż przetwarzanie to narusza prawo do prywatności w sytuacji, kiedy pracownik nie ma świadomości monitoringu użytkowania komputera”.


> Pracodawca zbiera logi


Temat dość powszechny, ale nie zawsze mieszczący się w procedurach. Co istotne, w jego przypadku znamy dość szczegółowe wymagania prawne. Dostarczają ich przepisy ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (tekst jedn. DzU z 2020 r., poz. 1320 ze zm.; dalej: kp) ustalające zasady monitorowania pracowników. Co prawda art. 22 (3) § 1 kp stanowi wyłącznie o kontroli służbowej poczty elektronicznej, gdy jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, ale § 4 tego przepisu nakazuje stosować reguły dotyczące monitorowania pracowników do innych form monitoringu, jeżeli jego stosowanie jest konieczne do realizacji celów wskazanych powyżej. Innymi słowy, gdy wymaga tego organizacja pracy umożliwiająca pełne wykorzystanie czasu pracy oraz właściwe użytkowanie udostępnionych pracownikowi narzędzi pracy, wówczas można stosować inne formy monitoringu. Tutaj jednak sytuacja jest nieco inna – zbieranie logów po prostu ma miejsce w przypadku korzystania z sieci i ten proces należy zalegalizować. Brak legalizacji oznaczałby niemożność sięgnięcia po zebrany w ten sposób materiał. Warto w tym miejscu przypomnieć o odpowiedzialności z art. 267 § 3 ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (tekst jedn. DzU z 2021 r., poz. 2345 ze zm.; dalej: kk), której podlega ten, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. Bez uprawnienia oznacza, że bezprawność opisanego zachowania zawsze zostanie uchylona, gdy sprawca działa w granicach przysługujących mu uprawnień. Jako przykładowe zachowania penalizowane art. 267 kk wskazać można sniffing, stosowanie keyloggerów czy phishingu, ale także monitorowanie użytkownika bez dopełnienia odpowiednich obowiązków o charakterze informacyjnym w postaci stosownych zapisów w układzie zbiorowym pracy, regulaminie pracy albo w obwieszczeniu.


Nie stanowi bowiem legalizacji monitorowania połączeń sieciowych samo wdrożenie rozwiązania, co – jak już wspomniano – i tak najczęściej ma miejsce na skutek samego ustanowienia sieci i połączeń sieciowych. Przepisy kodeksu pracy nakładają w takim przypadku na pracodawcę kilka obowiązków:

 

  • poinformowanie o celach, zakresie i sposobach monitoringu pracownika w układzie zbiorowym pracy lub regulaminie pracy, a w przypadku ich braku – w formie obwieszczenia;
  • wprowadzenie możliwości stosowania monitoringu pracownika dopiero po upływie dwóch tygodni od poinformowania o nim pracowników w sposób zwyczajowo przyjęty u danego pracodawcy;
  • poinformowanie na piśmie o monitoringu pracownika przed dopuszczeniem go do pracy wraz z umieszczeniem potwierdzenia poinformowania pracownika o celu, zakresie oraz sposobie zastosowania monitoringu w aktach pracowniczych;
  • stosowanie oznaczeń o monitoringu pracownika;
  • wypełnienie obowiązków informacyjnych w sposób zgodny z art. 12 i 13 rodo.


Z kolei patrząc na zagadnienie szerzej, należy dodatkowo wspomnieć o konieczności dokonania stosownych zapisów w rejestrze czynności przetwarzania oraz o zawarciu umów powierzenia, jeżeli czynności w tym zakresie są wykonywane przez podmiot trzeci działający w imieniu pracodawcy. Co dość istotne, należy pamiętać o danych pochodzących z logów, choćby opisując rodzaj i zakres powierzonych danych zgodnie z wymaganiami wynikającymi z art. 28 ust. 3 rodo. Osobną kwestią jest dokonanie oceny skutków przetwarzania danych ukryte pod skrótem DPIA (Data Protection Impact Assess­ment). Komunikat Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony wskazuje bowiem: rodzaje lub kryteria dla operacji przetwarzania, dla których wymagane jest przeprowadzenie oceny; potencjalne obszary wystąpienia lub istniejące obszary zastosowań; przykłady operacji, zakresu danych lub okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania (ramka Ocena skutków przetwarzania danych).

 

[...]

 

Autor jest adwokatem, inspektorem ochrony danych, wykładowcą i publicystą.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"