Przeglądana kategoria

cyberbezpieczeństwo

cyberbezpieczeństwo nowe technologie ochrona danych osobowych sztuczna inteligencja

Sztuczna inteligencja pod lupą europejskich organów ochrony danych osobowych

17 sierpnia 2021

Sztuczna inteligencja, jakkolwiek wielu z nas kojarzy się bardziej z filmami z gatunku science fiction niż z rzeczywistością, powoli wkracza w wiele obszarów naszego życia – od systemów zawartych w smartfonach i samochodach po urządzenia obrazowania termicznego znajdujące się na lotniskach.

Projekt unijnego rozporządzenia w sprawie sztucznej inteligencji

Tempo zmian technologicznych i wyzwania jakie stawia rozwój techniki prawodawstwom skłonił Komisję Europejską do uregulowania kwestii sztucznej inteligencji na poziomie formalnym, co skutkowało publikacją w 2018 r. europejskiej strategii na rzecz sztucznej inteligencji, zaś w 2020 r. białej księgi w sprawie sztucznej inteligencji. Z kolei w dniu 21 kwietnia 2021 r., po przeprowadzeniu wielomiesięcznych konsultacji, opublikowano wniosek w sprawie projektu ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji (akt w sprawie sztucznej inteligencji).

Przy tworzeniu projektu rozporządzenia z jednej strony brano pod uwagę potrzebę ochrony praw podstawowych uregulowanych w Karcie praw podstawowych Unii Europejskiej oraz interesów publicznych i prywatnych, z drugiej zaś strony – ustanowiono mechanizmy pozwalające na rozwój i wdrażanie sztucznej inteligencji w Unii. Intencją Komisji było zbudowanie zaufania do systemów sztucznej inteligencji, poprzez wyważenie potrzeb pomiędzy coraz częstszym jej wykorzystywaniem a ryzykiem jakie niesie ona ze sobą dla wielu dziedzin naszego życia.

Projekt rozporządzenia określa m. in. zasady stosowania systemów sztucznej inteligencji wysokiego ryzyka, zasady stosowania systemów rozpoznawania emocji (służących do rozpoznawania lub odgadywania emocji lub zamiarów osób na podstawie danych ich biometrycznych), systemów kategoryzacji biometrycznej (służących do przypisywania osób do określonych kategorii, takich jak płeć, wiek, kolor włosów, tatuaże, pochodzenie etniczne lub orientacja seksualna bądź polityczna, na podstawie ich danych biometrycznych), obowiązki dostawców i użytkowników systemów oraz zasady certyfikacji systemów. Wprowadzono także wysokie kary za nieprzestrzeganie przepisów rozporządzenia.

Dane osobowe a sztuczna inteligencja

Jedną z kwestii, która od początku budziła szczególne zainteresowanie, była kwestia ochrony danych osobowych osób fizycznych w kontekście ich przetwarzania w systemach sztucznej inteligencji. Jak wiemy, ochrona danych osobowych, od czasu wejścia w życie RODO, zyskała szczególne znaczenie. Nie dziwi więc zainteresowanie europejskich organów ochroną danych osobowych w systemach sztucznej inteligencji.

W projekcie rozporządzenia przesądzono m. in., że:

  • wszelkie dane osobowe przetwarzane w systemach znajdować się muszą w funkcjonalnie wyodrębnionym, odizolowanym, kontrolowanym i chronionym środowisku, a dostęp do nich posiadać mogą wyłącznie upoważnione osoby;
  • żadne przypadki przetwarzania danych osobowych nie mogą prowadzić do wdrożenia środków lub podjęcia decyzji wywierających wpływ na osoby, których dane dotyczą;
  • wprowadzono zakaz stosowania systemów wykorzystujących techniki podprogowe będące poza świadomością danej osoby w celu istotnego zniekształcenia zachowania tej osoby w sposób, który powoduje lub może powodować u niej lub u innej osoby szkodę fizyczną lub psychiczną;
  • wprowadzono zakaz wykorzystywania do celów egzekwowania prawa, z wyjątkiem zamkniętej listy trzech sytuacji, systemów do zdalnej identyfikacji biometrycznej osób fizycznych „w czasie rzeczywistym” w przestrzeni publicznej.

Systemy, o jakich mowa w ostatnim z ww. punktów, to systemy służące do rozpoznawanie danych np. twarzy, chodu, odcisków palców, DNA, głosu i innych sygnałów biometrycznych lub behawioralnych i służące do identyfikacji osób fizycznych na odległość, poprzez porównanie danych biometrycznych takiej osoby z danymi zgromadzonymi w rejestrze. Działanie systemów „w czasie rzeczywistym” oznacza że pobranie danych, porównanie i identyfikacja osoby następują niemalże natychmiast, a w każdym razie bez znacznego opóźnienia. Gdzie takie systemy mogą być wykorzystywane? Wyobraźmy sobie chociażby możliwość niemalże natychmiastowego ustalenia sprawcy przestępstwa na podstawie nagrania z kamery przesyłowej, po porównaniu cech jego twarzy lub chodu z danymi w rejestrze. Z drugiej strony – możliwość ustalenia tożsamości uczestników pokojowego zgromadzenia i wykorzystania tych informacji w celach politycznych. Dlatego też, oprócz pozytywnego efektu w zakresie walki z przestępczością, zastosowanie takich systemów może mieć ogromny wpływ na życie prywatne każdego z nas, poprzez wywoływanie poczucia stałego nadzoru i zniechęcania np. do korzystania z wolności zgromadzeń. W konsekwencji zastosowanie tychże systemów ograniczono do trzech przypadków, m. in. poszukiwania ofiar przestępstw, w tym zaginionych dzieci, zapobiegania zagrożeniu życia lub bezpieczeństwa osób lub atakowi terrorystycznemu.

Rekomendacje EROD i EIOD

W związku z trwającymi konsultacjami projektu rozporządzenia, w dniu 18 czerwca 2021 r. głos w jego sprawie zabrały Europejska Rada Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD), wydając wspólną opinię w sprawie projektu rozporządzenia. Jakkolwiek  uznano projekt rozporządzenia za dobry krok, wezwano jednocześnie do kategorycznego wprowadzenia zakazu wykorzystywania sztucznej inteligencji do automatycznego rozpoznawania cech ludzkich w przestrzeni publicznej, w jakimkolwiek kontekście. Wyrażono wręcz opinię, że wdrożenie takich systemów w przestrzeni publicznej oznaczać będzie koniec anonimowości.

W opinii zalecono także wprowadzenie zakazu stosowania systemów sztucznej inteligencji wykorzystujących dane biometryczne do podziału osób na grupy ze względu na pochodzenie etniczne, płeć, poglądy polityczne lub orientację seksualną, czy z innych względów, które mogą prowadzić do niesprawiedliwej dyskryminacji.

EROD i EIOD uznały także, że wykorzystywanie systemów sztucznej inteligencji do odgadywania emocji osób powinno być zabronione, z wyjątkiem kilku ściśle określonych przypadków, takich jak niektóre cele zdrowotne, gdzie istotna jest diagnoza stanu emocjonalnego pacjenta. Za szczególnie niepożądane uznano wykorzystywanie sztucznej inteligencji do wszelkiego rodzaju oceny punktowej zachowań społecznych.

Konsultacje wniosku w zakresie projektu rozporządzenia nadal trwają.

Treść opinii EROD i EIOD pokazuje, że zabrały one ważny i potrzebny głos w sprawie dyskusji nad sztuczną inteligencją.

Autor wpisu: Marta Pasztaleniec

cyberbezpieczeństwo nieuczciwa konkurencja tajemnica przedsiębiorstwa

Praca zdalna a tajemnica przedsiębiorstwa

5 maja 2020

Epidemia wirusa SARS-CoV-2 wymusiła daleko idące zmiany w organizacji pracy na całym świecie. Pracodawcy zaczęli korzystać z modelu pracy zdalnej, wykonywanej przez pracowników z domu. Nowe zasady realizacji obowiązków służbowych dotyczą w szczególności osób, dla których podstawowym (często nawet jedynym) narzędziem pracy jest komputer. Konieczność nagłej adaptacji do odmiennych warunków spowodowała, iż wielu pracowników rozpoczęło pracę na urządzeniach prywatnych. Wykorzystanie własnych komputerów zdecydowanie pozwala na realizacje zadań oraz zachowanie ciągłości pracy, a tym samym umożliwia funkcjonowanie pracodawców na rynku. Taka forma wykonywania obowiązków służbowych wiąże się jednak z poważnymi zagrożeniami, m.in. w zakresie ochrony tajemnicy przedsiębiorstwa.

Prywatny komputer  w pracy

Na wstępie należy zwrócić uwagę na treść art. 11 ust. 2 ustawy o zwalczaniu nieuczciwej konkurencji. Zgodnie z tym przepisem dla uznania danej informacji za tajemnicę przedsiębiorstwa konieczne jest m.in. podjęcie, przy zachowaniu należytej staranności, działania w celu utrzymania jej w poufności. Niedopełnienie takiego obowiązku może mieć dwie istotne konsekwencje. W wymiarze faktycznym, skutkować może ujawnieniem poufnych danych, co w rezultacie może prowadzić do powstania znacznej szkody dla przedsiębiorcy. Istotnie ograniczona zostanie również możliwość przeciwdziałania skutkom nieuprawnionego rozpowszechnienia takich informacji. Nie będą one stanowić tajemnicy przedsiębiorstwa, a tym samym przedsiębiorca straci prawo do skorzystania z roszczeń przysługujących na podstawie wspomnianej powyżej ustawy.

Dla podjęcia skutecznych działań służących zachowaniu poufności informacji niezbędne jest ustalenie podstawowych zagrożeń, mogących doprowadzić do ich upublicznienia. Należ zastanowić się nad podstawowymi ryzykami, charakterystycznymi dla wykonywania pracy zdalnej na prywatnym komputerze pracownika.

Ryzyko ujawnienia/wycieku danych

Pierwsze, istotne zagadnienie stanowi problem zagwarantowania minimalnego stopnia bezpieczeństwa informatycznego komputera. W przypadku urządzeń służbowych kwestia ta należy do obowiązków pracowników działów IT, którzy posiadają odpowiednią wiedzę oraz niezbędne w tym zakresie narzędzia. Stopień zabezpieczenia komputerów prywatnych nie jest w żaden sposób regulowany przez pracodawcę. Bezpieczeństwo takiego urządzenia zależy wyłącznie od samego pracownika. Przykładowo, brak bieżącej aktualizacji oprogramowania, pobierane plików z niezaufanego źródła oraz brak ochrony antywirusowej, prowadzić mogą do nieświadomej instalacji programu szpiegującego. Przestępcy zwykle nie znają tożsamości ofiary, ale poszukują na przejętych komputerach wszelkich poufnych informacji, które potencjalnie mogą zapewnić im zysk. Zdobycie takich danych umożliwia im szantaż pracodawcy lub handel pozyskanymi informacjami.

„Zainfekowanie” komputera szkodliwym oprogramowaniem może mieć także dalsze konsekwencje. Urządzenia takie najczęściej służą łączeniu się z firmową siecią pracodawcy oraz logowaniu do aplikacji niezbędnych do wykonywania pracy (np. poczta e-mail). Tym samym przestępca może uzyskać nieautoryzowany dostęp do informacji nierzadko znacznie wykraczających poza te zawarte w plikach znajdujących się na komputerze. Dlatego ochrona komputerów szeregowych pracowników jest równie istotna, jak urządzeń należących do osób sprawujących kierownicze funkcje.

Ujawnienie tajemnicy przedsiębiorstwa nie musi jednak wynikać z ingerencji osób trzecich. Do wycieku poufnych danych może przyczynić się również sam pracownik, w szczególności, gdy nie posiada odpowiedniej wiedzy lub korzysta z komputera innego z domowników. Przykładowo niektóre systemy operacyjne oferują możliwość automatycznego tworzenia kopii plików w „chmurze”, co oznacza, że dokumenty zawierające istotne informacje, mogą omyłkowo trafić na serwery zewnętrznych podmiotów, często bez świadomości samego pracownika oraz, tym bardziej, bez wiedzy pracodawcy. Należy także zauważyć, że dostęp do takiej „chmury” mogą mieć również osoby trzecie, niezwiązane z danym przedsiębiorstwem.

Istotnym pozostaje również fakt, iż z prywatnego komputera często korzystają również domownicy pracownika. Użytkowanie jednego urządzenia przez wiele osób, w tym, np. dzieci, również może przyczynić się do upublicznienia plików zawierających poufne dane. Samo stwierdzenie, że domownicy mieli nieograniczony dostęp do formalnie niejawnych informacji, może skutkować odmową udzielania ochrony przysługującej tajemnicy przedsiębiorstwa.

Zabezpieczenia IT

W praktyce ryzyka opisane powyżej mogą zostać znacząco zminimalizowane przez stosunkowo proste działania. Sama aktualizacja wykorzystywanego oprogramowania oraz włączenie systemowej ochrony przeciw wirusowej istotnie poprawia  bezpieczeństwo komputera. Stworzenie odrębnego konta użytkownika, zabezpieczonego hasłem, dodatkowo ogranicza niebezpieczeństwo przypadkowego udostepnienia poufnych informacji przez domowników. Nie można jednak wymagać, aby to sami pracownicy rozpoznawali zagrożenia oraz podejmowali odpowiednie środki ochrony. Znaczna ich część może nie posiadać odpowiedniej wiedzy, koniecznej dla samodzielnego zabezpieczenia komputera, a niektóre pozorne środki ochrony, użyte w nieodpowiedni sposób, mogą przynieść całkowicie przeciwny skutek.

Konieczny regulamin

Mając na uwadze powyższe, ochrona poufnych danych powinna zostać odgórnie zarządzona przez pracodawcę przed lub w pierwszych dniach rozpoczęcia pracy zdalnej, np. w postaci regulaminu. Forma prawna wspomnianego dokumentu zależeć będzie od zasad organizacyjnych obowiązujących u danego przedsiębiorcy, niemniej powinien on mieć charakter wiążący dla każdego z pracowników. Regulamin powinien zawierać szczegółowe wytyczne związane z korzystaniem z komputerów prywatnych. Pozwoli to ustalić jednolite zasady postepowania z dokumentami zawierającymi tajemnice przedsiębiorstwa, które stosowane będą przez wszystkich pracowników. W regulaminie nie powinno się zatem używać ogólnikowych stwierdzeń, takich jak, np. „niezbędne środki”. Najbezpieczniejszym rozwiązaniem jest przyjęcie założenia, że żaden z pracowników nie dysponuje wiedzą o środkach ochrony tajemnicy przedsiębiorstwa. Tym samym nie będzie on w stanie określić jakie środki są faktycznie „niezbędne”.

Właściwe sporządzony oraz przyjęty regulamin, służyć może również jako potwierdzenie, iż pracodawca podjął kroki niezbędne do zachowania poufności informacji. Tym samym, w przypadku ich upublicznienia, nadal będzie przysługiwać mu ochrona wynikająca z przepisów ustawy o zwalczaniu nieuczciwej konkurencji.

Opisane powyżej ryzyka stanowią jedynie przykładowa listę zagrożeń dla tajemnicy przedsiębiorstwa, specyficznych dla pracy zdalnej na prywatnym komputerze pracownika. Zauważyć należy, iż kompleksowe zapewnienie bezpieczeństwa wymaga uwzględnienia wielu dodatkowych czynników, zarówno w przypadku wykorzystywania komputerów prywatnych, jak i służbowych. W praktyce rodzaje zagrożeń oraz możliwe środki zaradcze różnić będą się u każdego przedsiębiorcy. Niewątpliwie jednak, w każdym przypadku istotne będzie opracowanie zbioru zasad dotyczących wykonywania pracy zdalnej.

Na ten temat piszemy także w Puls Biznesu z dn. 03.05.2020

cyberbezpieczeństwo prawo IT

Dostawcy usług cyfrowych muszą dbać o cyberbezpieczeństwo

21 listopada 2017
cyberbezpieczeństwo

Główne założenia ustawy

Ostatnimi czasy na łamach portalu BiznesAlert przedstawiliśmy krótką analizę nowego projektu ustawy o krajowym systemie cyberbezpieczeństwa, implementującej europejską dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (2016/1148/UE, dalej jako: „Dyrektywa NIS”), w kontekście przedsiębiorstw kluczowych dla gospodarek państwowych.

Jednakże, opisywany przez nas projekt nie ogranicza się wyłącznie do uregulowania statusu oraz nałożenia obowiązków i praw na operatorów kluczowych. Ustawa dotyka również następujących kwestii:

  • organizacji krajowego systemu cyberbezpieczeństwa,
  • zadań i obowiązków podmiotów wchodzących w skład ww. systemu (w tym operatorów kluczowych, dostawców usług cyfrowych, podmiotów publicznych),
  • sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy przez ww. jednostki,
  • zakresu oraz trybu stanowienia Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.

Kim są dostawcy usług cyfrowych?

Niniejszym artykułem pragniemy przybliżyć obowiązki nałożone na kolejną kategorię podmiotów odpowiedzialnych za cyberbezpieczeństwo. Jak bowiem wynika z projektu ustawy, do zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych – oprócz usługodawców prowadzących działalność w sektorach priorytetowych dla gospodarki i społeczeństwa – będą również zobowiązani tzw. dostawcy usług cyfrowych.

Na gruncie projektowanej ustawy pod pojęciem dostawców usług cyfrowych określamy:

  • podmioty świadczące usługi cyfrowe, w tym internetowe platformy handlowe (Allegro, eBay, AliExpress), usługi przetwarzania w chmurze (Microsoft Azure, Dropbox), wyszukiwarki internetowe (Google, Yahoo, DuckDuckGo),
  • zatrudniające nie mniej niż 50 pracowników,
  • osiągające roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz operacji finansowych przekraczający równowartość w złotych 10 milionów euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat przekroczyły równowartości w złotych 10 milionów euro.

W jaki sposób usługodawcy mają zapewnić cyberbezpieczeństwo?

Usługodawcy cyfrowi zostali zobowiązani do wdrożenia odpowiedniego systemu zarządzania incydentami. System ten – przy pomocy proporcjonalnych do ryzyka środków technicznych i zabezpieczających – ma zapewnić cyberbezpieczeństwo świadczonych przez nich usług. Pomimo prozaicznej treści takiego przepisu, prawne zobligowanie dostawców cyfrowych do zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych zdaje się być w dzisiejszych czasach być potrzebne i konieczne. Wskazują na to chociażby szeroko opisywane przez prasę zagraniczną incydenty; np. wyciek danych osobowych około 77 mln konsumentów, korzystających z usług Sony Playstation Network.

Powyższe wydarzenia dowodzą jedynie jak bardzo elastycznie przedsiębiorstwa winny podchodzić do wdrożenia odpowiednich zabezpieczeń. Ustawodawca europejski i polski, zauważając ten problem, zobligował usługodawców cyfrowych do ciągłego uwzględniania najnowszego w tym przedmiocie stanu wiedzy. Rozwój techniczny w obszarze cyberbezpieczeństwa ma zapewnić powstanie środków zabezpieczających oraz minimalizujących wpływ incydentów na funkcjonowanie sieci i systemów informatycznych przedsiębiorców.

Dostawcy cyfrowi zostaną również zobligowani do identyfikacji incydentów, ich klasyfikacji oraz zgłaszania istotnych naruszeń do CIRST NASK. Tego rodzaju informacje usługodawcy powinni również zgłaszać operatorom usługi kluczowej, którzy świadczą swoje usługi za pośrednictwem podmiotów dostarczających platformy i aplikacje cyfrowe.

Prawo właściwe

Świadczenie usług cyfrowych na terytorium UE oraz EFTA będzie podlegać prawu polskiemu, w przypadku gdy główna siedziba dostawcy (utożsamiana z siedzibą zarządu przedsiębiorstwa) znajduje się w RP. Prawu polskiemu będzie również podlegać ten usługodawca, który świadczy usługi w kliku państwach i wyznacza przedstawiciela, działającego na terytorium RP. Natomiast, gdy serwer informatyczny będzie się znajdował w innym miejscu niż fizyczna siedziba dostawcy, organy RP będą dodatkowo zobligowane do współpracy i udzielania pomocy analogicznym instytucjom w państwie położenia przedmiotowego serwera.

 

O obowiązkach przedsiębiorstw kluczowych na gruncie projektu ustawy o krajowym systemie cyberbezpieczeństwa pisała Aleksandra Modzelewska na portalu Biznes Alert w artykule pt.: „Cyberbezpieczeństwo przedsiębiorstw kluczowych„.

O dyrektywie NIS pisała na portalu Biznes Alert Ewelina Ocipińska w artykule pt.: „Czy implementacja dyrektywy NIS poprawi cyberbezpieczeństwo w UE?„. Artykuł został również opublikowany na blogu IP Procesowo.

cyberbezpieczeństwo ochrona danych osobowych

Nowe rozporządzenie o ochronie danych osobowych wprowadza zmianę modelu ochrony

14 lutego 2017

Głównym motywem zmiany modelu ochrony danych osobowych na terytorium Unii Europejskiej (Europejskiego Obszaru Gospodarczego) była z jednej strony chęć zwiększenia skuteczności ochrony danych osobowych jako prawa podstawowego przewidzianego m.in. w Karcie Praw Podstawowych (art. 8) oraz Traktacie o funkcjonowaniu UE (art. 16), z drugiej zaś konieczność dostosowania unijnych regulacji prawnych do potrzeb wynikających z ciągłego rozwoju nowych technologii oraz postępującej cyfryzacji.

Konieczność zmiany modelu ochrony danych osobowych

Mająca ponad 20 lat Dyrektywa 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (zwana dalej: Dyrektywą) jawiła się jako instrument przestarzały, nieprzystosowany do nowych zjawisk, takich jak komercjalizacja Internetu, intensyfikacja transgranicznego przepływu danych czy też nowych metod przetwarzania danych np. w ramach chmury obliczeniowej (ang. cloud computing). Co więcej, Dyrektywa nie zapewniała w sposób wystarczający bezpieczeństwa danych osobowych obywateli Unii (EOG) w przypadku transferu danych do tzw. „państw trzecich”, czyli państw niebędących członkami UE (EOG). Najlepszym tego przykładem była decyzja Komisji Europejskiej 2000/520/WE uznająca adekwatność zasad programu amerykańskiej „bezpiecznej przystani” (ang. Safe Harbour) wydana na podstawie art. 25 ust. 6 Dyrektywy. Powyższy instrument miał umożliwić swobodny przepływ danych pomiędzy Stanami Zjednoczonymi a Unią Europejską w sytuacji, gdy państwo będące docelowym odbiorcą danych (mowa tu o USA) nie zapewnia adekwatnego poziomu ochrony (?) danych osobowych w rozumieniu Dyrektywy. W omawianym przypadku niespełnienie kluczowej przesłanki warunkującej przekazanie danych poza terytorium UE wiązało się z brakiem federalnych regulacji prawnych dotyczących ochrony danych osobowych. Program „bezpiecznej przystani” miał być w swoim założeniu swoistym kompromisem umożliwiającym pogodzenie dwóch odmiennych porządków prawnych. Ostatecznie Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku z dnia 6 października 2015 r. w sprawie Maximillian Schrems przeciwko Data Protection Commissioner (C-362/14) orzekł o nieważności decyzji 2000/520/WE, a to za sprawą wielu nieprawidłowości ujawnionych w toku postępowania. Po pierwsze, omawiana decyzja uniemożliwiała krajowym organom nadzoru prowadzenie dochodzeń w sprawie skargi dotyczącej nieodpowiedniego stopnia ochrony, czego rezultatem może być zawieszenie dalszego przekazywania danych. Po drugie wykazano, że Komisja Europejska nie wykonała swojego podstawowego zobowiązania polegającego na ocenie, czy Stany Zjednoczone rzeczywiście poprzez swoje ustawodawstwo krajowe lub zobowiązania międzynarodowe zapewniają równoważny stopień ochrony praw podstawowych do gwarantowanego w ramach prawodawstwa Unii.

Jakie zmiany wprowadza Rozporządzenie?

Wraz z wejściem w życie Rozporządzenia doszło do istotnych zmian w unijnym modelu ochrony danych osobowych. Poniżej najważniejsze z nich.

Doprecyzowanie pojęcia „danych osobowych”

Rozporządzenie dokonało znaczącej redefinicji pojęcia „danych osobowych”. Podobnie jak miało to miejsce na gruncie Dyrektywy, dane osobowe to nadal informacje dotyczące osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania. Niemniej jednak, ze względu na szybki rozwój nowych technologii, pojęcie „danych osobowych” należało rozszerzyć o kolejne kategorie danych, które chociażby w potencjalny sposób mogłyby identyfikować daną osobę tj.: dane lokalizacyjne, adresy IP, identyfikatory internetowe czy też dane dotyczące stanu zdrowia.

Privacy by design / Privacy by default

Ochrona danych w fazie projektowania (ang. privacy by design) oraz ochrona danych w opcji domyślnej (ang. privacy by default) stanowią przykłady nowych zagadnień, jakie wprowadza ogólne rozporządzenie o ochronie danych osobowych. Koncepcja privacy by design zakłada wdrażanie wymogów rozporządzenia już na etapie projektowania pewnych rozwiązań mogących wiązać się z różnego rodzaju zagrożeniami wynikającymi z przetwarzania danych (art. 25 ust. 1 Rozporządzenia). Z kolei privacy by default wprowadza wymóg wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych po to, aby procesowi przetwarzania podlegały wyłącznie dane osobowe niezbędne dla osiągnięcia konkretnego celu (art. 25 ust. 2 Rozporządzenia).

Prawo do bycia zapomnianym

Prawo do bycia zapomnianym (ang. right to be forgotten), zwane również prawem do usunięcia danych (ang. right to erasure), to zupełnie nowa instytucja na gruncie europejskiego prawa ochrony danych osobowych. Pierwszy raz na temat prawa do bycia zapomnianym wypowiedział się TSUE na kanwie sprawy Google Spain (C-131/12). Wymieniona sprawa dotyczyła możliwości przetwarzania danych przez wyszukiwarki internetowe poprzez ujawnienie informacji dotyczących określonych osób, w tym na stronach internetowych innych podmiotów, w postaci listy wyników wyszukiwania. Trybunał Sprawiedliwości Unii Europejskiej uznał, że działalność wykonywana przez operatorów wyszukiwarek internetowych może być zakwalifikowana jako przetwarzanie danych. Co więcej, Trybunał potwierdził istnienie prawa, które na gruncie Dyrektywy nie zostało wprost wyrażone – mowa tu oczywiście o prawie do bycia zapomnianym. Zdaniem TSUE osoby fizyczne muszą mieć zapewnioną możliwość zgłoszenia roszczenia w przedmiocie usunięcia danych ich dotyczących z listy wyszukiwania wyszukiwarki, w tym ze stron internetowych osób trzecich. W aktualnym stanie prawnym prawo do bycia zapomnianym zostało wyrażone expressis verbis w art. 17 Rozporządzenia. W myśl przytoczonego przepisu, administrator danych jest zobowiązany do niezwłocznego usunięcia danych, jeśli zachodzi jedna poniższych przesłanek:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

  • osoba, której dane dotyczą, cofnęła zgodę na ich przetwarzanie i nie ma innej podstawy prawnej przetwarzania – chodzi tutaj głownie o przypadki profilowania danych;

  • osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;

  • dane osobowe były przetwarzane niezgodnie z prawem;

  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie UE lub prawie państwa członkowskiego, któremu podlega administrator;

  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

Ograniczenie profilowania

Zgodnie z motywem 71 Rozporządzenia profilowanie to jedna z form przetwarzania danych polegająca na ocenie niektórych aspektów danych życia osobistego w ramach automatycznego przetwarzania danych. Profilowanie jest narzędziem często wykorzystywanym przez firmy z branży marketingowej oraz e-commerce, ponieważ pozwala analizować oraz prognozować chociażby takie czynniki jak efekty pracy, sytuację ekonomiczną, stan zdrowia czy osobiste preferencje danej osoby. Według ustawodawcy unijnego podejmowanie konkretnych decyzji wobec podmiotów, których dane dotyczą, w oparciu o dane zabrane w toku profilowania może mieć miejsce jedynie w ściśle określonych sytuacjach. Mianowicie, profilowanie jest dozwolone na gruncie prawa UE albo prawa państwa członkowskiego, któremu podlega administrator danych. Ponadto profilowanie można wykorzystywać 1) w celu monitorowania i zapobiegania oszustwom uchylania się od podatków, 2) gdy profilowanie jest konieczne do zapewnienia bezpieczeństwa i niezawodności usług świadczonych przez administratora danych albo 3) gdy jest to niezbędne do zawarcia lub wykonania umowy zawartej pomiędzy osobą, której dane dotyczą, a administratorem danych. Zgoda podmiotu danych jest również jedną z przesłanek legalizujących profilowanie. Jeśli czynności profilowania są dokonywane w innych przypadkach niż te wymienione powyżej, osobie fizycznej przysługuje prawo do zgłoszenia sprzeciwu (art. 21 Rozporządzenia).

Mechanizm One-stop-shop

Pewnym ułatwieniem zarówno dla administratorów danych jak i podmiotów danych jest wprowadzenie tzw. one-stop-shop („mechanizm kompleksowej współpracy”), który dotyczy przedsiębiorców (administratorów) podejmujących działalność transgraniczną. Koncepcja one-stop-shop w swoim zamyśle polega na tym, że kompetencje nadzorcze administratora danych działającego na terytorium więcej niż jednego państwa członkowskiego zostaną przyznane organowi nadzorczemu (regulatorowi) właściwemu ze względu na miejsce dominującej działalności administratora. Dzięki temu wszelkie rozstrzygnięcia nadzorcze będą respektowane w pozostałych krajach UE. Niewątpliwie takie rozwiązanie w istotnym sposób przyczyni się do zmniejszenia obciążeń o charakterze administracyjnym. Co więcej, omawiany mechanizm będzie istotnym ułatwieniem dla podmiotów danych, ponieważ skargi w sprawie nieprawidłowego przetwarzania danych ich dotyczących, będzie można zgłosić w dowolnym państwie członkowskim z obowiązkiem ich przekazania właściwemu organowi nadzorczemu.

Obowiązek wyznaczenia inspektora ochrony danych

Oprócz przyznania nowych praw podmiotom danych, Rozporządzenie nakłada również dodatkowe obowiązki na administratorów danych. Dotychczasowy administrator bezpieczeństwa informacji (ABI) zmieni nazwę na inspektora ochrony danych. Co ważne, grupa przedsiębiorstw (jak w Rozporządzeniu określana jest grupa kapitałowa) może wyznaczyć jednego inspektora ochrony danych, pod warunkiem, że każda z jednostek organizacyjnych będzie mogła z nim łatwo nawiązać kontakt. Rozporządzenie ustanawia obowiązek powołania inspektora ochrony danych osobowych w następujących przypadkach:

  • przetwarzanie danych przez organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości);

  • główna działalność administratora/podmiotu przetwarzającego polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania osób na dużą skalę;

  • główna działalność administratora/podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę wrażliwych danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Warto w tym miejscu nadmienić, że w poprzednim stanie prawnym wyznaczenie administratora bezpieczeństwa danych miało charakter fakultatywny.

Wśród głównych zadań inspektora ochrony danych wskazanych w Rozporządzeniu można wymienić m.in.: czuwanie nad przestrzeganiem przepisów Rozporządzenia przez organy administratora danych oraz pracowników administratora, kontaktowaniem się z organem nadzoru (np.: polskim GIODO) w celu zgłoszenia naruszeń wynikających z nieprzestrzegania Rozporządzenia, czy też wydawanie zaleceń dotyczących ochrony danych osobowych. W porównaniu do wcześniejszych regulacji, rozszerzono katalog kompetencji przysługujących inspektorowi ochrony danych przy jednoczesnym zwiększeniu ciążących na nim obowiązków.

Europejska Rada Ochrony Danych

Na mocy Rozporządzenia ustanowiono nowy organ UE – Europejską Radę Ochrony Danych (dalej: „EROD”), która zastąpi Grupę Roboczą powołaną na mocy art. 29 Dyrektywy. Podobnie jak Grupa Robocza, EROD ma być ciałem doradczym Komisji Europejskiej w zakresie ochrony danych osobowych. W świetle art. 70 Rozporządzenia do głównych zadań EROD należy zapewnienie spójnego stosowania Rozporządzenia m.in. poprzez monitorowanie jego stosowania, doradzanie Komisji Europejskiej w sprawach związanych z ochroną danych osobowych czy wydawanie wytycznych, zaleceń oraz określanie najlepszych praktyk.

Co istotne, Rada będzie rozstrzygać spory o właściwość pomiędzy organami nadzorczymi a także spory w sytuacjach, w których zgłoszono sprzeciw do projektu decyzji organu wiodącego.

Kary za naruszenie Rozporządzenia

W Rozporządzeniu przewidziano wysokie („w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające”) kary pieniężne dla podmiotów, które nie będą się stosować do regulacji Rozporządzenia. Kary pieniężne dla przedsiębiorstwa, w zależności od naruszenia, stosowane będą w wysokości do 2% lub do 4% (w przypadku cięższego naruszenia) całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego danego przedsiębiorcy.

Wejście w życie i stosowanie Rozporządzenia

Jak wspomniano na początku niniejszego artykułu, Rozporządzenie weszło w życie 17 maja 2016 r., a jego przepisy będą obowiązywać od 25 maja 2018 r. (w tym dniu uchylona zostanie Dyrektywa 95/46). Przedsiębiorcy powinni zatem do tego czasu przystosować swoje wewnętrzne procedury tak, aby spełniały one wymogi Rozporządzenia. Należy bowiem nadmienić, że posłużenie się w ramach reformy unijnego prawa ochrony danych osobowych aktem prawnym, jakim jest rozporządzenie, ma swoje istotne konsekwencje. Zgodnie z art. 288 TFUE rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. W przeciwieństwie do dyrektywy rozporządzenie nie wymaga implementacji (transpozycji) do krajowych porządków prawnych. Dzięki temu dojdzie do ujednolicenia stosowania prawa na całym terytorium Unii Europejskiej (EOG) – zlikwidowana zostanie „mozaika” ustawodawstw państw członkowskich w zakresie ochrony danych osobowych, które w wielu przypadkach bardzo różniły się między sobą, ponieważ Dyrektywa, jako akt harmonizacji minimalnej, zobowiązuje jedynie do wdrożenia odpowiednich środków wyznaczających dolny pułap ochrony, zaś w pozostałym zakresie pozostawia państwom członkowskim margines swobody, jeśli chodzi o bardziej restrykcyjne uregulowania (motyw 8 i 9 Dyrektywy).

Współautorami wpisu są Ewelina Ocipińska i Hubert Kutkiewicz

cyberbezpieczeństwo prawo IT

Czy implementacja dyrektywy NIS poprawi cyberbezpieczeństwo w UE?

17 października 2016

Gwałtowny rozwój technologii informacyjnych sprzyja zwiększeniu efektywności komunikacji, powstawaniu innowacji oraz ułatwieniu świadczenia usług, ale także rodzi ogromne niebezpieczeństwa związane z atakami na sieci informatyczne. Skalę problemu ilustruje „2016 Security Report” przygotowany przez Check Point Software Technologies Ltd, zgodnie z którym w przeciętnym przedsiębiorstwie co 4 sekundy ściągane jest nieznane złośliwe oprogramowanie, co 32 minuty dane wrażliwe wysyłane są poza serwery przedsiębiorstwa, a straty przedsiębiorstw związane z utratą danych wzrosły w ostatnich 3 latach o 400 %. W samym 2015 roku wykryto prawie 144 miliony (!) rodzajów nowego złośliwego oprogramowania. Nie ulega zatem wątpliwości, że niezbędne jest skonstruowanie narzędzi zapewniających globalne cyberbezpieczeństwo.

Z tego względu w dniu 06.07.2016 r. Parlament Europejski przyjął dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (2016/1148/UE, dalej jako: „Dyrektywa NIS”). Dyrektywa NIS została przyjęta jako odpowiedź na zagrożenia związane z cyberbezpieczeństwem na terytorium Unii Europejskiej – wcześniej bowiem kwestia ta nie została w odpowiedni sposób uregulowana. Wprawdzie przyjmowane były takie dokumenty, jak np. dyrektywa dotycząca ataków na systemy informatyczne (2013/40/UE) czy dyrektywa w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (2008/114/WE), jednak nie ujednolicały one w odpowiednim stopniu przepisów oraz strategii państw członkowskich w zakresie cyberbezpieczeństwa. Wdrożenie Dyrektywy NIS ma natomiast stanowić „całościowe podejście na poziomie Unii, obejmujące wymogi dotyczące budowania i planowania wspólnych minimalnych zdolności, wymianę informacji, współpracę oraz wspólne wymogi w zakresie bezpieczeństwa dla operatorów usług kluczowych i dostawców usług cyfrowych”.

Zakres podmiotowy Dyrektywy NIS obejmuje dostawców usług cyfrowych (takich jak wyszukiwarki, usługi oferowane w chmurze) oraz operatorów tzw. usług kluczowych, czyli operatorów z sektorów: energetyki (energia elektryczna, ropa naftowa, gaz), transportu (lotniczego, kolejowego, wodnego, drogowego), bankowości, rynków finansowych, służby zdrowia, zaopatrzenia w wodę pitną i jej dystrybucję. Dyrektywa NIS rozkłada prawa i obowiązki związane z cyberbezpieczeństwem pomiędzy podmioty prywatne i publiczne. Akt ten ma na celu osiągnięcie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w UE, poprzez m.in. usprawnienie przekazu informacji o pojawiających się zagrożeniach pomiędzy państwami UE oraz podmiotami sektora krytycznego oraz ujednolicenie standardów ochrony.

Cele dyrektywy mają zostać osiągnięte poprzez:

  • ustanowienie obowiązków dla państw członkowskich dotyczących przyjęcia krajowej strategii cyberbezpieczeństwa;
  • utworzenie sieci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. CSIRT);
  • stworzenie grupy współpracy zapewniającej strategiczną współpracę oraz wymianę informacji;
  • ustanowienie wymogów dotyczących bezpieczeństwa sieci i informacji oraz zgłaszania incydentów;
  • ustanowienie obowiązków dotyczących wyznaczania przez państwa członkowskie organów krajowych, punktów kontaktowych oraz CSIRT, którym powierzone zostaną zadania związane z cyberbezpieczeństwem.

Szczególną rolę we wdrażaniu dyrektywy będzie odgrywać Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA), której zadaniem jest koordynowanie współpracy pomiędzy państwami członkowskimi w zakresie cyberbezpieczeństwa.

Co najistotniejsze, na mocy postanowień Dyrektywy NIS państwa członkowskie obowiązane są zapewnić, aby operatorzy usług kluczowych, a także dostawcy usług cyfrowych (a zatem także podmioty prywatne), zgłaszali właściwemu organowi krajowemu lub CSIRT incydenty związane z bezpieczeństwem ich sieci informatycznych. Wyznaczone organy krajowe powinny dysponować odpowiednimi narzędziami pozwalającymi na weryfikację, czy podmioty te rzeczywiście wywiązują się ze swoich obowiązków. Łatwo bowiem wyobrazić sobie sytuację, w której np. banki niechętnie będą zgłaszały ataki na swoje sieci informatyczne, obawiając się utraty dobrej reputacji.

Dyrektywa NIS weszła w życie w sierpniu 2016 r. Od tego momentu państwa członkowskie mają 21 miesięcy na implementację jej postanowień do przepisów prawa krajowego oraz 6 miesięcy na określenie dostawców kluczowych usług. Ministerstwo Cyfryzacji RP obecnie pracuje nad projektem ustawy o krajowym systemie bezpieczeństwa oraz nad projektem strategii cyberbezpieczeństwa dla RP. Chociaż pozytywnie należy ocenić próbę kompleksowego uregulowania kwestii cyberbezpieczeństwa wśród krajów Unii Europejskie, w obecnej chwili trudno jest przewidzieć, czy wdrożenie dyrektywy w ustawodawstwo państw członkowskich rzeczywiście będzie efektywne i wpłynie na wzrost cyberbezpieczeństwa oraz, przede wszystkim, czy podmioty prywatne będą należycie wypełniać obowiązki z niej wynikające. Chociaż nie ulega wątpliwości, że kroki podejmowane przez UE są słuszne i niezbędne, to jednak wydaje się, że skala wyzwań związanych z cyberbezpieczeństwem oraz stały wzrost zagrożeń przewyższają możliwości legislacyjne zarówno w skali krajowej, jak i na poziomie międzynarodowym.

Artykuł został wcześniej opublikowany na: http://biznesalert.pl/ocipinska-implementacja-dyrektywy-nis-poprawi-cyberbezpieczenstwo-ue/.