Polityka i prawo
Dyrektor ds. Strategii Technologicznej Microsoft: Technologia - szansą na bezbolesne wprowadzenie RODO [WYWIAD Część 2]
O kwestiach technologicznych oraz międzynarodowym aspekcie RODO mówi w rozmowie z CyberDefence24.pl Michał Jaworski Dyrektor ds. Strategii Technologicznej w Microsoft.
Czy RODO dokładnie określa, kiedy, za co i jak karzemy?
Nie. RODO zostawia dużo pola do interpretacji. Są bardzo szerokie definicje, czym jest przetwarzanie danych i jaka jest definicja naruszenia danych. Rodzi to również absurdalne historie. Jeden z prawników żartobliwie powiedział, że jeżeli weźmie telefon i uderzy o kant stołu niszcząc go, to dane osobowe zostały przetworzone, ponieważ niszczenie i usuwanie danych osobowych jest również z definicji przetwarzaniem.
Wróćmy do naruszeń. Przykładowo, jeżeli wyciekną dane medyczne, to można powiedzieć, że przewinienie jest poważne. W przypadku utraty danych jednej osoby, bo np. zgubiłem pendrive, na którym był jeden plik zawierający tylko imię i nazwisko będzie to wyglądało inaczej. To jest naruszenie, ale jak dalece wpłynęło ono na ryzyko naruszenia praw i wolności właściciela danych oraz na ryzyko mojej firmy?
Kto zgłasza naruszenie?
Naruszenie można zgłosić w dwóch sytuacjach. Po pierwsze - ja zauważyłem naruszenie i je zgłaszam. Jestem administratorem danych osobowych i przyszła do mnie osoba A, która mówi, że zgubiła pendrive. Mamy incydent: osoba A zgubiła pendrive z danymi osobowymi, ale przychodzi 20 minut później i mówi, że go znalazła w torebce czy kieszeni. Mam zgłoszony incydent, ale go zakończyłem. Czy to było naruszenie? Nie, raczej nie. Administrator decyduje, czy dany incydent jest naruszeniem. Drugim krokiem jest podjęcie decyzji, czy jest to naruszenie, które zgłaszam. Może wystarczy, że taka informacja pozostaje u administratora. Zgłoszenie powinno mieć miejsce, kiedy prawa i wolności osoby mogą być naruszone.
Zastanówmy się nad inną sytuacją. Dostaję telefon z przysłowiową propozycją zakupu garnków. Zwracam się do UODO z tą sprawą i wiem doskonale, że lista danych z moimi informacjami kontaktowymi wyciekła z firmy X, ponieważ tylko tam moje nazwisko jest błędnie zapisane. Ja zakończyłem z nimi współpracę i powinni dawno przestać przetwarzać moje dane osobowe.
Dawałem zgodę jedynie firmie X. Prezes UODO i kontrolerzy decydują, co robić dalej. Być może podmiot przetwarzający dane nawet nie wie o wycieku.
Czy istnieje jakiś limit czasowy od momentu wycieku do zgłoszenia? Przykładowo, dowiadujemy się po 2 latach od wycieku danych?
W RODO jest informacja, że zgłoszenie musi nastąpić po 72 godzinach. Oznacza, to, że jeżeli uznałem, że coś było naruszeniem, muszę je zgłosić w tym czasie.
Jeżeli o tym nie wiemy?
To mamy problem. To będzie podlegało dalszej ocenie, bo wówczas zgłosiliśmy to w momencie, w którym zyskaliśmy daną wiedzę.
Wyobraźmy sobie taką sytuację: surfujemy sobie w sieci w Darknecie i nagle napotykamy nasze dane. Przypuszczalnie jakaś baza danych wyciekła. Okazało się, że haker włamał się do niej 100 dni temu, ale dopiero się o tym dowiadujemy teraz. Czy możemy to zgłosić?
Możemy i najpewniej powinniśmy. Pytanie oczywiście jest, czy osoba administrująca danymi o tym wiedziała i czy jest w stanie to udowodnić poprzez przedstawienie odpowiedniej dokumentacji. Bardzo ważnym elementem w RODO jest tzw. zasada rozliczalności. Nie chodzi tylko o to, że ja prawidłowo przetwarzam dane, właściwie je chronię, ale muszę dokumentować moją pracę. Przychodzi kontroler z UODO, mam wezwanie do sądu w sprawie cywilnej i wówczas jedną z pierwszych rzeczy, którą muszę zrobić jest odpowiedzieć na takie pytania: czy mam system zarządzania incydentami, czy moi pracownicy są przeszkoleni?
Jeżeli wszyscy moi ludzie są przeszkoleni, szyfruję dane, stosuję pseudonimizację, odpowiednie zasady bezpieczeństwa oraz ograniczam dostęp osobom niepowołanym, a pomimo tego dochodzi do incydentu, wówczas dołożyłem należytej staranności, żeby prawidłowo przetwarzać i chronić dane i mam to udokumentowane. Sąd albo regulator w takim momencie może spojrzeć przychylnym okiem i powiedzieć: nastąpiła rzecz nadzwyczajna, popraw się, ale z tego nie muszą wynikać poważniejsze konsekwencje dla firmy, chyba że naruszenie praw i wolności było duże. Ale również mogą nałożyć bardzo wysokie kary, a dodatkowo osoby fizyczne będą dochodziły roszczeń w procesach cywilnych.
Czy nie uważa Pan, że tuż po wejściu RODO cyberprzestępczość może przeżyć swój złoty okres, bo wszyscy będą grozili, że jak nie zapłacicie to my ujawnimy informacje o wyciekach i firmy zapłacą jeszcze więcej za zaniedbanie?
Uważam, że tak będzie. Oprócz odpowiedzialności, która może być karą administracyjną nakładaną przez regulatora jest druga część. Wszyscy mogą dochodzić swoich praw na drodze cywilnej. Czyli jutro idziemy do sądu i mówimy, że nasze dane są przetwarzane niewłaściwe i żądamy odszkodowania. RODO pozwala na stworzenie organizacji pomagających ludziom, którzy chcą wnieść takie sprawy do sądu. W związku z tym natychmiast powstanie rynek zgłoszeń.
Rodzi się kolejny biznes, ponieważ duża część firm będzie tak naprawdę nieświadoma.
Tak. Ma Pan trzy grupy ludzi, którzy mogą przedstawić roszczenia w procesach cywilnych, zaś czwarta grupa to trolle. Pierwsza to niezadowoleni klienci, którzy zostali źle potraktowani przez firmy, które świadczyły im jakieś usługi. Druga grupa to pracownicy, którzy odeszli, a nie zawsze rozstajemy się w zgodzie. Tacy pracownicy świetnie znają słabe strony organizacji.
Trzecia grupa to konkurencja. W Polsce często mamy (mieliśmy?) do czynienia z sytuacją, że sprzedawca przechodzi z bazą swoich klientów do innej firmy. Jeżeli zatrudnia Pana firma A, a Pan potem odszedł do konkurencji i wykorzystuje bazę danych, to firma A nie będzie się długo zastanawiała nad założeniem odpowiedniej sprawy. Moim zdaniem takich sytuacji będzie bardzo dużo i tu wracamy do zasady rozliczalności. Ma Pan następującą sytuację - ktoś podał Pana do sądu argumentując, że naruszył Pan prawa, a Pan odpowiada w następujący sposób: proszę Wysokiego Sądu tak wygląda cały mój proces danych osobowych. Dokonałem odpowiedniej analizy ryzyka. Mam system rejestracji wszystkich incydentów, wiem kto ma dostęp, ludzie są przeszkoleni. Sąd może zdecydować, że należyta staranność została dochowana. Proszę sobie wyobrazić studentów, którzy weszli w konflikt z uczelnią, nawet tylko po to, żeby częściowo odzyskać czesne.
Wracając do pracowników. Jeżeli oni odeszli przed RODO to już ich ta sytuacja nie dotyczy?
Może się okazać, że były pracownik stwierdzi, że jego dane są w dalszym ciągu przetwarzane, chociaż nie powinny być.
RODO powoduje, że każdy będzie świadczył cztery usługi, jakie?
Po pierwsze, prawo dostępu do danych: jakie moje dane są przetwarzane. Drugie to prawo do poprawiania moich danych, trzecie to prawo do bycia zapomnianym. Trzeba przy tym ostatnim pamiętać, że może istnieć inny powód przetwarzania danych niż moja zgoda. Przykładowo przeniosłem się z jednego banku do drugiego i bank powinien „zapomnieć” moje dane, ale jest inne prawo, które mówi, że bank powinien przechowywać wszystkie transakcje. Czwarta usługa to ograniczenie wykorzystania danych. Te cztery usługi będzie świadczył każdy. Uważam, że firmy nie są tego świadome.
RODO to nie tylko zapisy i wymagania prawne, ale również kwestie technologiczne.
Mamy dwa główne elementy technologiczne. Przetwarzanie danych jest dzisiaj prowadzone przy pomocy narzędzi technologicznych. Druga część to dzielenie odpowiedzialności. Mamy administratora i podmiot przetwarzający, czasami z angielska określanych jako kontroler i procesor. Procesor wykonuje tylko te działania, które mu poleci kontroler. Pan jako administrator mówi, jaki jest cel i sposób przetwarzania danych. Pan mówi, że będzie to robił w chmurze Microsoftu, bo wykorzystuje Office 365 i chmurę Azure. Microsoft staje się w tym momencie procesorem. Wykonuje drogą elektroniczną te polecenia, która Pan zleca.
Załóżmy hipotetyczną sytuację: Osoba A używa systemu Microsoft Windows 10 i dokonała wszystkich rzeczy w celu zabezpieczenia danych, ale haker wykorzystuje zero-day exploita i wchodzi do naszego systemu i wykrada dane mojego klienta. To już nie jest moja wina, bo nie mogę nic z tym zrobić, ale klient pozywa mnie za to, że ja zaniedbałem ochrony danych.
Ani producent oprogramowania, ani producent sprzętu nie ponoszą odpowiedzialności, ponieważ nie są podmiotem przetwarzającym dane. Dopiero kiedy Pan outsourcuje usługi i dane są np. w chmurze, to wtedy występuje współodpowiedzialność, tak jak to jest opisane w art. 82.
Powinien się wybrać wiarygodny podmiot przetwarzający dane, dający odpowiednie gwarancje, że posiada fachową wiedzę, zasoby i środki pozwalające spełnić wymagania stawiane przez RODO. Chmura Microsoft daje te gwarancje, a zobowiązania jakie RODO nakłada na podmiot przetwarzający (art. 28) znajdują się w umowie o świadczeniu usług on-line.
Odnośnie technologii w chmurze bardzo ważna jest zasada rozliczalności. Microsoft daje mnóstwo narzędzi, które pozwalają gromadzić informacje, a w razie kontroli lub sprawy sądowej udowodnić, że dane osobowe były chronione, dostęp był tylko dla odpowiednich osób, zastosowano pseudonimizację i dane były zaszyfrowane. Można to osiągnąć z pomocą Office 365.
Czasami mam wrażenie, że dla ludzi Office to jest Word, Excel i PowerPoint. Z punktu widzenia wdrożenia RODO ważniejsze są narzędzia takie jak data lost protection, advanced threat protection czy e-discovery, które pozwolą chronić czy identyfikować, to co jest daną osobową.
Microsoft skraca i upraszcza proces wdrożenia i jako podmiot przetwarzający przejmuje na siebie część odpowiedzialności. Nie możemy jednak wziąć odpowiedzialności za nieroztropne zachowania użytkowników.
Z perspektywy biznesu to bardzo korzystne, ponieważ zmusza użytkownika do posiadania jak najnowszego oprogramowania. Przykładowo: stanę przed sądem i powiem, że używałem Windows XP, na który nie ma już wsparcia. Wówczas sąd może odpowiedzieć, że to jest moja wina, bo ja o tym wiedziałem i trzeba było przejść na nowszą wersję
Może tak być. Zapewniam Pana, to będzie wykorzystywane, w szczególności po stronie cywilnych procesów.
Czy system sądownictwa cywilnego w Polsce może zostać sparaliżowany przez RODO?
Usłyszałem od prawnika bardzo ciekawą opinię: „koniec końców, czy ty dobrze wprowadziłeś RODO, czy źle, zdecyduje prawnik, który jest szefem urzędu ochrony danych osobowych lub prawnik, który jest sędzią”.
Kwestia dobrego wprowadzenia RODO zależy w dużej mierze od współpracy w większych firmach co najmniej czterech grup ludzi. Prawników, ponieważ konieczna będzie zmiana zapisów wielu dokumentów i przeprowadzenia analizy ryzyka. Do tej grupy musi należeć również informatyk, który będzie przystosowywał wszystkie narzędzia. Powinien być także specjalista od bezpieczeństwa, gdyż RODO wymaga nie tylko przetwarzania, ale również zabezpieczania danych. Najważniejszą postacią jest właściciel procesu biznesowego. W przypadku jednoosobowej działalności gospodarczej, wszystkie te role są wykonywane przez jednego człowieka.
Co się stanie, jeżeli obywatel UE podlegający pod RODO przeniesie swoje dane do chmury, która nie znajduje się terenie UE?
W dalszym ciągu ten, który przetwarza dane obywatela UE musi dostosować się do RODO.
Załóżmy, że mamy chmurę Microsoftu zlokalizowaną w Stanach Zjednoczonych, gdzie obywatele UE mają swoje dane. Następuje wyciek, kogo w takiej sytuacji mam pozwać?
W przypadku Microsoft jest to dość proste, ponieważ mamy przedstawicielstwo europejskie w Irlandii, które jest dostawcą usług, więc jest to podmiot europejski. W naszej umowie są tzw. standardowe klauzule umowne, które mówią, że bez względu na to, gdzie się pojawią Pana dane osobowe, będą chronione tak, jak w Europie. Większość dużych, wiarygodnych podmiotów stosuje ten zapis. Wyobraźmy sobie sytuację, że wyjeżdża Pan do Szwajcarii, która nie jest w UE i chce Pan przeczytać e-mail. Gdyby nie było standardowych klauzul, to ciężko byłoby funkcjonować. Standardowe klauzule umowne mówią, że nawet jeżeli nastąpi pełna katastrofa i wszystkie europejskie centra danych Microsoft, a jest ich kilka, przestałyby funkcjonować, to w dalszym ciągu Pana dane osobowe są przetwarzane zgodnie z wymaganiami, które nakłada RODO.
Ciekawą kwestią jest też sytuacja, kiedy pierwsza Polska firma zostanie skazana na karę, ale nie w Polsce tylko za granicą. Kiedy okaże się, że Francuz, Hiszpan, Belg czy Cypryjczyk pójdą do lokalnego sądu, że ich dane osobowe zostały naruszone. Sprawa nie musi odbywać się w Polsce, ale pod zupełnie inną jurysdykcją.
Michał Jaworski: Dyrektor ds. Strategii Technologicznej, członek zarządu Microsoft sp. z o.o.