OGIEŃ NA JACHCIE. POŻAR ŚW. KATARZYNY W GDAŃSKU. Problemy monitoringu pożarowego obiektów zabytkowych. Planowanie potrzeb ochrony przeciwpożarowej z zastosowaniem standardów pierwszej pomocy ratowniczej[1]. Część 1

RODO A SECURITY. Kilka uwag praktycznych dla projektantów i instalatorów systemów zabezpieczeń.

Autor: Aleksander M. Woronow

Na wstępie wyjaśnijmy sobie, czym jest RODO i w jakim zakresie obowiązuje. Zbyt często można się spotkać z brakiem zrozumienia faktu, że skróty RODO i ang. GDPR oznaczają obowiązujący bezpośrednio w prawie polskim dokument unijny, nazwany Ogólnym rozporządzeniem o ochronie danych osobowych – RODO (w nomenklaturze unijnej nazywany ogólnym rozporządzeniem o ochronie danych – ang. General Data Protection Regulation – GDPR), stanowiący wytyczne oraz określający wymogi na całym obszarze Unii Europejskiej. Wydane zgodnie z uprawnieniami traktatowymi UE (Lizbona, 2009 r.) rozporządzenie Parlamentu Europejskiego oraz Rady (UE) nr 2016/679 z dn. 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zostało opublikowane 4 maja 2016 r., w polskiej edycji Dz.U. UE, L nr 119, s. 1–88, z mocą obowiązującą od godz. 0.00 dnia 25 maja 2018 r., a obowiązuje per se[1].

W momencie, gdy czytacie Państwo ten artykuł, termin ten minął, a RODO/GDPR stało się dokumentem obowiązującym (ze wszystkimi wskazanymi w nim rygorami prawnymi i finansowymi) w całej Unii Europejskiej i Wielkiej Brytanii (mimo przygotowywanego Brexitu). Opublikowana ustawa wprowadzająca RODO na obszarze RP jest regulatorem zmian prawnych wynikających z konieczności dostosowania nazewnictwa w krajowym organie nadzorczym oraz modyfikacji układu kar (zgodnie z wskazaniami zawartymi w RODO, które w swej treści określa ich maksymalny zakres).

JAK MOŻE PORADZIĆ SOBIE Z WYMAGANIAMI RODO PRZEDSIĘBIORCA – PROJEKTANT LUB INSTALATOR SYSTEMÓW ZABEZPIECZEŃ?
Przede wszystkim powinien (jeżeli dotychczas tego nie zrobił) zapoznać się z treścią samego RODO, szczególnie zwracając uwagę na przypisane do poszczególnych jego artykułów (1–99) treści motywów z preambuły rozporządzenia (1–173), ułatwiające zrozumienie intencji. Mnie bardzo się przydała Mapa praktycznych aspektów RODO w ramach publikacji RODO NAWIGATOR[2], którą to rekomenduję wszystkim zainteresowanym. Pomocne okazały się także poszczególne publikacje tematyczne Oficyny Prawa Polskiego[3], wyjaśniające szczegółowo moje obawy i wątpliwości, związane z wprowadzanymi zmianami (co pozostaje, co się zmienia, co trzeba uzupełnić). Ważnym dopełnieniem mojej wiedzy okazały się materiały Grupy Roboczej Art. 29[4]. Grupa ta, powołana w Brukseli jako zespół specjalistów nadzorujący wprowadzanie przepisów unijnych dotyczących ochrony danych osobowych, funkcjonuje od 1993 r., zajmując- się m.in. od 2012 r. zmianami wynikającymi z wprowadzanego RODO. Jej wytyczne mają charakter opisu stwierdzonych faktów i przekazanych jej uwag oraz doświadczeń. Dla każdego instalatora, projektanta czy konserwatora szczególnie ważne są te, które dotyczą oceny skutków dla ochrony danych oraz pomagają ustalić, czy przetwarzanie „może powodować wysokie ryzyko” dla celów, o których mówi RODO – rozporządzenie 2016/679 (Art. 35). Uwagi wraz z zaleceniami zawarte są w publikacji WP 248 rev. 01 z dn. 4. 10.2017 r. Prezentowany problem jest istotny przede wszystkim dla każdego instalatora systemów zabezpieczeń, bowiem wiąże się bezpośrednio z listami lub wykazami danych osób uprawnionych do dostępu, zmian i konserwacji systemów, oraz monitorowaniem w ramach alarmowych centrów odbiorczych (nazywanych SMA[5], LCN[6], ACO[7]), co w wielu przypadkach wymaga dokonania poprawek, zmian oraz uzupełnień, wynikających z dotychczasowych uprawnień oraz zaleceń poszczególnych właścicieli zasobów danych (niezależnie, czy są to osoby fizyczne, czy też prawne – określane na ogół akronimem ADO, oznaczającym funkcję Administratora Danych Osobowych[8] w dotychczasowych dokumentach ochrony tych danych). Ponieważ zgodnie z RODO nie ma już przymusu co do poziomu obowiązkowych rozwiązań techniczno-technologicznych (Art. 24), a decydentem co do oceny poziomu ryzyka oraz związanego z nim poziomu zabezpieczeń jest „tylko i wyłącznie” właściciel chronionego zasobu – dotychczasowy ADO, w praktyce każdy projektant czy instalator systemów alarmowych – powinien się upewnić w kwestii zgodności przyjętych rozwiązań projektowych (Art. 25) z wymaganiami ochrony wskazanymi w RODO. Może to zrobić bezpośrednio lub korzystając ze wskazówek oraz pisemnych zaleceń Inspektora Ochrony Danych (IOD, ang. Data Protection Officer – DPO) danej firmy (Art. 37–39), powołanego zgodnie z RODO. W dotychczasowych polskich przepisach IOD określany był jako ABI – Administrator Bezpieczeństwa Informacji.

Mając świadomość rozległości tekstowej RODO (88 stron formatu A4) oraz komplikacji wynikających z użytych sformułowań (173 odwołania w samej preambule, 99 artykułów w 11 rozdziałach, z szeregiem aktów delegowanych i wykonawczych) proponuję poniżej uproszczony zapis głównych elementów przedmiotowego = rozporządzenia, w postaci istotnych dla działań przedsiębiorcy branży zabezpieczeń uwag i odniesień do poszczególnych artykułów rozporządzenia.

Jak widać w tym skróconym wyliczeniu, przedsiębiorca – projektant czy instalator systemów zabezpieczeń – powinien zapoznać się dość szczegółowo z treścią RODO, zwracając uwagę na to, aby w swoich działaniach uwzględniać motywy autorów, ujęte w preambule do rozporządzenia.

CZEGO NIE BYŁO W POPRZEDNIEJ USTAWIE O OCHRONIE DANYCH OSOBOWYCH, A CO TRZEBA ZROBIĆ BEZWZGLĘDNIE?
Ze względu na charakter zasobów danych osobowych wszystkich osób funkcyjnych związanych z dostępem do systemów zabezpieczeń (projektowanie, instalacja i konserwacja), jak też i samych użytkowników systemów (np. dane w systemach kontroli dostępu czy też przypisanie imienne alarmów antynapadowych) należy, zgodnie z wymaganiami RODO w sprawie ochrony danych osobowych, tak w fazie projektowania, jak i użytkowania systemów (ang. privacy by desing oraz privacy by default) opracować odpowiednie zabezpieczenia (Art. 25 i motywy preambuły nr: 26, 28, 29, 71, 75, 79 i 156). Podstawą staje się w tym przypadku poprawnie przeprowadzona, w porozumieniu z użytkownikiem końcowym (ADO), procedura analizy zagrożeń i oceny ryzyka zbiorów danych osobowych, planowanych do wykorzystania w obszarze systemów zabezpieczeń. Realizacja tego wymaganego zadania wynika wprost z oceny skutków podjętych działań dla ochrony danych osobowych, DPIA – ang. Data Privacy Impact Assessment (Art. 35 i motywy preambuły nr: 84, 89–93).

Bezwzględnie należy opracować nową treść dokumentu wyrażania zgody na przetwarzanie danych oraz dokumenty dla odbiorcy w odniesieniu do spełnienia obowiązku informacyjnego (Art. 4 ust. 9; Art. 13; Art. 15; Art. 19 i motywy preambuły nr: 39, 58–60, 62–64, 66 i 68).

Należy także rozróżnić zlecone nam działania ochronne realizowane na rzecz danych osobowych powierzanych w ramach kontraktu czy umowy przez zamawiającego usługę (gestora) i realizowane przez nas w trybie wykonawcy usługi (procesora/outsourcera) od własnych działań jako właściciela zasobów.

CO WARTO POZOSTAWIĆ Z DOTYCHCZASOWYCH DOKUMENTÓW?
Pomimo braku formalnych wymagań w RODO uważam za słuszne i celowe utrzymanie dotychczasowej dokumentacji ODO w postaci:

■ polityki bezpieczeństwa ochrony danych osobowych (PBODO), co ułatwi administratorowi wykazanie wobec organów nadzoru spełnienie obowiązku wdrożenia środków bezpieczeństwa (Art. 4 ust. 7; Art. 24 i motywy preambuły nr: 29, 71, 74, 77 i 156);

■ instrukcji zarządzania systemami przetwarzania danych (zaktualizowanej);

■ instrukcji postępowania w przypadku ujawnienia

danych osobowych, którą należy uzupełnić procedurami informacyjnymi (Art. 33, Art. 34 i motywy preambuły nr 85–88).

Należy dokładnie sprawdzić ich treść oraz odwołania prawne do obowiązujących ustaw i przepisów. Oczywistym jest obowiązkowe pozostawienie i odpowiednie zabezpieczenie zasobów danych osobowych związanych z wymaganiami przepisów o archiwizacji trwałej (kat. A) lub czasowej (BE5 – finanse, BE10 – administracja itd.).

PODSUMOWANIE
Przeglądanie i uzupełnianie zasobów danych osobowych przetwarzanych w mojej firmie zajęło mi łącznie ok. 3 tygodnie dodatkowej pracy. Bezpośrednią korzyścią okazało się zwolnienie sporej części zasobów pamięci oraz aktualizacja znowelizowanych ostatnio przepisów krajowych.

RODO ma zasięg ogólny co do wszystkich zawartych w nim postanowień i jest bezpośrednio stosowane we wszystkich państwach członkowskich UE. W konsekwencji staje się ono częścią krajowych systemów prawnych bez potrzeby dokonywania jakichkolwiek czynności transpozycyjnych i wywiera skutki bezpośrednie w stosunku do jednostek. Jednakże w pewnym zakresie rozporządzenie to przewiduje uzupełnienie własnych regulacji przepisami krajowymi. Zawarte odesłania do prawa krajowego mają na celu przede wszystkim doprecyzowanie lub ograniczenie stosowania w tymże prawie krajowym przepisów RODO.

W dniu 22 maja 2018 r. Prezydent RP podpisał ustawę wprowadzającą w ochronie danych osobowych zmiany związane z wchodzącym w życie z dniem 25 maja 2018 r. rozporządzeniem unijnym. Pamiętajmy, że wytyczne i nakazy wynikające z treści artykułów RODO nie podlegają zmianom co do opublikowanego dokumentu, a mogą jedynie być implementowane w odpowiednich sektorach gospodarki krajowej. Polski ustawodawca zdecydował się wprowadzić do swojej ustawy m.in. przepis wyłączający stosowanie RODO do przetwarzania danych przez niektóre jednostki sektora finansów publicznych: organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej oraz ochrony prawa, a także sądy i trybunały, jednostki budżetowe, agencje wykonawcze, instytucje gospodarki budżetowej oraz inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego. Zakres wyłączenia obejmuje czynności, w których przetwarzanie to jest konieczne do realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego, o ile przewidziane są niezbędne środki ochrony praw i wolności osoby, której dane dotyczą.

Przepisy ustawy ustanawiają nowy organ właściwy w sprawie ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych. Z dniem wejścia w życie nowej ustawy GIODO staje się PUODO, Biuro Generalnego Inspektora Ochrony Danych Osobowych – Urzędem Ochrony Danych Osobowych, a zatrudnieni w Biurze Generalnego Inspektora Ochrony Danych Osobowych – pracownikami tego Urzędu.

Nie należy zapominać też o dyrektywie unijnej nr 2016/680, dotyczącej ochrony danych osobowych w sądach, policji i więziennictwie, która musi być zaimplementowana w zgodzie z obowiązującym prawem krajowym.

 

Przypisy:
[1] Łac. per se – samo z siebie.
[2] Dr Paweł Mielniczek, Tomasz Ochocki, adw. Anna Dmochowska: RODO NAWIGATOR. Źródło: portal ODO 24 Sp. z o.o. [PL], https://odo24.pl/rodo-nawigator, [dostęp: 2.04.2018].
[]3] Patrz: www.odo.wip.pl.
[4 Patrz: nieoficjalne tłumaczenia, strona GIODO: https:// giodo.gov.pl/pl/259/9718.
[5] SMA – Stacja Monitorowania Alarmów.
[6] LCN – Lokalne Centrum Nadzoru.
[7] ACO – Alarmowe Centrum Odbiorcze.
[8] Według RODO jest to właściciel zasobu danych osobowych, co wiąże się zarazem z faktem, że jest on równocześnie właścicielem wszystkich ryzyk związanych z tym zasobem.

Źródło: SEC&AS, wydanie 3/2018, s. 88

Powiązane

Kompleksowe zabezpieczanie obiektów

31.08.2017

Moskiewski monitoring z technologią rozpoznawania twarzy

12.10.2017

Popularne

Zrób to sam. Kamera termowizyjna Część II
26.02.2018
Kamera termowizyjna. Część I
15.01.2018
Licencja na zakochanie.
02.09.2018

Sec&As

COPYRIGHT © 2017 RIPOSTA. WSZELKIE PRAWA ZASTRZEŻONE. PROJEKT I REALIZACJA: RIPOSTA