BLOG

Dowiedz się co jest naprawdę ważne.

Planowe kontrole UODO w 2020 roku. Kto powinien się przygotować?

przez

Obszary planowych kontroli

W pierwszych dniach stycznia bieżącego roku Prezes Urzędu Ochrony Danych Osobowych zatwierdził roczny plan kontroli sektorowych w 2020 r. Jest to bardzo zwięzły dokument, zawiera zaledwie trzy punkty, możemy z niego dowiedzieć się na czym w tym roku zamierza skupić się organ nadzorczy.

W rocznym planie kontroli na pierwszej pozycji znalazły się organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym. W punkcie drugim znajdują się banki w związku z przetwarzaniem danych osobowych, które polega na sporządzaniu kopii (skanów) dokumentów tożsamości klientów i potencjalnych klientów. Ostatni punkt planu dotyczy podmiotów korzystających z systemów zdalnego odczytu wodomierzy (tzw. inteligentnych liczników). Kontrole planowane w tych podmiotach będą dotyczyły przetwarzania danych osobowych w związku z korzystaniem z wodomierzy opartych na nowoczesnej technologii.

Uzasadnienie zawarte w opublikowanym planie ogranicza się do jednego zdania, które mówi, że z uwagi na coraz częściej pojawiające się zagrożenia naruszenia przepisów o ochronie danych osobowych w ww. sektorach oraz duże społeczne zainteresowanie tego typu problemami, uznać je należy za istotne z punktu widzenia zadań realizowanych przez Prezesa Urzędu Ochrony Danych.

Ponieważ uzasadnienie nie jest zbyt obszerne spróbujmy zatem przeanalizować możliwe przyczyny wyboru takich właśnie sektorów. Warto również zwrócić uwagę, że w porównaniu do ubiegłorocznego planu, zakres zaplanowanych na 2020 r. kontroli sektorowych zostały mocno ograniczony. Mając doświadczenie oraz wiedzę o potrzebnym nakładzie pracy Urząd zapewne podszedł do planowania bardziej racjonalnie, co w obecnej sytuacji powszechnych ograniczeń w związku z walką z rozprzestrzenianiem się koronawirusa nie jest bez znaczenia. Nie należy jednak sądzić, że zagadnienia związane z ochroną danych osobowych tracą na znaczeniu, a sprawa kontroli może być pominięta. W dobie pandemii, kiedy coraz więcej obszarów życia przenoszone jest do przestrzeni cyfrowej, ochrona praw osób fizycznych w związku z przetwarzaniem danych jest nie mniej ważna. Organy nadzorcze tym bardziej nie mogą zaniechać prowadzenia swojej statutowej działalności.

System Informacyjny Schengen i Wizowy System Informacyjny

Pierwszym z obszarów, którym zainteresował się Urząd w tym roku są organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen (SIS) i Wizowym Systemie Informacyjnym (VIS). Zgodnie z opisem zawartym w rocznym planie kontroli, sprawdzane będzie m. in. to, w jaki sposób podmioty te przetwarzają dane, do których dostęp uzyskują poprzez KSI (Krajowy Systemu Informatyczny) oraz jak przetwarzają dane pozyskiwane bezpośrednio od osób fizycznych na mocy przepisów ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz.U. z 2019 r. poz. 1844).

UODO zamierza zatem skontrolować podmioty, a przede wszystkim jednostki administracji, posiadające dostęp do danych w ramach SIS i VIS pod kątem zgodności z obowiązującymi przepisami o ochronie danych osobowych.

Kopie/skany dokumentów tożsamości w bankach

Drugim obszarem kontroli wskazanym w planie rocznym jest sektor bankowy. Kontrole mają dotyczyć przetwarzania przez banki danych w związku ze sporządzaniem kopii bądź skanów dokumentów tożsamości swoich klientów oraz osób, które tylko potencjalnie mogą zostać ich klientami. UODO zwracał już uwagę w stanowisku wydanym we wrześniu 2019 r. na to, że banki nie zawsze mogą kserować dowód osobisty. Organ nadzorczy w opublikowanej wówczas opinii podkreślił, że podstawą do kserowania dowodu przez banki mogą być jedynie sytuacje wskazane w ustawie z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, przy czym jest to możliwość, a nie obowiązek banku. UODO z pewnością zwrócił uwagę na to, że postępowanie banków polegające na kopiowaniu dokumentów tożsamości stało się już swego rodzaju zwyczajem, a banki działając niejako „z automatu” raczej nie dokonują analizy, czy dane w postaci kopii lub skanu są całkowicie niezbędne do osiągnięcia realizowanych przez nie celów przetwarzania danych. Prawdopodobnie celem kontroli jest rozstrzygnięcie, czy opisana wyżej praktyka banków nie narusza praw osób, których dane są przetwarzane oraz czy dotychczasowe postępowanie nie jest naruszeniem zasady minimalizacji danych wyrażonej w przepisie art. 5 ust. 1 lit. c) RODO.

Zdalny odczyt wodomierzy

Trzecią grupę podmiotów ujętych przez UODO w swym planie kontroli stanowią podmioty korzystające z systemu zdalnego odczytu wodomierzy (tzw. inteligentnych liczników). Kontroli mogą spodziewać się więc podmioty, które korzystają z systemów tzw. inteligentnych liczników wody, które umożliwiają zdalny odczyt parametrów z danego budynku lub lokalu z wykorzystaniem nowoczesnych technologii. Urządzenia takie automatycznie przesyłają odczyty z urządzeń do bazy danych. Tego typu rozwiązania są wykorzystywane nie tylko przez przedsiębiorstwa wodociągowe, lecz również przez spółdzielnie mieszkaniowe. I właśnie te grupy podmiotów mogą spodziewać się kontroli UODO.

Z całą pewnością zdalny odczyt wodomierzy oznacza duże udogodnienie i niesie szereg korzyści tak dla dostawców wody, jak i dla odbiorców. Należy jednak zauważyć, że dokonywane automatycznie i częstsze odczyty wskazań wodomierzy skutkują zebraniem o wiele większej ilości informacji na temat odbiorców. Gromadzenie tak szczegółowych danych w sposób niejako zautomatyzowany oznacza, że będą one przetwarzane w o wiele większym zakresie niż gdyby odczyty odbywały się w sposób tradycyjny. Jest tak ponieważ podmiot zbierający dane z inteligentnych wodomierzy uzyskuje informację np. o tym, czy konkretny odbiorca indywidualny w danym momencie znajduje się w mieszkaniu. Poza tym na podstawie informacji o godzinach korzystania z wody można pozyskać informacje o zwyczajach domowników (np. o jakiej porze zwykle korzystają z prysznica, a o jakiej porze z toalety, jak często się to odbywa). Za pomocą takich danych można też oszacować liczbę osób stale przebywających w danym lokalu (np. na podstawie średniej wielkości dobowego zużycia wody).

Będziemy weryfikować, czy wdrożone zostały środki techniczne i organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO). Zakres przetwarzanych danych może różnić się od przyjętego przez administratora sposobu odczytu. Tym samym niezbędne w trakcie kontroli będzie ustalenie, czy w związku z owym przetwarzaniem danych dochodzi do profilowania, o którym mowa w art. 4 pkt 4 RODO. – poinformował rzecznik prasowy UODO Adam Sanocki. Urząd podkreśla także, że obecnie obowiązujące przepisy prawa nie regulują kwestii częstotliwości odczytów danych pochodzących z tzw. inteligentnych liczników, natomiast zakres przetwarzanych danych może różnić się w zależności od przyjętego przez operatora lub przedsiębiorstwa wodociągowego sposobu odczytu. UODO sprawdzi zatem, czy administrator danych osobowych jest w stanie wskazać zagrożenia i ryzyko płynące z przetwarzania pozyskanych przez niego informacji oraz czy wdrożył zabezpieczenia będące odpowiedzią na rozpoznane zagrożenia.

Urząd w oficjalnym komunikacie podkreśla, dane osobowe, które są przetwarzane w powyższym zakresie, są przekazywane podmiotom zewnętrznym, takim jak operatorzy dokonujący odczytu czy przedsiębiorstwa wodociągowe. W tym przypadku konieczne jest zweryfikowanie, czy przekazywanie danych takim podmiotom odbywa się w sposób bezpieczny, tj. czy stosowane są metody szyfrowania przesyłanych danych oraz czy dane osobowe nie są przesyłane w nadmiarowym zakresie. Tym samym kluczowa będzie ocena zgodności przekazywania ww. danych w oparciu o wymogi określone w art. 28 ogólnego rozporządzenia o ochronie danych. Przekaz jest jasny – UODO oprócz kontroli zabezpieczeń technicznych będzie także zainteresowany kwestiami powierzenia przetwarzania danych osobowych i odpowiednim uregulowaniem takich działań.

Nie bez znaczenia w kontekście kontroli jest też technologia zastosowana do przesyłania i przechowywania danych. Zdalny transfer danych będzie wymagał zaangażowania operatora telekomunikacyjnego. Z informacji podanej przez jednego z operatorów oferujących tego typu usługi możemy się dowiedzieć, że  inteligentne wodomierze przesyłają dane w oparciu o sieć GSM, czyli 2G. Rozwiązanie takie zastosowano głównie dlatego, że liczniki wody są często zamontowane w piwnicach i miejscach, w których zasięg sieci komórkowej jest bardzo słaby lub tłumiony przez otoczenie. Dodatkowo, ilości przesyłanych danych są na tyle małe, że możliwości sieci GSM są do tego w pełni wystarczające. Za pośrednictwem sieci wszystkie informacje trafiają na serwery operatora, gdzie są dalej przetwarzane i zostają poddane analizom. Oznacza to, że kontrole UODO mogą także dotyczyć operatorów telekomunikacyjnych uczestniczących w procesie jako podmiot przetwarzający dane w imieniu administratora.

Dane przesyłane w ramach usług GSM, czyli 2G są szyfrowane pomiędzy stacją abonenta, a stacją bazową za pomocą algorytmów z rodziny A5. Jednakże specjalistom znane są metody przechwycenia i deszyfracji takiej transmisji np. za pomocą urządzeń nazywanych IMSI catcher. IMSI catcher jest to rodzaj urządzenia do podsłuchu telefonicznego służącego do przechwytywania ruchu np. z telefonu komórkowego i śledzenia danych o lokalizacji użytkowników telefonów komórkowych. Technologia ta powstała na potrzeby Policji i służb lecz z powodzeniem może być użyta do przechwycenia transmisji danych z inteligentnych wodomierzy. Cześć z tych urządzeń – z pewnymi ograniczeniami – jest dostępna na rynku.

Przechwyceniem transmisji danych mogą także być zainteresowani przestępcy. Przykładowo – informacja o tym, że przez dłuższy czas brak jest osób obecnych w lokalu czy w budynku, może być bardzo przydatna do planowania włamania lub innych działań przestępczych. Tym bardziej możliwość nieuprawnionego dostępu do danych może nieść ze sobą ryzyko naruszenia praw osób fizycznych, a w skrajnych przypadkach nawet zagrożenie dla bezpieczeństwa osób i mienia.

Wnioski

Przetwarzanie danych osobowych w sposób nowatorski i przy użyciu technologii cyfrowej wymaga rozwagi i podjęcia szeregu działań na etapie planowania i wdrożenia. Takie przetwarzanie może wiązać się z bardzo specyficznymi zagrożeniami i często wymaga zaangażowania podmiotów zewnętrznych. Z tego względu bardzo ważne jest uwzględnienie wymagań RODO, takich jak ochrona danych w fazie projektowania i zapewnienie, aby ochrona danych była domyślnym ustawieniem (art. 25), rzetelne podejście do analizy występujących zagrożeń dla bezpieczeństwa danych i potencjalnej możliwości naruszenia praw osób fizycznych (art. 32), umowne uregulowanie powierzenia przetwarzania danych (art. 28) oraz właściwe, rzetelne i przejrzyste przekazanie informacji o przetwarzaniu danych osobom, których dane dotyczą (art. 13 i 14).

Z całą pewnością przyczyną zaplanowania przez UODO kontroli w tych właśnie sektorach były coraz częściej pojawiające się zagrożenia naruszenia przepisów o ochronie danych osobowych, a także duże zainteresowanie społeczne problemami, które wiążą się z funkcjonowaniem tych branż i sektorów. UODO zatem stara się przede wszystkim reagować na aktualnie pojawiające się zagrożenia i działać niejako w odpowiedzi na społeczne zainteresowanie kwestią ochrony danych w danym obszarze. Społeczne zainteresowanie może więc w niedługiej perspektywie skutkować przeprowadzeniem kontroli przez UODO w podmiotach, które przetwarzają dane w sektorze budzącym zaciekawienie. Zainteresowanie mediów i opinii społecznej zagadnieniami związanymi z ochroną danych osobowych to dla podmiotów, których ono dotyczy, wyraźny i jednoznaczny sygnał, aby zatroszczyć się o zgodność z przepisami i przygotować na ewentualną kontrolę.