2017-02-14 16:21
 Oceń wpis
   

"Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości."

Trafił do mnie, przez FB, artykuł o danych osobowych i nowych pomysłach naszych dzielnych europejskich urzędników. Zareklamuję tego bloga: https://sekurak.pl/gdpr-nowe-wymagania-dla-ochrony-danych-osobowych-idzie-zaglada/
Polecam przeczytać tytułem wstępu. Specjaliści od "bezpieczeństwa" zacierają ręce. Piszę specjalnie to słowo w cudzysłowiu, bo czynienie zadość nowej regulacji o danych osobowych, z bezpieczeństwem nie ma nic wspólnego. Raczej z rzucaniem kłód pod nogi.

Oto nasza regulacja:
http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=OJ:L:2016:119:FULL

Czytam, czytam i wychodzi mi na to, że jedyną legalną i nie ryzykowną działalnością związaną z danymi osobowymi, będzie niedługo działalność konsultingowa i prowadzenie szkoleń. A i to pod warunkiem, że listę klientów będziemy mieli w głowie, wyuczoną na pamięć, bo tego jeszcze (chyba) nowa regulacja nie obejmuje.
Świetnie będą się też miały szantaże, bazujące na domniemanym posiadaniu jakiegoś 0-day exploita. Kto zaryzykuje zniszczenie firmy, gdyby taki włam faktycznie by się powiódł? Wyciek danych to jedno, ale gdy państwo się dowie, firmę dobije. Lepiej zapłacić haracz hackerom.

Wszelka normalna działalność biznesowa dostanie kolejnego jeszcze elementu niepewności, zaraz po pomyśle przejmowania firm przez państwo, gdy ktoś zarządu jest podejrzany o przestępstwo ( http://www.egospodarka.pl/138344,Co-Gabinet-Cieni-BCC-rekomenduje-rzadowi,1,39,1.html ). Dalsze działanie będzie musiało się opierać na zasadzie "jakoś to będzie, wszystkich nas nie skontrolują", "może nasi wrogowie nie mają odpowiednich dojść". W praktyce niepewność będzie duża, choć niekoniecznie uświadomiona.

Uprzedzając osoby mówiące, że "przecież tych i tych to nie dotyczy", zaraz wytłumaczę, że dotyczy.
Wyjątek nr 1:

"Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10"

Co ma charakter sporadyczny? Noo, prowadzenie forum, gdzie ludzie się logują i, o zgrozo, serwer zapamiętuje ich IP, wysyła cookiesa i wyświetla ich imię i nazwisko, nie jest sporadyczne. Odpada.
Książka adresowa z kontaktami do klientów w prywatnym telefonie przedsiębiorcy... hmmm też nie wygląda na sporadyczne użycie i nie podpada już pod zwolnienie z tytułu:

"2. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:
...
- przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze"

Toż to wystarczy mieć tam szefa wpisanego z korpo, w którym się pracuje i już mamy problem. I to pracownik ma problem, a nie korpo. Korpo pewnie, z resztą, też...

Jakieś szanse mamy może tu:
"Ponadto zachęca się instytucje i organy Unii, państwa członkowskie i ich organy nadzorcze, by stosując niniejsze rozporządzenie, uwzględniały szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw."
To się okaże. Na pewno stosowne regulacje pojawią się na ostatnią chwilę.

Jeśli tylko chcemy, możemy pomóc zniszczyć firmę nielubianej osobie, jeśli mamy stosowne dojścia do GIODO lub wiemy jak się pisze donosy. Wszystko zgodnie z prawem i w imię przestrzegania prawa.

Wspomniana już książka adresowa w telefonie. Dane osobowe! A może jeszcze ta ksiażka się synchronizuje z zewnętrznym serwerem? Oj, oj.

Lokalna kopia poczty firmowej na dysku na laptopie. Nie dość, że danych osobowych tam pełno, to jeśli ktoś jest w delegacji w nieodpowiednim kraju, to za każdym mailem przetwarzamy dodatkowo jego dane i wysyłamy za granicę.
(Artykuł 45) "Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony."
Toż to wystarczy wejść na forum internetowe z takiego "złego" kraju i już takie forum przekazało dane osobowe. Zgroza. Przestępstwo.
I niech ktoś mi powie, że wyświetlenie imienia innego użytkownika takiego forum to nie jest transfer danych osobowych.

Co sie dzieje, gdy jakiś klient nie chce już byśmy przetwarzali jego dane (Artykuł 17)? No to musimy umieć jego dane usunąć. Zewsząd. Z bieżących baz danych oraz ich backupów (!), z nagłówków maili, a może i z treści korespondencji. Bóg jeden wie. Mam nadzieję, że nie z umów i faktur. Ma tych danych nie być i koniec. Rzeczywistość biurokratów nie obchodzi. Może się wykręcimy jakimś procesem przeciwko takiemu typowi, bo nie dotyczy to "ustalenia, dochodzenia lub obrony roszczeń". Ale jak możemy wymusić, że takiemu klientowi usunęły się cookiesy z przeglądarki, bo cookiesy to teraz też będą dane osobowe?
Czy ze wszystkich logów należy usunąć jego adres IP, albo pisać obszerne wyjaśnienia, dlaczego to jest niemożliwe?

Mamy małe forum internetowe. Postawić było prosto. Bierzemy gotowca, tani serwer. Ale nie nie, teraz lepiej korzystać z "portali społecznościowych" i serwerów wielkich firm, które stać na prawników. Może właśnie o to chodzi w tym rozporządzeniu? O zrobienie z Internetu kolejnej kontrolowalnej telewizji? Zwykły człowiek ma być produktem, ma używać systemów stworzonych przez wielkich. Robić im konkurencję nawet na małą skalę, co technicznie jest banalne, będzie odpowiednio utrudnione do stopnia niemożliwości. Ale przecież wolno, dalej nam wolno, wolność słowa jest, to są tylko konieczne regulacje tej wolności, żeby ona mogła istnieć, czyż nie tak?
Dlaczego lepiej samemu takiego forum nie stawiać? Bo nie znamy technicznych niuansów tego, jak zostało ono stworzone i nie potrafimy zrobić do niego odpowiedniej dokumentacji. Dane osobowe będzie ono przetwarzać czy chcemy czy nie, włamy mogą być, a nie stać nas na 10 mln euro kary.
Poza tym, kto będzie w stanie osobiście podołać temu: "administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić ... regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania."

Może ktoś komuś hasło do forum wykradł i wszedł na forum nieuprawniony (pomijam już typowy włam).
Mamy na to Artykuł 13:
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

72 godziny na to, by osobiście wysmażyć pisemko do GIODO.

Po co? Po co to wszystko? W tej chwili utrzymywanie własnego serwera w sieci, do którego dostęp mają osoby postronne, jest bardziej uregulowane i utrudnione niż zdobycie licencji lotniczej i wystartowanie własnym samolotem, pomimo technicznej łatwości i braku jakichkolwiek faktycznych zagrożeń. Nasze dane osobowe już dawno latają sobie po świecie bez żadnej licencji a spam ma się dobrze. Dane wrażliwe, medyczne? Tak, tu mogłoby istnieć regulacje. Poza tym, cała ta koncepcja nie ma kompletnie sensu. Żyjemy w świecie, gdzie prywatność powoli zanika, a wszelkie służby gromadzą o nas, w sposób automatyczny, materiały o których niejeden dyktator mógłby pomarzyć. Każda rozmowa, potencjalnie każdy email, każde wejście na stronę internetową jest rejestrowane i udostępniane "organom", telefony rejestrują (oczywiście, dla naszej wygody), naszą dokładną pozycję i wysłają na serwery googla i apple, mamy kamery na ulicach na każdym kroku. Ale my, my mamy uważnie przetwarzać absurdalnie zdefiniowane dane osobowe i bać się chorych kar?

Tagi: dane osobowe gdpr

Komentarze




Najnowsze komentarze

O mnie

Kategorie
 
Ogólne
 

Moje linki
 

Ulubione blogi

Archiwum
 
Rok 2017