RODO na tacy. Odcinek III: O prawie do bezpieczeństwa i beztroski

To już trzeci odcinek naszego cyklu „RODO na tacy”. Tym razem, ze względu na temat, do współpracy przy tworzeniu odcinka zaprosiliśmy Marcina Maja z Niebezpiecznik.pl.

Dom to określenie ciepłego, bezpiecznego miejsca, w którym nie musimy się o nic martwić. Gdy go nie mamy lub gdy nasze schronienie nie spełnia tych wymogów, żyjemy w niszczącym poczuciu strachu. Niestety, dziś użytkowanie wielu serwisów wykorzystujących dane osobowe przypomina przebywanie w domu, który – zamiast chronić – stwarza nieoczekiwane zagrożenia. Ledwie się wprowadziliśmy, a już informacje na nasz temat wyciekają przez nieszczelne okna. Ktoś, kogo w ogóle nie zapraszaliśmy, wchodzi tylnymi drzwiami. Zamki nie działają, a do piwnicy lepiej nie zaglądać… Bardziej zdeterminowani z nas starali się na różne sposoby pozatykać widoczne szpary, ale wymagało to dużego samozaparcia i realnych umiejętności. Wraz z RODO nadchodzi ważna zmiana: o nasz spokój i bezpieczeństwo będą się musieli pomartwić sami administratorzy.

Przyjazna przestrzeń na wejście

Wraz z wprowadzeniem zasad privacy by design i privacy by default (ochrony danych w fazie projektowania/ domyślnej ochrony danych) cała odpowiedzialność za uszczelnienie drzwi i okien będzie przerzucona na administratora. To on ma dla nas przygotować przyjazną przestrzeń, a my – o nic się nie martwiąc – będziemy mogli zalec na kanapie. Nasze dane będą chronione zgodnie z wymogami RODO, nawet jeśli sami nic w tym kierunku nie zrobimy. Chodzi o to, żeby nawet pasywni, niezainteresowani ustawieniami prywatności użytkownicy mogli poczuć się bezpiecznie.

Logiczną konsekwencją zasad privacy by design i privacy by default jest to, że każde ograniczenie prywatności – np. podzielenie się danymi z innymi podmiotami (stronami trzecimi) – wymaga aktywności ze strony użytkownika (model opt-in). RODO nie nakazuje nam siedzieć w domu z pozamykanymi oknami: możemy zaprosić każdego gościa, a nawet wystawić swoje łóżko na ulicę czy zamontować kamerę w łazience. Za każdym razem powinna to być jednak nasza świadoma decyzja. Dzięki tej zasadzie zyskujemy realną kontrolę nad tym, w jaki sposób przetwarzane są nasze dane.

RODO wymaga także, by administrator danych wdrażał zasady ochrony danych w postaci konkretnych rozwiązań technicznych i organizacyjnych. A więc nie wystarczy zadeklarowanie na papierze minimalizacji danych, ograniczenia celem czy poufności – te zasady powinny się przełożyć na możliwe do zweryfikowania praktyki, takie jak pseudonimizacja, domyślne szyfrowanie czy zorientowane na użytkownika systemy zarządzania danymi (user-centered identity management). To samo dotyczy praw, które przysługują nam na mocy RODO, np. prawa do wycofania zgody czy żądania usunięcia danych, jeśli ich przetwarzanie nie jest już konieczne. Administrator będzie musiał wdrożyć odpowiednie narzędzia, żeby zapewnić poszanowanie naszych praw i umożliwić nam ich wykonywanie.

Wybierając te narzędzia, administrator powinien wziąć pod uwagę:

• aktualną wiedzę techniczną (know-how i technologie dostępne na rynku);
• koszty wdrożenia (nie powinny być nieproporcjonalnie wysokie);
• istotę, zakres, kontekst i cel przetwarzania;
• ryzyko, jakie dany proces przetwarzania danych stwarza dla naszych praw i wolności (im wyższe ryzyko, tym bardziej zaawansowane powinny być zastosowane zabezpieczenia).

Po czym poznać, że jest bezpiecznie

Zasada privacy by default oznacza, że każdy produkt lub usługa w domyślnych ustawieniach powinna zapewniać maksymalny poziom ochrony prywatności. Jeśli chcemy to zweryfikować, musimy sami zajrzeć do tzw. ustawień prywatności. Należy zwrócić uwagę na to:

• czy aplikacja/urządzenie zbiera tylko takie dane, które są niezbędne do dostarczenia nam zamawianej usługi (przykładowo: aplikacja/urządzenie może żądać dostępu do naszej lokalizacji, tylko jeśli ustalenie naszego położenia jest niezbędne do wykonania usługi, np. pokazania, gdzie jesteśmy na mapie; takie dane nie będą potrzebne, jeśli chcemy jedynie zerknąć na mapę bez sprawdzania naszego położenia);
• czy jakakolwiek zmiana ustawień na takie, które obniżają domyślny poziom ochrony prywatności (np. udostępnienie danych innym podmiotom), wymaga naszego działania i wyraźnej decyzji (opt-in);
• czy ustawienia prywatności w jasny sposób pokazują, jakie rodzaje danych i w jakich celach są przetwarzane (uwaga: powinniśmy oczekiwać, że administrator wskaże więcej niż jeden cel przetwarzania danych, ponieważ zazwyczaj są one wykorzystywane w kilku procesach).

Z perspektywy użytkownika trudniejsze jest zweryfikowanie, czy administrator poważnie potraktował zasadę privacy by design. W praktyce może się ona przekładać na różne rozwiązania, które są wbudowane – jako podstawowe funkcjonalności – w specyfikację techniczną czy praktyki biznesowe. A więc żeby w pełni ocenić, czy i jak zasada privacy by design została wdrożona, musielibyśmy zajrzeć w plany „budynku”, do którego się wprowadziliśmy, zweryfikować procedury BHP i techniczne zabezpieczenia. Jako zwykli użytkownicy nie mamy takich uprawnień, a często też potrzebnej wiedzy. Dlatego tego rodzaju kontrola to zadanie dla Urzędu Ochrony Danych Osobowych.

Pewne rzeczy widać jednak bez wchodzenia na zaplecze. Korzystając z usługi czy produktu, jesteśmy w stanie określić podstawowe funkcjonalności i wyłapać te, które świadczą o tym, że administrator dobrze zaprojektował swoje procesy przetwarzania danych i rzeczywiście stara się chronić naszą prywatność. Oto kilka przykładów takich rozwiązań:

• szyfrowanie typu end-to-end (na całej drodze przesyłu danych);
• obowiązkowa autoryzacja (najlepiej dwustopniowa);
• zorientowane na użytkownika zarządzanie dostępem do danych, które: (i) pokazuje, jakie rodzaje danych są przetwarzane i w jakich celach; (ii) pozwala w prosty i przejrzysty sposób wprowadzić zmiany w ustawieniach domyślnych; (iii) pozwala sprawdzić, kto ma dostęp do naszych danych; (iv) pozwala wprowadzać zmiany w zebranych danych, eksportować ich kopię i żądać natychmiastowego usunięcia; (v) pozwala wycofać zgodę na przetwarzanie w równie prosty sposób jak ten, w jaki zgoda została zebrana;
• automatyczne powiadomienia o naruszeniu bezpieczeństwa danych.

Przykłady dobrych praktyk uszczelniających

• Domyślnie ustawiony jest najwyższy poziom ochrony prywatności, którego obniżenie wymaga świadomego działania użytkownika (model opt-in).
• Raz wybrane przez użytkownika ustawienia prywatności nie zmieniają się, są takie same na wszystkich urządzeniach i platformach.
• Interfejs pozwala użytkownikowi przeglądać jego dane osobowe i sprawować nad nimi realną kontrolę. Jest prosty, przejrzysty i intuicyjny w obsłudze.
• Dostęp do danych mają tylko uprawnione osoby i jest on uzasadniony okolicznościami.
• Dane osobowe są standardowo szyfrowane (zarówno podczas transferu, jak i w stanie spoczynku).
• Dane osobowe są anonimizowane lub pseudonimizowane zawsze, gdy to możliwe (tj. o ile nie uniemożliwia to zrealizowania celu przetwarzania danych).
• Usługa wykorzystuje odpowiednie techniki anonimizacji, takie jak sieć miksująca (utrudniająca analizę źródeł ruchu na stronie) czy fizyczne rozdzielenie niektórych danych identyfikacyjnych (logowanie za pomocą atrybutów).
• Administrator przetwarza dane zagregowane, a nie szczegółowe – o ile to możliwe.
• Administrator rozdziela procesy przetwarzania danych osobowych tej samej osoby pochodzące z różnych źródeł, aby uniemożliwić stworzenie jej kompletnego profilu.
• Administrator najpierw decyduje, jakie dane mu są potrzebne, a dopiero potem je zbiera (nie gromadzi danych „na wszelki wypadek”).
• Administrator wdraża procedury zarządzania incydentami naruszenia bezpieczeństwa danych.
• Administrator stale monitoruje usługę pod kątem wystąpienia podejrzanych i nieuprawnionych zmian lub nieuprawnionego dostępu do plików systemowych, które zawierają dane osobowe.
• Administrator nie wypuszcza „tajnych” aktualizacji usługi, które wpływałyby na zmianę ustawień prywatności.

Antyprzykłady od Niebezpiecznik.pl

Świat bez cyberprzestępczości już dawno odszedł do lamusa. Mimo to wiele serwisów i usług nadal nie przestrzega najbardziej podstawowych zasad dotyczących ochrony prywatności i cyberbezpieczeństwa. Oto kilka przykładów „nieszczelnych domostw”, wybranych przez Niebezpiecznik.pl:

1. 400 stron dokładnie nagrywa wszystko co robią na nich internauci.
2. Lalka Barbie szpieguje dzieci, z którymi się bawi.
3. Serwis PZPN ujawnił skany dowodów osobistych kibiców.
4. Plus: niechciana aplikacja pilnująca spłacania rat także na smartfonach za gotówkę?
5. Uważajcie przy kupnie telefonu z drugiej ręki (Allegro, OLX, komis) -- niektóre mogą się po kilku dniach zablokować. Radzimy jak uniknąć wpadki.
6. Odbierałeś swoje badania lekarskie przez internet? Mamy nadzieję, że nie w taki sposób.
7. Tylko zajrzałem na stronę sklepu i dostałem od niego maila. Jak ConversionLabs to robi?
8. Twoja córka wjechała właśnie na parking. Jest z dzieckiem.
9. Supermarket śledzi cię przez twoją komórkę.

Katarzyna Szymielewicz

Współpraca: Karolina Iwańska, Maria Wróblewska, Marcin Maj (Niebezpiecznik.pl)

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon i przekaż nam 1% swojego podatku (KRS: 0000327613).