Wesołych Świąt

WARTO WIEDZIEĆ

KOLEJNYCH KILKA SŁÓW O UMOWACH POWIERZENIA I SPOSOBIE RZETELNEGO INFORMOWANIA

Bernadeta Gronowska, Jacek Rembikowski, Poznań czerwiec 2018   Umowa powierzenia, to dokument , za którego treść odpowiada Administrator Danych (np. firma powierzająca dane stronie trzeciej). Dlatego też należy bacznie zwracać uwagę, czy aby podwykonawca nie próbuje sobie zapewnić tzw. tyłochronu, gdyż będąc zobligowany do przetwarzania zgodnie z prawem w pierwszej kolejności, i zgodnie z RODO w drugiej, stara się za wszelką cenę odsunąć od siebie odpowiedzialności w stylu - ja zrobiłem wszystko, co mogłem, to Administrator jest winny. Może się to okazać bronią obosieczną dla obu stron i to bardzo bolesną.   Kiedy Procesor odpowiada? A no wtedy gdy nie zadba o to, aby mu rzetelnie Administrator powiedział, co będzie przedmiotem działania lub wiedząc, że nie spełnia właściwych kryteriów podejmie się przetwarzania, mimo wiedzy co do zakresu danych i świadomości, że nie jest w stanie ich chronić w adekwatny sposób.   Cel umowy powierzenia. Powierzenie przetwarzania w większości przypadków w ogóle nie ma nic wspólnego z celem Nie istnieje takie pojęcie!!! I proszę nas zaskarżyć gdzie kto chce ale niczego to nie zmieni. Bo... - powierzam tobie przechowywanie moich zbiorów (czyli archiwizacja) - celem nie jest powierzenie ale przechowywanie - powierzam tobie nadzór nad szkoleniami Bhp - celem nie jest powierzenie ale prowadzenie szkoleń, ich rejestrowanie, wystawianie zaświadczeń, pilnowanie terminów, z czym wiąże się powierzenie Celem wynikającym z RODO owszem są cele znajdujące swoje poparcie w określonych punktach RODO ale nie stanowią działania samego w sobie.   Przykład? Nasz ulubiony cel: "wykonania zawartej z Panią/Panem umowy o pracę lub podjęcia niezbędnych działań przed zawarciem umowy - podstawą prawną przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. b Rozporządzenia".   Nic bardziej mylnego - podstawą prawną jest umowa o pracę, to raz, a dwa Kodeks Pracy, który reguluje warunki jej zawarcia. Te elementy są natomiast zgodne z wymogami RODO zwartymi w art. 6. ust. 1 lit. b.   Czy poinformowanie pracownika w tym kształcie jest zgodne z RODO? NIE, bo informacja ma być rzetelna, czytelna i przejrzysta i każdy pracodawca wie co to oznacza o ile miał kontakt z Sądem Pracy i stanowiskiem: ale ja nie wiedziałem, nie znam prawa (bo to taki fajny obszar, gdzie nieznajomość prawa nie szkodzi - szkodzi natomiast pracodawcy).   Co powinna zawierać umowa powierzenia? Jeżeli nie zawarliśmy określonych zapisów w umowie głównej (co w obecnej chwili jest oczywiste, bo niekoniecznie mieliśmy taki obowiązek wprost, choć logiczne z punktu widzenia ochrony danych), to oczywiście zawieramy umowę powierzenia, która doprecyzowuje: a) cel ale tylko gdy nie jest on jednoznaczny (choć taka umowa główna powinna mówić na jakie działania się umawiamy np. serwis oprogramowania, archiwizację danych, związany z nim obowiązek robienia kopii, ochronę tych kopii itd.); b) zakres działań, jako kontynuacja celu (niekiedy sam cel może być działaniem np. składowanie kopii archiwalnych - my dostarczamy kopie na nośniku, a podwykonawca go tylko składuje); c) zakres danych: tu może być trudno, bo nie raz wręcz nie wolno ich ujawnić ale: - w większości przypadków należy wprost wymienić kategorie oraz szczegóły (imię, nazwisko, adres itd.) - można wymienić tylko kategorie jeżeli nie wolno nam ujawnić zakresu danych z jakiegoś powodu (np. przekazujemy do chmury archiwa bo u nas się nie mieszczą ale mamy zastrzeżenie w umowa z klientami, że nie wyrażają zgody na ujawnienie niczego o nich samych lub ich klientach), wówczas możemy posłużyć się pojęciem ogólnym o ile dostawca tylko dba o zbiór, a w swojej dokumentacji mamy szczegółowe opisy co on zawiera) - możemy się posłużyć uogólnieniem zwłaszcza w trybie przyszłościowym o ile w trybie rozliczalności posiadamy inny dokument, który może to potwierdzić, czyli możemy napisać w umowie że powierzamy Dane pracownicze, w zakresie zgodnym funkcjonalnością zgodną np. z systemem informatycznym, zgodnie z aktualną dostarczoną lub dostarczaną na bieżąco dokumentacją,   BO CELEM WYLICZANIA JAKIE DANE SĄ PRZETWARZANE NIE JEST ICH WYLICZANIE ALE ROZLICZENIE STRON CO DO ZAKRESU PRZEKAZYWANYCH I PRZETWARZANYCH DANYCH.   Dlatego niewolno pisać "imię i nazwisko, adres oraz inne dane" lub "m.in.: imię i nazwisko" bo rodzi poważne ryzyko co do rozliczenia jakie dane i kto powinien przetwrzać/przekazywać. Takie zapisy są też bardzo niebezpieczne dla podwykonawcy, gdyż naraża się na przetwarzanie danych, o których nie wie (zwłaszcza mówiąc po staremu danych wrażliwych, których ochrona wymaga szczególnych środków). Podwykonawca nie odpowiada dla odmiany (w trybie na wszelki wypadek) za dane wprowadzone bez tzw. jego wiedzy czy zgody. Przykładem może być tu pole, często stosowane: UWAGI, w które można wpisać wszystko. Jeżeli Administrator wprowadzi tam takie dane to on za to odpowiada, a nie procesor, bo nie jest on zobligowany do nadzorowania pracy Administratora Danych. d) informacje o czasie przetwarzania w trakcie umowy, jak i o tym co z danymi musi być wykonane po zakończeniu umowy (wbrew pozorom powierzenie może trwać nadal jeżeli wynika to z litery prawa np. dla potrzeb dowodowych czy archiwalnych np. u radców prawnych prowadzących sprawy); e) pozostałe deklaracje związane z oświadczeniem stron o współpracy, staranności i działaniu zgodnie z RODO w szczególności w obszarze incydentów; f) warunki dostępu do danych osobowych, których one dotyczą - w niektórych bowiem przypadkach dostęp i pozostałe prawa będę realizowane wprost, a w niektórych nie (np. serwisant nie może zgłosić do Administratora zmiany dowodu, zgłasza to pracodawcy, który informuje o tym fakcie zleceniodawcę); g) no i oczywiście - o ile nie reguluje tego umowa główna powinny być zdefiniowane czyli: czy procesor tylko ma wgląd w dane, czy może je jednak czyta w celu wydania opinii lub wniosku, czy je poprawia, czy zmienia, kopiuje itd. Pisanie w takie umowie całego wachlarza powierzonych działań może się zemścić na Administratorze. Jeżeli więc standardem jest działanie w obecności danych, to należy to jednoznacznie zaznaczyć, jeżeli w grę wchodzi doraźne poprawianie także i warto to uzależnić od polecenie Administratora (to rada dla Procesorów).   Czy IOD może pisać takie umowy? NIE, gdyż jako 'ciało doradcze' oraz osoba kontrolująca poprawność przetwarzania danych osobowych wszedłby w konflikt interesów, gdyż docelowo kontrolowałby sam siebie, to raz, a dwa później weryfikowałby postępowanie stron wg własnego projektu.   I na koniec - przypadek szczególnych, czyli informowanie pracowników, w aspekcie rzetelności bo to nie tylko ich dotyczy   W niektórych umowach powierzenia pojawiają się zapisy związane z informowaniem pracowników. Temat opisujemy także z poziomu umów o pracę, bo jest on tożsamy w wielu przypadkach.   Jeżeli chcemy napisać w obowiązku informacyjnym tak w zakresie odbiorców danych tak: "- podmiotom uczestniczącym w procesach niezbędnych do wykonywania zawartej z Panią/Panem umowy o pracę ", to jest to naruszenie RODO, bo nie tylko klient ale także pracownik ma prawo wiedzieć dokłądnie komu dane przekazujemy.   Jeżeli napiszemy w obowiązku informacyjnym nie ważne czy dla pracowników, czy dla klientów, tak: " W zakresie w jakim podstawą przetwarzania Pani/Pana danych osobowych jest przesłanka prawnie uzasadnionego interesu Banku, przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania Pani/Pana danych osobowych."   Także jest to naruszeniem RODO zwłaszcza w zakresie Kodeksu Pracy, gdyż pracownik nie musi wiedzieć jakie dane są obowiązkowe, a jakie nie.   Dlatego też powinniśmy poinformować pracownika, czy klienta, rzetelnie jakie dane są obowiązkowe i z czego to wynika, a jakie dobrowolne i jakie związane są nimi prawa.   Przykład: dane dobrowolne to np. telefon prywatny, prawo do wykorzystania wizerunku, prawo do wykorzystania wizerunku rodziny itp. bo to prawo może być cofnięte (np. nie chcę aby dalej na FB wisiały moje zdjęcia). To dla odmiany nie dotyczy zawodów szczególnych bo ochroniarz, konwojent musi udostępnić takie dane, więc obszar ten stanowi przedmiot indywidualnych, wewnętrznych ustaleń. Ale należy mieć na uwadze fakt, że w Sądzie pracownik może powiedzieć: ale ja nie wiedziałem i ma do tego prawo.   Więcej na ten temat możecie Państwo przeczytać w artykule: Analiza przypadków - umowy, a obowiązek informacyjny 

ANALIZA PRZYPADKÓW - UMOWY, A OBOWIĄZEK INFORMACYJNY

Bernadeta Gronowska, Jacek Rembikowski, E-QSM Informatyczne Systemy Zarządzania, Poznań 2018 Przypadek 1 - z udostępnianiem treści umów lub ich części Każda umowa między stronami zawiera szereg informacji związanych z: - celem umowy - zakresem działań - lokalizacją - warunkami np. dotyczącymi przechowywania i udostępniania danych, uczestnikami umowy.   Jeżeli zatem ktoś stosuje tzw. dobre praktyki, związane z przekazywaniem skanu umowy pracownikowi, którego zakres obowiązków ściśle jest z nią powiązany, wówczas wyczerpany zostaje zakres wymogu informacyjnego o ile: W umowie zawarte zostaną informacje dotyczące w/w elementów tym zapewnienie związane z czasem przetwarzania i ochroną danych osobowych uczestnika umowy.   Przypadek 2 - co jednak w przypadku tych umów, których treść nie musi być udostępniana pracownikom lub jest udostępniana w ograniczonym zakresie? Pracodawca ma prawo dysponować danymi pracowników w zakresie wynikającym z umów (o pracę) w obszarze zgodnym z profilem działalności (oczywiście mówiąc w skrócie). A zatem zachodzi podejrzenie, graniczące z pewnością, iż zanim 'wprowadzi' pracownika w nowe obowiązki, poinformuje go o tym fakcie, bo obliguje go do tego Kodeks Pracy. A zatem w zakresie obowiązku informacyjnego zamieszczanie go w umowie między stronami jest o tyle niezasadne, że taki obowiązek należy spełnić w ramach wewnętrznych procedur. I to nie przed procesorem czy administratorem musimy się wykazać, lecz przed inspekcją pracy oraz UODO. W obu powyższych przypadkach wydaje się też być całkiem wystarczającym zapis, mówiący, że: dane będą wykorzystywane w ramach realizacji umowy, rozszerzone o informacje dotyczące prawa ich przekazania do podwykonawcy (w przypadku powierzenia). Bo to oznacza w bardzo wielu przypadkach, że nie wolno tych danych przekazać do strony trzeciej, to raz, a dwa wiąże się z zatrzymaniem tych danych w obrębie działań podwykonawcy, gdzie ważne jest po prostu jednoznaczne określenie nazwijmy to geograficznego obszaru przetwarzania. Kolejny ważny aspekt, to kwestia różnych profesji - zawodów. Zatrudniając ochroniarza, firma ta z definicji powinna go poinformować dla kogo będzie pracował i jaki zakres danych musi być klientowi przekazany - chociażby z uwagi na grafik jaki obowiązuje w tego typu firmach. Zatem mamy kolejny przypadek, gdzie te działania w pełni spoczywają na pracodawcy i nie muszą znaleźć swojego odzwierciedlenia w umowie między stronami. Co więcej za poprawność przekazanych danych w tym szczególnym przypadku, za ich aktualność odpowiada dostawca względem klienta i na odwrót, zatem aktualizacja, czyt. poprawianie, to obowiązek, a nie prawo, tak jak nie zachodzi prawo do usunięcia.   Przypadek 3 - umowy powierzenia/udostępnienia z MOPS itp. instytucjami. Generalnie w żadnym wypadku nie ma mowy o umowach powierzenia jeżeli mówimy o normalnej usłudze ROR, bo ona wynika z litery prawa. Z taką umową możemy mieć do czynienia jedynie wówczas, gdy działania banku wychodzą poza usługę bankową, czyli np. dostają listy z danymi, które mają nadzorować jako usługa towarzysząca wypłacie w kasie. Ale wówczas nie obejmuje ta umowa elementów działania banku we własnym zakresie (czyli w obszarze systemów), a jedynie w zakresie owych list. Wówczas jedyne z czym trzeba się liczyć to z kontrolę szafki w które ten dane/listy są trzymane ale wystarczy, że banku uruchomi możliwość wpłacania na rzecz uposażonych odpowiednich kwot z dyspozycją wypłaty na dowód wówczas nie podpisujemy żadnej umowy i żadna ze stron nie narusza prawa, ani też nie generuje fikcyjnych obowiązków. Reasumując; jeżeli wypłata zasiłków odbywa się poprzez przelew na konto beneficjentów, wypłatę z konta ale bez listy papierowej - nie ma mowy o powierzeniu. Jest to wykonywanie czynności bankowych w oparciu o umowę na prowadzenie rachunku dla MOPS/GOPS/PUP. Jeżeli natomiast wypłata tych zasiłków odbywa się w oparciu o papierowe listy, które są przysyłane przez te jednostki i, co więcej, na tych listach są zbierane podpisy od beneficjentów - jest to dodatkowa usługa banku wykraczająca poza zwykłe czynności bankowe i wtedy należy zawrzeć umowę powierzenia, ale powinna ona dotyczyć tylko tych list.   Powierzenie, a udostępnianie Powierzenie ma miejsce gdy mówimy - pilnuj, dbaj za mnie w moim imieniu Udostępnienie natomiast, gdy możemy dopasować zwrot - bież i rób co chcesz na własny użytek. Zatem pisząc ludzkim językiem - w pierwszym przypadku możemy w umowie napisać: Daję tobie nasze dane, które będą używane w celu realizacji umowy, przez cały czas jej trwania oraz poza jej zakończeniu przez czas wynikający z litery prawa. A w drugim: przekazuję tobie dane abyś mógł z ich wykorzystaniem wykonywać swoje działania.   W obu tych przypadkach wymagane są dodatkowe wpisy o sposobie zabezpieczenia ale tylko w tym pierwszym o prawie do audytu i zwrocie lub zniszczeniu po zakończeniu umowy.   Dlatego w przypadku firm ochroniarskich one udostępniają dane bankom, bo za ich przyczyną banki weryfikują konwojentów, co więcej zachowują u siebie te dane co najmniej do przedawnienia okresu do roszczenia. Jeżeli firma ochroniarska powierzałaby dane, to miałaby prawo na koniec umowy nakazać ich oddanie lub usunięcie, co więcej miałaby prawo do weryfikacji zasad przetwarzania, co już brzmi strasznie. Dlatego też w przypadku umów związanych z transportem gotówki mamy do czynienia sytuacją gdy Dane osób upoważnionych do kontaktu i do realizacji umowy będą przetwarzane zarówno przez Firmę Ochroniarską, jak i Bank Spółdzielczy we własnych celach:  dla zapewnienia bezpieczeństwa realizacji usługi, rozliczalności działań wynikających z umowy, dla celów dowodowych, w celach zapewnienia kontaktu w ramach realizacji umowy.

MIEĆ ABI, CZY NIE MIEĆ, O TO MIEĆ PYTANIE

Bernadeta Gronowska, Jacek Rembikowski, E-QSM Informatyczne Systemy Zarządzania, Poznań 2017 Codziennie mamy okazję stykać się z różnymi interpretacjami prawa, a zwłaszcza nie milkną burze wokół obszaru Ochrony Danych Osobowych.   I choć my także mamy (prywatnie) wiele wątpliwości oraz zdajemy sobie sprawę z niedoskonałości uregulowań prawnych (ot chociażby nieaktualizowane od 2004 roku Rozporządzenie dot. systemów IT), to nie zwalnia nas to z działań zgodnych z tym, co zapisane w prawie i ogłoszone przez GIODO.   O tym, że ABI nie może być członkiem zarządu przekonało się już kilka organizacji (w tym Banki), otrzymując odmowę rejestracji ABI.   Tym razem powodem odmowy rejestracji było umiejscowienie ABI nie pod Prezesem/Kierownikiem Jednostki, a gdzieś w środku struktury organizacyjnej, choć kompetencje tej osoby są jak najbardziej właściwe.   A to oznacza, że albo ta osoba zostanie przesunięta w strukturze organizacyjnej pod Prezesa, albo trzeba szukać innej osoby, jeżeli inne obowiązki realizowane przez tą osobę nie będą mogły być powierzone komuś innemu.   My jednak nie tym chcielibyśmy się podzielić, lecz całkiem innym fragmentem pisma przesłanego przez GIODO, którego fragment cytujemy poniżej, oczywiście za wcześniejszą zgodą adresata:   "Nadmieniam, że powołanie ABI zgodnie z ustawowymi wymogami (...) jest istotnym krokiem do należytego przygotowania się do stosowania unormowań rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (...), którego postanowienia będą stosowane bezpośrednio we wszystkich państwach członkowskich Unii od dnia 25. maja 2018r."   To, co jest najważniejsze w tym fragmencie, to wskazanie na coś, co nam najczęściej umyka, a mianowicie czas; a w tym przypadku czas, jaki mamy na to, aby się do czegoś przygotować i nie zostać zaskoczonym, kiedy przepisy nowego rozporządzenia wejdą w życie. A niestety wejdą...   Niejedna osoba miała już okazję przekonać się, że wcale nie jest łatwo wdrożyć się w temat, w którym na każdym kroku spotykamy się z różnymi interpretacjami i który swoim zasięgiem zahacza o prawo, IT, ochronę osób i mienia oraz kilka innych aspektów. Nie jest też łatwo działać w układzie vacatio legis, gdy jeszcze nie wszystko obowiązuje, a jednak w niejednej sytuacji już powinno być stosowane.   Dziś każdy, kto rejestruje ABI i zrobi to źle, praktycznie niczego nie ryzykuje, bo dziś ABI jest prawem, a nie obowiązkiem. Dziś powołany ABI (nawet nieformalnie) ma szansę zdobyć wiedzę niezbędną do sprawowania tej funkcji, więc odsuwanie tego tematu nie wnosi nic do naszego życia, a jedynie zabiera nam szansę na ograniczenie niepotrzebnych nerwów.   I oczywiście można, a wręcz należy, dyskutować, czy ABI może być członkiem zarządu, czy musi podlegać pod prezesa, bo to buduje większą świadomość.  Niemniej w dyskusji tej warto zastanowić się, czy członek zarządu nie ma zbyt wielu obowiązków (pomijając tu aspekty wynikające ze stanowiska GIODO), aby zajmować się dodatkowo tym obszarem, gdzie dla przykładu wykonanie zleconego przez GIODO sprawdzenia w jednym z Banków, z uwagi na zakres, zajęło nam bity tydzień z udziałem dwóch osób?   Dyskusja i działanie to oczywiste dwie różne czynności. Warto jednak brać pod uwagę jeszcze zupełnie co innego.   Otóż póki co, z uwagi na braki kadrowe, w zakresie rejestracji wszelkich wniosków GIODO ma opóźnienia w działaniach mniej więcej 8 do 12 miesięcy. A to oznacza, że możemy podjąć decyzję o charakterze 'pod prąd' i co więcej, z uwagi na brak szybkiej reakcji ze strony GIODO, żyć dość długo w przekonaniu, że się udało, że zrobiliśmy dobrze. Tylko, co się dzieje, gdy po tak długim czasie dowiadujemy się, że jednak zrobiliśmy źle?   Ano właśnie… Przewrotnie odpowiemy, że zdobytą w tym czasie wiedzę ów członek zarządu będzie mógł wykorzystać w procesie rekrutacji, bo będzie wiedział, czego ma wymagać od nowego kandydata na ABI. Może i to jest coś…, ale to by było na tyle z zysku chodzenia ‘pod prąd’.   Naszym zdaniem warto sobie dać szansę i wdrożyć ABI-ego już teraz, niezależnie, czy samodzielnie, czy z naszym udziałem, bo czasu jest i dużo i mało, a niejedna już osoba przekonała się, że rok na zgłębienie tajników obszaru ODO, to wcale nie jest tak wiele, jakby się mogło wydawać. Tak, jak i my się przekonujemy, że z roku na rok przybywa nam obowiązków, z którymi sobie z powodzeniem radzimy, bo dobrze wykorzystaliśmy czas, kiedy jeszcze wielu rzeczy nie wymagano, a z którymi postawiliśmy się zmierzyć, mając świadomość, że i tak nas nie ominą.

PO ALKOHOLU ZABRANIA SIĘ PROWADZENIA POJAZDÓW MECHANICZNYCH, CZYLI ROWEROWA JAZDA BEZ TRZYMANKI DLA PENTESTERÓW

Jacek Rembikowski, E-QSM Informatyczne Systemy Zarządzania, Poznań 2017 Skazany za prowadzenie, choć nie za jazdę rowerem po spożyciu - ten obrazek jest nam znany, na szczęście tylko z ekranów telewizorów. Problem leżał w słowie "prowadzić" i braku synonimu w pełnym zakresie znaczeń tego słowa:  zamiast "prowadzić" mamy "kierować", ale niestety "pchać" już nie pasuje, podobnie jak nie pasuje "opierać się". Zatem rower okazał się być brzemieniem, zamiast być podporą. A co robiły nasze sądy? Niezależnie od logiki, wydawały wyroki, takie, jakie wydawały, ale w zgodzie z prawem.   Po wielu Wisłach, które ostatecznie przepłynęły z gór do morza prawo się zmieniło i ponoć (bo nie testowałem) rower znowu stał się podporą cywilizacji i już nie wsadzają. Ale nie każda zmiana prawa, oznacza korzyści.   I w tym tkwi sedno, czyli powód powstania tego artykułu, gdyż wiedziony przez gen poznania, napędzany nadczynnością modułu dociekliwości, natrafiłem w sieci na ciekawą dyskusję w temacie Kodeks Karny a życie Pentestera.   (...)   Pobawmy się trochę językiem polskim i odrzućmy zbędne elementy zdania, które wielu z nas nie dotyczą, a mianowicie kwestie produkcji i dystrybucji narzędzi, ale pozostawmy najsmaczniejszą część paragrafu. Co otrzymamy?   "Kto udostępnia innym osobom hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej podlega karze pozbawienia wolności do lat 3." Robi wrażanie, co?   Pełna treść artykułu, czyli co dalej z testami, dostępna jest pod adresem: http://demo.eqsm.com.pl

WIZJA DO REWIZJI…. CZYLI DYLEMATY PODGLĄDACZA

Bernadeta Gronowska, E-QSM Informatyczne Systemy Zarządzania, Poznań 2015 Złowrogie Widmo Wielkiego Brata straszy za każdym rogiem coraz bardziej przerażonych wszechobecnym podglądactwem i inwigilacją obywateli… Z kosmosu satelity zdolne namierzyć każdy ruch, zidentyfikować najmniejszy szczegół ubioru, prześledzić trajektorię trasy ogarniętych wyprzedażowym amokiem zakupoholików. Na ulicy dla większej ostrości przejmują podglądactwo kamery miejskie, policyjne, zewnętrzne poszczególnych budynków…. W końcu poinformowany tabliczką na granicy miejscowości obywatel powinien mieć świadomość, że miejscowość monitorowana, że dla bezpieczeństwa, dla ochrony, że z prawdziwej troski to wszystko i dla jego szeroko pojętego dobra… A i uciec przed tą przymusową opieką trudno, bo dobrotliwe oko Wielkiego Brata wyśledzi ile bułek w piekarni, ile bluzek w butiku, ile burgerów w Burger Kingu, ile banknotów w Banku obywatel brał do ręki….   I chociaż w dobie ostatniej terrorystycznej aktywności pewnych grup ekstremistycznych i rosnącego poczucia społecznego zagrożenia, potrzeba istnienia i sprawnego funkcjonowania zamontowanych w wielu miejscach kamer kontrowersji wielkich nie wzbudza, o tyle ich obecność w niektórych miejscach rodzi pytania o cel, o potrzebę; wzbudza nawet pewne podejrzenia…. Bo, jak to możliwe, że duży samolot z 239 pasażerami na pokładzie zaginął bez najmniejszego nawet śladu pomimo radarów, zapisów z satelity, wyposażenia w zaawansowany sprzęt, a jednocześnie na co dzień w przeciętnym obywatelu rośnie wrażenie coraz większej inwigilacji i funkcjonowania w państwie policyjnym, gdzie prywatność i prawo do ochrony tego, czego nie chce podawać do publicznej wiadomości jest pustym sloganem i fikcją, nie mającą nic wspólnego z rzeczywistością.   Powszechna obecność kamer monitoringu na ulicach, skrzyżowaniach, placach, na zewnątrz budynków, wewnątrz instytucji, sklepów, firm, urzędów skłania do refleksji, ale również wzbudza obawy o zapisy z tych urządzeń, o dostęp do nich, o zabezpieczenie, przekazywanie do innych podmiotów… Obawy tym większe, że monitoring stał się tak powszechny i dostępny, że może go stosować właściwie każdy… choćby do ochrony własnego domu.   Zaistniała stąd potrzeba stworzenia uregulowań prawnych, które z jednej strony umożliwią stosowanie monitoringu jako metody zwiększającej bezpieczeństwo i zabezpieczania dowodów dochodzeniowo-procesowych, ale z drugiej strony zapewnią w maksymalnym osiągalnym stopniu ochronę danych, obrazów i informacji zapisywanych i przetwarzanych w ten sposób.   Podstawowym składnikiem technologii rejestracji obrazu jest kamera, która sprowadza obraz najbliższego otoczenia do postaci sygnałów elektrycznych analogowych lub cyfrowych. Przekształcony w ten sposób obraz może być zarówno przekazywany i odtwarzany na monitorach, jak i zapisywany na nośnikach danych. W niektórych przypadkach – oprócz obrazu rejestrowany jest również dźwięk. Różnice w technologiach i organizacji monitoringu mają kluczowe znaczenie z punktu widzenia ochrony i zabezpieczania przetwarzanych danych w postaci obrazu, co również w opracowywanym projekcie Ustawy o monitoringu wizyjnym znalazło swoje odzwierciedlenie (Projekt ustawy o monitoringu wizyjnym z dnia 07.07.2014.).   Szeroko konsultowany i dyskutowany projekt ustawy obejmuje także zagadnienia ochrony danych osobowych, przy czym stanowisko Generalnego Inspektora Ochrony Danych Osobowych zostało przekazane w obszernym dokumencie: Wymagania w zakresie regulacji monitoringu. Oczywiście zauważyć należy, że Ustawa jest w dalszym czasie na etapie uzgodnień międzyresortowych i jej ostateczny kształt poznamy dopiero po opublikowaniu w Dzienniku Ustaw, niemniej jednak wydaje się, że już na obecnym etapie należałoby zwrócić uwagę na pewne aspekty zagadnienia monitoringu wizyjnego stosowanego w Bankach w aspekcie przetwarzania i ochrony danych osobowych.   Pierwszym problematycznym zagadnieniem jest kwestia zakwalifikowania obrazu rejestrowanego przez kamery jako informacji będącej danymi osobowymi. Problematyczna, ponieważ rejestrowany obraz obejmuje zarówno budynki, sprzęty, pojazdy, otoczenie, jak i osoby pojawiające się w polu rejestracji kamery. Ponieważ w myśl Ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przy czym informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań, pojawia się pytanie, czy obraz rejestrowany przez kamery monitoringu zawiera dane osobowe?   Pełna treść artykułu, czyli co dalej z monitoringiegm, dostępna jest pod adresem: http://demo.eqsm.com.pl