GIODO a serwis internetowy
Internet 22nd Sep 2010
Notka poświęcona osobom, które chcą stworzyć serwis internetowy zgodny z wytycznymi GIODO. Uwaga, dla osób postronnych notka może objawić się jako absurdalny bełkot.
Jak stworzyć serwis internetowy, na którym GIODO-mucha nie siada? Nie mam pojęcia! Ale mam nadzieję, że razem uda nam się coś wypracować. Aby przejść podstawowy tutorial absurdu należy zapoznać się z 8 minutowym filmem, stworzonym przez lookr.tv, na którym Generalny Inspektor Ochrony Danych Osobowych, niczym profesor Miodek odpowiada na pytania zatroskanych internautów:
[...] no ja takiego problemu proszę Państwa nie mam, dlatego że wiem, że definicja dotycząca tego co jest daną osobową jest definicją otwarta [...] dlatego każdy przypadek należy dokładnie analizować, czy informacja jest daną osobową czy też nie.
Mnie również cieszy, że wszystkie kwestie zostały już dogłębnie wyjaśnione. W końcu od tego jest ten Pan, od tego on jest, od tego jest on.
[...] tak rzeczywiście, zgadza się, informacje które wymagają dużego nakładu czasu i pracy nie uważa się za dane osobowe, aczkolwiek należy zawsze pamiętać o tym, że dla mnie jakieś informacje mogą powodować, że będę musiał użyć dużego nakładu czasu i pracy, natomiast dla kogo innego to będzie bardzo proste aby powiązać te informacje z konkretną osobą i o tym proszę zawsze pamiętać.
Wiec jeżeli konkurs ortograficzny wygra Gniewomir z Kozich piętek, a mieszkańcy Kozich piętek będą doskonale wiedzieli, że w ich miejscowości mieszka tylko jeden Gniewomir to z ich punktu widzenia będzie to oczywista publikacja danych osobowych. Zły przykład? Więc weźmy numer IP Gniewomira. Dla większości ludzi na świecie będzie to nic nie mówiący numer, ale nie dla ISP-a z Kozich piętek, który dostarcza internet całym 3 osobom. Bez większych trudności ustali kto kiedy korzystał z danego IP-ka.
[...] rzeczywiście my stwierdzamy, że co do zasady IP komputera jest daną osobową, ale są wyjątki, które powodują, że w pewnych momentach nie można uznać IP komputera za dane osobowe [...]
Tutaj mamy w działaniu zasadę łaskawego wykluczenia, czyli na wszelki wypadek wszystkie numery IP trzeba traktować jako dane osobowe, ale dzięki łasce naszego prawa będziemy mogli zignorować 5 adresów IP, co do których jesteśmy pewni, że nie są to dane osobowe. Oczywiście pozwoli to oczywiście na znaczne oszczędności w nakładach na ochronę danych osobowych.
Mało Wam jeszcze? Nie ma problemu - temat rzeka.
Zajrzyjmy np. w ten zakamarek strony GIODO. Można tutaj wyłowić takie coś:
dostawcy usług internetowych oraz menedżerowie lokalnych sieci mogą, stosując rozsądne środki, zidentyfikować użytkowników internetu, którym przypisali adresy ip ponieważ systematycznie zapisują w plikach daty, czas trwania oraz dynamiczny adres IP (czyli ulegający zmianie po każdym zalogowaniu) przypisany danej osobie. To samo odnosi się do dostawców usług internetowych, którzy prowadzą rejestr (logbook) na serwerze HTTP Nie ma wątpliwości, że w takich przypadkach można mówić o danych osobowych, w rozumieniu art. 2 Dyrektywy
Macie Apache z włączonym logowaniem połączeń? Gratulacje, jesteście szczęśliwymi posiadaczami bazy danych osobowych. Na szczęście podobno logi są zwolnione z obowiązku rejestracji zgodnie z zasadą przetwarzania ich "w zakresie drobnych bieżących spraw życia codziennego". [źródło]
Po więcej można sięgnąć do dokumentu ABC zagrożeń bezpieczeństwa danych osobowych w systemach teleinformatycznych (na samym dole). Z tego dokumentu głoszącego radosną nowinę możemy szybko dowiedzieć się, że również adres e-mail może (ale nie musi (i co że nie musi?!)) być daną osobową. Mój e-mail - tomasz // karbownicki.com - z pewnością można uznać za daną osobową. Natomiast na stronie 24 dowiemy się, że również nick może być daną osobową, bo jeżeli ktoś podpisze się jako "Gniewomir z Kozich piętek" to mamy daną jak w mordę strzelił. Nawet jeżeli ktoś podpiszę się (nick) jako "Adam Kowalski z Opola, ul. Krakowska 907/34" i nie mamy pojęcia czy taka osoba w ogóle istnieje to i tak należy uważać to za daną osobową, do momentu aż będziemy wiedzieli, że taka osoba nie istnieje. Wówczas możemy z czystym sumieniem wykluczyć taką daną z naszego zbioru ściśle chronionych danych osobowych, dzięki czemu oszczędzimy oczywiście góry złota i lata pracy.
Ale wróćmy do budowy serwisu internetowego. Skoro wiemy już, że niemal wszystko co wpisze użytkownik może być daną osobową, możemy przystąpić do projektowania serwisu z uwzględnieniem mechanizmów ochrony danych osobowych. Oczywiście nawet jak użytkownik nic nie wpisze tylko wejdzie na stronę to i tak mamy jego IP w logu Apache'a, wiec za wiele do szczęścia nie trzeba (-;
Na początek musimy mieć serwer posiadający odpowiedni certyfikat, że spełnia on wszystkie wymogi wynikające z przepisów i jest gotowy do przechowywania na nim danych osobowych. Kiedy już znajdziemy taki serwer czas powitać "Wymagania dotyczące struktur baz danych osobowych oraz funkcjonalności zarządzających nimi aplikacji".
Art. 32 ust. 1 pkt. 5 w powiązaniu z §7 ust. 1 pkt. 4 rozporządzenia, stawia w odniesieniu do struktury bazy danych oraz aplikacji zarządzającej zbiorem danych osobowych wymaganie posiadania opcji umożliwiającej rejestrację daty, zakresu i sposobu udostępniania danych odbiorcom (w myśl art. 6 pkt. 7 ustawy), jeśli konieczność takiego udostępnienia wynika z przepisów prawa lub jest przewidziana przez administratora danych.
Jest to jak dla mnie najbardziej niedorzeczna część, która może sprawić, że mechanizmów tych będzie tyle samo co pozostałej części serwisu! Bo jeżeli nick może być daną osobową, to musimy zarejestrować każde udostępnienie komuś nicka. Załóżmy, że mamy widok strony głównej forum, gdzie obok tematów mamy nicki autorów ostatniego posta w wątku.
Wówczas każde odświeżenie strony wiąże się z koniecznością odnotowania w logu tego, że o godzinie XX:YY panu A zostały udostępnione dane: nick pana B, nick pana C, nick pana D ... Nie wspominając już o bardziej skomplikowanych stronach składających się z różnych elementów, z których każdy może zwierać dane osobowe. Dajmy na to stronę główna joggera.
Mamy tam listę najnowszych wpisów wraz z nickami autorów, najpopularniejsze wpisy razem z nickami autorów oraz najczęściej komentowane wpisy razem z nickami autorów. Teraz wyobraźmy sobie, że każdy taki element generuje jednego inserta do loga udostępniania danych osobowych i już mamy 3 inserty do bazy na każde odświeżenie strony (-: Nawet nie myślcie o bardziej skomplikowanych portalach :D Dołóżmy to, że każda zmiana w szablonie, która wprowadza wyświetlenie się np. nicka, e-maila wiąże się z odpowiednią modyfikacją mechanizmu logującego udostępnianie danych. Tym sposobem szybko odechce się każdemu tworzenia nowych widoków.
Na koniec zajrzyjmy jeszcze do "ABC zagrożeń bezpieczeńswtwa ...". Na stronie 85 znajdziemy rozdział "Zabezpieczenie elektronicznych formularzy". Na stronie 86 znajdziemy takie zdanie:
Ponadto transmisja danych między systemem administratora a komputerem rejestrującego się użytkownika powinna być zabezpieczona przy użyciu kryptograficznych środków ochrony danych (np. poprzez zastosowanie protokołu SSL).
O ile dobrze rozumiem to jeżeli przesyłamy do systemu swoje dane osobowe musimy tą transmisję zabezpieczyć np. poprzez SSL. Zestawmy to teraz z innymi danymi osobowymi, którymi jak wiemy mogą być np. adresy e-mail. Czy każdy formularz subskrypcji newslettera musi iść po SSL-u? Czy każdy formularz do napisania komentarza gdzie przesyłamy swój nick (dana osobowa) musi iść po SSL-u?
Chciałem zebrać dzisiaj wszystkie informacje niezbędne do postawienia serwisu zgodnego z GIODO. Niestety poległem :-( Z moich dotychczasowych ustaleń wynika, że nakład pracy potrzebny na ochronę danych osobowych sprawia, że zadanie stanie się niewykonalne. Dlatego będę wdzięczny za wszelkie informacje od Was dotyczące tego tematu. Może ktoś z Was postawił już coś takiego jak serwis zgodny z GIODO lub przynajmniej przeszedł kontrolę i wie co można olać...
PS. Proszę nie komentować tej notki bo formularz nie ma SSL-a a ja nie jestem pewien czy serwerownia Joggera ma odpowiednie certyfikaty ;-)
Komentarze z jogger.pl
"Jak rząd się za coś zabiera, to efekty są dokładnie odwrotne"
W "polskim" internecie jest całkiem sporo serwisów do których GIODO się nie czepia jednak;>
Któregoś dnia przyszedł do nas szef i kazał dorobić w bazie danych newslettera pole z informacją o źródle pozyskania, bo tak kazał pan z GIODO. Dodaliśmy pole "source" z domyślną wartością "formularz na stronie WWW" i tyle - nie ma nawet mechanizmu aktualizowania tego pola ;-)
Zbudowanie systemu zgodnego z Ustawą o Ochronie Danych Osobowych nie jest sprawą banalną, to oczywiste. Definicja, co to są dane osobowe, jest w Ustawie, delikatnie mówiąc, mało precyzyjna, albo też, jak wyraził się Generalny Inspektor, "otwarta". Z punktu widzenia klienta/osoby, której dane są przetwarzane to dobrze, z punktu widzenia potencjalnego administratora danych osobowych, to źle. Rozważanie, czy nick albo adres IP spełnia już warunki definicji Art. 6 Ustawy, czy jeszcze nie, jest kwestią drugorzędną. Istotne jest po co zbierasz i przechowujesz takie dane, czy wolno ci to robić i jak zabezpieczasz przechowywane, przetwarzane dane, żeby nie wpadły w niepowołane ręce? Dodatkową kwestią jest to, czy musisz zgłaszać zbiór do GIODO, czy nie (patrz Art. 43, zwłaszcza pkt 4 i 9)
Jeżeli budujesz serwis, w którym użytkownicy piszą swoje teksty (jak, np. na joggerze, albo komentarze na forum), to są oni współtwórcami tego serwisu, a ich twórczość, zgodnie z Ustawą o Ochronie Praw Autorskich i Prawach Pokrewnych, należy do nich i na mocy tej ustawy publikujesz w serwisie imię/nazwisko/nick autora. Nie jest to więc udostępnienie w rozumieniu Ustawy o Ochronie Danych Osobowych.
Co do zabezpieczenia przesyłanych danych - Załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004, w dziale C) Środki bezpieczeństwa na poziomie wysokim, pkt XIII, mówi: "Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej". Do UWIERZYTELNIENIA - i tyle rozporządzenie, ale przecież w praktyce zawsze stosujemy połączenie szyfrowane (np. SSL), gdy użytkownik naszego serwisu wypełnia formularz logowania, nieprawdaż? ;-)
@cantek: dzięki za wyjaśnienia. Czyli generalnie większość serwisów, które umożliwiają wklepanie jakiś danych o sobie (nick, e-mail, imię, nazwisko) można potraktować jako współtworzone przez społeczność. Czyli zwalnia to nas z konieczności logowania udostępnianych danych, ale nie zwalnia nas ze zgłaszania bazy oraz jej zabezpieczenia, np. certyfikowanej serwerowni. Dobrze rozumiem?
Piękne są to przepisy i piękna jest ich interpretacja. Szczególnie cudowne jest uznanie adresu IP za daną osobową (z tego co widzę Gazeta przegrała, choć toczyli bój z GIODO) i ukrywają część (np. ostatnią cyfrę ;-)) adresu IP przy komentarzach. Za to serwis ze statystykami pokazuje mi cały adres.
Najweselej było przy rozmowie z prawnikami, jak zapytali, komu udostępniam dane osobowe klientów. Zgodnie z prawdą powiedziałem, że wszystkim. Na zaprezentowane bezgraniczne zdumienie wyjaśniłem, że przesyłanie danych w sieciach IP opiera się o udostępnianie adresów IP wszystkim uczestniczącym w transmisji, więc skoro adres IP jest daną osobową... Kazali porzucić ten tok rozumowania na czas rozważania udostępniania danych osobowych i przyjąć, że dla transmisji internetowej adres IP jednak nie jest daną osobową. ;->
(...)Czyli zwalnia to nas z konieczności logowania udostępnianych danych, ale nie zwalnia nas ze zgłaszania bazy oraz jej zabezpieczenia, np. certyfikowanej serwerowni.(...)
Wszystko zależy, co robisz z tymi danymi. Dopóki służą ci do zawarcia "umowy" z autorem (czyt. zaakceptowania regulaminu portalu) oraz wypełnienia obowiązku wynikającego z Ustawy o Prawie Autorskim i Prawach Pokrewnych - nie musisz bazy zgłaszać do GIODO (tak, jak firmy nie muszą zgłaszać do GIODO bazy, w której przechowują dane swoich pracowników i współpracowników, np. wydawnictwo książkowe bazę swoich autorów).
Inną kwestią jest zabezpieczenie danych i systemu informatycznego, w którym te dane są przetwarzane. Zgodnie z ustawą taki system, niezależnie od tego, czy zgłoszony, czy nie, musi spełniać warunki wymagane na stosownym poziomie.
Ciekawą rzeczą wynikającą w tym przypadku z ustawy jest to, że na dobrą sprawę, każdy, kto może dostać się fizycznie do serwera, w którym przechowywane są dane, powinien być upoważniony do przetwarzania danych tam przechowywanych , albo "dotykać" serwera tylko w obecności osoby uprawnionej i upoważnionej, co oczywiście jest nierealne w zewnętrznych centrach danych (no bo co? Będziesz upoważniał każdego pracownika takiego centrum czy zamieszkasz u nich w serwerowni?). Myślę jednak, że wystarczającym zabezpieczeniem będzie w tym przypadku hasło do systemu + hasło na BIOS, tak, żeby ktoś niepowołany nie mógł sobie zrobić kopii bazy "na boku". A ochrona przed fizycznym zniszczeniem danych lub kradzieżą maszyny? No coż, pozostaje tylko dobra umowa z centrum danych.
Oczywiście to, co napisałem powyżej, ma zastosowanie dopóty, dopóki nie zechcesz swoich użytkowników obesłać jakimiś materiałami marketingowymi (ale korespondować z nimi możesz - informacje np. o stanie technicznym witryny, to nie materiał promocyjny a informacje służące prawidłowemu świadczeniu usługi), albo przekazać komuś trzeciemu namiary na użytkowników twojego portalu (wtedy to już jest regularne udostępnienie).
Trochę delirki jest przy portalach społecznościowych (co, IMHO, wynika z głupoty samych użytkowników i Kargulo-Pawlakowej mentalności, ale jak ktoś chce się pochwalić całym dobytkiem, to nic mu nie zrobisz). Na cenzurowanym była Nasza-Klasa - zobacz np. tu: http://wroclaw.gazeta.pl/wroclaw/1,35771,4890803.html
a zwłaszcza inormacje o sprawie usunięcia podpisu pod zdjęciem: http://prawo.vagla.pl/node/7900
inne spojrzenie na tę samą sprawę: http://webhosting.pl/GIODO:.zdjecie.imie.oraz.nazwisko.na.Naszej_Klasie.pl.to.nie.dane.osobowe i tu: http://di.com.pl/news/21103,0,GIODONasza-Klasanieodpowiadazaprzechowywanedane-aktualizacja.html
Przy interpretacji przepisów zawsze trzeba mieć na względzie intencje ustawodawcy, a intencją przy tworzeniu Ustawy o ochronie danych osobowych było to, żeby informacje o nas nie były gromadzone i wykorzystywane bez naszej zgody (również zgody "domyślnej" wynikającej z litery prawa). Generalnie - trzeba robić tak, jakbyśmy chcieli, żeby inni traktowali dane o nas, czyli zdrowy rozsądek przede wszystkim.
A raczej zdrowy rozsądek i wiedza fachowa ;-)
@cantek: "Inną kwestią jest zabezpieczenie danych i systemu informatycznego, w którym te dane są przetwarzane. Zgodnie z ustawą taki system, niezależnie od tego, czy zgłoszony, czy nie, musi spełniać warunki wymagane na stosownym poziomie."
Zgodnie z ustawą już samo przechowywanie danych osobowych jest ich przetwarzaniem, z czego wynika, że każdy system informatyczny musi spełniać warunki wymagane na stosownym poziomie.
@Jaro: "Zgodnie z ustawą (...) każdy system informatyczny musi spełniać warunki wymagane na stosownym poziomie."
Każdy, w którym przetwarzane są dane osobowe.