Na pierwszy rzut oka wydaje się, że muzea nie gromadzą zbyt wielu danych osobowych. Nic bardziej mylnego, przetwarzają je i to na bardzo szeroką skalę, bo sprzedają internetowo bilety i mają monitoring wizyjny
Wdrażamy RODO w administracji
To tytuł cyklu, w którym odpowiadamy na newralgiczne pytania różnych instytucji na temat tego, jak po 25 maja ma wyglądać ochrona danych osobowych. A problemów nie brakuje, co jest pokłosiem m.in. tego, że zamiast jasnych zasad i procedur RODO daje dużą swobodę w zakresie doboru odpowiednich środków. Co więcej, okazuje się, że nie wszyscy są świadomi nowych obowiązków.
W cyklu ukazały się następujące teksty:
● „Resort cyfryzacji: kary za naruszenie przepisów to ostateczność” – Samorząd i Administracja z 25 kwietnia 2018 r. (DGP nr 81)
● „Czy sołtys też będzie musiał powołać inspektora ochrony danych” – Samorząd i Administracja z 25 kwietnia 2018 r. (DGP nr 81)
● „Biblioteka i ośrodek kultury nie mogą zapomnieć o RODO” – Samorząd i Administracja z 25 kwietnia 2018 r. (DGP nr 81)
Dostosowanie instytucji do RODO wymaga nie tylko weryfikacji dotychczasowych procedur, analizy treści strony internetowej oraz procesów przetwarzania, ale także opracowania i wdrożenia nowych procedur czy aktualizacji regulaminów. Konieczna jest również analiza ryzyk i zagrożeń dotychczasowych metod przetwarzania danych, a także – jeżeli to niezbędne – oceny skutków. Muzeum musi być w stanie zapewnić rzetelność i należytą staranność dla wszystkich procesów przetwarzania danych, a także być w stanie to wykazać.
Zasady dotyczące przetwarzania danych określa artykuł 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: ogólne rozporządzenie o ochronie danych, RODO). Zgodnie z nim dane muszą być przetwarzane w sposób gwarantujący bezpieczeństwo i poufność – dotyczy to także strony www, której ktoś będzie używał, kupując bilet. W tym celu placówka może zapewnić szyfrowanie na stronie, tzn. certyfikat SSL [patrz ramka] oraz zadbać o to, aby sam serwis był prowadzony na witrynie aktualizowanej i wspieranej przez dostawcę wersji CMS (system zarządzania treścią, rodzaj oprogramowania). Brak zapewnienia aktualizacji systemów, w których są przetwarzane dane (od Windowsa po stronę internetową), drastycznie zwiększa ich podatność na zagrożenia.
RAMKA
Słowniczek
● certyfikat SSL – narzędzie zapewniające ochronę witryn internetowych i poufność danych przesyłanych drogą elektroniczną. Pełne bezpieczeństwo jest efektem szyfrowania komunikacji między komputerami. Certyfikaty SSL to koszt około kilkuset zł, przy czym niektóre firmy oferują na określony czas darmowe certyfikaty SSL.
Zasada minimalizacji danych...
Dane kupującego powinny być zbierane w jak najmniejszym zakresie, tak aby można było obiektywnie wykazać, że są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (art. 5 ust. 1c rozporządzenia RODO). Należy podkreślić, że danych tych nie można wykorzystać w innym celu niż ten związany z zakupem biletu, w szczególności nie wolno z nich korzystać do wysyłania wiadomości e-mail czy SMS z informacjami o innych wydarzeniach, które będą organizowane przez muzeum. Każdy inny cel wykorzystywania danych wymaga bowiem odrębnej zgody – jej wyrażenie na działalność promocyjną muzeum nie może stanowić warunku zakupu biletu (wynika to z motywu 43 RODO).
...a wysyłanie newslettera
W ramach działań promocyjnych muzeum może zdecydować się na wysyłanie newslettera. Przeprowadzenie tej czynności – zgodnie z RODO – wymaga ustalenia minimalnego zakresu danych, które powinna podać osoba zainteresowana (np. imię jest uzasadnione tylko wówczas, gdy w treści newslettera jest ono wykorzystywane w celu personalizacji treści lub przywitania). Co do zasady wystarcza sam adres e-mail. Zgodnie z RODO, aby legalnie gromadzić dane subskrybentów, należy spełnić jeden z warunków określonych w art. 6. W przypadku newslettera konieczne będzie otrzymanie jednoznacznej zgody. Należy ją uzyskać w taki sposób, aby muzeum było w stanie obiektywnie udowodnić, że została dobrowolnie i świadomie wyrażona. Uwaga! Zgoda nie może być dorozumiana, dlatego placówka powinna zadbać o to, by pod oknem zapisu na newslettera znalazło się pole z odpowiednim oświadczeniem. Przy czym muzeum w momencie pozyskiwania danych powinno poinformować osobę, której one dotyczą, o jej prawach przysługujących na mocy RODO.
Wysyłanie wiadomości do subskrybentów powinno odbywać się w sposób zapewniający im poufność, np. poprzez dedykowany system do wykonywania e-mailingów lub stosowanie opcji ukrytej kopii (dzięki temu adresy nie będą widoczne dla pozostałych adresatów). Dane subskrybentów wprowadzane przez nich podczas zapisu na newslettera powinny być przesyłane w bezpieczny sposób do zaszyfrowanej bazy danych. Ogólne rozporządzenie danych osobowych zaleca – także w ramach środków prewencyjnych – pseudonimizację danych (art. 32). Dokładnie te same obowiązki muzeum musi spełnić, jeżeli udostępnia na stronie formularz kontaktowy.
Cookies – konieczność weryfikacji
Sprawdzając serwis internetowy muzeum pod kątem zgodności z RODO, należy także pamiętać o obowiązku udostępnienia użytkownikom polityki prywatności i cookies, w tym weryfikacji, czy dane gromadzone przez tzw. ciasteczka są adekwatne do celu. Wiele stron internetowych za ich pośrednictwem śledzi swoich użytkowników, często nawet wtedy, gdy opuszczą stronę. RODO wprowadza zasadę „privacy by default” (art. 25), zgodnie z którą takie działanie jest legalne dopiero wówczas, gdy użytkownik wyrazi na to zgodę. Domyślnie funkcje śledzenia i analizy powinny być wyłączone.
Uwaga na monitoring
Podstawą działalności muzeum jest udostępnianie zbiorów. Goście mogą kupić bilet bezpośrednio w kasie, ale nie oznacza to, że ich dane nie są przetwarzane. Bardzo często w muzeach są zainstalowane kamery, które służą ochronie zbiorów. Muzeum ma obowiązek zapewnić poufność nagrań oraz ograniczyć dostęp do nich tylko do osób upoważnionych przez dyrektora. Co więcej, za praktykę niezgodną z RODO należy uznać udostępnianie nagrań na żywo z budynków użyteczności publicznej w internecie, np. w serwisie Webcamera.pl. Wizerunek pozwala rozpoznać osobę znajdującą się na zdjęciu lub filmie, należy zatem uznać go za informację z grupy danych osobowych. Jeżeli nagrania są przechowywane na dyskach, dostęp do nich powinny mieć tylko i wyłącznie osoby upoważnione przez dyrektora. Co prawda nagrania mogą być udostępniane, ale tylko na uzasadniony wniosek.
Jeśli dojdzie do naruszenia
W sytuacji gdy kamera zarejestrowała zdarzenie i potencjalnego winnego, muzeum powinno przekazać nagranie organom ścigania. Warto, by placówka miała opracowaną wcześniej procedurę postępowania w takich przypadkach (o udostępnienie fragmentu nagrania z monitoringu może wystąpić także sąd albo osoba fizyczna). Procedura powinna również określać warunki, które trzeba spełnić, aby otrzymać nagranie (np. na wniosek osoby fizycznej muzeum może zabezpieczyć nagranie, które zostanie przekazane policji), oraz kto może dokonać udostępnienia. Sposób postępowania w takim przypadku powinien dotyczyć zarówno pracowników muzeum, jak i zatrudnionej agencji ochrony.
Powierzenie innym podmiotom
Po 25 maja należy także uregulować sprawy związane z powierzeniem danych osobowych innym podmiotom – w tym biuru rachunkowemu, świadczącej stałe usługi kancelarii prawnej, zewnętrznej firmie informatycznej, a także wspomnianej już agencji ochrony. Zgodnie z art. 28 RODO muzeum powinno wyraźnie określić zakres, kategorie i cel przetwarzania oraz dozwolone działania (np. gromadzenie, wgląd do danych, przechowywanie). Poprzez umowę wykonawca ma dać muzeum odpowiednie gwarancje zapewnienia prawidłowego, zgodnego z przepisami prawa przetwarzania danych.
Kłopotliwe audioprzewodniki
Niektóre muzea wypożyczają audioprzewodniki. Zatrzymywanie dowodu osobistego lub innego dokumentu identyfikującego klienta jako zastawu za wypożyczany sprzęt jest niezgodne z prawem i stanowi wykroczenie. Zgodnie z ustawą z 6 sierpnia 2010 r. o dowodach osobistych (t.j. Dz.U. z 2017 r. poz. 1464 ze zm.) zagrożone jest to karą ograniczenia wolności do jednego miesiąca albo karą grzywny (art. 79). Wypożyczenie audioprzewodnika może się odbyć na podstawie numeru elektronicznego biletu (o ile klient go nabył) lub za pomocą kaucji.
Dyrektor sam decyduje o środkach bezpieczeństwa
Dyrektor muzeum ma obowiązek zapewniania zgodności przetwarzanych danych z przepisami poprzez zapewnienie odpowiednich procedur organizacyjnych oraz zabezpieczeń technicznych. Opracowana i wdrożona w instytucji polityka bezpieczeństwa oraz instrukcja zarządzania systemami informatycznymi są doskonałym punktem wyjścia do realizacji tego obowiązku. Ogólne rozporządzenie o ochronie danych nie narzuca konkretnych wymagań w zakresie dokumentacji bezpieczeństwa, dając administratorom swobodę w doborze najlepszych środków i procedur. Jeżeli w instytucji są już wdrożone i działają procedury, należy je rozwinąć i aktualizować. RODO wymaga jednak zmiany podejścia – zamiast sztywnych, określonych wytycznych, trzeba stosować podejście oparte na analizie ryzyka oraz ocenie skutków przetwarzania. W podmiotach publicznych naturalne wydaje się przyjęcie metodologii i zasad analizy ryzyka zgodnie z przeprowadzaną kontrolą zarządczą. Dostosowywanie środków ochrony do ryzyk i zagrożeń, wydaje się bardzo słusznym podejściem, gdyż umożliwia zapewnianie skutecznych metod ochrony, adekwatnych do poziomu ryzyka.
Dla niektórych aktywów poziom oszacowanego ryzyka może okazać się nieakceptowalny (tzn. wysokie ryzyko naruszenia praw lub wolności osób fizycznych). Wówczas przed rozpoczęciem (lub kontynuowaniem) przetwarzania konieczne jest przeprowadzenie oceny skutków dla ochrony danych (art. 35). Ocena ta ma pomóc w ustaleniu, czy przetwarzanie o wysokim ryzyku jest konieczne, jakie środki minimalizujące można zastosować oraz czy będą one skuteczne (plan naprawczy). Jeżeli ponowne szacowanie ryzyka z uwzględnieniem środków minimalizujących zagrożenia nie doprowadzi do zmniejszenia poziomu ryzyka, konieczne będą konsultacje z organem nadzoru ochrony danych osobowych (art. 36).
Nadzór w rękach IOD
Nadzór nad zgodnością przetwarzania danych w muzeum, zgodnie z art. 37 RODO, będzie musiał sprawować wyznaczony inspektor ochrony danych (IOD). Po 25 maja do jego wyznaczenia jest zobligowany każdy podmiot publiczny – nawet jeżeli jest to mała jednostka przetwarzająca niewiele danych. Przy czym IOD nie może być dyrektor muzeum. Ze względu na konflikt interesów nie powinna to też być osoba odpowiedzialna za kluczowe procesy, jak księgowa, kadrowiec, informatyk. Jest to istotne ze względu na fakt, że IOD ma działać w interesie osób, których dane dotyczą, a osoby kluczowe w organizacji działają przede wszystkim w interesie pracodawcy. Dodatkowo, ze względu na liczbę procesów, za które ponoszą odpowiedzialność, nie będą w stanie skutecznie sprawować nadzoru (trudno jest kontrolować samego siebie). Inspektor powinien być niezależny i podlegać bezpośrednio dyrektorowi. Tylko wówczas będzie w stanie skutecznie realizować swoje obowiązki. Warto pamiętać o tym, że kilka podmiotów może wyznaczyć jednego inspektora.
Obowiązkiem dyrektora jest włączenie IOD we wszystkie procesy związane z przetwarzaniem danych. Sam inspektor ma za zadanie nie tylko nadzorować bieżące procesy, ale także przygotowywać – w celu zwiększenia poziomu ochrony – zalecenia. Istotne jest to, że ostateczna decyzja, a także odpowiedzialność będzie spoczywała na dyrektorze. Przy czym rola IOD będzie kluczowa w momencie naruszenia poufności danych. Będzie on musiał podjąć działania ograniczające skutki zdarzenia, a także przygotować powiadomienie o tym do organu nadzoru ochrony danych i osób, których naruszenie dotyczy. Inspektor w takiej sytuacji będzie także dla nich oraz organu nadzoru punktem kontaktowym.
O czym powinna informować placówka pozyskująca dane
Informacje, które należy podać (art. 13 RODO), to:
● tożsamość i kontakt do administratora danych, a niekiedy także do jego przedstawiciela
● dane kontaktowe inspektora ochrony danych
● cele, w jakich dane będą przetwarzane i podstawę prawną do tego
● czas przechowywania
● odbiorców danych
● zakres praw, jaki przysługuje subskrybentowi w związku z podaniem danych, także informację, czy dane będą przekazywane do państwa trzeciego lub organizacji międzynarodowej