Punktem wyjścia do oceny, czy w danym miejscu zainstalować system kamer, powinno być sprawdzenie, czy nie wpływa on nadmiernie na prywatność. Ze spełnieniem tego wymogu nie można czekać.
Łukasz Wantuch wiceprzewodniczący Rady Miasta Krakowa / DGP
Na krakowskim Prądniku Czerwonym planowane jest wprowadzenie – na niespotykaną wcześniej skalę – systemu monitoringu przestrzeni publicznej. Na razie pilotażowo, tylko na terenie jednej dzielnicy, potem w całym mieście. Robocza nazwa projektu to „System Pomocy 112”. W tegorocznym budżecie Krakowa przeznaczono na ten cel 3 mln zł. Pomysł autorstwa wiceprzewodniczącego Rady Miasta Łukasza Wantucha wzbudził wiele kontrowersji. Po rozpowszechnieniu informacji media społecznościowe zawrzały. Pojawiły się zarzuty dotyczące zbytniej ingerencji w prywatność. Praktycy zajmujący się ochroną danych osobowych zwracali zaś uwagę na możliwość naruszenia przepisów RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1). Tych zarzutów – dotyczących zagrożenia dla danych osobowych – najbardziej boi się też radny Łukasz Wantuch. [opinia eksperta]

opinia eksperta

Przykładowa ocena stopnia ryzyka / DGP

Nie boję się oskarżeń o Wielkiego Brata

Największym zagrożeniem dla mojego pomysłu jest to, że ludzie będą się bać, iż dane się trafią w niepowołane ręce. Nie boję się oskarżeń o Orwella czy Wielkiego Brata, jestem w stanie szybko je obalić. To, czego obawiam się najbardziej, to oskarżenia o bezpieczeństwo danych. Dlatego ogromny nacisk będzie położony na ich ochronę i to jest jeden z najważniejszych punktów mojego systemu.
Obrazy będą szyfrowane. Nawet jeżeli ktoś ściągnie kamerę (będzie musiał użyć drabiny, co powinno zostać zauważone), to i tak bez klucza ich nie obejrzy. Należy też pamiętać, że ściągnięcie kamery spowoduje alarm po upływie sekundy od przerwania połączenia. Fizycznie nie będzie można również się wpiąć kabelkiem, nie będzie takiej opcji. Będzie można próbować włamać się do sieci radiowej, ale również ona będzie szyfrowana, a każda próba włamania spowoduje włączenie alarmu.
System musi też spełniać wszystkie przepisy dotyczące ochrony danych, jak RODO itp. Nie będzie z tym problemów, gdyż i tak w Krakowie działa już system monitoringu miejskiego, tylko na znacznie mniejszą skalę i przy zastosowaniu innej filozofii działania. Każde zdjęcie zrobione przez kamerę będzie przesyłane zaszyfrowaną drogą, więc nawet w razie mało prawdopodobnego przechwycenia i tak będzie bezużyteczne. Dostęp do materiałów będzie ściśle określony i rejestrowany. Zdjęcia i nagrania będzie można obejrzeć tylko na żądanie prokuratury lub sądu, tak jak przy klasycznym monitoringu. Każdy dostęp, nawet na żądanie sądu, będzie rejestrowany. Nie ma takiej możliwości, aby ktoś tak po prostu przyszedł z ulicy i zażądał dostępu. Jak wspomniałem, bardzo dużo uwagi i zabezpieczeń będzie poświęcone kwestii bezpieczeństwa danych, choć na dobrą sprawę można zadać pytanie, po co ktoś miałby włamywać się do systemu i kraść zdjęcia, skoro może sam zamontować kamerę w swoim oknie w mieszkaniu.
Jedyny wyjątek, jaki zostanie uczyniony, to sytuacja bezpośredniego zagrożenia życia i zdrowia. Jeżeli ktoś naciśnie przycisk i powie, że na ulicy leży osoba, która ma drgawki, to wtedy operator ma prawo obejrzeć nagranie od razu, bez czekania na zgodę sądu. Powód jest oczywisty – tutaj liczy się szybkość, pomoc musi być natychmiastowa, inaczej dana osoba umrze. Nawet wtedy takie oglądanie będzie odnotowane automatycznie z podaniem powodu daty, godziny, nazwiska operatora itp. System Pomocy 112 będzie miał o wiele mocniejsze zasady ochrony danych niż klasyczny system monitoringu.
Na koniec ‒ w centrum monitoringu, gdzie będzie stanowisko od odtwarzania danych, również będzie kamera, ale nagrywająca nie tylko obraz, lecz także głos 24 godziny na dobę. Osoby pracujące w centrum nie będą miały do niej dostępu.
Biorąc pod uwagę założenia projektu [ramka 1], a także reakcję społeczności internetowej, warto się na tym przykładzie zastanowić, jak podchodzić do oceny skutków planowanej operacji z uwzględnieniem etycznego aspektu przetwarzania danych.

Ramka 1

Co jest w projekcie krakowskiej uchwały
Cele:
  • redukcja pospolitej przestępczości (funkcja dowodowa, pomocy i prewencji),
  • zlikwidowanie problemu związanego z zaginięciami osób,
  • zwiększenie bezpieczeństwa policjantów i strażników miejskich podczas interwencji w miejscach publicznych,
  • monitorowanie całości przestrzeni publicznej, a nie jej fragmentu.
Elementy systemu:
  • 60 tys. kamer podstawowych z przyciskiem 112 umieszczonych na każdej latarni na wysokości ok. 150 cm,
  • 10 tys. kamer głównych instalowanych na szczycie co 5‒10 latarni,
  • 30 tys. kamer spółdzielczych i wspólnotowych.

Na początek rozwiać obawy

Jeszcze przed wejściem w życie RODO ocena skutków była mechanizmem znanym w systemach common law. W Wielkiej Brytanii np. już w 2010 r. (jeszcze pod rządami przepisów implementujących dyrektywę poprzedzającą rozporządzenie) tamtejszy organ nadzorczy informował, że podmioty publiczne przeprowadziły ponad 300 tego typu ocen (ICO, Annual report z 2010). Wskazywano jednocześnie, czemu mają one służyć. Chodziło m.in. o rozwiewanie obaw dotyczących prywatności, zmniejszenie ryzyka związanego z jej naruszaniem przez jego identyfikację przed wprowadzeniem systemów i programów oraz rozwinięcie kultury organizacyjnej wrażliwej na prywatność.
Nie chodzi tu o zwykłe sprawdzenie zgodności z przepisami – by spełniać swoją funkcję, ocena skutków musi uwzględniać ryzyko utraty prywatności w większym kontekście, uwzględniającym szerszy zestaw wartości i oczekiwań społeczności. Oceny skutków z punktu widzenia jakości są cenne tylko wtedy, gdy jest potencjalna możliwość zmiany proponowanych inicjatyw w celu ograniczenia ryzyka związanego z prywatnością. Tam, gdzie są one prowadzone w sposób mechaniczny, tylko po to, by spełnić wymóg prawny lub biurokratyczny, są często uważane za ćwiczenia w zakresie legitymizacji zaplanowanych działań, a nie szacowania ryzyka.

Kiedy przeprowadzić

Zgodnie z RODO ocenę skutków prowadzi się, gdy dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Skąd natomiast wiadomo, czy z przetwarzaniem łączy się wysokie ryzyko naruszenia praw lub wolności? Kwestię tę wyjaśnia art. 35 ust. 3 RODO, który wskazuje, że ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie. Nie jest to oczywiście jedyny przypadek, kiedy należy przeprowadzić ocenę skutków. Jest on istotny z punktu widzenia powyższego przykładu krakowskiego przedsięwzięcia (wykaz rodzajów operacji wymagających oceny skutków można znaleźć na stronie uodo.gov.pl).

Ważne też dla sektora publicznego

Artykuł 35 ust. 10 RODO wyraźnie wskazuje, że w przypadku przetwarzania danych przez podmioty z sektora publicznego, tj. gdy jest to niezbędne do wypełnienia ciążącego na nich obowiązku prawnego lub gdy jest to niezbędne do wykonywania przez nie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, ocena skutków nie musi być przeprowadzona tylko w wyjąt kowych przypadkach. Oznacza to, że sam fakt, iż dana czynność na danych osobowych realizowana jest na podstawie przepisów prawa (w tym prawa miejscowego), nie wyklucza obowiązku przeprowadzenia oceny skutków i nie ogranicza konsekwencji, jakie z tej oceny mogą płynąć.

Elementy analizy

Ocena skutków w RODO to sformalizowana analiza, na którą składają się:
a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
b) ocena, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
c) ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Co istotne, zgodnie z RODO administrator ma obowiązek (w stosownych przypadkach) zasięgnąć opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania. Zasięgnięcie tej opinii nie może negatywnie wpływać na ochronę interesów handlowych lub publicznych bądź bezpieczeństwa operacji przetwarzania. RODO tego nie przesądza, ale wydaje się, że informacja o przeprowadzonej ocenie skutków stanowi informację publiczną. Wartościowe może okazać się opublikowanie takiej oceny i poddanie jej publicznej ocenie.

Zagrożenie dla praw lub wolności

Kluczowym elementem jest ocena ryzyka naruszenia praw lub wolności. To jest właśnie ten moment, kiedy w regulację RODO w sposób najbardziej doniosły wdziera się element etyczny.
Ocena ryzyka naruszenia praw lub wolności wymaga identyfikacji źródeł (zwanych często zagrożeniami) potencjalnego uszczerbku dla osób fizycznych oraz ich potencjalnych konsekwencji. W RODO nie ma definicji „ryzyka naruszenia praw lub wolności”, ale ważna wskazówka jest w motywie 75. Zgodnie z nim ryzyko to może wynikać z takiego przetwarzania danych, które prowadzi do uszczerbku fizycznego lub szkód majątkowych lub nie. [ramka 2]

Ramka 2

Przykłady skutków niewłaściwego przetwarzania danych
  • dyskryminacja
  • kradzież tożsamości
  • naruszenie dobrego imienia
  • pozbawienie praw i wolności
  • straty finansowe
  • naruszenie poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnione odwrócenie pseudonimizacji
  • znaczna szkoda gospodarcza lub społeczna
Przedstawiony motyw kładzie nacisk na potencjalne negatywne konsekwencje (ryzyka dla praw lub wolności), jakie mogą łączyć się z przetwarzaniem danych i jakie należy uwzględnić przy ocenie skutków. Należy zwrócić uwagę, że te potencjalne konsekwencje ujmowane są szeroko i nie dotyczą tylko prywatności (np. szkoda gospodarcza).

Źródła negatywnych konsekwencji

Skoro RODO wymaga, by w ramach oceny ryzyka (elementu oceny skutków) weryfikować, jakie negatywne konsekwencje mogą łączyć się z przetwarzaniem, to należy zadać pytanie, co może być źródłem tych negatywnych konsekwencji. Często (błędnie) utożsamia się ocenę ryzyka jako (wyłącznie) identyfikację potencjalnych konsekwencji naruszenia poufności danych czy szerzej bezpieczeństwa danych osobowych. Takie podejście pomija fakt, że wymóg bezpieczeństwa to tylko jeden z wielu obowiązków.
Upraszczając, ochrona danych osobowych na gruncie RODO opiera się na siedmiu filarach (zasadach ogólnych), które są uszczegóławiane w poszczególnych przepisach. Chodzi o:
1) zgodność z prawem, rzetelność i przejrzystość,
2) ograniczenie celu,
3) minimalizację danych,
4) prawidłowość,
5) ograniczenie przechowywania,
6) integralność i poufność (bezpieczeństwo),
7) rozliczalność.
Naruszenie każdego z powyższych fundamentów może być źródłem naruszenia praw lub wolności osób fizycznych. W przypadku krakowskiego projektu źródłem ryzyka dla praw lub wolności może być nie tylko naruszenie bezpieczeństwa (poufności i integralności danych), lecz także np. naruszenie przejrzystości przetwarzania lub zasady minimalizacji danych. W uzasadnieniu projektu cały zaś nacisk położony jest na kwestie ich bezpieczeństwa. Takie podejście należy uznać za zbyt wąskie i nieobejmujące np. problemu minimalizacji danych.

Pomocne wytyczne

Unijne rozporządzenie wymaga nie tylko identyfikacji, lecz także szacowania ryzyka dla praw lub wolności. Jak wskazuje motyw 76 RODO, należy to zrobić na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko. Oznacza to, że ryzyko może mieć różne poziomy. To określone jako wysokie jest nieakceptowalne. Co istotne, RODO nie przesądza, jak określić wagę czy prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności. Nie mówi też, czym jest wysokie ryzyko. Wskazówek w tym zakresie dostarczają jednak wytyczne i standardy związane z ochroną danych osobowych. Polski Urząd Ochrony Danych Osobowych w dokumencie „Jak rozumieć podejście oparte na ryzyku” kryteria ustalania prawdo podobieństwa ryzyka określa w ujęciu czasowym:
1) rzadkie – zdarzenie nie występuje lub występuje raz w roku,
2) mało prawdopodobne – występuje co najmniej raz na pół roku,
3) możliwe – występuje co najmniej raz na kwartał,
4) prawdopodobne – występuje co najmniej raz w miesiącu,
5) prawie pewne – ma miejsce co najmniej raz w tygodniu.
Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) przyjmuje następujące rozróżnienie poziomu doniosłości ryzyka:
1) niski – jednostki mogą napotkać kilka drobnych niedogodności, które pokonają bez żadnego problemu (czas spędzony na ponownym wprowadzeniu informacji, rozdrażnienie, irytacja itp.);
2) średni – jednostki mogą napotkać znaczne niedogodności, które będą w stanie przezwyciężyć mimo pewnych trudności (dodatkowe koszty, odmowa dostępu do usług biznesowych, strach, brak zrozumienia, stres, drobne fizyczne dolegliwości itp.);
3) wysoki – mogą pojawić się poważne konsekwencje, ale możliwe do przezwyciężenia, choć z trudnościami (sprzeniewierzenie funduszy, umieszczenie na czarnej liście przez instytucje finansowe, uszkodzenie mienia, utrata pracy, wezwanie do sądu, pogorszenie stanu zdrowia itp.);
4) bardzo wysoki – konsekwencje zdarzenia mogą być znaczące i nieodwracalne (niezdolność do pracy, długotrwałe dolegliwości psychiczne lub fizyczne, śmierć itp.).
Oceniając wagę i prawdopodobieństwo, należy uwzględnić planowane (lub już przyjęte) środki techniczne lub organizacyjne. Prawdopodobieństwo potencjalnego naruszenia poufności jako źródła ryzyka dla praw lub wolności może być np. ograniczane w szczególności przez szyfrowanie danych.
Jeżeli chodzi o szacowanie ryzyka, to można odwołać się do wytycznych UODO. [schemat]
Warto zwrócić uwagę, że w przykładzie przedstawionym przez UODO wysoka waga ryzyka przy niskim prawdopodobieństwie wygeneruje wysokie (nieakceptowalne) ryzyko. Wynika z niego, że tylko w niektórych konfiguracjach wagi i prawdopodobieństwa ryzyko jest wysokie (a nawet krytyczne), tj. nieakceptowalne. Jednocześnie nie każdy poziom ryzyka jest nieakceptowalny. Należy rozumieć to w ten sposób, że w ramach oceny skutków trzeba:
  • określić wymogi RODO, jakie dotyczą projektu (w szczególności przedstawione powyżej zasady ogólne) – w przypadku sektora publicznego mogą istnieć w tym zakresie wyłączenia na poziomie prawa krajowego;
  • określić środki planowane w celu wdrożenia wymogów (np. szyfrowanie w zakresie wymogu bezpieczeństwa);
  • zweryfikować, czy istnieje prawdopodobieństwo naruszenia wymogów mimo planowanych środków (chociażby na minimalnym poziomie prawdopodobieństwa) – to naruszenie może być źródłem ryzyka dla praw lub wolności (przykładowo w projekcie opisanym powyżej źródłem ryzyka może być przede wszystkim naruszenie transparentności, minimalizacji, ograniczenia czasowego czy poufności danych);
Jeżeli istnieje prawdopodobieństwo naruszenia wymogów (źródło ryzyka), to należy:
  • zweryfikować, jakie może to rodzić potencjalne konsekwencje dla praw lub wolności;
  • ocenić wagę i prawdopodobieństwo ryzyka naruszenia praw lub wolności;
  • oszacować ryzyko, oceniając w szczególności, czy jest to ryzyko wysokie.
Jeżeli mimo planowanych środków ryzyko nie jest akceptowalne, to znaczy, że środki zostały niedoszacowane.

Możliwe wnioski

Jak wskazuje motyw 84 RODO, wyniki oceny należy uwzględnić przy określaniu odpowiednich środków, które należy zastosować, by wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z rozporządzeniem. Jeżeli ocena skutków dla ochrony danych wykaże, że operacje przetwarzania powodują wysokie ryzyko, którego administrator nie może zminimalizować odpowiednimi środkami z punktu widzenia dostępnej technologii i kosztów wdrożenia, to przed przetwarzaniem należy skonsultować się z organem nadzorczym.
WAŻNE RODO nie zawiera mechanizmów, zgodnie z którymi możliwe byłoby zaakceptowanie przez administratora danych wysokiego ryzyka dla praw lub wolności ze względu na inne wartości, np. bezpieczeństwo publiczne.
Analiza i szacowanie ryzyka może doprowadzić do dwóch wniosków – albo ryzyko jest akceptowalne, czyli mimo jego istnienia nie trzeba wdrażać dodatkowych środków, albo ryzyko nie jest akceptowalne. W konsekwencji powoduje to konieczność dalszych decyzji:
a) zrezygnowanie z projektu,
b) uruchomienie dodatkowych środków,
c) przeprowadzenie konsultacji z organem nadzorczym w związku z niemożliwością obniżenia wysokiego ryzyka (gdy planowane środki okazują się nieskuteczne).
Jeśli odnieść przedstawione założenia oceny skutków do projektu przedstawionego na wstępie (wraz z jego uzasadnieniem), widać, że główny nacisk uzasadnienia kładziony jest na kwestie bezpieczeństwa. Jednak, jak wskazano powyżej, jest to tylko jeden z siedmiu elementów wymogów. Biorąc pod uwagę zaproponowane ‒ w uzasadnieniu projektu krakowskiej uchwały ‒ środki, wagę potencjalnych ryzyk dla praw lub wolności (m.in. ze względu na skalę przetwarzania) oraz prawdopodobieństwo ryzyka, rzetelnie przeprowadzona ocena skutków powinna zidentyfikować wysokie (nieakceptowalne) ryzyka, których minimalizacja będzie niezwykle trudna.