Często rozmawiam z ludźmi na tematy bezpieczeństwa (security) w IT i nie tylko. W rozmowach tych, niejednokrotnie słyszę, że prawo nie ma żadnego wpływu na bezpieczeństwo, zwłaszcza stosowane rozwiązania. Dlatego, nie raz zaskakuję ludzi z branży security, że jednak prawo ma dużo wspólnego z bezpieczeństwem, a pewne rozwiązania z tego zakresu są sprzeczne z prawem.

Prawo a bezpieczeństwo?

Skąd wziął się pomysł, że prawo i bezpieczeństwo to dwie odrębne dziedziny? Ewentualnie, skąd bierze się pogląd, że prawo zmusza do bezpieczeństwa?

Świetnym przykładem takiego podejścia jest RODO. W świadomości wielu ludzi wdrożone w firmie rozwiązania z zakresu security/bezpieczeństwa są tylko dlatego, że jest RODO. Natomiast te same osoby nie sprawdzają czy stosowane rozwiązania są zgodne z prawem bo przecież prawo wymusza bezpieczeństwo, więc stosowane środki nie mogą być z tym prawem sprzeczne.

Wbrew pozorom ten temat przewija się już od dawna i został w końcu uregulowany przez prawo. Przez wiele lat nie mieliśmy przepisów, które odnosiły się do kwestie bezpieczeństwa IT. Natomiast zdarzały się spory jak daleko firmy mogą się posunąć w kwestiach bezpieczeństwa i do jakiego stopnia security jest zgodne z prawem.

Na ogół spory o kwestie bezpieczeństwa pojawiały się pomiędzy pracownikami i ich szefami. Pracownicy uważali, że rozwiązania z zakresu bezpieczeństwa łamią ich prawa pracownicze czy nawet prawa człowieka. Powoływali się przy tym na Konstytucję czy umowy międzynarodowe np. Kartę Praw Podstawowych czy Europejską Konwencję Praw Człowieka. Niejednokrotnie sprawy tego typu zawędrowały do sądów i trybunałów międzynarodowych (zwłaszcza do ETPCz – Europejskiego Trybunału Praw Człowieka). Nie przybierało to jednak jakiejś większej skali.

W praktyce, jeśli mówimy o Polsce, jedynymi przepisami, które narzucały reguły stosowania bezpieczeństwa było tzw. rozporządzenie techniczne z 2004 r. do ówczesnej ustawy o ochronie danych osobowych. W zasadzie ograniczało się do tego kiedy korzystać z haseł i jakiej długości.

RODO – wymuszone bezpieczeństwo

Tak naprawdę o wpływie prawa na bezpieczeństwo zaczęto mówić w 2016 r. przy okazji pojawienia się RODO. Wtedy na szerszą skalę zaczęto mówić o styku prawa z security, firmy zaczęły wdrażać różnego rodzaju środki bezpieczeństwa z gatunku “bo RODO”. Od tamtej pory bezpieczeństwo zaczęto kojarzyć z przymusem i właśnie RODO.

Do dzisiaj ta postawa “wymuszonego bezpieczeństwa” i przekonanie, że bezpieczeństwo jest zawsze legalne pokutuje wśród zwykłych ludzi oraz specjalistów. “W praktyce jednak kwestia bezpieczeństwa jest bardziej skomplikowana, ponieważ istnieją przepisy, które regulują jak ma wyglądać bezpieczeństwo i co jest dozwolone.

Pracownik vs. security

Świetnym przykładem na to jak prawo ogranicza bezpieczeństwo jest kodeks pracy. W okresie gorączki RODO w prawie pracy wprowadzono zmiany dotyczące rozwiązań security, na ogół kojarzone z kwestią, gdzie i kiedy można montować kamery w firmie. W praktyce Kodeks Pracy to także przepisy o narzędziach monitorujących pracę i zapewniających bezpieczeństwo w środowisku IT (oczywiście mowa o pracownikach – ludziach na umowach o pracę).

Kodeks Pracy Art. 22²

§1. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring).

Art.22³

§ 1. Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej)

§ 2. Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika.

§ 3. […]

§ 4. Przepisy § 1-3 stosuje się odpowiednio do innych form monitoringu niż określone w § 1, jeśli ich zastosowanie jest konieczne do realizacji celów określonych w § 1.

Mówiąc krótko, wszystkie rozwiązania służące do podglądania tego co robi danych pracownik na swoim komputerze czy telefonie, sprawdzania poczty mailowej danego pracownika, monitorowania ruchu sieciowego itp. są już uregulowane przez prawo. Warto więc sprawdzić czy firma korzysta z tych narzędzi zgodnie z przepisami. Zwłaszcza biorąc pod uwagę ostatnie zmiany w firmach w ramach wprowadzania powszechnej pracy zdalnej.

Co mi zrobisz jak mnie złapiesz?

Korzystanie z rozwiązań do monitoringu w środowiskach IT bez rzucenia okiem na Kodeksem Pracy może się okazać dużym problemem. Powiedzmy, że chcesz zwolnić pracownika korzystając z dowodów z monitoringu środowiska IT. Żeby to zrobić będziesz musiał podać powód (chyba, że jest to pracownik objęty wyjątkiem i nie trzeba podawać powodu) a logi czy screeny z takich narzędzi niestety mogą się nie nadawać do tego celu skoro zostały wprowadzone niezgodnie z prawem.

Wystarczy, że pracownik nie wie o monitoringu środowiska IT by zaczęły się kłopoty a wiedzieć musi bo Kodeks Pracy wprost to firmie narzuca:

Art. 22² § 7. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem.

Poza tym trzeba pamiętać, że nie można użyć narzędzi do monitorowania w środowisku do każdego celu, tutaj również jest ograniczona lista celów, wymieniona wprost w przepisach.

RODO a ograniczenie bezpieczeństwa

Wbrew pozorom RODO to nie tylko przepisy, które wymusiły wdrożenie rozwiązań security ale są to też przepisy, które “zabraniają” stosowania bezpieczeństwa, choć lepiej byłoby napisać, że zabrania pewnych rozwiązań z tej dziedziny. Jeśli interesujesz się tym tematem to są duże szanse, że słyszałeś o kwestii RODO i biometrii przy zamkach biometrycznych.

Zamki biometryczne są właśnie świetnym dowodem na to, że RODO zabrania pewnych rozwiązań z zakresu bezpieczeństwa. Akurat przy zamkach kwestia była związana bardziej z zakazem korzystania z biometrii (odcisk kciuka, skan siatkówki itp.) do identyfikowania ludzi niż z samym wpływem RODO na bezpieczeństwo.

Ale poza kwestią zakazu biometrii w RODO jest jeszcze inna kwestia – prawo narzuca obowiązek weryfikowania czy możemy użyć danego rozwiązania do zapewnienia bezpieczeństwa i tyczy się to nie tylko kwestii monitoringu. Ponieważ zdecydowana większość rozwiązań branży security opiera się na tzw. prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO) musimy zawsze sprawdzić czy możemy faktycznie takie rozwiązanie wdrożyć – trzeba sprowadzić czy cel wdrożenia rozwiązania jest zgodny z RODO. W większości wypadków będzie to możliwe ale czasem zdarzy się inna sytuacja. Dlatego trzeba wcześniej to sprawdzić (i to sprawdzenie też jest w RODO obowiązkowe).

Nielegalne bezpieczeństwo

Najczęstszym problemem przy RODO nie jest sama zgodność bezpieczeństwa z prawem a zgodność konkretnych rozwiązań z jego wymogami. Mówiąc wprost, firmy mogą się chronić ale nie w każdy sposób.

Wynika to z tego, że jeżeli przez narzędzia do security przepływają informacje o ludziach (nie tylko o pracownikach, to mogą być też osoby na umowie zlecenia, dzieło czy B2B a nawet pracownicy naszego podwykonawcy/usługogodawcy) to podlegają one pod RODO, zwłaszcza jak są o takie dane oparte.

Zabawa z RFID

Powiedzmy, że jestem w stanie ustalać gdzie w danym momencie jest konkretny pracownik poprzez karty dostępu i czytniki RFID przy każdych drzwiach. Widząc takie rozwiązanie mi jako prawnikowi zaczyna się święcić czerwona lampka bo może się okazać, że firma korzysta z systemu, który działa w celach sprzecznych z RODO albo zbiera za dużo informacji!

Więcej znaczy gorzej

Przy różnych rozwiązaniach dąży się do zebrania jak największej puli danych, zwłaszcza w rozwiązaniach Machine Learning. Problem ten dotyka też kwestii security, ponieważ tutaj możemy niechcący zebrać więcej informacji niż pozwala nam RODO..

Powiedzmy, że widzimy jak konkretny pracownik w godzinach pracy wchodzi na strony o leczeniu niepłodności – czyta artykuły, blogi, portale nawet strony lekarzy i klinik. Tutaj wchodzimy na śliski grunt, bo to nie tylko może naruszać zasady RODO (mamy za dużo danych) ale też podpadać pod zakazy posiadania pewnych danych.

Podobny problem mają GPSy – są na rynku usługi monitoringu które w pakiecie oprócz samej lokalizacji samochodu dostarczają różnych danych wyinterpretowanych na bazie podstawowych informacji np. styl jazdy kierowcy.

Security w portalach internetowych

Problem security z prawem  to nie tylko narzędzia używane wewnętrznie w firmie ale też w relacji z Klientami. Świetnie to obrazują takie platformy jak Facebook czy Google. Często moderacja blokuje użytkownika i wymaga weryfikacji jego tożsamości. Często taki użytkownik został wytypowany przez algorytm lub to sam algorytm go zablokował.  Takie rozwiązanie jest nawet bardziej problematyczne.

Głównym problemem jest sam algorytm – jak stosujemy rozwiązania oparte na algorytmach to musimy umieć wyjaśnić ludziom jak i dlaczego algorytm podjął lub zaproponował taką a nie inną decyzję. A potem musimy też pozwolić temu człowiekowi odwołać się od decyzji algorytmy do człowieka. Dlatego rozwiązania Google czy Facebook, które autoblokują ludziom konta są niezgodne pod tym kątem z RODO.

Podsumowując, największym problemem jest jawność – pokazanie pracownikowi czy Klientowi jak jego dane są wykorzystywane w procesie tworzenia rozwiązań security. Mogę na zakończenie pocieszyć, że nie wszystko musisz ujawniać ale to już temat na inny odcinek.

PS. 15 października 2020 r. poprowadzę dłuższe wystąpienie “Czy bezpieczeństwo jest legalne?” na konferencji organizowanej przez Tuv Nord, jeżeli chcesz się ze mną spotkać będzie to świetna okazja.

Przemysław Caputa TechPrawnik