RE: [Czuwaj] Spis zhp - jestem więc za ACTA!!!

[jotkaf]

Długo zastanawiałem się czy pisać…

Zajrzałem na Listę jak Druhna Katarzyna prosiła i czytam… no i trochę oczy ze zdumienia przecieram, że na ogólnie publicznie liście dyskusyjnej do której każdy z poza ZHP się może zapisać - toczy się dyskusja o przetwarzaniu danych w ZHP w zakresie ich ochrony.

Chciałbym prosić więc o trochę wyrozumiałości dla mojej skromnej osoby – jako kogoś kto tu raczej nie bawił i doświadczenie w dyskusjach tego typu ma doświadczenie małe – i proszę by w moich wypowiedziach –pewnie niezdarnych jak na nowicjusza przystało – zakładać zawsze dobrą intencje.
Ponieważ starałem się przez chwilę uważnie na liście skupić postaram się poruszyć kilka spraw.
1.	ZHP nie potrzebuje zgody od swoich członków na przetwarzanie ich danych osobowych. Zgoda jest tylko jedną z przesłanek którą każdy administrator danych musi spełnić by móc dane przetwarzać. ZHP powołuje się na przesłankę nr 5: Jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
ZHP ma usprawiedliwiony cel – ustawa o stwarzaniach nakazuje mu prowadzenie rejestru członków. Warto tu pamiętać, ze nie ma to znaczenia dla formy przetwarzania danych. Formalnie trzeba mieć mandat do przetwarzania danych zarówno w formie papierowych jak i tych w systemach informatycznych.

2.	Danymi osobowymi są wszelkie dane osobowe, które pozwalają na identyfikację osoby. Posiadanie samych peseli nie pozwala na identyfikację – potrzebna jest jeszcze możliwość sprawdzenia danych w jakimś rejestrze, a tą nie każdy ma. Dla potrzeb tej dyskusji przyjmijmy oczywiście, że w Ewidencji ZHP pesel jest uznawany za daną chronioną. Podobnie jak adres email. Dożo bardziej się obawiam, że mój adres stanowi łakomy kąsek niż mój pesel.

3.	Co to jest PESEL: Mój PESEL to: 720215-0197-4 Specjalnie napisałem go właśnie w takiej formie. Pierwszych 6 cyfr to data urodzenia – pozostałem 4 cyfry to kolejność przyjęcia do rejestracji w danym dniu urodzenia, z tym, że przyjęto numery nieparzyste przydzielane mężczyznom, a kobiety mają przydzielane numery parzyste. Ostatnia cyfra to cyfra kontrolna wyliczana według matematycznego wzoru – by móc kontrolować czy wprowadzając pesel się nie pomyliliśmy. Czy więc informacja o tym, że zostaliśmy zarejestrowani jako 197 osoba w tym dniu naprawdę jest takim problemem? Mając numer pesel nie wyrządzimy komuś krzywdy. Nie da się na pesel wziąć za kogoś kredyt, nie da się na infolinii w banku niczego załatwić.  To tylko ciąg cyfr mających na celu określenie, ze ta osoba to ta osoba. I oczywiście nie oznacza to, że należy numerami PESEL wytapetować korytarz w GK, ale jeżeli go widzą osoby upoważnione do przetwarzania danych to już chyba nie jest to jakaś wielka zbrodnia.

4.	Upoważnienia – każda osoba dostająca dostęp do aplikacji powinna być upoważniona do przetwarzania danych i przeszkolona z zakresu ochronnych tych danych osobowych. I znów nie ma tu znaczenia, czy przetwarza je w książce pracy drużyny czy w systemie informatycznym. Pytanie czy wszystkie hufce spełniają wymogi ustawowe i szkolą swoich drużynowych w tym zakresie? Czy każdy drużynowy podpisał stosowne zobowiązanie wymagane przepisami prawa? Oczywiście zrozumiem cisnące się na usta to ile jeszcze ten drużynowy pracujący społecznie może znieść, ilu się przepisów musi nauczyć, ile zobowiązań podpisać… kiedyś się brało drużynę i jechało na biwak, obóz – kopało latrynę, rozpalało ognisko a teraz….. teraz jest HACCP… Warto pamiętać, że system przy nadawaniu uprawnień generuje odpowiednie zobowiązanie – wystarczy je dać podpisać…

5.	Ustawa o ochronie danych osobowych istniej już 15 lat. Ale w ZHP dostrzeżono ją dopiero jak powstawał system Ewidencyjny. To dobrze, że tak się stało. Lepiej później niż wcale. Dwa lata temu jeździłem z Arturem Sarnowski po KCH i szkoliłem zarówno komendantów hufców jak i administratorów lokalnych z ochrony danych osobowych. Wyjaśnialiśmy wówczas wiele niejasności, rozwiewaliśmy wiele wątpliwości i tłumaczyliśmy, ze ustawa nie jest po to, by nie przetwarzać danych osobowych, a jedynie po to by robić to w sposób odpowiedzialny. Trudno nazwać zachowaniem odpowiedzialnym dawanie drużynowemu dostępu do systemu bez przeszkolenia go w tym zakresie, czy nie wzięciem od niego zobowiązania do ochrony danych osobowych. Nawet najlepiej zaprojektowany system nic nie poradzi jak wpuścimy do niego osobę niekompetentną lub chcącą działać z premedytacją na szkodę systemu.

6.	Z analizy sytuacji wynika, że osoby, które wykorzystały ostatnio funkcję przepisywania członków ZHP niezgodnie z przeznaczeniem, to te, które jednocześnie mówią, że jest to źle zabezpieczona baza danych. Drużynowi tego nie robią. Co ciekawsze ta funkcja dotychczas była dostępna dla administratorów lokalnych na poziomie hufca i wzwyż. Ktoś przecież musi mieć dostęp do tej bazy i móc wykonywać na nich operacje. Dlaczego więc skoro taka funkcja istnieje właściwie od początku teraz jest taki szum? Bo może to zrobić drużynowy a nie instruktor hufca? Dlaczego nagle drużynowi to mogą robić? Bo instruktorzy hufca nie robili. Nie reagowali na prośby swoich drużynowych. W systemy było 25% danych, które wymagały interwencji – czy to przeniesienia, czy usunięcia z jednostek. Co ciekawsze drużynowi skorzystali z tej funkcjonalności bardzo rozsądnie. Nie odnotowaliśmy znaczącego problemu z działaniem aplikacji w tym zakresie. Mam trochę wrażenie, że lepiej zdali egzamin dojrzałości z pracy z tą aplikacją niż większość z nas. Oni po prostu wpisali dane swoich członków i poszli prowadzić zbiórki.

7.	Warto również pamiętać, że nie jest błędem aplikacji to, że pozwala na pracy na danych osobowych i stara się pozwala użytkownikowi na to, co jest mu potrzebne. Problemem jest to, że struktura nie wsparła go w tym by był do tego przygotowany. Z przykrością przeczytałem, że drużynowy nie jest świadomy, że nie podpisał odpowiedniego zobowiązania.  Takie nawoływanie, że to, że ktoś może niezgodnie z przeznaczeniem używać funkcji przenoszenie członków pomiędzy jednostkami jest trochę tematem zastępczym. Równie dobrze można zgłaszać postulat by nikt nie nosił broni – wszak to narzędzie zbrodni. Jednak nikt zdrowo rozsądkowy nie wymaga by policja jej nie nosiła, choć jak wiadomo, znaczna część samobójstw policjantów to metoda z użyciem broni palnej. Przykład oczywiście przejaskrawiony, ale chodzi mi o to, że problem jest gdzieś indziej. Problem w świadomości kadry instruktorskiej co do zapisów ustawy ochronie danych osobowych. Jeszcze do dziś spotykam się, że twierdzeniem, że nie podam danych osobowych, bo rodzice mojego harcerza nie wyrazili na to zgody. Ciekawe, czy nie wyrażają zgody jak zapisują dziecko do klubu sportowego, czy na zajęcia z Angielskiego.  U mnie w sekcji sprawa była prosta – nie odpowiadają Ci zasady jakie panują w sekcji – tu obok są zajęcia z malarstwa – spróbuj może tam Ci się będzie podobać. 

8.	Chciałbym być dobrze zrozumiany. Nie chodzi o to by nie podnosić bezpieczeństwa danych osobowych naszych członków, ale chciałbym by dyskusja na ten temat nie toczyła się na otwartych forach. Nie twierdzę, ze nie należy chronić danych – ale to nie zwalnia z obowiązku ich podania. Chciałbym przede wszystkim by taka dyskusja toczyła się w atmosferze zdrowego rozsądku, bez populizmu i z użyciem konkretnych argumentów. Chciałbym by ktoś pochylił się nad systemem podnoszenia świadomości kadry instruktorskiej, by do kursów na każdym poziomie włączono zajęcia z tego zakresu, tak by każdy drużynowy, komendant hufca nie poruszał się w obszarze -  ze gdzieś dzwoni – a miał świadomość co te przepisy mówią faktycznie.

Na koniec to moje drobne przemyślenie. Jak w 2005r. przyszli do mnie informatycy chorągwiani z pomysłem by stworzyć aplikację ewidencyjną działającą przez WWW (uwaga pomysł ewidencji nie wyszedł z GK tylko od środowisk) – powiedziałem że ten Związek technologicznie i mentalnie przez co najmniej trzy lata nie będzie gotowy na taką rewolucyjną zmianę. Życie pokazało, że obie strony się myliły. Są środowiska i ludzie, którzy byli gotowi już wówczas i są jeszcze tacy co nadal potrzebować będą jeszcze co najmniej trzech lat.

Pozdrawiam

Jacek Kaflowski