RE: [Czuwaj] Spis zhp - jestem więc za ACTA!!!

[jotkaf]

Długo zastanawiałem się czy pisać.

 

Zajrzałem na Listę jak Druhna Katarzyna prosiła i czytam. no i trochę oczy
ze zdumienia przecieram, że na ogólnie publicznie liście dyskusyjnej do
której każdy z poza ZHP się może zapisać - toczy się dyskusja o
przetwarzaniu danych w ZHP w zakresie ich ochrony.

 

Chciałbym prosić więc o trochę wyrozumiałości dla mojej skromnej osoby -
jako kogoś kto tu raczej nie bawił i doświadczenie w dyskusjach tego typu ma
doświadczenie małe - i proszę by w moich wypowiedziach -pewnie niezdarnych
jak na nowicjusza przystało - zakładać zawsze dobrą intencje.

Ponieważ starałem się przez chwilę uważnie na liście skupić postaram się
poruszyć kilka spraw.

1.            ZHP nie potrzebuje podpisanej zgody od swoich członków na
przetwarzanie ich danych osobowych. Zgoda jest tylko jedną z przesłanek
którą każdy administrator danych musi spełnić by móc dane przetwarzać. ZHP
powołuje się na przesłankę nr 5: Jest to niezbędne dla wypełniania prawnie
usprawiedliwionych celów realizowanych przez administratorów danych albo
odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której
dane dotyczą.

ZHP ma usprawiedliwiony cel - ustawa o stwarzaniach nakazuje mu prowadzenie
rejestru członków. Warto tu pamiętać, ze nie ma to znaczenia dla formy
przetwarzania danych. Formalnie trzeba mieć mandat do przetwarzania danych
zarówno w formie papierowych jak i tych w systemach informatycznych.

 

2.            Danymi osobowymi są wszelkie dane osobowe, które pozwalają na
identyfikację osoby. Posiadanie samych peseli nie pozwala na identyfikację -
potrzebna jest jeszcze możliwość sprawdzenia danych w jakimś rejestrze, a tą
nie każdy ma. Dla potrzeb tej dyskusji przyjmijmy oczywiście, że w Ewidencji
ZHP pesel jest uznawany za daną chronioną. Podobnie jak adres email. Dożo
bardziej się obawiam, że mój adres stanowi łakomy kąsek niż mój pesel.

 

3.            Co to jest PESEL: Mój PESEL to: 720215-0197-4 Specjalnie
napisałem go właśnie w takiej formie. Pierwszych 6 cyfr to data urodzenia -
pozostałem 4 cyfry to kolejność przyjęcia do rejestracji w danym dniu
urodzenia, z tym, że przyjęto numery nieparzyste przydzielane mężczyznom, a
kobiety mają przydzielane numery parzyste. Ostatnia cyfra to cyfra kontrolna
wyliczana według matematycznego wzoru - by móc kontrolować czy wprowadzając
pesel się nie pomyliliśmy. Czy więc informacja o tym, że zostaliśmy
zarejestrowani jako 197 osoba w tym dniu naprawdę jest takim problemem?
Mając numer pesel nie wyrządzimy komuś krzywdy. Nie da się na pesel wziąć za
kogoś kredyt, nie da się na infolinii w banku niczego załatwić.  To tylko
ciąg cyfr mających na celu określenie, ze ta osoba to ta osoba. I oczywiście
nie oznacza to, że należy numerami PESEL wytapetować korytarz w GK, ale
jeżeli go widzą osoby upoważnione do przetwarzania danych to już chyba nie
jest to jakaś wielka zbrodnia.

 

4.            Upoważnienia - każda osoba dostająca dostęp do aplikacji
powinna być upoważniona do przetwarzania danych i przeszkolona z zakresu
ochronnych tych danych osobowych. I znów nie ma tu znaczenia, czy przetwarza
je w książce pracy drużyny czy w systemie informatycznym. Pytanie czy
wszystkie hufce spełniają wymogi ustawowe i szkolą swoich drużynowych w tym
zakresie? Czy każdy drużynowy podpisał stosowne zobowiązanie wymagane
przepisami prawa? Oczywiście zrozumiem cisnące się na usta to ile jeszcze
ten drużynowy pracujący społecznie może znieść, ilu się przepisów musi
nauczyć, ile zobowiązań podpisać. kiedyś się brało drużynę i jechało na
biwak, obóz - kopało latrynę, rozpalało ognisko a teraz... teraz jest HACCP.
Warto pamiętać, że system przy nadawaniu uprawnień generuje odpowiednie
zobowiązanie - wystarczy je dać podpisać.

 

5.            Ustawa o ochronie danych osobowych istniej już 15 lat. Ale w
ZHP dostrzeżono ją dopiero jak powstawał system Ewidencyjny. To dobrze, że
tak się stało. Lepiej później niż wcale. Dwa lata temu jeździłem z Arturem
Sarnowski po KCH i szkoliłem zarówno komendantów hufców jak i
administratorów lokalnych z ochrony danych osobowych. Wyjaśnialiśmy wówczas
wiele niejasności, rozwiewaliśmy wiele wątpliwości i tłumaczyliśmy, ze
ustawa nie jest po to, by nie przetwarzać danych osobowych, a jedynie po to
by robić to w sposób odpowiedzialny. Trudno nazwać zachowaniem
odpowiedzialnym dawanie drużynowemu dostępu do systemu bez przeszkolenia go
w tym zakresie, czy nie wzięciem od niego zobowiązania do ochrony danych
osobowych. Nawet najlepiej zaprojektowany system nic nie poradzi jak
wpuścimy do niego osobę niekompetentną lub chcącą działać z premedytacją na
szkodę systemu.

 

6.            Z analizy sytuacji wynika, że osoby, które wykorzystały
ostatnio funkcję przepisywania członków ZHP niezgodnie z przeznaczeniem, to
te, które jednocześnie mówią, że jest to źle zabezpieczona baza danych.
Drużynowi tego nie robią. Co ciekawsze ta funkcja dotychczas była dostępna
dla administratorów lokalnych na poziomie hufca i wzwyż. Ktoś przecież musi
mieć dostęp do tej bazy i móc wykonywać na nich operacje. Dlaczego więc
skoro taka funkcja istnieje właściwie od początku teraz jest taki szum? Bo
może to zrobić drużynowy a nie instruktor hufca? Dlaczego nagle drużynowi to
mogą robić? Bo instruktorzy hufca nie robili. Nie reagowali na prośby swoich
drużynowych. W systemy było 25% danych, które wymagały interwencji - czy to
przeniesienia, czy usunięcia z jednostek. Co ciekawsze drużynowi skorzystali
z tej funkcjonalności bardzo rozsądnie. Nie odnotowaliśmy znaczącego
problemu z działaniem aplikacji w tym zakresie. Mam trochę wrażenie, że
lepiej zdali egzamin dojrzałości z pracy z tą aplikacją niż większość z nas.
Oni po prostu wpisali dane swoich członków i poszli prowadzić zbiórki.

 

7.            Warto również pamiętać, że nie jest błędem aplikacji to, że
pozwala na pracy na danych osobowych i stara się pozwala użytkownikowi na
to, co jest mu potrzebne. Problemem jest to, że struktura nie wsparła go w
tym by był do tego przygotowany. Z przykrością przeczytałem, że drużynowy
nie jest świadomy, że nie podpisał odpowiedniego zobowiązania.  Takie
nawoływanie, że to, że ktoś może niezgodnie z przeznaczeniem używać funkcji
przenoszenie członków pomiędzy jednostkami jest trochę tematem zastępczym.
Równie dobrze można zgłaszać postulat by nikt nie nosił broni - wszak to
narzędzie zbrodni. Jednak nikt zdrowo rozsądkowy nie wymaga by policja jej
nie nosiła, choć jak wiadomo, znaczna część samobójstw policjantów to metoda
z użyciem broni palnej. Przykład oczywiście przejaskrawiony, ale chodzi mi o
to, że problem jest gdzieś indziej. Problem w świadomości kadry
instruktorskiej co do zapisów ustawy ochronie danych osobowych. Jeszcze do
dziś spotykam się, że twierdzeniem, że nie podam danych osobowych, bo
rodzice mojego harcerza nie wyrazili na to zgody. Ciekawe, czy nie wyrażają
zgody jak zapisują dziecko do klubu sportowego, czy na zajęcia z
Angielskiego.  U mnie w sekcji sprawa była prosta - nie odpowiadają Ci
zasady jakie panują w sekcji - tu obok są zajęcia z malarstwa - spróbuj może
tam Ci się będzie podobać. 

 

8.            Chciałbym być dobrze zrozumiany. Nie chodzi o to by nie
podnosić bezpieczeństwa danych osobowych naszych członków, ale chciałbym by
dyskusja na ten temat nie toczyła się na otwartych forach. Nie twierdzę, ze
nie należy chronić danych - ale to nie zwalnia z obowiązku ich podania.
Chciałbym przede wszystkim by taka dyskusja toczyła się w atmosferze
zdrowego rozsądku, bez populizmu i z użyciem konkretnych argumentów.
Chciałbym by ktoś pochylił się nad systemem podnoszenia świadomości kadry
instruktorskiej, by do kursów na każdym poziomie włączono zajęcia z tego
zakresu, tak by każdy drużynowy, komendant hufca nie poruszał się w obszarze
-  ze gdzieś dzwoni - a miał świadomość co te przepisy mówią faktycznie.

 

Na koniec to moje drobne przemyślenie. Jak w 2005r. przyszli do mnie
informatycy chorągwiani z pomysłem by stworzyć aplikację ewidencyjną
działającą przez WWW (uwaga pomysł ewidencji nie wyszedł z GK tylko od
środowisk) - powiedziałem że ten Związek technologicznie i mentalnie przez
co najmniej trzy lata nie będzie gotowy na taką rewolucyjną zmianę. Życie
pokazało, że obie strony się myliły. Są środowiska i ludzie, którzy byli
gotowi już wówczas i są jeszcze tacy co nadal potrzebować będą jeszcze co
najmniej trzech lat.

 

Pozdrawiam

 

Jacek Kaflowski