Przysięgam uroczyście, że knuję coś niedobrego… Od tych słów zacznę tę „poważną” analizę zasad przetwarzania danych osobowych przez Mapę Huncwotów. W tym artykule prześledzimy jak działa mapa i co poszłoby nie tak, gdyby w świecie Harry’ego Pottera funkcjonowało RODO. Nie przedłużając….
Krótka lekcja historii
Czym jest Mapa Huncwotów? To mapa utworzona przez czwórkę przyjaciół – Jamesa Pottera, Syriusza Blacka, Remusa Lupina i Petera Pettigrew. Ten magiczny artefakt pozwalał na śledzenie ruchów wszystkich osób, niezależnie od tego w jakiej znajdowali się formie, które przebywały na terenie Hogwartu. Pozostaje nam przeanalizować, czy ta grupa śmieszków rzeczywiście była poza kontrolą?
Jakie dane przetwarza Mapa Huncwotów?
Mapa umożliwia śledzenie ruchów osób przebywających na terenie Hogwartu. Dokładne określenie kim są poszczególne punkty na mapie umożliwiają wyświetlające się przy ich oznaczeniach imię i nazwisko. Co istotne, nie ma znaczenia w jakiej formie się obecnie znajdują, czego dowodzi przykład animaga Petera Pettigrew, który był widoczny na mapie pod prawdziwym nazwiskiem przebywając w danej chwili w ciele szczura Parszywka. Mapa nie umożliwia także skorzystania z trybu incognito – jest w stanie śledzić nawet użytkowników peleryny niewidki.
Poza imieniem i nazwiskiem należy jednak zwrócić uwagę na to, że w związku z możliwością ciągłego monitorowania lokalizacji osób na mapie można wysnuć wnioski o zachowaniu tych osób. Mówiąc o lokalizacji, mapa umożliwia śledzenie jej w czasie rzeczywistym. Można pokusić się także o wąską informację dotyczącą zdrowia, jeżeli obserwowany przebywa obecnie w skrzydle szpitalnym pod czujnym okiem pani Pomfrey.
Jakkolwiek nie pamiętam, czy mapa pokazywała również lokalizację duchów, to przynajmniej w tym aspekcie jej twórcy nie mieliby powodów do zmartwień – RODO nie ma zastosowania do osób zmarłych.
Na jakiej podstawie?
No właśnie… Tu pojawiają się pierwsze problemy. Biorąc pod uwagę, że mapa została utworzona przez uczniów, którzy dodatkowo znani byli z łamania zasad, śmiało możemy odrzucić obowiązek prawny. Mimo niekwestionowanej użyteczności w wykryciu prawdziwej tożsamości Parszywka nie sprawdzi się tu także interes publiczny. Nie pasują także pozostałe podstawy przetwarzania. Trudno mówić tu o ochronie żywotnych interesów, szczególnie że nie do tego celu mapa była wykorzystywana („knuję coś niedobrego” wskazuje kierunek celu przetwarzania), jak również o umowie. Nic mi przynajmniej o istnieniu takiej nie wiadomo, chyba że za umowę można potraktować hasło otwierające mapę. Wiązałoby ono jednak jedynie użytkownika mapy, a nie osoby, których danych dotyczy przetwarzanie.
Pozostaje nam więc prawnie uzasadniony interes administratora i zgoda. W przypadku tego pierwszego trudno coś orzec, nie orientuję się w systemie prawnym czarodziejów. Tym niemniej jestem przekonany, że w przypadku wykorzystania tej podstawy czynność przetwarzania nie przeszłaby pomyślnie testu równowagi. Co ze zgodą? No cóż, zważywszy na okoliczność, że o samym istnieniu Mapy Huncwotów wiedziała garstka ludzi, warunki jej wyrażenia z pewnością nie zostały spełnione. Nie znajdzie tu więc zastosowanie opt in, ani nawet opt out, bo przecież nie można się z mapy ot tak wypisać.
Skąd pochodzą dane osobowe?
Nie do końca wiadomo, w końcu mówimy o obiekcie z natury magicznym. Możliwe, że Mapa Huncwotów została jakoś połączona z systemem korytarzy Hogwartu. Nie mamy jednak wiedzy na ten temat. No właśnie. Nie mamy tej wiedzy, tak samo jak i wszystkie osoby, których dane osobowe podlegają przetwarzaniu. Dlaczego? Bo na drzwiach Hogwartu nie wisi klauzula informacyjna. O ile mi wiadomo, treść informacji o przetwarzaniu danych osobowych nie została też doręczona przez sowę. Pozostaje więc sądzić, że administrator nie zrealizował obowiązku informacyjnego. Kto więc może stwierdzić, czy dane nie są przekazywane podejrzanym odbiorcom?
Jak jest zabezpieczona Mapa Huncwotów?
Już na samym początku korzystania z mapy jesteśmy proszeni o podanie hasła, od którego zresztą zacząłem ten artykuł – jest więc w pełni jawne i to od wielu lat. Nie zawiera ono wprawdzie znaków specjalnych i cyfr, ale jest całkiem długie. Można też domniemywać pewnego rodzaju funkcję wieloskładnikowego uwierzytelniania, bo mapa doskonale wie, kto dzierży ją w danym momencie. Liczba użytkowników jest ściśle ograniczona, jednak wszyscy korzystają z tego samego hasła.
Mechanizm szyfrowania jest wspomagany narzędziami zmierzającymi do zniechęcenia osoby usiłującej przełamać zabezpieczenia do podejmowania dalszych prób przez przesyłanie kąśliwych uwag w jej kierunku. Może on z powodzeniem imitować złośliwą zabawkę, którą można nabyć w sklepie z magicznymi przedmiotami. Udowadnia to przykład Severusa Snape’a, który dał się nabrać na to wytłumaczenie i zaniechał dalszych prób spenetrowania zabezpieczeń mapy.
Wiemy też, że Mapa Huncwotów została wyposażona w mechanizm wygaszania, po którym wymaga odblokowania hasłem. Czy są jeszcze inne zabezpieczenia? Możemy się tylko domyślać…
Realizacja praw osób fizycznych
Jak już wspomniałem, administrator zaniechał realizacji obowiązku informacyjnego. A co z pozostałymi prawami przysługującymi osobom fizycznym? Nie przeciągając tego segmentu stwierdzę tylko, że wątpię w możliwość ich realizacji. Nie wyobrażam sobie skutecznego wycofania zgody czy sprzeciwu, nie tylko ze względu na brak podstawy z art. 6 RODO, ale także mechanizmów umożliwiających skorzystanie z tych uprawnień. Pomarzyć można o uzyskaniu dostępu czy kopii do danych, nie ma natomiast problemu ze sprostowaniem danych – Mapa Huncwotów dowiodła już, że zawsze posiada aktualne i prawdziwe dane osobowe.
Wyzwaniem byłaby także próba dokonania zgłoszenia naruszenia ochrony danych osobowych. Bo do kogo miałoby ono dotrzeć? Chyba tylko do Filcha… Powodzenia! Swoją drogą, wspominając o tym przesympatycznym woźnym należy zaznaczyć, że to on przez wiele lat posiadał zarekwirowaną mapę. Oznacza to, że administratorzy utracili kontrolę nad nośnikiem danych.
Czy Mapa Huncwotów przeszłaby analizę ryzyka?
Oczywiście, że tak! Warunkiem uzyskania pozytywnego wyniku byłoby jednak wykorzystanie jednego z zaklęć zakazanych i rzucenie klątwy Imperius na prowadzącego szacowanie ryzyka.
Żarty na bok, to w końcu poważna analiza… Mając na uwadze powyższe nie ma szans na stwierdzenie, że dane osobowe są przetwarzane w sposób bezpieczny. Wprawdzie mapa wydaje się całkiem nieźle zabezpieczona, to jednak ryzyko jej utraty lub całkowitego zniszczenia (w końcu to papier) jest wysokie. Zakres informacji, choć może nie aż tak szeroki, to daje możliwość śledzenia każdego kroku dowolnie wybranej osoby w czasie rzeczywistym. Kompletne zlekceważenie praw osób fizycznych i podstaw do przetwarzania nie daje śladu wątpliwości. Potencjalne skutki dla ochrony danych przewyższają plusy narzędzia jakim jest Mapa Huncwotów.
Cóż więc pozostaje? Chyba tylko zawiadomienie Azkabanu o naruszeniu przepisu art. 107 ustawy o ochronie danych osobowych. Administratorowi danych zawartych w mapie grozi kara grzywny, ograniczenia lub pozbawienia wolności.