OSINT a dane osobowe – kiedy biały wywiad wchodzi w zakres RODO i co z tego wynika dla administratora?
OSINT, czyli biały wywiad (ang. Open Source Intelligence), to metoda pozyskiwania informacji ze źródeł publicznie dostępnych – rejestrów, mediów społecznościowych, archiwów stron internetowych czy metadanych plików. Choć jego legalność wynika już z samej nazwy, nie oznacza to automatycznej zgodności z przepisami o ochronie danych osobowych. Tymczasem – zarówno w praktyce biznesowej, jak i w obszarze HR czy cyberbezpieczeństwa – OSINT jest stosowany coraz powszechniej, niejednokrotnie bez należytej refleksji nad obowiązkami, jakie nakłada na administratora RODO.
OSINT jako przetwarzanie danych osobowych
Pierwszym i najczęściej spotykanym błędem jest przekonanie, że dane publicznie dostępne nie są danymi osobowymi w rozumieniu RODO, a ich zbieranie i analizowanie pozostaje poza zakresem rozporządzenia.
Jeśli w ramach OSINT-u pozyskiwane są informacje, które można przypisać do oznaczonej osoby fizycznej, RODO stosuje się bez wyjątku. Co istotne, nawet wywiad ogniskujący się formalnie na osobie prawnej niemal zawsze prowadzi do przetwarzania danych osób fizycznych z nią powiązanych – choćby wspólników czy członków zarządu widniejących w odpisie z KRS. Administrator musi to uwzględnić, zanim przystąpi do działań wywiadowczych – i właśnie od tego momentu zaczynają biec jego obowiązki na gruncie rozporządzenia.
Podstawa prawna i obowiązek informacyjny
Dobór właściwej podstawy prawnej z art. 6 ust. 1 RODO dla OSINT-u nie jest oczywisty i zależy od celu, któremu wywiad ma służyć. Sytuację komplikuje dodatkowo obowiązek informacyjny z art. 14 RODO wobec osób, których dane zostały pozyskane ze źródeł zewnętrznych – a w kontekście białego wywiadu jego prawidłowe wykonanie bywa szczególnie wymagające. Trudności praktyczne nie zwalniają administratora z tego obowiązku.
Ocena ryzyka i DPIA – zawsze czy tylko czasem?
Ocena ryzyka naruszenia praw i wolności osób fizycznych z art. 24 RODO towarzyszy każdemu procesowi przetwarzania danych osobowych. W przypadku OSINT-u zagadnienie to nabiera szczególnego wymiaru – zwłaszcza gdy wywiad prowadzony jest przy użyciu narzędzi scrapingowych lub systemów sztucznej inteligencji, które potrafią generować dane wrażliwe w rozumieniu art. 9 RODO niejako mimochodem.
W określonych okolicznościach administrator może być zobowiązany do przeprowadzenia pełnej oceny skutków dla ochrony danych (DPIA) z art. 35 RODO. Rozpoznanie tych okoliczności i umiejętność ich uzasadnienia to jedno z kluczowych wyzwań praktycznych.
Szczegółowe omówienie zagadnień związanych z legalnością OSINT-u jako przetwarzania danych osobowych, obowiązkami administratora oraz oceną ryzyka i DPIA w kontekście białego wywiadu znajdą Państwo w komentarzach praktycznych autorstwa Szczepana Watrasa, dostępnych w LEX Ochrona Danych Osobowych:
- OSINT jako przetwarzanie danych osobowych – granice legalności, odpowiedzialność i kluczowe obowiązki administratora
- OSINT a ocena ryzyka i DPIA – kiedy analiza jest konieczna i jak ją przeprowadzić w praktyce?
a także pakiet wzorów, które będą wsparciem w zakresie ochrony danych osobowych przetwarzanych w procesie OSINT-u:
- Formularz kwalifikacji działania OSINT jako przetwarzania danych osobowych - checklista decyzyjna
- Plan działań ograniczających ryzyko związane z przetwarzaniem danych osobowych w ramach OSINT-u
- Rejestr czynności przetwarzania dla działań OSINT-owych
Zachęcamy do zapoznania się z tymi publikacjami.