Wszystkie teksty umieszczane na Linkedin lub naszych stronach internetowych są naszą opinią. Prosimy nie traktować ich jako porady prawnej w konkretnej sprawie, ponieważ konkretna sprawa zawsze wymaga indywidualnej analizy.
Nie wiem jak Państwo, ale zaczynam mieć poczucie, że marketing GDPR/RODO zaczyna być nieznośny. Codziennie otrzymuję kilkanaście maili z konferencjami, poradnikami, newsletterami, raportami dotyczącymi nowego rozporządzenia i myślą przewodnią „kup, bo jak nie to zapłacisz 20 milionów euro”.
Przyjdzie zły GIODO i Cię zje. Drażni mnie to z jednego powodu – RODO jest wyjątkowo daleko idącym, trudnym i strategicznie ważnym aktem prawnym, którego prawidłowa implementacja może przynieść długofalowe korzyści, a próbuje się z tego zrobić jakąś NLP-owską maszynkę do sprzeda
Bazując na doświadczeniu kolegów i koleżanek z kilkunastu projektów związanych z nowym rozporządzeniem i setkami godzin rozmów na ten temat, pozwalam sobie wyciągać na obecnym etapie takie wnioski:
Celem nie jest uniknięcie kar. Celem nie jest pozbycie się problemu.
Celem jest przygotowanie firmy do nowej rzeczywistości, gdzie dane osobowe otrzymały bardzo daleko idącą ochronę (do dyskusji czy nie za daleko idącą). Ich pozyskiwanie, przetwarzanie i ochrona musi być przemyślana i kontrolowana od początku do końca. Coś, co rozporządzenie nazywa „privacy by design”.
Celem nie jest ochrona sama w sobie. Jeżeli tak do tego podejdziemy, rezultatem będą bezpieczne procedury, które:
Współczesny biznes polega i będzie w coraz większym stopniu polegał na dysponowaniu danymi i korzystaniu z nich bezpośrednio i pośrednio, w tym w big data, zatem wdrażane zasady muszą ten cel mieć na uwadze. Ale nie uda się ukryć, że będzie to zadanie znacznie trudniejsze niż dotychczas. Część klientów pokazuje mi oferty typu „kup system za x milionów, a będziesz zgodny z RODO”. No way. Nie ma i nie będzie takiego systemu.
Po pierwsze dlatego, że prawo nie wprowadza żadnych parametrów, których osiągnięcie oznacza – choćby formalną – „zgodność z prawem”. Rozporządzenie mówi wprost – masz zanalizować, jakie dane przetwarzasz, określić które możesz dalej przetwarzać i zastosować odpowiednie środki ochrony – dostosowane do Ciebie (wielkości Twojej firmy, rodzaju działalności) i Twoich danych (sensytywność, okres i cel przetwarzania). Zupełnie inaczej będą dane chroniły szpitale i banki, zupełnie inaczej sklepy czy fabryki.
Po drugie – ponownie – to proces, a nie stan. Jak odpowiednio określimy stopień zabezpieczenia danych np. poprzez szyfrowanie, wybierzemy siłę szyfrowania, mechanizm (kto kontroluje klucz prywatny etc.) to możemy zakupić i wdrożyć odpowiedni system. Ale nadal musimy kontrolować przepływ danych i dokonywać korekt – dla części nowych procesów być może można stosować bardziej liberalne metody, dla części już wdrożone rozwiązanie nie wystarczy. Podobnie będzie przy wdrażaniu nowych modeli, jak np. korzystanie z chmury – będziemy musieli w sposób ciągły aktualizować wiedzę, procedury i systemy.
IT jest centralnym zasobem przetwarzającym dane. Proces poprawnego przetwarzania danych z pewnością dotknie systemy informatyczne, i to na etapie analitycznym (trzeba przejść przez architekturę żeby zrozumieć procesy) i realizacyjnym. Problem w tym, że implementacja rekomendacji zapewne zajmie dużo czasu i może być kosztowna. Stąd warto przeprowadzać analizy i prace związane z implementacją RODO od razu angażując działy informatyczne.
Dużym błędem jest utożsamienia RODO tylko z technicznymi środkami zabezpieczeń, jak szyfrowanie. To oczywista i najłatwiejsza część, zresztą w wielu organizacjach już obecnie zaimplementowana, której nie trzeba będzie zmieniać. RODO to zdecydowanie coś dalej idącego.
Przykładowo, można zwrócić uwagę na trzy obowiązki, które mogą dotknąć systemy informatyczne:
Usuwanie danych jako obowiązek teoretycznie już istnieje, ale realnie mało kto się nim przejmuje. Musimy jednak zacząć się poważnie przejmować, bo to kluczowy i jednocześnie bardzo trudny proces. Pojawiają się tu problemy nierozstrzygalne (usuwanie danych z blockchain czy nawet kopii zapasowych) i zaskakujące, np. w części systemów pomiarowych i bilingowych dane są powiązane (dane pomiarowe i faktury) – obowiązek usunięcima pomiarów jest niewykonywalny, bo musielibyśmy usunąć dane księgowe, czego nam nie wolno zrobić. Ale oczywiście taka cecha systemu nie zwalnia z przestrzegania RODO, co oznacza albo decyzję o kastomizacji systemu albo jak najszybsze roszczenia do dostawcy o poprawkę w ramach umowy utrzymaniowej. Zdiagnozowanie takiego ryzyka jest istotne i może wpłynąć na budżet projektu.
Przenoszalność danych to zupełnie nowy obowiązek. Każdy podmiot będzie zobowiązany wydać klientom na ich żądanie ich dane – i oczywiście spadnie to na IT. Jestem przekonany, że ta funkcjonalność będzie najszybciej testowana przez twórcze osoby, mające ochotę na szybkie roszczenia „zapłaćcie albo składam skargę”. Zdecydowanie bardziej obawiam się takich działań niż regulatora, przynajmniej w pierwszym okresie.
Obowiązki notyfikacji to przede wszystkim 72h na powiadomienie organu i klientów o wycieku danych. Problem organizacyjny, ale także techniczny (system nadzoru i informacji o wycieku, integracja z obsługa klienta, sposób powiadomień klientów etc.). Tutaj łatwo o interwencje regulatora i wykazanie niedotrzymania terminu – a musimy pamiętać, że karany będzie nie tyle fakt wycieku danych, a brak odpowiedniego zabezpieczenia oraz brak notyfikacji.
Podsumowując: w zależności od organizacji proces przystosowania może zająć dosłownie kilka tygodni lub szereg miesięcy, zwłaszcza jak musimy zmieniać systemy IT, szczególnie w reżimie pzp. Stąd całkowicie wierzę w przepowiednie Gartnera, że ponad 50% firm nie zdąży przed majem 2018 roku. „Gotowość do RODO” to nie produkt z półki.
O czym warto pamiętać rozważając proces przygotowania organizacji do RODO: