RODOzaur – zanim zastraszą nas na śmierć

GDPR i próba zachowania zdrowego rozsądku

Nie wiem jak Państwo, ale zaczynam mieć poczucie, że marketing GDPR/RODO zaczyna być nieznośny. Codziennie otrzymuję kilkanaście maili z konferencjami, poradnikami, newsletterami, raportami dotyczącymi nowego rozporządzenia i myślą przewodnią „kup, bo jak nie to zapłacisz 20 milionów euro”.

Przyjdzie zły GIODO i Cię zje. Drażni mnie to z jednego powodu – RODO jest wyjątkowo daleko idącym, trudnym i strategicznie ważnym aktem prawnym, którego prawidłowa implementacja może przynieść długofalowe korzyści, a próbuje się z tego zrobić jakąś NLP-owską maszynkę do sprzeda

Bazując na doświadczeniu kolegów i koleżanek z kilkunastu projektów związanych z nowym rozporządzeniem i setkami godzin rozmów na ten temat, pozwalam sobie wyciągać na obecnym etapie takie wnioski:

  • Wdrożenie RODO jest procesem, nie czynnością jednorazową. Nie ma uniwersalnego „punktu odniesienia”, którego osiągnięcie zapewni spokój i luksus zapomnienia o problemie. To proces bardzo zbliżony do zapewnienia bezpieczeństwa – strategiczna umiejętność, która musi być wszyta w DNA organizacji, przez nią zarządzana i rozwijana. W skrócie – nie da się tego wyoutsourcować.
  • W związku z powyższym, nie ma magicznych rozwiązań, które można kupić i pozbyć się kłopotu. Każda firma będzie decydować o adekwatnych środkach – organizacyjnych i technicznych. Dla części będą to rozwiązania stosunkowo proste, dla części wręcz przeciwnie. Jeżeli ktoś próbuje wysyłać komunikat „kup i zapomnij” to zapewne albo nie wie, o czym mówi, ale zwyczajnie jest nieuczciwy. Co nie zmienia faktu, że doświadczeni doradcy mogą być potrzebni, głównie ze względu na pionierski charakter rozwiązań i specjalistyczną wiedzę prawną, biznesową i technologiczną związaną z RODO – ale cała ta wiedza ma wspierać klienta, a nie go zastępować.
  • Dla większości dużych organizacji kluczem będą systemy informatyczne, a zmiany w tych systemach będą czasochłonne i kosztowne. Z tych powodów to często IT narzuci określone polityki i procedury, a nie na odwrót. IT powinno być włączone w proces decyzyjny od samego początku. Wizja, że wypracuje się wymagania, a „IT wdroży” jest nierealistyczna. Chcemy mieć system w 100% zgodny z RODO? Napiszmy go od zera. Istniejące rozwiązania, zwłaszcza wielkie ERP czy CRM, wymuszą kompromis.
  • Celem procesu jest przygotowanie organizacji do zgodnego z prawem i sprawnego przetwarzania danych osobowych, przy jednoczesnym zachowaniu jak najdalej idącej możliwości dysponowania danymi. Kluczowa będzie gotowość organizacji do relacji z regulatorem (następca GIODO), osobami fizycznymi (zwłaszcza szantażystami, którzy będą chcieli wymusić odszkodowania) i konkurencją. Najgorszym błędem jest całkowite zlekceważenie problemu (a już widzę, jak część menadżerów pod naciskiem brutalnej sprzedaży ma dość całego projektu), a z drugiej strony zbyt restrykcyjne podejście, które może prowadzić do nierealistycznych terminów, kosztów lub zablokowania przetwarzania danych.

Celem nie jest uniknięcie kar. Celem nie jest pozbycie się problemu.

Celem jest przygotowanie firmy do nowej rzeczywistości, gdzie dane osobowe otrzymały bardzo daleko idącą ochronę (do dyskusji czy nie za daleko idącą). Ich pozyskiwanie, przetwarzanie i ochrona musi być przemyślana i kontrolowana od początku do końca. Coś, co rozporządzenie nazywa „privacy by design”.

Celem nie jest ochrona sama w sobie. Jeżeli tak do tego podejdziemy, rezultatem będą bezpieczne procedury, które:

  • nie będą realnie stosowane
  • uniemożliwią nam przetwarzanie danych.

Współczesny biznes polega i będzie w coraz większym stopniu polegał na dysponowaniu danymi i korzystaniu z nich bezpośrednio i pośrednio, w tym w big data, zatem wdrażane zasady muszą ten cel mieć na uwadze. Ale nie uda się ukryć, że będzie to zadanie znacznie trudniejsze niż dotychczas. Część klientów pokazuje mi oferty typu „kup system za x milionów, a będziesz zgodny z RODO”. No way. Nie ma i nie będzie takiego systemu.

Po pierwsze dlatego, że prawo nie wprowadza żadnych parametrów, których osiągnięcie oznacza – choćby formalną – „zgodność z prawem”. Rozporządzenie mówi wprost – masz zanalizować, jakie dane przetwarzasz, określić które możesz dalej przetwarzać i zastosować odpowiednie środki ochrony – dostosowane do Ciebie (wielkości Twojej firmy, rodzaju działalności) i Twoich danych (sensytywność, okres i cel przetwarzania). Zupełnie inaczej będą dane chroniły szpitale i banki, zupełnie inaczej sklepy czy fabryki.

Po drugie – ponownie – to proces, a nie stan. Jak odpowiednio określimy stopień zabezpieczenia danych np. poprzez szyfrowanie, wybierzemy siłę szyfrowania, mechanizm (kto kontroluje klucz prywatny etc.) to możemy zakupić i wdrożyć odpowiedni system. Ale nadal musimy kontrolować przepływ danych i dokonywać korekt – dla części nowych procesów być może można stosować bardziej liberalne metody, dla części już wdrożone rozwiązanie nie wystarczy. Podobnie będzie przy wdrażaniu nowych modeli, jak np. korzystanie z chmury – będziemy musieli w sposób ciągły aktualizować wiedzę, procedury i systemy.

IT jest centralnym zasobem przetwarzającym dane. Proces poprawnego przetwarzania danych z pewnością dotknie systemy informatyczne, i to na etapie analitycznym (trzeba przejść przez architekturę żeby zrozumieć procesy) i realizacyjnym. Problem w tym, że implementacja rekomendacji zapewne zajmie dużo czasu i może być kosztowna. Stąd warto przeprowadzać analizy i prace związane z implementacją RODO od razu angażując działy informatyczne.

Dużym błędem jest utożsamienia RODO tylko z technicznymi środkami zabezpieczeń, jak szyfrowanie. To oczywista i najłatwiejsza część, zresztą w wielu organizacjach już obecnie zaimplementowana, której nie trzeba będzie zmieniać. RODO to zdecydowanie coś dalej idącego.

Przykładowo, można zwrócić uwagę na trzy obowiązki, które mogą dotknąć systemy informatyczne:

  • usuwanie danych,
  • przenoszalność danych,
  • obowiązki notyfikacji o wycieku danych.

Usuwanie danych jako obowiązek teoretycznie już istnieje, ale realnie mało kto się nim przejmuje. Musimy jednak zacząć się poważnie przejmować, bo to kluczowy i jednocześnie bardzo trudny proces. Pojawiają się tu problemy nierozstrzygalne (usuwanie danych z blockchain czy nawet kopii zapasowych) i zaskakujące, np. w części systemów pomiarowych i bilingowych dane są powiązane (dane pomiarowe i faktury) – obowiązek usunięcima pomiarów jest niewykonywalny, bo musielibyśmy usunąć dane księgowe, czego nam nie wolno zrobić. Ale oczywiście taka cecha systemu nie zwalnia z przestrzegania RODO, co oznacza albo decyzję o kastomizacji systemu albo jak najszybsze roszczenia do dostawcy o poprawkę w ramach umowy utrzymaniowej. Zdiagnozowanie takiego ryzyka jest istotne i może wpłynąć na budżet projektu.

Przenoszalność danych to zupełnie nowy obowiązek. Każdy podmiot będzie zobowiązany wydać klientom na ich żądanie ich dane – i oczywiście spadnie to na IT. Jestem przekonany, że ta funkcjonalność będzie najszybciej testowana przez twórcze osoby, mające ochotę na szybkie roszczenia „zapłaćcie albo składam skargę”. Zdecydowanie bardziej obawiam się takich działań niż regulatora, przynajmniej w pierwszym okresie.

Obowiązki notyfikacji to przede wszystkim 72h na powiadomienie organu i klientów o wycieku danych. Problem organizacyjny, ale także techniczny (system nadzoru i informacji o wycieku, integracja z obsługa klienta, sposób powiadomień klientów etc.). Tutaj łatwo o interwencje regulatora i wykazanie niedotrzymania terminu – a musimy pamiętać, że karany będzie nie tyle fakt wycieku danych, a brak odpowiedniego zabezpieczenia oraz brak notyfikacji.

Podsumowując: w zależności od organizacji proces przystosowania może zająć dosłownie kilka tygodni lub szereg miesięcy, zwłaszcza jak musimy zmieniać systemy IT, szczególnie w reżimie pzp. Stąd całkowicie wierzę w przepowiednie Gartnera, że ponad 50% firm nie zdąży przed majem 2018 roku. „Gotowość do RODO” to nie produkt z półki.

O czym warto pamiętać rozważając proces przygotowania organizacji do RODO:

  • Póki co nie ma żadnej certyfikacji zgodności z RODO. Wszelkie gwarancje, certyfikaty, pieczęcie bezpieczeństwa mają walor marketingowy. Proces certyfikacji będzie miał miejsce, ale musimy na to poczekać co najmniej do maja 2018;
  • Będzie polska ustawa o danych osobowych, która uchyli obecną i zmieni szereg przepisów. Będzie miała ona jednak przede wszystkim walor ustrojowy, określający pozycję organu, który zastąpi GIODO, sądownictwa związanego z danymi etc. Dla firm kluczowe jest rozporządzenie i nie ma sensu czekać na ustawę z procesem wdrożenia RODO. Wyjątkiem będą przepisy specjalistyczne, dotyczące sektorów i zmieniane w ustawach sektorowych: medycznych, finansowych i podobnych, np. dotyczące profilowania. Nie wiemy, kiedy te zmiany się ukażą (mimo aktywnej pracy nad ustawą) dlatego nie można na nie czekać, i jednocześnie trzeba mieć zgodę na zmiany w modelu po pojawieniu się tych aktów prawnych;
  • Obok rozporządzenia pojawiają się wytyczne, w tym wytyczne Grupy Roboczej 29 które mogą mieć istotne znaczenie dla interpretacji przepisów. Nawet jeżeli wdrożymy rozwiązania, musimy je okresowo badać pod kątem takich wytycznych, a możemy się spodziewać np. wytycznych dotyczących szyfrowania, a więc dotyczących kwestii specjalistycznych;
  • Rozporządzanie daje szereg dość zaawansowanych możliwości biznesowych czy operacyjnych, jak oznaczanie procesów ikonami czy współadministrowanie danymi. Warto dobrać do zespołu kogoś, kto rzeczywiście zna ten akt prawny i spróbować uzyskać przewagę konkurencyjną lub co najmniej optymalizację kosztową, upraszczając procesy lub oferując jak najszybciej nowe funkcjonalności rozporządzenia;
  • Ze względu na pionierski charakter całej operacji RODO, doświadczenie w tego typu projektach jest kluczowe. Siłą rzeczy jest go niewiele, bo projekty dopiero wystartowały (my powoli kończymy pierwsze duże projekty zaczęte w połowie 2016 roku). Nawet mój ulubiony Garner jeszcze nic konkretnego nie napisał. Jedyna obawa, że we wspomnianym zalewie marketingowym będzie bardzo trudno znaleźć rzeczywistą wartość dodaną.

Zobacz podobne artykuły Marcina Maruty