Wszystkie teksty umieszczane na Linkedin lub naszych stronach internetowych są naszą opinią. Prosimy nie traktować ich jako porady prawnej w konkretnej sprawie, ponieważ konkretna sprawa zawsze wymaga indywidualnej analizy.
Na początek roku krótki poradnik, dla tych, co zaspali zupełnie. RODO w pigułce i uproszczeniu.
RODO i GDPR to jedno i to samo, RODO jest skrótem polskiej nazwy Rozporządzenia o Ochronie Danych Osobowych, GDPR skrótem nazwy angielskiej.
Spotykane czasem UODO to obecna, polska ustawa o ochronie danych osobowych, która zostanie zastąpiona przez Rozporządzenie i nowa polską ustawę (wiem, uproszczenie, ale purystów proszę o wyrozumiałość).
GIODO z kolei to ani UODO ani RODO, a polski organ nadzoru (Generalny Inspektor Ochrony Danych Osobowych). GIODO w nowej polskiej ustawie (tej, co zastąpi UODO) będzie (zapewne, bo ustawy jeszcze nie ma) słodko nazwany PUODO – prezesem urzędu Ochrony Danych Osobowych. Jak łatwo się domyślić, UODO (Urząd Ochrony Danych Osobowych) zastąpi GIODO. Tyle, jeżeli chodzi o podstawę skróty, będzie jeszcze ich trochę później.
Rozporządzenie (RODO) obowiązuje bezpośrednio, czyli do czasu aż jesteśmy w Unii traktujemy je tak jak polskie prawo (a nawet trochę lepiej). Co ciekawe, Brytyjczycy którzy mają swój Brexit także chcą stosować GDPR jak opuszczą Unię. Polska ustawa o danych osobowych (ta co zastąpi UODO) będzie miała charakter po części ustrojowy (jak działa PUODO, jak będą działać sądy), po części będzie porządkowała polski system, jest więc bardzo, bardzo ważna dla sprawnego działania RODO, ale nie jest bezwzględnie konieczna.
Co ważne, wszystkie zasadnicze obowiązki wynikają bezpośrednio z RODO, nie ma więc żadnego sensu argument „poczekajmy z wdrożeniem RODO do czasu polskiej ustawy”.
Żeby było ciekawiej obok polskiej ustawy będziemy mieć przepisy sektorowe (specjalne przepisy dla banków, ubezpieczycieli czy w zakresie prawa pracy), które w praktyce dla zainteresowanych będą miały istotne znaczenie. Jest ryzyko na granicy pewności, ze z tymi przepisami nie zdążymy przed majem 2018 – i będzie luka. Np. dla sektora finansowego dość kosztowna, ale temat specjalistyczny, na inną opowieść.
Rozporządzenie „ma zastosowanie” od 25 maja 2018 roku. Do tego czasu organizacje powinny się do RODO dostosować. Można wziąć dowolny raport, od Gartnera po PWC i wszędzie wykazywane jest, że większość nie zdąży. Po prostu jest to za duże.
Dlaczego jest aż tak duże? Ano dlatego, że RODO zmienia zasadniczo reguły gry, jeżeli chodzi o dane osobowe. O regułach jeszcze poopowiadamy, ale tytułem przykładu – obecne UODO (plus rozporządzenia wykonawcze) określają, co musi być spełnione przez organizację, by być zgodnym z prawem. Mamy więc listę, częściowo prześmieszną (rozporządzenie dotyczące technicznych sposobów zabezpieczeń jest z 2004 roku, więc łatwo sobie wyobrazić co w nim się znajduje), ale jak ją zrealizujemy, jesteśmy OK. RODO podchodzi do zagadnienia zupełnie inaczej – każe organizacjom wymyśleć samodzielnie „adekwatny” system przetwarzania i ochrony danych – biorąc pod uwagę ilość danych, ich charakter, ryzyka naruszenia. Szpital musi zastosować inne mechanizmy ochrony, kwiaciarnia inne. Facebook też inne. Czyli każda organizacja musi przeprowadzić wewnętrzny proces analizy danych i procesów i zdecydować się na odpowiednie procedury i środki techniczne. To dla wielu olbrzymi projekt. Tak więc każdy decyduje, ale jak źle zdecyduje (lub w ogóle nie udowodni, że nad tym myślał), może spotkać się z sankcjami – karami ze strony PUODO lub pozwami klientów.
Szaleństwa medialnego wokół RODO – niezależnie od faktycznie rewolucyjnych zmian – by nie było, gdyby nie te kary. PUODO (a także odpowiednik w innych krajach UE, więc strzeżcie się multinarodowe firmy) może nałożyć karę do 20 milionów Euro lub 4 procent rocznego obrotu, oczywiście większą z tych kwot. Jak się okaże dalej, idealna zgodność z RODO nie istnieje, więc kara grozi każdemu i zważywszy na jej wysokość (a nikt nie powiedział, że może być nałożona tylko raz) może skutecznie zablokować czy zniszczyć firmę. To zapewne mało prawdopodobny scenariusz, ale pożywka dla wielbicieli teorii spiskowych wspaniała.
Będę tezę powtarzał, ale zacznę od razu na początku. RODO jest rozpaczliwie napisane – jest zbiorem dość ogólnych założeń, kierunkowych wytycznych i podstawowych obowiązków. Można ten akt prawny czytać na wiele sposobów i interpretować przeróżnie. To prawda także w przypadku wielu innych aktów prawnych, ale tutaj konsekwencje złej wykładni mogą oznaczać albo milionowe kary (o tym za chwilę), albo milionowe inwestycje.
Analizując RODO łatwo dojść do absurdalnych wniosków (np. o niemożliwości automatycznego naliczenia odsetek czy obowiązku informacyjnym przy otrzymaniu wizytówki) lub rekomendacji de facto niewdrażalnych (usuwanie danych z kopii na tasiemkach). Magicy zajmujący się RODO musza więc balansować, nie mając za sobą żadnego sensownego systemu orzecznictwa, doktryny czy innej pomocy. Dość kluczowe są wytyczne tzw. Grupy 29, które pojawiają się co jakiś czas, ale nawet one potrafią sobie zaprzeczyć, a o ich niejasności i możliwości interpretacji krążą już legendy. Jednym słowem, jesteśmy sami, pozostaje nasz rozsądek i wiedza, możliwości organizacyjne, groźba sankcji i konieczność zaprojektowania „adekwatnego” rozwiązania.
RODO chroni dane osobowe osób fizycznych. Czyli nie obejmuje osób prawnych (np. spółek z o.o.) ale obejmuje np. jednoosobowe działalności gospodarcze. Dla jasności – dane osób wykorzystywane podczas działalności gospodarczej (nasze maile, numery telefonów) także podpadają pod RODO.
Czym są „dane osobowe” – ha, jedno z tych magicznych wyzwań interpretacyjnych. Przepis mówi tak „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować …”. Zwróćcie uwagę na „możliwej do zidentyfikowania” i „pośrednio zidentyfikować”. Wbrew intuicji oznacza to szereg danych, które na pierwszy rzut oka na osobowe nie wyglądają – RODO wprost mówi o danych o lokalizacji czy identyfikatorach internetowych (identyfikatory cookies), ale jest to adres IP, numer rejestracyjny samochodu itd. Itd. ogrom danych, przy czym z ostrożności raczej katalog się rozszerza niż zawęża.
Warto zwrócić uwagę, że do „klasycznej” danej osobowej (np. nazwiska) przypisuje się szereg informacji z nią związanych – np. historię zakupów czy wspomniane cookies. I te dane także będą traktowane jako dane osobowe do momentu kiedy z daną daną będą związane. Po ludzku – jak możemy z określoną osobą fizyczną połączyć jakieś informacje, to zapewne te informacje podpadną pod RODO. Co rozszerza i tak szeroki katalog RODO.
Co ważne – rozporządzenie nie dotyczy przetwarzania danych m.in. „przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze”. Więc, na szczęcie, my jako obywatele nie musimy się do RODO dostosować, to RODO chroni nas. Ale nasze organizacje, firmy, stowarzyszenia, szkoły, szpitale itd. już wdrożyć RODO muszą.
RODO bardzo serio traktuje ochronę danych. Jest to – prawo do prywatności, prawo do danych – jedno z naszych ważnych praw, ale dostało olbrzymie wsparcie legislacyjne. Wykładnię RODO musimy prowadzić mając na uwadze ten cel i to założenie.
Każdy przedsiębiorca powinien dane osobowe ustawić w centrum swojego działania i analizy. Privacy by default, privacy by design. Cokolwiek zaczynasz, przemyśl czy będziesz miał tam dane osobowe, jak i po co będziesz je zbierał (przy czym nie zbieraj danych których nie masz celu zbierać – np. przy formularzu sklepu internetowego nazwiska panieńskiego matki), na jakiej podstawie będziesz te dane przetwarzał (masz na to przepis, potrzebujesz zgody, masz tzw. uzasadniony interes), kiedy je usuniesz (bo kiedyś musisz). Jak zbierasz dane to wszelkie zgody, informacje o możliwości jej cofnięcia muszą być wyraźnie i nie mogą być „domniemane” (np. poprzez domyślne zaznaczenia zgody na marketing).
Każdy przedsiębiorca musi też wykazać że ten proces ma przemyślany i analizowany. Jeżeli przyjdzie do nas kontrola, musimy wykazać że analizy zostały wykonane i wiemy co robimy.
RODO w zamyśle, ale także w praktyce, istotnie wzmacnia nasze prawa jako podmiotów danych („właścicieli danych” – wiem, to nie własność, ale dobrze brzmi). Od maja 2018 roku będziemy mieli po pierwszy znacznie szerszy katalog praw, po drugie – być może nawet ważniejsze z praktycznego punktu widzenia (niezły katalog praw mamy i teraz) – będziemy mieli skuteczne narzędzia nacisku, aby prawa te były realizowane. Jedną ścieżką będą interwencje PUODO (z wizją paraliżującej kary 20 mln euro), a dla bardziej biegłych nawet interwencje zagranicznych inspektorów danych, z drugiej pozwy cywilne.
Każdy z nas będzie mógł zażądać odszkodowania za nienależyte przetwarzanie danych i naruszenie RODO (pomijam dla dobra artykułu rozważania cywilistyczne and szkodą niemajątkową (tak chce tekst RODO) czy domniemaniem winy przy deliktach (tak ponownie chce RODO)).
Procedury będą dość uproszczone, od zabezpieczeń roszczeń (nakaz np. wydania określonych danych) po sam proces (korzystny system domniemań prawnych). Osobiście prorokuję, że to nie PUODO, a właśnie właściciele danych będą skutecznie zmuszać organizacje do wdrożenia RODO – można schować głowę w piasek i uniknąć kontroli, trudniej będzie uniknąć weryfikacji przez tysiące naszych klientów, kontrahentów czy nawet rozeźlonych pracowników.
Kilka słów o prawach, czyli co nam przysługuje.
Podsumowując – dostaliśmy duże prawa i silne narzędzia do ich egzekwowania. Publicystycznie, politycznie i w wielu realnych sytuacjach to dobra zmiana. Prywatność jest ważna. Ale z drugiej strony ….
Ładnie brzmiące uprawnienia dla podmiotów danych, dla administratora oznaczają koszmar. Organizacja musi być gotowa – i operacyjnie, i technicznie – do realizacji tych praw.
W pewnym uproszczeniu przekłada się na dwa obszary zagadnień:
Pierwszy obszar to pozyskanie wiedzy – w praktyce jest to zadanie trudne, a im większa organizacja, tym trudność wzrasta wykładniczo (mn.in. dlatego że wiele osób, a nawet spółek w grupach odpowiada tylko za dany ciąg przetwarzania danych i uzyskanie in formacji o całym procesie jest czasochłonne). Problem wynika m.in. z tym, że mało kto z nas podszedł całkowicie serio do obecnej ustawy UODO – i dla wielu firm RODO oznacza prace od początku, od poznania swoich procesów i danych.
Bardzo szybko okaże się, że wiele danych zbieramy nadmiarowo i musimy je usunąć z systemów. Okaże się zapewne, że dla wielu operacji nie mamy odpowiedniej podstawy, np. zgód. Okaże się, że nawet jak zbieraliśmy zgody, nie spełniały one przesłanki „privacy by design” (np. zgoda była zaznaczona domyślnie, a nie jako opcja). Może okazać się, ze tak naprawdę nie mamy pojęcia, jakie dane przetwarzamy – dla nas ciekawym eksperymentem jest zawsze porównanie audytu procesów biznesowych i audytu systemów informatycznych – jest wręcz regułą, że w systemach są dane, których biznes nie wykazuje w swoich procesach – albo o nich zapomina, albo nawet nie jest świadomy ich zbierania.
Jeżeli już mamy wiedzę, musimy zastosować środki ochrony i realizacji praw. Ochrona to adekwatny sposób zabezpieczeń, o tym jeszcze kilka słów poniżej, przy opisie IT. Realizacja praw to zdolność organizacji do spełnienia żądań opisanych w poprzednim rozdziale. Zastanówmy się, czy jeśli przyjdzie do nas klient, jesteśmy w stanie ze wszystkich systemów pozyskać jego dane i wydać. Jakie są z tym związane koszty, czy opłaca się to automatyzować. Zastanówmy się, co z usuwaniem danych, kluczowym obowiązkiem RODO. Wiele firm będzie jak niepodległości bronić możliwości przetwarzania danych historycznych (takich, co do których nie ma już podstaw przetwarzania) i zderzenie z RODO może oznaczać wpływ na kluczowy proces biznesowy, w skrajnym przypadku (np. bezrefleksyjny spam marketingowy) zamknięcie działalności w danym obszarze.
Organizacje, które przetwarzają tzw. dane wrażliwe (w rozporządzeniu „szczególne kategorie danych osobowych”) oczywiście mają jeszcze trudniej, począwszy od rozszerzonego w stosunku do uodo katalogu danych szczególnie chronionych, przez enumeratywne wyliczenie przypadków, kiedy takie przetwarzanie jest w ogóle możliwe (nie, zgoda już nie wystarczy) po konieczność stosowania adekwatnych, czytaj bardziej zaawansowanych, środków ochrony.
Podsumowując – realizacja praw to duży wysiłek i duże koszty. Dla wielu wieloletni projekt i całkowita zmiana myślenia. Dla niektórych koniec lub drastyczna zmiana modelu biznesowego.
Wdrożenie RODO to proces dostosowania organizacji do wymagań rozporządzenia. Ze względu na skalę działania RODO i możliwość „testowania” organizacji przez nieograniczony krąg zainteresowanych (od potencjalnych klientów po pracowników) wątpliwą praktyką jest próba powierzenia w całości tego procesu na zewnątrz. Bez ekspertów wdrożyć RODO będzie trudno, ale jednak to wewnętrzna kompetencja, i warto budować ją właśnie wewnętrznie, pozyskując know how od zatrudnionych ekspertów w okresie wdrożenia. Prędzej czy później prawnicy sobie pójdą, a z RODO zostaniemy – i z wnioskami klientów, i z nowymi wytycznymi, koniecznością aktualizacji dokumentacji, być może z kontrolami PUODO. Nasza organizacja musi mieć wewnętrzny system zarządzania tymi zagadnieniami – taki urok prawa regulacyjnego. Compliance jest niezbędny, niezależnie od naszych opinii na ten temat.
Ile zajmuje wdrożenie?
Nie sposób powiedzieć – dla firm przetwarzających głownie dane HR i b2b można ogarnąć procesy w kilkanaście tygodni, dla banków, dużych podmiotów medycznych, sklepów, energetyki obracających milionami rekordów to co najmniej kilka miesięcy. Jeżeli organizacja nigdy nic nie robiła z procesami przetwarzania danych (tak, są takie) – i rok może nie wystarczyć.
Implementacja RODO w dużej mierze jest zdeterminowana możliwościami IT. Umowy, klauzule, rejestry to dużo dokumentów, ale jak znamy nasze procesy nie zajmie nam to więcej niż kilka tygodni. IT może oznaczać wieczność, całkiem realna jest możliwość, że części obowiązków nie spełnimy w żadnej dającej się przewidzieć przyszłości – choćby dlatego, że nie zrezygnujemy z systemu ERP, a jego dostosowanie do RODO zależy od polityki dostawcy. A propos dostawców – musimy z nimi dostosować umowy do standardu RODO. Jeżeli się nie zgodzą, zapewne musimy ich wymienić.
Kilka praktycznych wniosków z wdrożeń RODO – rzeczywiście w wielu, wielu wypadkach nie zdążymy z całym procesem. Kluczem do sukcesu jest wyodrębnienie procesów krytycznych, najbardziej narażonych na kontrolę czy roszczenia. Warto poświęcić czas na priorytetyzację i odpowiedni backlog. Ale koniecznie na maj organizacje muszą być gotowe co najmniej od strony formalnej (zgody, dokumentacja, rejestry, umowy) i muszą umieć wykonać prawa podmiotów w krytycznych procesach (np. określić minimum wydawanych danych i przygotować argumentację, dlaczego ten zbiór uważamy za właściwy).
Podsumowując – wielkie wyzwanie prawne, organizacyjne, techniczne, kosztowe. Na dodatek realizowany w „mgle wojny” bez jasnych reguł i w oparciu o dość ogólne przepisy. Co oznacza sztukę balansu między kosztami a nieakceptowalnym ryzykiem.
Koniec końców, większość procesów i danych znajdzie się w systemach IT. Rynek jest przesiąknięty komunikatami „nasz system jest gotowy na RODO” co niestety z wielu powodów jest zazwyczaj blagą.
Po pierwsze, jak wspomniałem, gotowość na RODO definiuje klient – jak zdefiniuje sobie np. jako adekwatny środek zabezpieczenia blockchain (btw wpierw uporawszy się z kwestią prawa do zapomnienia w tej technologii), to większość systemów z punktu widzenia tego konkretnego klienta RODO-ready nie będzie. Ale tak realnie jest źle – systemy nie były projektowane pod RODO i administratorzy mają setki problemów, np. z usuwaniem danych. Duża część systemów nie usuwa danych – albo usuwa je ostatecznie. A my, jako administratorzy chcemy np. usunąć tylko część informacji lub wyłączyć dane tylko dla określonych celów (marketing) trzymając je dla innych (faktury). Nawet tak teoretycznie prosta operacja jak anonimizacja danych czy nowe pole na obowiązek informacyjny nie zawsze jest możliwa w rozsądny ekonomicznie sposób.
To, co widać na rynku – utożsamianie RODO z zabezpieczeniami technicznymi przed atakami hackerskimi – to wycinek RODO, ważny, ale w sumie najprostszy do rozsądnego wdrożenia wątek. Zmiany architektury systemu, zmiany funkcjonalności, zapewnienia prawa do wydania i przenoszenia danych, wprowadzenie automatycznej retencji (różnej dla różnych podstaw prawnych), czy polityka backupu i archiwizacji to są prawdziwe wyzwania, których nie da się w łatwy sposób zaspokoić nabyciem systemu A czy B.
Podsumowując – technologia nie jest RODO przyjazna. Zmiana systemów może nie być możliwa, może być nieracjonalnie droga, czekamy wciąż co liderzy rynku pokażą . To co dominuje to „podejście oparte na obejściu” – czyli bardziej procedury i ręczne ingerencje niż kompleksowe rozwiązania technologiczne.
Pozycja organizacji, które usługowo przetwarzają dane (a pamiętajmy, że katalog przetwarzania jest bardzo szeroki, obejmuje m.in. przechowywanie) ulega istotnej zmianie, ponieważ firmy są bezpośrednio zobowiązane do stosowania RODO, mogą też podlegać sankcjom ze strony organów nadzoru. Klauzule w umowach „nasza odpowiedzialność jest ograniczona do trzech miesięcznych opłat” pozostaje skuteczne wobec klienta, ale nic nie znaczy dla PUODO. Tak więc firmy usługowe muszą zastosować odpowiednie środki ochrony, muszą mieć własne rejestry i polityki.
Co ciekawe, możliwość powierzenia przetwarzania danych wymaga zawarcia między administratorem a procesorem odpowiedniej umowy. O ile całe RODO jest oparte na zasadzie „wymyśl jak chcesz chronić dane” czyli bez narzucania odgórnej „check listy”, akurat w przypadku tej umowy, mamy taką listę w art. 28 RODO. I jak sobie obejrzymy wzorce czołowych dostawców np. usług chmurowych to firmy dostosowane do tego artykułu policzymy na palcach jednej ręki, nawet niekoniecznie musimy mieć wszystkie palce.
Dla wielu dostawców taka umowa RODO-zgodna może być zdumiewająca – np. klient uzyskuje prawo do audytu, my, jako dostawca musimy ten audyt umożliwić, a nawet w nim pomagać. Musimy wykazać wszystkich naszych dostawców i poddostawców (viva chmura warstwowa czyli mechanizm SaaS – PaaS – IaaS) i każda ich zmiana wymaga zgody klienta. Serio – jeżeli się sprzeciwi (a nie musi tego uzasadniać) nie możemy poddostawcy zmienić – dla dużych organizacji to logistyczny koszmar i zapewne będzie prowadził do prawa wypowiedzenia umowy w przypadku sprzeciwu.
Na marginesie – ciekawy wątek, jak takie sprzeciw nastąpi w „promocyjnym” okresie umowy – np. przez pierwsze pół roku dajemy ci aplikację saas za darmo, przez kolejne dwa lata płacisz za nią pełną cenę – jak zmienimy dostawce w ciągu sześciu miesięcy, klient może z usługi zrezygnować i tyle, jeżeli chodzi po promocję).
Podsumowując – zmiana reguł gry. Zdecydowanie większe ryzyka prawne, zdecydowanie inny model kontraktowania.