RODO, the day after

Minął długo wyczekiwany dzień 25 maja 2018 r. Większość firm i organizacji już miesiąc temu zakończyła wdrażanie RODO, ostatnie tygodnie poświęcając na kolejną weryfikację wyników prac. W każdej firmie konsola inspektora ochrony danych pozwala wykonać niemal dowolną operację na danych osobowych.

Dane nieustrukturyzowane nie stanowią dla nikogo kłopotu, a problem usuwania danych z backupów już dawno temu został rozwiązany. Nie wspominając o tym, że wszyscy świetnie znamy nowe przepisy ustawy wprowadzającej i ustawy o ochronie danych osobowych. A po ulicach biegają jednoroż

RODO a szara rzeczywistość

Niestety – jak z każdym pięknym snem – także i z tego trzeba się obudzić. Rzeczywisty obraz nie jest już tak optymistyczny. Sporej części firm udało się przeprowadzić jakiś audyt, z którego wynikły jakieś rekomendacje, które w jakiś sposób zostały wdrożone. Większość prac realizowana była pod presją czasu, dlatego bliżej im właśnie do określenia jakoś niż jakość. Przepisy wprowadzające wciąż nie trafiły nawet do Sejmu.

Wszyscy mają już po dziurki w nosie ochrony prywatności. Nowa dokumentacja nie dość, że jest niepełna, to często okazuje się niedoskonała. Wdrożenie zmian w systemach IT jeszcze się nie zaczęło, a niemal wszystkie procedury są realizowane manualnie. Na szczęście sporo firm ma przygotowaną roadmapę zmian z wizją do 2021 r. – i uzasadnienie, dlaczego jeszcze nic (lub prawie nic) nie zostało zakończone. Oczywiście wiemy, że istnieje problem praktyczny z backupami i kopiami archiwalnymi. Tylko kto wie, jak rozwiązać go w sposób rozsądny i zgodny z prawem.

Każdy zadaje sobie pytanie: co dalej? Spróbujmy na nie odpowiedzieć.

Gdzie jesteśmy?

Żeby wiedzieć, dokąd pójść, trzeba się najpierw dowiedzieć, gdzie jesteśmy. Bardzo cenną wskazówką będzie benchmark wobec rynku oraz wobec modelu docelowego ochrony prywatności, w którym nasza organizacja chciałaby być. Taka zobiektywizowana ocena pozwoli nie tylko ustalić priorytety dalszych działań, ale też znaleźć nasze najistotniejsze podatności. Niekoniecznie trzeba od razu zlecać audyt zewnętrzny. Rozwiązaniem mogą być też narzędzia typu self-assessment, których pełno przecież na rynku.

Na pewno powinniśmy zweryfikować stan zgodności w takich obszarach jak:

  • treści i wykonywanie obowiązków informacyjnych,
  • obszar zarządzania zgodami RODO,
  • prawidłowe określenie procedur usuwania danych po okresie retencji,
  • realizacja żądań osób fizycznych
  • zawarcie umów powierzenia przetwarzania danych.

Po ustaleniu, jak daleko od docelowego modelu jesteśmy, możemy… kontynuować wdrażanie. Ale to już jest inne wdrażanie, wdrażanie procesowe. Takie działanie przestaje być jednak projektem, a zaczyna być procesem. Procesem, który zgodnie z definicją jest działaniem o charakterze ciągłym, bez ustalonego punktu zakończenia. a jego celem jest coraz większy poziom zgodności z RODO.

Stress testy

W trakcie wdrożenia każdy z nas opracował szereg nowych procedur i instrukcji. Obsługą żądań osób fizycznych, notyfikacją naruszeń, privacy by design czy chociażby oceną ryzyka. Z uwagi na brak czasu procedury rzadko kiedy były sprawdzane pod kątem ich skuteczności czy wręcz wykonalności. Warto to sprawdzić „na żywym organizmie”. Czy rzeczywiście umiemy przyjąć żądania przekazania kopii danych przesłane pismem i wiemy np. jak takiego wnioskodawcę zautoryzować. Czy umiemy prawidłowo obsłużyć interesanta, który pojawił się osobiście w siedzibie firmy. I na dodatek głośno i nie zawsze cenzuralnie domaga się bycia zapomnianym?

Zdumiewająco często okazuje się, że:

  • nie zostały zmapowane wszystkie możliwe źródła wejść i wyjść do i z procesu,
  • poszczególne kroki realizowane są dużo wolniej, niż zakładaliśmy,
  • obsługa end-to-end żądania kopii danych czy zgłoszenia incydentu trwa dużo dłużej niż limity wynikające wprost z RODO.

Doświadczenie i wiedza z przeprowadzenia tego rodzaju swoistych „testów penetracyjnych RODO” bardzo pomagają w uszczelnieniu systemu. Warto wykonać je jak najszybciej i udrożnić lub usprawnić procedury, tak by nie zostać później zaskoczonym. Pozwoli to uniknąć sytuacji, gdy zgłoszenie incydentu danych osobowych utknie w organizacji, ponieważ osoba za nie odpowiedzialna wyjedzie na urlop, nie ustawiwszy wcześniej przekierowania poczty (i zgłoszenie takiego incydentu do Prezesa UODO w ciągu 72h nie nastąpi).

Konsola IOD

Ochrona danych osobowych wg RODO to realizacja szeregu procesów biznesowych, które dotychczas zazwyczaj po prostu nie były realizowane. Żądania osób fizycznych, analiza ryzyka, privacy by design, obsługa incydentów danych osobowych czy inne – wszystkie wymagają dobrej kontroli i nadzoru, zarówno nad terminowością, jak i jakością pracy w poszczególnych krokach. Bardzo przydatne będzie zatem stworzenie różnego rodzaju workflow’ów i konsol zarządczych, które pozwolą przyspieszyć, a jednocześnie monitorować działania.

W świetle trudnego do oszacowania ryzyka dotyczącego RODO wiarygodna informacja zarządcza będzie na wagę złota. Oczywiście można próbować pozostać przy tradycyjnym excelu, niemniej na rynku dostępnych jest wiele innych narzędzi, które pozwolą na dużo bardziej efektywną pracę od samego początku.

Żądania osób fizycznych

Prawo do informacji, prawo do uzyskania kopii danych, prawo do przeniesienia danych, prawo do bycia zapomnianym – te i inne uprawnienia wynikające z RODO z pewnością niejednego z nas wystawią na poważną próbę sił przy większych ich wolumenach. Ich obsługę często warto zintegrować z procesami obsługi klienta albo reklamacyjnymi zamiast tworzyć odrębne procesy w komórce IOD czy biurze prawnym. Powinniśmy przygotować sobie szczegółowe scenariusze działania dla każdego z tych uprawnień, np. poprzez zmapowanie miejsca przetwarzania danych w organizacji.

Kluczową jednak sprawą będzie podjęcie decyzji, które informacje traktujemy jak dane osobowe – a zatem które będą podlegały przekazaniu lub usunięciu na żądanie danej osoby. Np. jeśli jesteśmy bankiem, to czy historię transakcji na rachunku uznajemy za daną osobową, czy nie? A jeśli jesteśmy telekomem – czy za dane osobowe uznajemy historię połączeń lub rachunek szczegółowy?

Obserwując działania różnych firm w różnych branżach, odnoszę wrażenie, że poza kwestią wydajności obsługi żądań (niewiele organizacji wytrzyma atak DDoS w postaci 1000 złożonych jednocześnie żądań wydania kopii danych) to właśnie interpretacja zakresu poszczególnych żądań będzie kluczem do sukcesu.

Certyfikacja, znaki jakości i kodeksy postępowania

Nowa ustawa o ochronie danych osobowych to nie tylko Prezes UODO i kary. To także przede wszystkim nowe możliwości (formalnie nieobowiązkowe). RODO daje możliwość uzyskania certyfikacji, znaków jakości czy stosowania zatwierdzonych kodeksów postępowania. A to już z kolei przekłada się na pewne przywileje.

Przywileje i korzyści dla ambitnych

Pozwalają one między innymi potwierdzić, że podmiot je posiadający działa w sposób zgodny z RODO. Podmiotom przetwarzającym pozwala uniknąć weryfikacji, czy zapewniają one należyte gwarancje i można zawrzeć z nimi umowę powierzenia. Startującym w przetargach (publicznych lub prywatnych) – posiadanie certyfikacji czy znaków jakości może umożliwić albo unimożliwić wzięcie udziału w takim przetargu. Wiele firm będzie więc na wyścigi próbować uzyskać certyfikaty i znaki jakości.

Co ważne, część z nich można będzie uzyskać także za granicą. Jednak aby uzyskać certyfikat, nasza firma musi naprawdę być zgodna z RODO. Nie wystarczy naprędce wypełniony rejestr, jako takie klauzule informacyjne i zgody czy procesy wewnętrzne RODO obsługiwane ręcznie. Stawka jest wysoka – kto uzyska certyfikat jako jeden z pierwszych, ten ma szansę rozbić przetargowy bank.

Obserwacja praktyki

Kodeksy postępowania, podobnie jak certyfikacja oraz praktyka działania Prezesa UODO i sądów będą najlepszymi sposobami na weryfikację, czy dobrze wdrożyliśmy wymogi RODO. Czasem jednak okaże się, że nasze decyzje i założenia wdrożeniowe są niezgodne z interpretacją RODO.

Co wtedy?

Kluczowa będzie szybka identyfikacja tego rodzaju sytuacji oraz jak najszybsze dostosowanie się do ustalonej praktyki. Warto obserwować więc wszystkie branże (a nie tylko własną) oraz praktykę przyjmowaną przez organy nadzorcze w innych krajach unijnych. Być może pozwoli to rozstrzygnąć wątpliwości dotyczące backupów, danych zgromadzonych w logach, danych nieustrukturyzowanych czy konceptu data beyond use.

Ciekawe czasy

Ponoć słynne przysłowie „obyś żył w ciekawych czasach” nie jest wcale starym chińskim przekleństwem, ale wymysłem XX wieku. Owe „ciekawe czasy” to okres wojny i niepewności, ale także galopującej kreatywności – przeciwieństwo pokoju i komfortu.

Czy moment wprowadzenia RODO to właśnie taki czas? Z pewnością pierwsze miesiące będą dość burzliwe, dlatego też kreatywna energia może okazać się bardzo pomocna w radzeniu sobie z problemami.

Mój wniosek jest następujący: będziemy musieli nauczyć się żyć z RODO, podobnie jak z wieloma innym stałymi zobowiązaniami, takimi jak rachunki za prąd czy raty 30-letniego kredytu hipotecznego. RODO to nowe wyzwanie w życiu firm, które będą musiały uwzględnić je w swoim życiu codziennym. Tymczasem – niech prywatność będzie z Wami!


Zobacz podobne artykuły autora