Dlaczego popieram RODO/GDPR?

Już tylko rok dzieli nas od momentu, gdy przetwarzanie danych osobowych będzie całkowicie podporządkowane GDPR. Temperatura dyskusji rośnie, a prace przygotowawcze zaczynają nabierać tempa.

FOTO

Pixabay

Na razie regulacja ta budzi dużo emocji nakręconych wysokością zapowiadanych kar, wizją armageddonu dla wielu firm, dylematami implementacyjnymi, np. jak technicznie zrealizować wymóg bycia zapomnianym, jak zmieścić się w 72 godz. ze zgłoszeniem o naruszenia do organu nadzorczego itd.

Ze swej strony chciałem wyraźnie zaznaczyć, że deklaruję się jako zwolennik tej regulacji. Przede wszystkim z powodu niesionej przez nią wizji ładu i szansy jego trwałości. GDPR/RODO trafnie odpowiada na kilka kluczowych spraw i proponuje właściwe rozwiązania.

Zobacz również:

Oto najważniejsze:

● Jest to w dużej mierze metaregulacja – na jej podstawie będą tworzone dalsze szczegółowe rozwiązania (kodeksy i wiążące reguły korporacyjne), przez co będzie bardziej trwała i elastyczna; firmy i instytucje mogą zdecydować, w jaki sposób wypełniają jej wymogi. Jak wiemy z doświadczenia, regulacja uszczegółowiona w sferze technologii szybko staje się nieaktualna.

● Implementacja regulacji będzie procesem, a nie zabiegiem o charakterze jednorazowym.

● Jej funkcjonowanie wymusi profesjonalizację przetwarzania nie tylko danych osobowych, ale przetwarzania danych w ogóle.

● Odznacza się nowatorskim podejściem do oceny ryzyka, opierającym się na równowadze ochrony i swobodnego przepływu danych. Oddaje tym samym ducha nowoczesnego podejścia do bezpieczeństwa danych: celem nie jest sama ochrona, tylko bezpieczne udostępnianie i przetwarzanie.

● Wspiera i stwarza możliwości zrzeszania się środowiska administratorów oraz podmiotów przetwarzających w celu opracowania kodeksów i zasad poświęconych konkretnym branżom, obszarom itp.

● Poprzez nadany margines swobody oraz rozłożenie odpowiedzialności wymaga dojrzałego i odpowiedzialnego podejścia od stron i uczestników procesu przetwarzania danych osobowych.

● Uwzględnia rozwój technologii i zjawisko globalizacji, regulując rozsądnie aspekty „geografii” przetwarzania i rozstrzygając wiele spraw przeszkadzających w swobodnym przepływie danych.

● Kładzie nacisk na budowanie świadomości znaczenia poufności danych wśrod osób prywatnych.

Kilka powyższych kwestii godnych jest dokładniejszego skomentowania.

Wymaganie dojrzałego i odpowiedzialnego podejścia

Najpoważniejszym i najtrudniejszym do wprowadzenia w życie i stosowania jest wyzwanie, które nie jest literalnie sformułowane, lecz pobrzmiewa we wszystkich jego zapisach.

GDPR/RODO wymaga dojrzałego i odpowiedzialnego podejścia od organu nadzorczego, administratora i podmiotu przetwarzającego oraz osoby fizycznej, której prywatność jest tą regulacją chroniona.

Krajowi regulatorzy i organy kontrolne otrzymują z jednej strony potężne narzędzie egzekucyjne z szeroko zdefiniowanym zakresem nakładanych kar, a z drugiej strony zobligowani są do tworzenia sprzyjających warunków do wdrożenia GDPR w obszarze MŚP poprzez kodeksy postępowania, dobrych praktyk, wspierania zrzeszania się administratorów, popularyzację problematyki bezpieczeństwa danych osobowych.

Sam duch GDPR (mam nadzieję, że nie posuwam się zbyt daleko w tej interpretacji) powinien skłaniać organ nadzorczy do karania przede wszystkim za nieodpowiedzialne zachowania i działania bądź zaniechania administratora, takie jak: podpisanie umowy z niezweryfikowanym podmiotem przetwarzającym, brak powiadomień o naruszeniach czy niemożność wykazania, że środki ochrony wynikają z analizy celów i ryzyka.

Natomiast kara za samo wystąpienie naruszania będzie w dużym stopniu zależna właśnie od kontekstu postępowania administratora przed naruszeniem (okres przygotowawczy) i po takim wydarzeniu (sposób raportowania i analizy faktu). Organ nadzorczy mówi administratorowi: „Udowodnij, że odrobiłeś lekcję i działasz odpowiedzialnie, a ja stosownie do tego ustalę karę bądź od niej odstąpię”. Zdolność wymierzenia adekwatnej kary będzie miarą jakości organu nadzorczego.

Mam nadzieję, że regulacja nie stanie się ślepym młotem (konkurencyjnym, politycznym) na niewygodnego administratora. Regulator zaś i organ nadzorczy będą dbać o to, aby GDPR nie stał się takim narzędziem. Ta troska stanowić będzie miarę ich dojrzałości i odpowiedzialności.

Osoba, której dane są przetwarzane, uzyskuje na mocy GDPR liczne uprawnienia. Sformułowane w GDPR warunki korzystania z tych uprawnień dają osobie silne narzędzia do zarządzania swoją prywatnością. Korzystanie z nich wymaga oczywiście świadomości tych praw, dojrzałości i odpowiedzialności. Nietrudno sobie wyobrazić sytuację, gdy osoba lub grupa osób może zarzucić (celowo bądź przypadkowo) administratora nękającymi żądaniami informacyjnymi dotyczącymi sprostowań, usuwania (zapominania), które mogą wymagać od administratora wielokrotnych złożonych działań sprawozdawczo-analitycznych. Regulator przychodzi administratorowi z pomocą, oferując mu pewne mechanizmy obronne. Artykuły 12, 19 czy 17 regulacji wskazują, w jakich sytuacjach administrator może odmówić pomocy lub zażądać opłaty za wykonanie danej czynności informacyjnej.

Z kolei dojrzałość i odpowiedzialne podejście administratora czy podmiotu przetwarzającego przejawiać się będą przez wykonanie rzetelnej analizy i świadome użycie jej wyników oraz wzięcie za to pełnej odpowiedzialności. Taki rachunek sumienia w zgodzie z GDPR/RODO układa się w następujący proces:

Najistotniejsze jest to, że na administratorze spoczywa podjęcie stosownych, adekwatnych rozwiązań oraz niezbędnych miar na podstawie wykonanej analizy ryzyka w odniesieniu do praw i interesów osoby, której dane chce przetwarzać. Regulator nie dostarcza gotowców, takich jak formatki, wymagana moc hasła itp. Przyjęte środki muszą być adekwatne, tj. zarówno zabezpieczać interesy osób, jak i nie ograniczać swobody przepływu danych osobowych. Proces decyzyjny musi być tak udokumentowany, aby podlegał weryfikacji przez organ kontrolny.

W miarę upływu czasu regulacja będzie dojrzewać i „obrastać” pragmatyką działania. W początkowej fazie może nastąpić zjawisko wzrostu żądań informacyjnych w odniesieniu do administratorów, którzy powinni się z tym liczyć i przygotować rozwiązania do sprawnej i szybkiej ich obsługi.

Podsumowując, warto zauważyć, że istotnym warunkiem jest również czynnik zaufania. Regulacja będzie sprawniej działać i wchodzić w życie tam, gdzie istnieje wyższy kapitał społeczny.

Odpowiedzialny jak administrator

To administrator musi podjąć samodzielną i odpowiedzialną decyzję:

● jak zapewnić osobie prawo do rzetelnej informacji o swoich danych;

● jak zorganizować system monitorowania i powiadamiania o naruszeniach;

● jak zrealizować prawo osoby do bycia zapomnianym w kontekście jego indywidualnego biznesu oraz innych regulacji, które to prawo mogą ograniczać;

● jak zaimplementować bezpieczeństwo by design;

● jak oswoić się z żądaniem osoby wydania swoich danych w celu przeniesienia ich do innego administratora, bądź wręcz do bezpośredniego ich przekazania innemu administratorowi.

Rzeczywiście, trochę dużo tej samodzielności i odpowiedzialności…

Miejsca geograficzne przetwarzania

Aspekty geograficzne przetwarzania danych osobowych sprawiały chyba do tej pory najwięcej problemów i powodowały konieczność stosowania przeróżnych „doróbek”, klauzul, opcji w kontraktach itd.

GDPR nareszcie te problemy rozwiązuje bądź stwarza ramy prawne do ich rozwiązania przy uwzględnieniu rzeczywistości technologicznej XXI wieku. Szczególnie chodzi tu o rozwój usług chmurowych.

Rozwiązania GDPR/RODO obejmują takie aspekty jak:

● przetwarzanie transgraniczne

● przekazywanie danych do państw trzecich

● rozstrzygnięcie, kiedy mówimy o przetwarzaniu wewnątrz obszaru Unii, a kiedy poza nim

● znaczenie lokalizacji przebywania osoby, której dane są chronione

● rozproszenie przedstawicielstw i obszarów działania firmy.

Mam nadzieję, że skończą się wreszcie wyścigi dostawców chmurowych w zakresie ograniczania geograficznego samego fizycznego przetwarzania danych do określonych lokalizacji czy zapewnień, że „dane polskich przedsiębiorców przetwarzamy tylko w Polsce”. Zresztą ustalanie, gdzie jest serwer, na którym przetwarzane są moje dane, jest niecelowe, zarówno w odniesieniu do charakteru przetwarzania chmurowego, gdzie celowo dane się rozprasza oraz multiplikuje na potrzeby podniesienia ich dostępności i bezpieczeństwa, jak i w odniesieniu do definicji zbioru danych osobowych podanej w GDPR mówiącej, że może on być rozproszony funkcjonalnie i geograficznie.

Decydującym czynnikiem nie jest miejsce samego przetwarzania, ale lokalizacja głównej jednostki organizacyjnej administratora czy podmiotu przetwarzającego, definiująca jego podległość wobec organu nadzorczego państwa członkowskiego, na którego terenie ta jednostka się znajduje.

Również firmy mające jednostki organizacyjne rozproszone geograficznie, częściowo w państwach UE, a częściowo poza UE, mogą teraz poprzez mechanizm wiążących reguł korporacyjnych skutecznie rozwiązać problem zgodności przetwarzania z prawem UE.

Wszystkie te rozwiązania z obszaru „geografii” nie tylko porządkują przetwarzanie danych osobowych, ale równocześnie powinny wpłynąć na ułatwienie ich przepływu.

Co zwykły obywatel może dzięki GDPR?

● warunek zgody – na każdy cel i zakres zgodę musi świadomie wyrazić osoba, której to dotyczy;

● prawo do sprzeciwu;

● prawo do ograniczonego przetwarzania;

● prawo do przenoszenia danych (w tym do innego administratora);

● prawo dostępu do danych i do informacji o ich przetwarzaniu (np. o odbiorcach danych);

● prawo do bycia zapomnianym.

Profesjonalizacja przetwarzania. Jak to przeżyją MŚP?

Nadchodzący efekt profesjonalizacji przetwarzania to zjawisko, które w największym stopniu dotyczy firm małych i średnich. Pojawia się coraz więcej wyników badań gotowości firm do GDPR w zależności od wielkości organizacji. Ich wymowa jest jasna: im firma mniejsza, tym poziom przygotowania jest niższy.

Badania te jednak nie obejmują firm zatrudniających poniżej 250 osób, czyli średnich, małych i mikroprzedsiębiorstw. Opierając się na własnym doświadczeniu i obserwacjach, zaryzykuję twierdzenie, że właśnie w nich sytuacja jest najpoważniejsza.

Panuje tu przede wszystkim samozadowolenie (przecież u mnie wszystko jest w porządku), kompletna i powszechna niewiedza na temat GDPR, a jeżeli już ta znajomość jest, to często fałszywa. Przykłady? „(…) To nie dotyczy małych firm poniżej 250 zatrudnionych (…)” – a przecież dotyczy. Firmy zatrudniające poniżej 250 osób zwolnione są tylko z obowiązku prowadzenia rejestru czynności (Art. 30 ust. 1 i 2), i to pod warunkiem, że przetwarzanie ma charakter sporadyczny i nie obejmuje szczególnych kategorii (łatwo wyobrazić sobie firmę 10-osobową prowadzącą działalność handlową w internecie z setkami tysięcy klientów i ich danych osobowych).

Jeżeli zderzymy to ze stanem wewnętrznych IT tych firm, przeważnie niedoinwestowanych, „powiązanych na sznurki”, funkcjonujących w domowych (żeby nie powiedzieć: piwnicznych) serwerowniach, to nie widzę tu szansy na wywiązanie się z wymogów GDPR. Wprawdzie sama regulacja dostrzega problem MŚP (np. Art. 40), zachęcając państwa członkowskie do sporządzania kodeksów mających pomóc im we właściwym stosowaniu GDPR, ale same kodeksy nie wystarczą. MŚP staną w większości przypadków wobec braku technicznych i organizacyjnych możliwości spełnienia GDPR. Co więc pozostaje? Oczywiście, transfer do chmury lub profesjonalnego centrum przetwarzania danych. Ale to nie takie proste. Wśród zdecydowanej większości szefów tych firm panuje obawa przed „wyprowadzeniem danych z firmy na zewnątrz”, zaś chmura publiczna jest postrzegana w tym kontekście jako skrajna nieodpowiedzialność. Mimo wszystko upatruję tu jednak wielkiej szansy dla krajowych DC na wypełnienie swoich potężnych, ciągle jeszcze wolnych przestrzeni – chociaż nie widzę ich nadmiernej aktywności w tym zakresie na rynku (chodzi mi o brak w ofertach kontekstu GDPR). Widzę tu również wyzwania dla Ministerstwa Cyfryzacji i różnych organizacji przedsiębiorców w zakresie budowy świadomości i przełamania barier mentalnych w obszarze kadry zarządczej MŚP. Widzę także miejsce na zaangażowanie dużych firm i korporacji, dla których mniejsi są dostawcami usług i podwykonawcami – ryzyko ich wypadnięcia z łańcucha dostaw w związku z niedopełnieniem wymogów GDPR jest realne.

***

Operacjonalizacja wdrożenia GDPR stoi wobec wielu ciągle nie do końca wyjaśnionych kwestii. Czekamy na ostateczny kształt nowej krajowej ustawy (zgodnej z GDPR), a także publikację zalecanych dobrych praktyk zarówno na szczeblu europejskim, jak i krajowym. W ślad za tym powinny się zrodzić inicjatywy samoorganizacji administratorów i tworzenia różnego rodzaju kodeksów, co jest szczególnie istotne dla MŚP.

Czy zatem powinniśmy czekać jeszcze na to ustabilizowanie się otoczenia prawnego, czy też możemy już zacząć przygotowania? Nie tylko możemy, ale powinniśmy. Zapisy GDPR nie pozostawiają wątpliwości, co należy zrobić. To opisany powyżej „rachunek sumienia” i jego udokumentowanie. Od tego powinni zacząć nie tylko administratorzy czy podmioty przetwarzające, powinniśmy to zrobić my wszyscy również jako osoby fizyczne. Powinniśmy zweryfikować nasze zgody.

Czy rzeczywiście z naszego punktu widzenia zakres przekazywanych danych jest niezbędny do realizacji zawartych umów? Według informacji prasowych GIODO rozpoczął już porządki… Pod lupę wzięto nagminny zwyczaj kserowania naszych dowodów osobistych przez instytucje finansowe przy zawieraniu umów. Ale dlaczego tylko one? A kiedy wypożyczali Państwo ostatni raz narty, rower? Większość wypożyczalnie kseruje nasze dowody albo wręcz żąda ich jako zastawu! Czas zacząć korzystać ze swoich praw.

Tomasz Sobczyk, Head of IT Development Division, mBank Hipoteczny S.A. na Klubie CIO. Foto: Przemysław Pokrycki

Tomasz Sobczyk, Head of IT Development Division, mBank Hipoteczny S.A. na Klubie CIO. Foto: Przemysław Pokrycki