RODO – ostatni dzwonek

Wiele firm pozostawia dostosowanie do RODO na ostatnią godzinę: ten moment właśnie nadszedł. Budowa modelu informacji zgodnego z RODO nie jest krótkim projektem. Jego celem jest stworzenie procesu, który pozwoli dynamicznie i świadomie zarządzać środowiskiem danych oraz informacji. „Z tego powodu traktujemy projekt RODO jako szansę dla klienta – szansę na optymalizację procesów, szansę na pozbycie się zbędnych zasobów i eliminację związanych z nimi ryzyk” – mówi dr Bartosz Marcinkowski, partner w kancelarii Domański Zakrzewski Palinka, prowadzącej projekty dostosowania do RODO na podstawie wypracowanej przez siebie metodyce.

CEO: Na jakim etapie jest RODO jesienią 2017?

Bartosz Marcinkowski: Prace wdrożeniowe u bardzo wielu klientów idą w tym momencie pełną parą. Jednocześnie we wrześniu administracja planuje przedstawienie właściwego projektu ustawy o danych osobowych oraz projektu ustawy wprowadzającej, nowelizującej kilka innych ustaw. Będą więc dyskusje środowiskowe i konsultacje społeczne tak jak przy każdym projekcie ustawy.

Jesień podniesie jeszcze temperaturę wokół RODO.

Niezależnie od dyskusji, ale pora raczej na działania, i to intensywne. Czwarty kwartał tego roku to doprawdy ostatni moment na rozpoczęcie projektów dostosowania do RODO. Obojętnie, czy firmy dotyczy rozwiązanie sektorowe, co jest aktualne w przypadku służby zdrowia, sektora ubezpieczeniowego czy finansowego, czy też branża podlega regułom ogólnym.

Zobacz również:

Dlaczego?

Doświadczenie dobitnie pokazuje, że to nie jest projekt, który da się zrealizować w ciągu pięciu tygodni. Już pobieżny rzut oka na rozległość dzisiejszych organizacji i złożoność IT dowodzi, z jak skomplikowaną materią się mierzymy. Na technologii w coraz większym stopniu opiera się model biznesowy i oczywiście model obiegu informacji w firmach. Zresztą zainteresowanie należne RODO pojawiło się, kiedy szerzej, nie tylko w departamentach IT, zorientowano się, że warstwa technologiczna ma aż takie znaczenie.

Technologia wspiera wszystkie procesy regulowane w Rozporządzeniu: realizację prawa do bycia zapomnianym, prawo do uzyskania informacji o własnych danych, prostowanie danych i inne.

RODO to nie tylko IT.

Istotnie. Obszar IT to jeden kilku z obszarów, które wymagają uwagi – bardzo ważne w tym kontekście są jeszcze HR, marketing, pion finansowy... Każda organizacja musi określić, do jakich zasobów danych i w konsekwencji do jakich procesów trzeba zastosować wymogi RODO.

Jak szeroka jest praktyka kancelarii DZP w zakresie przygotowania do RODO?

Dzisiaj prowadzimy ponad 20 projektów RODO, a w kolejce czeka ponad dwa razy więcej. To projekty realizowane dla większości sektorów i branż. Od finansowej, przez produkcję, przemysł ciężki, dostawców SaaS, ubezpieczycieli, motoryzację. Polski kapitał i struktury międzynarodowe. Nie ma dwóch takich samych projektów.

Bardzo ciekawy jest przykład podmiotów, które mają centrale poza Polską i długo czekały na ich aktywność, wskazówki, odkładając przygotowania. Dzisiaj starają się z naszym udziałem szybko wypracować swoje podejście do RODO. Przepisy krajowe nie pozwalają bowiem na proste rozwiązania copy&paste. Specyfika krajowa, dotychczasowe doświadczenia i praktyka stosowania nadal obowiązującej ustawy o ochronie danych osobowych istotnie oddziałują na przyjmowane rozwiązania, mimo że RODO obowiązuje wprost i bezpośrednio w całej Unii Europejskiej.

Na czym polega współpraca z klientem?

To, w jaki sposób wchodzimy w projekt, zależy i od konkretnego klienta, i od zastanej sytuacji. Mamy przypadki faktycznego przejęcia zarządzania projektem przez prawników z DZP. Mamy odwrotne sytuacje, kiedy pozostajemy doradcą-ekspertem poprzez hotline – dajemy wsparcie z zewnątrz. Kiedy indziej wreszcie jesteśmy konsultantem – członkiem zespołu projektowego. To całe spektrum poziomów zaangażowania. Problemy są też odpowiednio różne. Najbardziej absorbujący jest oczywiście model, w którym zarządzamy projektem.

Dlaczego?

Dostosowanie do RODO to projekt, który musi przekształcić się w nowy proces zarządzania informacją w firmie. Klient zatem prędzej czy później musi przejąć przynajmniej współkierowanie projektem, aby ustanowić swoiste właścicielstwo nad procesami biznesowymi. To klient musi monitorować dynamikę własnego środowiska przetwarzania danych osobowych.

Czy zarząd firmy też angażuje się w projekt?

Najczęściej projektem po stronie klienta opiekuje się dyrektor bezpieczeństwa i dyrektor IT. Ponieważ przetwarzanie informacji opiera się dziś na technologii, to właściwy wybór osoby.
Zarząd jest tzw. sponsorem przedsięwzięcia i jego zasadniczo nieaktywne, ale życzliwe zaangażowanie jest nieodzowne.

Jak przebiega praca?

Standardowo projekty zaczynamy od gruntownej analizy źródeł informacji, od diagnozy stanu klienta w dziedzinie ochrony danych osobowych. W większości firm dochodzi do zaskoczenia. Wiedza, jak się okazuje, zazwyczaj jest niepełna, niekiedy szczątkowa. Formułujemy więc pierwszą ważną decyzję do podjęcia: możemy spróbować organizację oczyścić w sensie informacyjnym – zlikwidować zasoby zbędnych danych, gromadzonych inercyjnie, odciąć niepotrzebne źródła danych. Ich obsługa i dalsze przetwarzanie stwarzają konkretne ryzyko. To zarazem moment głębokiej refleksji nad obecnym modelem danych, modelem informacji w firmie i początek pracy nad nowym. Z tego powodu

traktujemy jednak projekt RODO jako szansę dla klienta – szansę na optymalizację procesów, szansę na pozbycie się zbędnych zasobów i eliminację związanych z nimi ryzyk.

Po takiej analizie na czym skupia się projekt? Jak hierarchizuje się cele?

Zaczynamy od największych luk. Jeśli klient bazuje na systemach IT, zazwyczaj wymagane jest ustalenie odpowiedzialności, określenia, co i w jaki sposób jest przechowywane. Jeśli klient ma 3000 ludzi pracujących w terenie, to należy zacząć od nich. Określamy największe ryzyka w tych obszarach, np. nieprawidłowy transfer danych do USA z głównej bazy. Moment ustalania priorytetów i spraw wymagających pilnej zmiany to zwykle kolejny kluczowy moment procesu. Decyzje co do priorytetów zwykle podejmujemy wraz z zarządem klienta.

Zakres i przebieg prac; źródło: Domański Zakrzewski Palinka

Zakres i przebieg prac; źródło: Domański Zakrzewski Palinka

Możliwy harmonogram prac; źródło: Domański Zakrzewski Palinka

Możliwy harmonogram prac; źródło: Domański Zakrzewski Palinka

Czy w tej pracy można także podpierać się benchmarkami?

Już wstępny audyt ocenia, jak w zakresie RODO działają konkurenci. Ale to działanie pomocnicze. Możliwość benchmarkowania jest bardzo ograniczona, a wręcz może nasunąć fałszywe wnioski. Nie wiemy, jak będzie dalej działał konkurent, jak zachowa się rynek czy regulator. Po drugie, w ewentualnej przyszłej rozmowie z regulatorem odwołanie się do rynku czy działań konkurentów nie będzie argumentem. Kara zostanie wymierzona bez oglądania się na otoczenie rynkowe.

Czy na tym etapie można już formułować przyszłą komunikację z GIODO, np. dlaczego jeszcze nie mamy jakiegoś elementu? kiedy będziemy w tym obszarze zgodni z RODO?

Po dobrej inwentaryzacji – tak. Już przy określeniu punktów krytycznych tworzona jest dokumentacja, w której klient na potrzeby postępowania kontrolnego wyjaśnia, dlaczego dany proces prowadzony jest tak a nie inaczej, jak i kiedy go zmienić, itd. Oczywiście dziś trudno powiedzieć, na ile to skuteczne zabezpieczenie na przyszłość. To będzie zależało od praktyki kontroli. Ale sygnalizuje poważne, szczere podejście firmy do RODO, co w duchu Rozporządzenia nie jest bez znaczenia.

Kiedy uda się już domknąć wszystkie miejsca zapalne w firmie, co dalej?

Projekty z RODO mamy rozpisane na kilkanaście kroków, to jest nakładane na kalendarz, najczęściej kilkunastomiesięczny. Staramy się prowadzić projekty z podobną dynamiką. Ale życie i praktyka pracy z tekstem Rozporządzenia sprawiają, że natrafiamy na problemy interpretacyjne w kontekście konkretnego klienta. Niektóre problemy są uniwersalne, np. pisemna zgoda administratora na podpowierzenie przetwarzania danych. Mamy coraz rozleglejsze łańcuchy przetwarzania danych, ale zgoda na podpowierzanie nie może być ustanowiona w formie elektronicznej. Jakakolwiek inna forma niż odręczny podpis nie wchodzi więc w grę.

Tych dużych, uniwersalnych problemów i wątpliwości do rozstrzygnięcia związanych z RODO jest więcej.

Dużym wyzwaniem, na które nikt nie był do końca przygotowany, jest różnorodność interpretacji Rozporządzenia i dopuszczalna różnorodność wdrożenia na poziomie krajowym. RODO miało przecież ustanawiać wspólne, jednakowe ramy w całej Unii. Tymczasem w kilkunastu istotnych punktach Rozporządzenie oddaje konkretne rozstrzygnięcia pod osąd i decyzję prawodawstwa krajowego. Przykładem jest określenie granicy wieku dziecka – RODO określa go na 16 lat, w projekcie polskiej ustawy z marca 2017 r. przyjęto 13 lat, w Niemczech ustawodawca mówi znów o skończonych 16 latach. Takie różnice należy wychwytywać.

Jakie to rodzi wyzwania?

Te różnice trzeba uwzględnić we własnych procesach, trzeba także rozstrzygnąć, który krajowy organ będzie miał wgląd i prawo oceny danych rozwiązań. To właśnie kolejny praktyczny problem w międzynarodowych grupach: ustalenie czołowego organu. Ponadpaństwowe grupy, choćby niewielkie, obecne w trzech czy czterech państwach członkowskich UE, miewają duży problem z określeniem, który organ nadzorczy ma właściwe kompetencje.

Czy mają już Państwo przykłady ukoronowania projektu opracowaniem całościowej oceny ryzyka – Risk Assessment?

Według nas to jeszcze nie ten etap. Według mojego rozeznania jeszcze nikt tego nie robił. Powoli jednak dochodzimy i do tych zagadnień. Nasze najwcześniej zainicjowane, w styczniu czy w lutym 2017 r., projekty dopiero osiągają ten moment. Wiem, że to sytuacja nie tylko z naszej praktyki, dostaję podobne sygnały z rynku co do stadium i zaawansowania prac projektowych.

To chyba najtrudniejszy czynnik?

Można powiedzieć, że wszystkie elementy złożonego projektu mają trudne elementy i wymagają podejmowania strategicznych, niekiedy wręcz nieodwracalnych decyzji.

Wszyscy koncentrują się na RODO w kontekście kar finansowych.

Trudno przeoczyć argument potencjalnej kary w wysokości 20 mln euro. Ale przecież to nie jedyne sankcje.

Oprócz „kary głównej” właściwe instytucje dysponują przecież choćby prawem postanowienia nakazującego ograniczenie przetwarzania danych w wybranym procesie, obszarze. Co wtedy? Jeśli dobrze nie porozgranicza się procesów, to podatność firmy na „kryzys danych” jest w takim wypadku bardzo duża.
Wyizolowanie procesów jest w rzeczywistości trudne. A ryzyko jest spore – oprócz wskazanego procesu zamknąć będzie trzeba wszystkie procesy z otoczenia, nie wiadomo, jak szerokie cięcie będzie niezbędne.

Wracamy do kwestii technologicznego boomu na informację biznesową i uzależnienia od niej systemów i procesów, np. marketing automation, omnichannel z zasady łączą wiele źródeł danych i procesów...

Będą miejsca, których nie da się wyizolować. Z drugiej strony, życie napisze własny scenariusz. Nie wiemy, w którą stronę pójdzie praktyka wykonywania przepisów. Być może to rynek, a nie organy kontrolne, okaże się najaktywniejszym aktorem w nowym rozdaniu.

Co Pan ma na myśli?

Polski projekt przewiduje, że organizacje pozarządowe będą mogły reprezentować zainteresowane osoby, i to takie organizacje wywołają falowe zjawiska weryfikowania podatności firm na niezgodność z przepisami RODO. To obecnie oczywiście spekulacje, ale jak się wydaje, uprawnione.

Tych niewiadomych jest sporo, także jeśli chodzi o wymogi i standardy...

Dopiero ma powstać oficjalna lista procesów, które będą wymagać oceny ryzyka. Tak samo standardowe klauzule powierzenia także dopiero mają powstać. Ale to oczywiście nie argument, żeby zaniechać własne przygotowania.

...gdyż otoczenie prawne i tak się zmienia...

Materia jest bardziej złożona, niż to wynika z samego RODO. Są także inne akty prawne, wchodzące w życie niemal równocześnie z RODO, które dotyczą obszaru informacji i danych.

Mało kto obserwuje, co dzieje się wokół rozporządzenia ePrivacy. A pułap kar jest ten sam. Na poziomie wdrożenia jest ono, co prawda, mniej ingerujące w istniejące procesy, ale i tak dotyczy prawie każdego przedsiębiorcy.
Na przykład o ile polityka cookie to zwykle lekcja odrobiona, o tyle metadane – co firma może z nimi zrobić, w jaki sposób – to kwestia nadal otwarta. Tymczasem dla wielu firm dane osobowe to pierwsze biznesowe paliwo, ale metadane i uboczne dane uzyskane przy ich przetwarzaniu są co najmniej paliwem dodatkowym, wymaganym do ulepszania usług, produktów.

Państwo postulują więc podejście holistycznie.

Jeśli klient ma taką wolę, zdecydowanie tak. W jednym strumieniu, przy tych samych systemach i dokumentach co przy RODO będziemy pilnować zgodności z ePrivacy.

Co jeszcze można przy okazji tego przygotowania uwzględnić?

Dla części firm obowiązująca będzie jeszcze dyrektywa NIS. Nie ma ustawy wdrażającej, ale ochrona danych jest elementem ochrony bezpieczeństwem dla firm działających w ramach infrastruktury krytycznej. To dobra wiadomość, że w jednym strumieniu można ująć te wszystkie kwestie. Z drugiej strony z tej szerokości zagadnień przedsiębiorcy często nie zdają sobie sprawy.

Co jeszcze jest zaskoczeniem?

Klienci mają poczucie albo oczekiwanie, że te projekty może zrealizować samodzielnie prawnik. To jedna z większych pułapek. Bez zaangażowania osób po stronie klienta, bez zaszczepienia zasad sensu ochrony danych, bez ludzi z IT nie ma możliwości przeprowadzenia tego projektu. Projekt nie sprowadza się do wykładni, papieru. W drugim kroku trzeba to umieć wykonać i obsłużyć. Zamienić w proces i w składnik kultury organizacyjnej.

Nierzadkie jest też spojrzenie zgoła przeciwne: RODO to temat IT. Nie jest to trafne spojrzenie. RODO to materia kompleksowa. Dlatego jest tak doniosła i tak skomplikowana, i zarazem tak fascynująca. Zalecamy, aby nikogo z tych przygotowań w firmie nie wyłączać.
Aby nie zamykać tego do dwóch czy trzech pionów w firmie. RODO, e Privacy, NIS wymuszają więc lepszą komunikację w firmie. To dla firm także zaskoczenie, ale pozytywne. Projekt RODO dość nieoczekiwanie pozwala zatem wyeliminować istniejące w firmie dysfunkcje komunikacyjne. Prowadząc projekt RODO, nierzadko udrażniamy komunikację, wyrównujemy w firmach wiedzę na temat procesów biznesowych, ich zaawansowania i funkcjonalności stosowanych narzędzi. To dla nas dodatkowe źródło satysfakcji, widzimy bowiem, że przyczyniamy się do optymalizowania działania firmy. To dodatkowa wartość, którą przynosimy klientowi.

Przenikanie płaszczyzn jest daleko idące. Przedsiębiorcy w trakcie naszych projektów RODO zaczynają analizować lokalizację infrastruktury pod kątem ewentualnych roszczeń, możliwości egzekwowania umów, które pozawierali. Okazuje się wówczas, że indyjski dostawca jest naprawdę, naprawdę daleko... W efekcie cena przestaje być czynnikiem decydującym przy wyborze podmiotów wspierających przetwarzanie danych i informacji. Podmioty, z którymi współpracujemy, muszą być wybrane przy użyciu jasnych kryteriów, z tego powstaje dokumentacja. Cały łańcuch informacji musi być skwantyfikowany. Dużym zaskoczeniem dla nas z kolei jest niestety to, że mimo powszechnego mówienia o RODO nadal jest część biznesu, która wręcz wypiera informację, że w ogóle posiada dane osobowe.

RODO skomplikuje firmom życie?

Dostrzegam raczej dużo zalet. Niefinansowych, że oto wytworzył się rynek usług, audytów itd. Wiele firm chce uczciwie podejść do tematu. Dowie się dużo o procesach, kontrahentach oraz wykorzystaniu informacji w firmie. Naprawdę zyska – będzie mądrzejsza.

Projekty RODO zaczynają się i kończą na ludziach. Nie mam złudzeń, że wszyscy będą gotowi. Dobrze będzie, jeśli jak największa liczba firm zmierzy się w terminie z tematem RODO. Zarządy zyskają świadomość ryzyk, słabych punktów, będą mogły podjąć środki zaradcze. Bezpieczeństwo naszych danych oraz zarządcza przejrzystość firm mogą wzrosnąć. Patrzymy na RODO jako na win-win situation.