Rok po RODO

W rok po implementacji Rozporządzenia o Ochronie Danych Osobowych rozmawiamy z dr Maciejem Kawecki, który pozostaje "Twarzą RODO". Obecny dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, a do niedawna koordynatora krajowej reformy ochrony danych osobowych będzie gościem spotkania Klubu CIO 20 maja w Warszawie.

Maciej Kawecki, dyrektor departamentu zarządzania danymi, Ministerstwo Cyfryzacji; FOTO: MC

Co na przestrzeni roku od wprowadzenia RODO zmieniło się na polskim rynku?

Zasadniczą zmianę stanowi wzrost świadomości zagadnienia bezpieczeństwa danych osobowych. Śmiem twierdzić, że temat w zasadzie nie funkcjonował poza światem części mediów, osób zorientowanych w temacie z powodów zawodowych – ekspertów technologii, części prawników i urzędników. RODO obudziło tych, którzy zarządzają danymi osobowymi i tym których dane dotyczą. Tym drugim RODO zwróciło podmiotowość w świecie cyfrowym.

Trudno w zasadzie wskazać reformę bardziej rozpoznawalną w ostatnim czasie, pod tym względem przebija ją jedynie 500+. Uważam to za coś bardzo pozytywnego, ważnego w rozwoju społeczeństwa informacyjnego. To niezbędny zaczyn do działań zbliżających nas do krajów przodujących w rozwoju cyfrowego społeczeństwa, jak Łotwa, Finlandia czy Estonia.

Z czym RODO sobie nie poradziło?

RODO nie poradziło sobie – jeszcze – ze skalą nadużyć bezpieczeństwa i poufności danych, z jaką mamy do czynienia. Choćby w zakresie niezamawianego marketingu internetowego.

Czyli nie poradziło sobie z celem podstawowym.

Zjawiska te maja własną bardzo dużą dynamikę i zmienność. Więc

praca nad uchwyceniem w cywilizowane ryzy tego obszaru nie jest pracą na rok. Wprowadzenie regulacji rzadko kiedy automatycznie ruguje z przestrzeni życia publicznego niepożądane zjawisko. Można sobie za to zadać pytanie: co by było bez RODO?
Czy za rok, dwa nie byłoby za późno na próbę uporządkowania?

Mamy przecież do czynienia z cyfrową rewolucją, a to jest prawdziwa bańka rozwiązań, modeli biznesowych, usług i produktów bazujących na paliwie jakim są dane, informacja.

RODO zrodziło też problem z nadmiarowością regulacji, klauzul, kontrproduktywnych absurdów informacyjnych...

Tak, mamy szereg przykładów nadmiarowości w realizacji wytycznych RODO, które są nam sygnalizowane. Uważam, że w tym wypadku dobre praktyki, optymalizacja procesu kontaktu z klientami, użytkownikami powinny doprowadzić do ich stopniowej eliminacji. Dlatego, że często nie ma powodów do ich utrzymania, na przykład do nadmiernej realizacji obowiązku informacyjnego.

User experience rządzi – ten kto pierwszy powiąże w sposób inteligentny wymogi RODO z bezproblemowym doświadczeniem użytkownika – będzie wygrywał w Sieci, od e-commerce po w zasadzie wszystkie branże.

Wygląda na to, że w wielu wypadkach rękawica rzucona przez regulatora została podjęta przez firmy niezręcznie...

Intencją regulatora było oczywiście wywołanie refleksji nad własną architekturą informacji u przedsiębiorców. Przepisy wprowadzone na podstawie rozporządzenia nie mają narzucać i ograniczać efektywnych i innowacyjnych modeli opartych na danych i informacji. Jeśli firma ma pomysł na biznes, to jej model powinien bezwzględnie zabezpieczyć dane – a sposobów na to jest cała paleta. Tylko tyle i aż tyle.

Można było uniknąć fali absurdu, ale państwo i regulator w tym wypadku odwołało się również do samych zainteresowanych, którzy najlepiej znają swoje modele. Absurdy i paradoksy, powiem wprost – najczęściej są efektem potraktowania RODO po łebkach, implementacji nieinteligentnej.

Kto skorzystał z szansy na to aby w związku z RODO uporządkować swoje architektury informacyjne, tchnąć w nie nowe życie?

Na pewno wielkie korporacje – często RODO przeorało w jakimś stopniu polityki i procedury dostępu do danych, do informacji. Powołano a kiedy indziej pozamykano piony czy funkcje, uruchamiając nowe modele zgodne z duchem RODO. W tym sensie to wypełnienie intencji regulatora. Pracę wykonał także sektor publiczny, gdzie pojawiły się ścieżki decyzyjne, funkcje i refleksja nad informacją i danymi przetwarzanymi i pozyskiwanymi przez instytucje.

Kwestia jakości rozwiązań – jest istotna, ale jak wspominałem droga do optymalizacji nie jest przecież zamknięta. Ten się nie myli, kto nic nie robi. Ale na szczęście przy RODO nie można nic nie robić.

Implementacja najbardziej kuleje w sektorze MSP, ale tam jest i tak dużo obowiązków informacyjno-sprawozdawczych. Dlatego UODO wykazuje wstrzemięźliwość i wyrozumiałość. RODO staje się zgodnie z przewidywaniami katalizatorem adaptacji modeli technologiczno-biznesowych outsourcujących bezpieczeństwo przetwarzania danych np. do operatorów chmur obliczeniowych, gdzie mogą być one lepiej zabezpieczone.

To interesujący wymiar RODO: optymiści widzieli w nim docelowo centralny, porządkujący proces cyfryzujących się firm. Pozwalający adaptować nowe, innowacyjne technologie uwzględniające aspekt bezpieczeństwa danych osobowych.

Oczywiście bardzo bym sobie życzył aby te nowe regulacje stały się pretekstem do innowacji technologicznej.

RODO stwarza pole gry, boisko, w którego obrębie można dokonywać wyboru technologii i innowacji, które będą uwzględniały aspekt bezpieczeństwa. Przykładem jest wspomniany trend chmurowy, liczę na skojarzenie RODO z rozwiązaniami opartymi na blockchain, biometrią, sztuczną inteligencją.

Jest Pan z racji odpowiedzialności ale i aktywności, osobą najbardziej w kraju kojarzona z implementacją RODO. Objął Pan jakiś czas temu rolę dyrektora departamentu zarządzania danymi w MC odpowiedzialnego za innowacje. To jest ciągłość, kontynuacja, przejście do bardziej procesowego podejścia do zagadnienia zarządzania informacją?

To przejście do szerszej kwestii innowacji, która poprzez technologie i rozwiązania pozwala realizować postulat fundamentalny, zasadniczy: bezpieczeństwa danych, podmiotowości użytkowników – obywateli w świecie cyfryzującym się.

W pierwszym etapie jest to często stymulowanie innowacji, budzenie świadomości potencjału technologii, wzbudzania konkurencyjności. Nawet – w sektorze publicznym, na przykład teraz samorządowym, gdzie tworzymy mapę innowacji ośrodków samorządowych, które mogą dzielić się „branżowymi” dobrymi praktykami.

Innowacja technologiczna powinna zagościć w podejściu decydentów z sektora publicznego, cyfryzacja ma podnosić efektywność z myślą o obywatelach. A nadrzędną sprawa pozostanie aspekt bezpieczeństwa naszych danych. To zadanie państwa na dziś – działania cywilizujące, kolonizujące bezpiecznie kolejne przestrzenie świata cyfrowego.

Klub CIO. Rok po RODO

20 maja zapraszamy na spotkanie Klubu CIO w Warszawie poświęcone bilansowi implementacji RODO oraz - szerzej - bilansowi cyfryzacji. Dr Maciej Kawecki, dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, b. koordynator krajowej reformy ochrony danych osobowych będzie gościem naszego spotkania.

Program i potwierdzenie udziału: https://www.cxo.pl/konferencja/maj2019

Do zobaczenia w Klubie!