RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (http://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679), którego istotne postanowienia wchodzą w życie 26.05.2018 r. Temat spędzający sen z powiek coraz większej liczbie osób odpowiedzialnych za bezpieczeństwo informacji.
Dla tych, którzy nie zdają sobie sprawy ze zmian w ochronie danych osobowych, podajemy najważniejsze z nich:
- Odpowiedzialność, prawna, realna i finansowa podmiotu przetwarzającego;
- Obowiązek zgłoszenia naruszenia w ciągu 72 godzin – powiadomić trzeba organy administracyjne oraz osoby, których dane zostały ujawnione, jak też przedstawić dokumentację;
- Konieczność sporządzenia oceny ryzyka oraz konsekwencji wypłynięcia danych osobowych z firmy;
- Prawo do bycia zapomnianym, czyli przysługujące każdej osobie prawo żądania usunięcia danych, jeżeli nie są one wymagane innymi przepisami prawa;
- Zmiana i zwiększenie ilości zgód, jakie należy zbierać na przetwarzanie danych, oraz więcej obowiązków informacyjnych;
- Ograniczenie profilowania;
- Wyznaczenie Inspektora Danych Osobowych;
- Konieczność inwentaryzacji danych – firma musi być świadoma, jakie i czyje dane posiada, i udostępnić tę informację osobie pytającej;
- Systemy mają być tak stworzone, aby zapewniać możliwość maksymalną ochronę prywatności już na etapie ich projektowania.
Dla większości firm największym wyzwaniem jest zgromadzenie wiedzy i jej uporządkowanie w taki sposób, aby zarządzanie posiadanymi danymi i ocena ryzyka były możliwe skuteczne. Przez ostatnich kilkanaście lat wiele podmiotów obrosło w systemy, które przetwarzają jakieś dane, ale nie są one zarządzane centralnie. Tak naprawdę dba się przede wszystkim o zachowanie danych, a nie o ich usuwanie.
Nasza sytuacja w kwestii RODO
Tak jak większość Centrów Danych, Data Space jest podmiotem bardzo wysoko świadomym w kwestii przetwarzania danych osobowych. W ramach przygotowania do wdrożenia mechanizmów RODO dokonaliśmy stosownych audytów, zmieniliśmy istniejące procedury oraz wprowadziliśmy nowe, przeanalizowaliśmy też kwestię retencji danych w niektórych systemach i dostosowaliśmy je odpowiednio do nowych regulacji. Oprócz tego, przygotowujemy zmiany w umowach elektronicznych i papierowych tak, aby dostosować ich treść do nowych regulacji i ciążących na nas obowiązków. Zrobiliśmy już bardzo dużo, chociaż wiemy, że nie jest to koniec drogi.
Centrum Danych skoncentrowane na usługach jest w szczególnej sytuacji. Posiadamy świadomość biznesową, jak ważne są dane osobowe, odpowiadamy przed klientami za ewentualne incydenty, mamy wdrożone procedury bezpieczeństwa – jesteśmy w końcu organizacją skupioną na technice i przetwarzaniu danych. W przeciwieństwie do większości firm, dane to w naszym przypadku core biznes, a nie jedynie skutek prowadzonej działalności.
Rynkowa mądrość mówi, że w aktualnej sytuacji prawnej nie ma potrzeby specjalnie przejmować się regulacjami, ponieważ nie istnieją realne kary. Nic bardziej mylnego. Dla firmy kary są od zawsze, realne i codzienne. Nasi klienci cały czas sprawdzają nasze procedury i zabezpieczenia, ciągle musimy udowadniać, że spełniamy nowe wymagania, jesteśmy też w stanie przejść coraz bardziej restrykcyjne audyty. Kary to dla nas utraceni klienci, jak również po prostu stały element umów oraz wymóg rynku. To, co spora część firm traktuje jako przykry dodatek – dbanie o bezpieczeństwo danych – dla nas jest jednym z kół zamachowych biznesu.
Koszmary
Przy głębszej analizie zapominanie danych zaczyna jawić się jako koszmar. Po pierwsze, mamy do czynienia z masą systemów, które zaprojektowano w taki sposób, aby uniemożliwić kasowanie z nich danych (w tym danych osobowych) albo uniknąć sytuacji, kiedy przypadkowo lub w wyniku błędu utracimy jakieś dane. Po drugie, odpowiadamy za to, że skutecznie usunęliśmy dane. Czy możliwe jest usunięcie danych z backupów, w tym z taśm? Czy organizacja zawsze wie, jak bardzo redundantnie zapisywane są dane przez jej użytkowników? Czy organizacja panuje nad takimi kwestiami jak tworzenie kopii poczty lub książek adresowych przez użytkowników? W jaki sposób organizacja zabezpiecza dane znajdujące się na prywatnych telefonach pracowników?
Z drugiej strony patrząc mogłoby wydawać się, że nie ma czym się przejmować, ponieważ państwo polskie i stosowne urzędy są co najmniej tak samo niegotowe jak biznes do wprowadzenia omawianej dyrektywy w życie. Koszmarem z pewnością są nadchodzące zęby państwa, które kiedyś wyrosną – realne, wysokie kary. Jeżeli do tej pory nie wiesz, czy dane, które posiadasz, są odpowiednio zadbane – możesz zacząć się niepokoić.
Stan prawny
Polskie przepisy wprowadzające RODO nie są gotowe. Ustawa wprowadzająca dyrektywę jest w uzgodnieniach i nie wygląda na to, aby weszła w życie przed majem. Razem z nią zmiany dotykają ponad 130 innych ustaw i aktów prawnych. My jako użytkownicy tego prawa zostaniemy postawieni w sytuacji, w której najpierw będziemy działać na bazie regulacji unijnych, które po pewnym czasie zostaną uszczegółowione polskimi przepisami. Dwukrotne zmiany w systemach? A może poczekać i nie przejmować się regulacjami? Nie sądzę, aby urzędy były lepiej przygotowane niż firmy.
Jak alarmuje GIODO, brakuje środków na dostosowanie pracy urzędu, szkolenia dla pracowników, stworzenie nowych etatów w związku z RODO, i inne działania. Co z tego, że firmy będą przygotowane, skoro urząd mający doradzać i kontrolować nie będzie w żaden sposób gotowy do podjęcia swoich obowiązków. Jeżeli wiecie, ile teraz trwa złożenie prostej informacji do GIODO, to ile potrwa sprawa, do której urząd nie jest przygotowany?
Jednym z pomysłów, które ostatnio wzbudziły spore kontrowersje, jest zwolnienie małych i średnich firm z obowiązku raportowania utraty danych osobom fizycznym (https://niebezpiecznik.pl/post/zwolnijmy-duze-polskie-firmy-z-obowiazku-informowania-klientow-o-wycieku-ich-danych-kontrowersyjny-pomysl-rzadu/). W dzisiejszym świecie szybkiego marketingu i zlecanych na zewnątrz procesów, kontraktów B2B zastępujących w IT umowy o pracę, firma zatrudniająca mniej niż 250 osób może z łatwością posiadać i administrować dane połowy populacji Polski. Do przetwarzania dużych zbiorów danych, np. wysłania profilowanego spamu do wszystkich Polaków, wystarczy trzech programistów i kilka serwerów dedykowanych, zamiast wielkiej firmy. Patrząc na to inaczej, w Polsce nie ma serwerowni, która byłaby uznawana za duży podmiot. Z firm hostingowych? Być może Home.pl. Kogo więc obejmą regulacje? Firmy energetyczne, programy lojalnościowe koncernów paliwowych i telewizję? Większość nieprawidłowości nie jest domeną dużych podmiotów, a małych firm nastawionych na zysk.
Świadome osoby boją się nowego prawa
Ironicznie, niemała część obecnych ABI rozważa złożenie wypowiedzenia przed wejściem RODO. Powodem jest duża odpowiedzialność za wprowadzenie zmian, które trudno jednoznacznie sprecyzować. Systemy i procedury, które trzeba zmienić, były projektowane przez 20 lat i wprowadzenie filozofii zapominania danych jest zadaniem niemożliwym. Wprowadzenie regulacji zwiększających bezpieczeństwo, takich jak RODO, jest zdecydowanie potrzebne, ale sposób wdrażania i niektóre z tych regulacji są w praktyce niemożliwe do wprowadzenia.
Ciężko być gotowym na nieznane, a tym w sporej części są na ten moment nowe przepisy określające, jakie będą regulacje, odpowiedzialność, które procesy będą niezbędne, a które dobrą praktyką. Państwo, instytucje, firmy – obecnie nikt de facto nie jest w 100% gotowy. Skończyliśmy audyty i wdrożyliśmy najlepsze praktyki, jakie udało nam się wymyślić, ale póki co nikt nie ma pewności, jak regulacja będzie wyglądała w rzeczywistości.
