Czytając przepisy rozporządzenia o RODO, nie dostajemy jasnej recepty, jak zbudować system ochrony danych osobowych. Raczej dochodzimy do wniosku, że główne przesłanie tego nowoczesnego aktu prawnego brzmi: Przedsiębiorco, chroń dane osobowe tak, jak uznasz za stosowne, byle skutecznie – ponieważ jeżeli z tego obowiązku się nie wywiążesz, będziemy mogli dotkliwie cię ukarać.
RODO niewiele narzuca, raczej daje wskazówki, dzięki temu przepisy szybko się nie zestarzeją oraz nie stracą na elastyczności. Nawet za kilka lat będą odpowiednie – zarówno dla niedużego salonu sprzedaży stolarki, jak i dla wielkiej firmy telekomunikacyjnej.
RODO wymusza rzeczywiste zaangażowanie się podmiotów w stworzenie adekwatnego do zagrożeń oraz dopasowanego do własnej struktury organizacyjnej systemu ochrony danych osobowych. Na starcie procesu wdrożenia sporą bolączką wydaje się jednak fakt, że ustawodawca nie wskazuje konkretnie, jakie procedury należy stworzyć oraz jakie zabezpieczenia wdrożyć.
Nie oznacza to jednak, że nasze obecne polityki, instrukcje i procedury nadają się tylko do kosza. To od nas zależy, czy wykorzystamy funkcjonujący już system ochrony jako fundament nowego, czy też zbudujemy go od początku.
Po co przetwarzamy dane
Wszelkie działania nakierowane na realizację celów biznesowych składają się w proces przetwarzania danych osobowych. Zastanówmy się, jak to wygląda w naszej firmie. Kiedy i po co przetwarzane są dane? W celu rekrutacji, zatrudnienia, księgowości, sprzedaży, marketingu, reklamacji, serwisu? Dzięki identyfikacji tych procesów możemy ocenić zgodność przetwarzania danych z RODO i sprawdzić, czy zakres tego nie jest za szeroki w stosunku do celu, dla którego to robimy.
Można już od początku zlecić to zadanie firmie zewnętrznej. Jeśli natomiast decydujemy się na samodzielne wdrożenie wymogów RODO , powinni zrobić to najlepiej zorientowani w sprawach działu pracownicy HR-u, marketingu, sprzedaży.
Jakie jest ryzyko
Mamy więc w firmie różne procesy, a w nich dane osobowe – czasami jest ich dużo, w tym dane osobowe szczególnej kategorii (wrażliwe). Załóżmy teraz, że nasze cenne informacje, w tym dane osobowe, zostaną zniszczone, upublicznione (wyciekną) lub wykradzione. Czy takie zagrożenie jest realne? Jak się przed nimi ustrzec? Czy można zminimalizować ryzyko i w jaki sposób to zrobić?
Rozliczalność
Aby móc wykazać przestrzeganie przepisów RODO (zapewnić rozliczalność), nie wystarczy dostosować procedury przetwarzania danych. Należy też prowadzić różne ewidencje i rejestry, m.in.: rejestr czynności przetwarzania, rejestr naruszeń ochrony danych osobowych, ewidencję żądań dotyczących realizacji praw osób, których dane dotyczą.
Krótko mówiąc – w razie jakiejkolwiek skargi, zarzucającej naszej firmie naruszenie zasad RODO , musimy być gotowi do udowodnienia, że jest ona niezasadna.
To jest najtrudniejsze wyzwanie dla administratora – wykazać, że środki techniczne i organizacyjne stosowane przez firmę zapewniają bezpieczeństwo w stopniu odpowiadającym ryzyku naruszenia praw. Dlatego firma, która chce dostosować się do RODO , musi wcześniej przeprowadzić ocenę skutków dla ochrony danych (z ang. DPIA) oraz analizę ryzyka.
Analiza DPIA
Ocena skutków dla ochrony danych (z ang. Data Protection Impact Assessment) jest obowiązkowa m.in. przy przetwarzaniu danych na dużą skalę lub przetwarzaniu danych wrażliwych. Aby ustalić, czy w naszej firmie przeprowadzenie DPIA jest obowiązkowe, odpowiedzmy sobie na pytanie, czy dany rodzaj operacji przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może naruszyć prawa lub wolność osób fizycznych.
Trzeba w tym celu przeanalizować procesy, o których pisaliśmy wyżej. Dział marketingu może na przykład prowadzić program lojalnościowy, zbierać dane (dotyczące historii zakupów, lokalizacji, miejsca zamieszkania), które są w informatycznym systemie, który z kolei „leży” na serwerze. Kadry zbierają dane o zwolnieniach lekarskich (mogą więc zbierać dane o chorobach, których ujawnienie może mieć nieprzyjemne konsekwencje dla pracownika, dane o karalności itp.).
Analiza DPIA powinna obejmować opis przewidywanego przetwarzania, ocenę niezbędności i proporcjonalności, środki przewidziane w celu zapewnienia zgodności, ocenę ryzyka naruszenia praw i wolności, środki przewidziane w celu zaradzenia ryzyku, dokumentację, monitorowanie i przegląd.
Jeśli ryzyko wydaje się duże, a mimo to administrator chce przetwarzać dane, musi najpierw skonsultować się z organem nadzorczym (tzw. uprzednie konsultacje). Należy pamiętać, że analizy DPIA trzeba wykonać przed rozpoczęciem przetwarzania oraz regularnie przeglądać, a gdy zmienią się warunki i otoczenie przetwarzania, aktualizować je.
Administratorzy danych osobowych powinni posiłkować się dostępnymi wskazówkami (wytyczne WP248 Grupy Roboczej Art. 29 – przyszłej Europejskiej Rady Ochrony Danych – dotyczące oceny skutków dla ochrony danych oraz ustalenia czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”) i dobrymi praktykami, jak norma ISO 29134.
Samodzielnie czy ze specjalistą?
Teoretycznie RODO można wdrożyć wyłącznie przy pomocy własnych pracowników, jednak w praktyce to się nie sprawdza. Alternatywą jest wsparcie ekspertów zewnętrznych, którzy mogą zapewnić specjalizację w zakresie ochrony danych osobowych, obiektywność przy ocenie ryzyk i projektowaniu zabezpieczeń oraz dostarczyć sprawdzoną metodykę wdrożenia tego skomplikowanego aktu prawnego. Konsultant (firma doradcza) zaproponuje koncepcję i metodologię wdrożenia, konkretne rozwiązania oraz narzędzia, a po ich akceptacji przygotowuje plany, w tym szczegółowy harmonogram wdrożenia. Nasza firma ma natomiast dopasować te plany i narzędzia do indywidualnych uwarunkowań i możliwości, zatwierdzić je i zacząć realizować.
Wybór profesjonalnego i optymalnego kosztowo partnera jest trudny – obecnie lawinowo przybywa firm oferujących usługi związane z RODO. Ich zakres oraz wyceny różnią się tak bardzo, że nie sposób ich porównać. Jakie powinny być główne kryteria wyboru? Doświadczenie, interdyscyplinarny zespół, logiczna koncepcja, sprawdzona metodyka, zakres wsparcia podczas wdrożenia, czas realizacji, narzędzia do budowania świadomości personelu, możliwe wsparcie lub przejęcie nadzoru nad systemem ochrony danych osobowych po wdrożeniu.
Utworzenie zespołu wdrożeniowego
Wdrożenie RODO jest procesem złożonym i wielowymiarowym, angażującym praktycznie całą firmę oraz wymagającym ustanowienia struktury odpowiedzialnej za jego przeprowadzenie. Zespół wdrożeniowy oraz proces wdrożenia musi zostać objęty nadzorem najwyższego kierownictwa (niezależnie czy w małej, czy w dużej firmie), w przeciwnym razie nie warto zaczynać. Bez spełnienia tego warunku trwający co najmniej kilka miesięcy proces wdrożenia skazany jest na niepowodzenie. Członkami zespołu wdrożeniowego powinni być przedstawiciele działów przetwarzających dane osobowe, (np. HR, obsługi klienta, marketingu, serwisu, windykacji, logistyki itp.). W zespole muszą znaleźć się takie osoby jak administrator bezpieczeństwa informacji (o ile został powołany) oraz przedstawiciel działu IT. Dobór członków zespołu wdrożeniowego w dużej mierze zależy od profilu działalności i struktury organizacyjnej podmiotu. W niewielkiej, kilkuosobowej firmie będzie to jej szef, ewentualnie jeden z handlowców.
Sporządzenie audytu otwarcia
Na początku konieczne jest stworzenie audytu otwarcia, czyli szczegółowego harmonogramu prac wdrożeniowych, w którym wyliczymy wszelkie zadania oraz określimy terminy ich wykonania. Nie sposób tego osiągnąć bez dokładnego określenia sytuacji wyjściowej, czyli stworzenia swoistej inwentaryzacji posiadanych zasobów informacyjnych, sposobów ich przetwarzania oraz ochrony. Dzięki tej wiedzy będziemy mogli regulacje obowiązujące w naszej firmie dostosować (przemodelować) do nowych przepisów, a brakujące stworzyć, niejako rozwijając funkcjonujący system ochrony danych. Audyt otwarcia można podzielić na dwa główne obszary:
- badanie wymogów formalno-prawnych (treść klauzul zgód, polityk, procedur, umów powierzenia itp.);
- badanie zgodności obszaru IT (zabezpieczenia systemów informatycznych oraz ich funkcjonalności pod względem możliwości realizacji praw osób, których dane dotyczą, czyli prawa do przenoszenia danych, do bycia zapomnianym, ochrony danych włączonej domyślnie itd.).
Dopiero po ustaleniu stanu faktycznego, zobaczymy start i metę. Wyłoni się wstępny zarys procesu wdrożenia, dowiemy się, jaki etap będzie najbardziej pracochłonny czy kosztowny, co wziąć na „pierwszy ogień”, a co odłożyć. Dla przykładu w niektórych firmach największym wyzwaniem będzie dostosowanie systemów informatycznych, a w innych – dostosowanie procesów przetwarzania danych w celach marketingowych.
Doradca wspiera, analizuje, planuje, weryfikuje, ale wymogi RODO wdrażamy sami za pośrednictwem swych pracowników.
Dostosowanie procesów biznesowych
Nie powinniśmy „odkrywać Ameryki od nowa”, ponieważ często obowiązujące procedury mogą być dobrym punktem wyjścia do nowych regulacji. W tym zakresie RODO to ewolucja, a nie rewolucja. Nowe przepisy nie wskazują wprost, jakie procedury należy wdrożyć, ale często będzie to wynikać bezpośrednio z treści przepisów. Przykładowo – aby sprostać wymogowi zgłoszenia incydentu do Urzędu Ochrony Danych Osobowych najpóźniej w ciągu 72 godzin od momentu wykrycia naruszenia – należy stworzyć wewnętrzną procedurę zgłaszania incydentu kierownictwu firmy. Warto również, aby nasza firma przechowywała udokumentowaną informację w zakresie analizy konieczności powołania inspektora ochrony danych. Należy również opracować i wdrożyć zasady:
- tworzenia kopii zapasowych,
- usuwania danych i realizacji prawa do bycia zapomnianym,
- prawa do przenoszenia danych,
- polityki zapewnienia prywatności w fazie projektowania oraz zasady prywatności w ustawieniach domyślnych,
- procedury stosowania zasady przejrzystości.
Trzeba ustalić standardy, jakie muszą spełniać umowy z podmiotami zewnętrznymi (np. zewnętrzną księgowością, agencją marketingową, firmą hostingową czy dostawcą systemów lub usług IT), przetwarzającymi dane osobowe w naszym imieniu.
Podsumowując: rozpoczynając proces dostosowawczy, powinniśmy starać się wprowadzać nowe wymogi w funkcjonujący już system ochrony danych osobowych.
Dostosowanie systemów informatycznych
Podczas audytu otwarcia wskazuje się systemy informatyczne służące do przetwarzania danych osobowych i ich ewentualną niezgodność z nowymi przepisami. Jako wynik DPIA i analizy ryzyka opracowuje się plan postępowania z ryzykiem – na tej podstawie powstaje plan dostosowania środowiska teleinformatycznego.
Dla wielu firm dostosowanie systemów informatycznych będzie wielkim wyzwaniem. Można z dużą pewnością założyć, że będą one wymagały zmian, mających umożliwić realizację nowych praw osób fizycznych (to jest prawa do przenoszenia danych, do bycia zapomnianym, domyślnej ochrony prywatności, minimalizacji przetwarzania danych oraz usuwania zbędnych w stosunku do celu przetwarzania).
Dodatkowo pozostaje kwestia bezpieczeństwa systemów IT – trzeba będzie zapewnić, by wykrywały one naruszenia bezpieczeństwa, dla przykładu konieczne mogą się okazać inwestycje w systemy analizowania zdarzeń, aktualizacje systemów operacyjnych urządzeń przetwarzających dane, czy zabezpieczeń technicznych i fizycznych obszaru przetwarzania, w tym w szczególności serwerowni.
Audyt zamknięcia
Audyt zamknięcia, czyli weryfikacja działań dostosowawczych, ze szczegółowym harmonogramem wdrożenia, jest konieczny, ponieważ w toku audytu otwarcia, opracowania DPIA i analizy ryzyka powstaje nawet kilkaset rekomendacji oraz powiązanych z nimi zadań. Audyt zamknięcia weryfikuje i ocenia zakres realizacji założonego planu wdrożenia. Należy przy tym pamiętać, że dopiero prawidłowe wdrożenie rekomendacji po audycie zamknięcia daje możliwość osiągnięcia zgodności z wymogami RODO .
Szkolenia
Aby nowy system ochrony danych osobowych mógł sprawnie funkcjonować, nie wystarczy jednorazowo dostosować zasady przetwarzania danych osobowych. Do przestrzegania nowych przepisów należy przygotować wszystkich pracowników i współpracowników upoważnionych w naszej firmie do przetwarzania danych osobowych. System ochrony danych osobowych nie może stać w miejscu – w związku z tym, ustalając zakres i częstotliwość szkoleń, należy wziąć pod uwagę potencjalne wyzwania, przed którymi mogą stanąć pracownicy. Wśród nich pojawiają się pytania, jakie dane możemy zbierać, jak je zabezpieczać, kiedy usuwać, jak postępować w razie incydentu…
Zastanawiając się nad częstotliwością szkoleń należy wziąć pod uwagę zmieniające się przepisy prawa, postęp technologiczny oraz fakt, że jednym z najważniejszych atrybutów skutecznego poszerzania wiedzy jest powtarzanie. Proponuję przeprowadzać co najmniej raz w roku szkolenia wszystkich pracowników i współpracowników w zakresie ochrony danych osobowych. Do grupy osób podlegających obowiązkowym szkoleniom należy zaliczyć również osoby mogące przetwarzać dane osobowe, jak chociażby grafików komputerowych.
W salonie sprzedaży stolarki oczywiście trzeba szkolić handlowców; ekip monterów dotyczyć to będzie jedynie w minimalnym zakresie. Polecam e-learning o różnym zakresie zaawansowania odo24.pl/e-learning (to sposób najszybszy i najtańszy, firma zaś może udowodnić, że wywiązała się z obowiązku). Jeśli chodzi o ekipę monterów, wystarczy, że zdecydują się na „pigułkę”, handlowcy powinni przejść poziom „meritum”.
Podsumowanie
W trosce o prawa obywateli do prywatności i ochrony danych osobowych, unijny ustawodawca stworzył rozporządzenie o ochronie danych osobowych. To, co dla obywateli jest uprawnieniem, dla przedsiębiorców stało się obowiązkiem i kosztem. Nowe regulacje z czasem okażą się jednak dla nich korzystne.
Z naszego doświadczenia wynika, że mimo obowiązywania obecnych przepisów (od ponad 20 lat) obszar ochrony danych osobowych i bezpieczeństwa informacji w wielu branżach jest dziewiczy. Dzięki nowym przepisom i realnej groźbie dotkliwej kary finansowej, zostaniemy zmuszeni do systemowej, przemyślanej i skutecznej ochrony informacji. Dodatkowo możliwość uzyskania certyfikatu potwierdzającego zgodne z przepisami przetwarzanie danych będzie dowodem spełniania wysokich standardów w tym zakresie, co powinno przełożyć się na budowanie zaufania wśród pracowników i klientów oraz pomóc uzyskać przewagę konkurencyjną.