Jeśli ktoś sądzi, że po roku obowiązywania RODO da się jednoznacznie ocenić, czy polskie przedsiębiorstwa i instytucje dobrze poradziły sobie z zadaniem sprostania wymogom unijnego rozporządzenia, to jest w błędzie. Trudno dzisiaj o klarowną, precyzyjną ocenę sytuacji. Po pierwsze z powodu samej idei wprowadzonej regulacji. Bazuje ona na obowiązku analizy ryzyka w każdej organizacji i doborze sposobów zabezpieczeń adekwatnych do zagrożeń zdiagnozowanych w konkretnej sytuacji. Z tej przyczyny – co jest wielokrotnie podkreślane przy różnych okazjach – wdrożenie RODO to proces, a nie jednorazowe działanie. Nie można więc w zasadzie nigdy uznać, że został zakończony.

Z pewnością łatwiej było dostosować się do wymogów nowych przepisów firmom, które już wcześniej zaimplementowały i stosowały na co dzień systemy bezpieczeństwa informacji. W takich przypadkach zapewnienie ochrony danych osobowych mogło się wiązać tylko z wprowadzeniem dodatkowych elementów do już funkcjonującego, sprawdzonego w praktyce mechanizmu. Co nie znaczy, że samo w sobie było zadaniem prostym i łatwym, szczególnie w rozbudowanych organizacjach korzystających z dużej liczby aplikacji przetwarzających dane. Nie wymagało to już jednak budowania całego środowiska zabezpieczeń i kontroli od podstaw.

Problemy mogły mieć przedsiębiorstwa, które nie posiadały jeszcze systemów zarządzania bezpieczeństwem informacji. W ich przypadku RODO mogło jednak odegrać pozytywną rolę jako przyczynek do poważniejszego zajęcia się sprawami bezpieczeństwa – dać impuls do uporządkowania i zoptymalizowania związanych z tym obszarem zadań lub procesów. Zapowiadana nieuchronność i duża wysokość kar z pewnością przyczyniły się do uświadomienia sobie przez decydentów znaczenia i podniesienia rangi systemu zabezpieczeń w firmie. Niejeden specjalista ds. cyberbezpieczeństwa miał ułatwione zadanie, próbując dotrzeć do zarządu przedsiębiorstwa z przesłaniem o konieczności podjęcia działań zmierzających do minimalizacji ryzyka wycieku danych bądź wykorzystania ich w niewłaściwy sposób.

Zindywidualizowane podejście do przepisów prawa

Pozbawiona jednoznacznie określonych obowiązków, a ukierunkowana na samodzielny dobór właściwych rozwiązań na bazie analizy ryzyka, formuła RODO zrodziła potrzebę zrewidowania podejścia do stosowania prawa również przez samych prawników. Doradzając w sprawach wdrożenia unijnego rozporządzenia, musieli oni wykazać się większą elastycznością w określaniu niezbędnych rozwiązań niż w przypadku innych przepisów. Tutaj nie do przyjęcia była formuła ustalenia sztywnych, wynikających wprost z ustawowych zapisów wymogów i wskazań, którym musi sprostać przedsiębiorstwo. Proponowane rozwiązania musiały być dostosowane do specyfiki firmy, uwzględniając warunki jej działania i prowadzenia biznesu.
„Projekty związane z RODO to nie tylko projekty prawne. To projekty na pograniczu prawa i biznesu. Model rozwiązań legislacyjnych trzeba docelowo wpisać ściśle w ramy biznesowe danej firmy. Tylko w ten sposób można zapewnić dobór środków adekwatnych do ryzyk, na jakie mogą być narażone dane osobowe przetwarzane w konkretnej sytuacji. Prawnik musi bardziej niż dotychczas wczuć się w sytuację swojego klienta i zrozumieć jego uwarunkowania biznesowe” – ocenia dr Dominik Lubasz, radca prawny, wspólnik
zarządzający w kancelarii Lubasz i Wspólnicy.
Warto przy tym podkreślić, że elastyczne, zindywidualizowane podejście do ochrony danych osobowych należy traktować raczej jako atut do umiejętnego wykorzystania, a nie ograniczenie czy utrudnienie we wdrażaniu RODO.

 

Nierzadko jednak trudności sprawiało – i często nadal sprawia – przestawienie się ludzi na różnych stanowiskach na nowy sposób rozumienia wartości chronionych zasobów informacji. W przypadku RODO nie chodzi bowiem o zapewnienie bezpieczeństwa danych będących własnością firmy, lecz o zabezpieczenie informacji dotyczących fizycznych osób, autonomicznych jednostek pozostających z nią w różnych relacjach, wynikających z prowadzonego biznesu. I choć jedno z drugim często idzie w parze, to trudno myśleć o spełnieniu wymogów RODO bez uświadomienia sobie, że w tym przypadku nie chodzi o zapewnienie bezpieczeństwa firmie czy instytucji, lecz o troskę o odpowiednie zabezpieczenie danych osób, których one dotyczą.

Zadanie może nie być łatwe także  z tego powodu, że wprowadzenie RODO zwiększyło również świadomość wagi ochrony prywatności w całym społeczeństwie. Zarówno prawnicy zajmujący się wdrażaniem unijnego rozporządzenia w firmach, jak i przedstawiciele organizacji będących administratorami danych osobowych zauważają, że widać nieustanny wzrost jakości pytań i żądań kierowanych przez ludzi pod adresem firm przetwarzających ich dane. Po początkowym okresie zamieszania pojęciowego i proceduralnego, zgłaszania problemów bazujących na medialnych stereotypach, a nie rzetelnej analizie stanu faktycznego pojawia się coraz więcej wystąpień mających poważne umocowanie prawne i merytoryczne, świadczących o coraz lepszym zrozumieniu przez ludzi obowiązujących mechanizmów ochronnych.

Bez przerwy na nasłuchu

Trudności z jednoznaczną oceną stanu zaawansowania prac nad dostosowaniem się polskich firm do wymogów RODO wynikają również z braku dostatecznej ilości orzecznictwa w tym obszarze. Brakuje jasnych rekomendacji i interpretacji. W wielu kwestiach pojawiające się interpretacje są nawet całkowicie rozbieżne. Rezultaty kontroli prowadzonych przez Urząd Ochrony Danych Osobowych nie są podawane do publicznej wiadomości. Dostępne są jedynie decyzje prezesa UODO w sprawie zgłaszanych skarg i wniosków. Branżowe kodeksy dobrych praktyk nie zostały zatwierdzone lub jeszcze w ogóle nie powstały. Ewentualnego wsparcia można szukać na razie w wytycznych i opiniach publikowanych na stronach UODO. Nawet pierwsza w naszym kraju kara nałożona za niedopełnienie obowiązku informacyjnego budzi szereg pytań i wątpliwości ze strony prawników i ekspertów od ochrony danych osobowych.

Osoby odpowiedzialne za zapewnienie firmom działalności w zgodzie z wymogami RODO nie mają więc łatwego zadania. Tym bardziej że zgodnie z wprowadzoną zasadą rozliczalności to na nich ciąży obowiązek wykazania, że zastosowane środki i sposoby zabezpieczenia danych były najbardziej optymalne jak również najlepiej dostosowane do zdiagnozowanych zagrożeń w danej sytuacji. Jak się jednak przygotować do kontroli, skoro nie ma żadnego wymaganego prawem minimum konkretnych zadań do wykonania? Nawet gotowe wzorce czy szablony postępowania na nic się nie zdadzą, jeśli nie zostaną dostosowane do specyfiki i uwarunkowań funkcjonowania konkretnego przedsiębiorstwa.

Piotr Wojtasik
inżynier sprzedaży, Axence

RODO spowodowało wzrost zapotrzebowania na rozwiązania do zarządzania IT, szczególnie w mniejszych przedsiębiorstwach, gdzie bezpieczeństwo opierało się wcześniej na codziennie praktykowanych działaniach i wzajemnym zaufaniu. W obliczu potencjalnych kar wdrożenie oprogramowania stało się parasolem ochronnym dla szefów wielu firm. Klienci szukają rozwiązań, które pozwolą im ustrzec się przed skutkami ewentualnych incydentów i zabezpieczyć się na przyszłość. Widzą też potrzebę oceny i audytu wdrożonych systemów, aby mieć pewność w kwestii dostosowania się do wymogów unijnego rozporządzenia.

 

Co więc pozostaje firmom, które chcą się rzetelnie stosować do przepisów unijnego rozporządzenia? Potraktować poważnie wymóg analizy ryzyka i uczynić go podstawą swoich wszelkich działań w dziedzinie ochrony danych osobowych! Co to w praktyce oznacza? Przede wszystkim potrzebę stałego monitorowania sytuacji zarówno wewnątrz firmy, jak i w jej zewnętrznym otoczeniu. Należy śledzić zmiany technologiczne, analizować trendy biznesowe, które mogą decydować o zapotrzebowaniu na przetwarzanie danych osobowych, aktualizować mapę zagrożeń i nowych rodzajów ryzyka związanych z danymi, jakimi dysponuje ich administrator. Nie obejdzie się bez audytu przeprowadzanego minimum raz na rok, a w uzasadnionych przypadkach zapewne i częściej.

Osobną kwestią jest zwracanie uwagi na zmiany prawa, które mogą mieć wpływ na sposoby i zakres stosowania niektórych przepisów RODO. Obowiązująca od 4 maja 2019 r. ustawa dostosowująca polskie przepisy sektorowe do wymogów RODO (Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.) zmienia 162 krajowe akty prawne. Nowe uregulowania pojawiły się w wyniku tego m.in. w prawie bankowym, prawie pracy, przepisach dotyczących dokumentacji medycznej czy prawie karnym.

W niektórych przypadkach, jak na przykład Kodeks pracy, zmiany mogą być znaczące a także wymagać dostosowania zasad przetwarzania danych osobowych do nowych regulacji. Nie znaczy to, że będą one już obowiązywały zawsze. Nie jest wykluczone, że kolejne zmiany w przepisach branżowych również będą mieć istotny wpływ na zabezpieczanie danych wymagane przez RODO. Nie ma więc innego wyjścia, jak uważnie śledzić zmiany w prawie pod kątem ich powiązania z wymogami unijnego rozporządzenia.

Stały element gry

Warto sobie uświadomić, że od RODO nie ma odwrotu. Zapewnienie zgodności z tym rozporządzeniem musi być już stałym, integralnym elementem systemu zarządzania bezpieczeństwem informacji we wszystkich  przedsiębiorstwach i  instytucjach. Wymogi wynikające z wprowadzonych w ubiegłym roku unijnym rozporządzeniem przepisów o ochronie danych osobowych muszą być uwzględniane w każdym miejscu ich przetwarzania, w każdym procesie, w ramach którego takie przetwarzanie następuje, i na każdym etapie życia narzędzi oraz systemów informatycznych i urządzeń, które do przetwarzania danych są wykorzystywane.

I nie da się tego zrobić inaczej jak przez ciągłe, uważne śledzenie rozwoju sytuacji w różnych obszarach funkcjonowania organizacji przetwarzającej dane osobowe. Analiza ryzyka wymaga monitorowania zarówno samych zagrożeń, jak i związanych z nimi technologii oraz trendów rynkowych. Dbałość o przestrzeganie zapisów unijnego rozporządzenia musi być stałym składnikiem zarządzania bezpieczeństwem informacji w firmie, chociaż stosowane w praktyce rozwiązania mogą się nieustannie zmieniać pod wpływem modyfikacji uwarunkowań różnych aspektów aktywności biznesowej. Nadążanie za zmianami i wybór adekwatnych w danej sytuacji rozwiązań pozostanie z pewnością największym wyzwaniem.

 

Niejednoznaczna, pozbawiona katalogu niezbędnych zadań do wykonania formuła RODO sprawia, że ciągle będą się pojawiać pytania, wątpliwości i niejasności dotyczące zastosowania odpowiednich środków i rozwiązań. W ostateczności każdy będzie musiał radzić sobie z tymi zagadnieniami na własną rękę, biorąc za dokonywane wybory bezpośrednio odpowiedzialność. Nawet jeśli będzie już dostatecznie dużo orzeczeń, interpretacji, kodeksów dobrych praktyk i rekomendacji. Zawsze bowiem można mieć do czynienia z sytuacjami, które nie zostały dotąd uwzględnione, a mogą mieć znaczące skutki dla zapewnienia bezpieczeństwa danych osobowych.

Taka jest konstrukcja RODO, że cały ciężar decyzji o wyborze odpowiednich zabezpieczeń spoczywa na tym, kto przetwarza dane osobowe. Przy odpowiednim podejściu może to być jednak szansa na znalezienie rozwiązania dopasowanego dokładnie do potrzeb i specyfiki konkretnej firmy – jak również szansa dla integratorów na nowe kontrakty dzięki indywidualnemu traktowaniu każdego klienta i zaproponowaniu mu rozwiązań zgodnych z faktycznym zapotrzebowaniem, uwzględniających rzeczywiste uwarunkowania jego działalności oraz aktualne możliwości.

 

Trzy pytania do…
Michała Jobskiego, dyrektora ds. systemów korporacyjnych w Budimexie

Przed wejściem w życie RODO pojawiały się głosy, że zapewnienie zgodności z tym rozporządzeniem będzie wymagało rewolucyjnych zmian w podejściu do bezpieczeństwa informacji. Jak było w Państwa przypadku?

RODO rzeczywiście wprowadziło podejście bazujące na analizie ryzyka. Czy to była jednak rewolucja? Dla nas na pewno nie. Związane z tym wdrożenie wymagało od nas dużego wysiłku i zaangażowania, ale nie wiązało się z koniecznością dokonywania rewolucyjnych zmian. To była raczej reorganizacja w zakresie już funkcjonującego systemu zarządzania bezpieczeństwem informacji. Od lat stosujemy standardy ISO, które bazują właśnie na zarządzaniu ryzykiem, wymagają systematyczności i ciągłości działania. RODO zmieniło natomiast z pewnością postrzeganie wagi ochrony danych osobowych, zarówno wśród naszych pracowników, jak i w otoczeniu zewnętrznym. Wzrosła społeczna świadomość rangi działań ukierunkowanych na bezpieczeństwo informacji i ochronę prywatności.

Czy problemu nie stanowi przypadkiem rozbieżność celów między ochroną firmowych zasobów informacji a koniecznością zapewnienia bezpieczeństwa danych osób indywidualnych?

Chronimy informacje firmowe i dane osobowe w taki sam sposób. Tu nie ma żadnych różnic. W obu przypadkach są stosowane podobne rozwiązania, ich rozwój idzie w tym samym kierunku. Podstawą jest analiza ryzyka, która pokazuje, na jakie zagrożenia mogą być narażone poszczególne klasy czy rodzaje informacji. Trzeba tylko trochę inaczej zdefiniować kryteria analizy. W zależności od jej wyników dobieramy odpowiednie środki zabezpieczające. Z drugiej strony wzrost świadomości wśród ludzi przekłada się też na wzrost bezpieczeństwa całego przedsiębiorstwa. Staramy się uwrażliwiać naszych pracowników, że jeśli nie będą dbać o swoje dane, to będą stwarzać zagrożenie nie tylko dla siebie, ale także dla swoich kolegów, jak również dla kontrahentów oraz współpracowników firmy.

Co będzie miało kluczowe znaczenie dla zapewnienia zgodności z RODO w przyszłości?

Potrzebne jest przede wszystkim podejście systemowe oraz konieczność stałego uczenia się. Musimy obserwować trendy oraz sprawdzać skuteczność tego, co robimy. Cały czas analizujemy, jak zmienia się technologia, jakie pojawiają się zagrożenia, i dostosowujemy własne rozwiązania do zidentyfikowanych ryzyk. Obserwujemy również orzecznictwo i zmiany prawa, nie tylko u nas, ale także w innych krajach europejskich, bo przecież RODO jest rozporządzeniem unijnym. Potrzebna jest stała aktualizacja podejmowanych działań. Przy takim podejściu do RODO bardzo dobrze sprawdza się standard ISO. Na nim od wielu lat bazuje nasz system bezpieczeństwa informacji. Strategia budowania zgodności z RODO polegała na dostosowaniu systemu do nowych wymogów. Analiza ryzyka nie była dla nas niczym nowym i będzie nadal podstawą skutecznego działania w przyszłości.