W chwili ukazania się tego tekstu drukiem pozostanie jeszcze około trzech miesięcy na wdrożenie rozwiązań, które umożliwią spełnienie wymogów wynikających z unijnego rozporządzenia o ochronie danych osobowych (RODO). Termin upływa 25 maja br. W czasie pisania artykułu trudno było znaleźć firmę czy instytucję, która chciałaby się pochwalić zakończeniem prac przystosowawczych. Doradzający przy wdrożeniach konsultanci i prawnicy mówili wręcz, że nie znają jeszcze takiego przedsiębiorstwa, które byłoby w stu procentach przygotowane na wejście w życie nowych przepisów W wielu, szczególnie tych dużych, trwają zaawansowane prace wdrożeniowe, ale do finalnego audytu potrzeba jeszcze trochę czasu.

Na czym polegają największe trudności w implementacji nowych przepisów? Przede wszystkim, jak oceniają eksperci, wynikają one z ogólnego, „wysokopoziomowego” charakteru rozporządzenia. Przedsiębiorcy przyzwyczajeni do wskazywania w przepisach konkretnych wymagań mają kłopoty z przestawieniem się na podejście, które decyzje co do przyjętych rozwiązań pozostawia w gestii samych wdrażających. Wymaga się od nich jedynie, aby przeprowadzili analizę ryzyka i dostosowali swoje działania, w tym wybór odpowiednich narzędzi informatycznych, do skali oszacowanych zagrożeń.

Trudno też niejednokrotnie przekonać samych pracowników do zmiany podejścia do pracy z danymi. Często niełatwo jest im wytłumaczyć, że w gruncie rzeczy nie potrzebują dostępu do wszystkich danych, z którymi dotychczas mieli do czynienia, by mogli dalej efektywnie wykonywać swoje obowiązki.

Problemem dla wielu firm i instytucji okazuje się też uporządkowanie ich zasobów danych i informacji. Chodzi o to, żeby dokładnie było wiadomo, gdzie jakie dane są, w jakich procesach są wykorzystywane, kto, w jakim zakresie i w jakim celu ma do nich dostęp. Bez tej wiedzy nie może być mowy o spełnieniu wymogów RODO. 
Przydatne, szczególnie w przedsiębiorstwach dysponujących dużymi zbiorami danych, mogą okazać się narzędzia do zarządzania informacją. Nie wszędzie jednak kierownictwo firm jest skore do przeznaczenia środków na nowe systemy. Konsultanci zwracają też uwagę, że na rynku generalnie brakuje specjalistów od IT, którzy jednocześnie byliby dobrze zorientowani w zagadnieniach RODO i potrafili skutecznie doradzić w doborze odpowiednich rozwiązań technicznych. To może być szansa na biznes dla małych firm, które wyspecjalizują się w tej dziedzinie. 

 

Rekomendacje i certyfikaty

Pomocne w przygotowaniu do wymogów RODO mogą się okazać rozwiązania przewidziane w projekcie krajowej ustawy o ochronie danych osobowych. Jej zadaniem ma być wprowadzenie RODO do polskiego porządku prawnego i instytucjonalnego. Również firmy, które większość prac wdrożeniowych mają już za sobą, czekają z ostatecznym ogłoszeniem gotowości do momentu uchwalenia ustawy. Według zapowiedzi Ministerstwa Cyfryzacji projekt zostanie zatwierdzony przez rząd pod koniec marca. Potem będzie jeszcze głosował nad nim Sejm i Senat.

Przygotowany przez Ministerstwo Cyfryzacji projekt ustawy przewiduje m.in. opracowanie przez Prezesa Urzędu Ochrony Danych Osobowych rekomendacji dotyczących technicznych i organizacyjnych sposobów zabezpieczania danych. Stosowanie się do nich nie będzie jednak obligatoryjne. Będą stanowiły rodzaj wytycznych w sprawie wyboru rozwiązań stosowanych przez poszczególne firmy i instytucje. Lecz dla wielu przedsiębiorstw mogą być bardzo użyteczne jako punkt odniesienia wyznaczający kierunek działań w zakresie dostosowywania się do wymogów RODO.

Innym przydatnym rozwiązaniem mogą być kodeksy dobrych praktyk. Będą one miały charakter branżowy, a ich opracowaniem będą zajmowały się poszczególne środowiska lub organizacje branżowe. Według Komisji Europejskiej nie ma natomiast potrzeby tworzenia ich dla administracji publicznej, która z definicji działa na gruncie i w granicach prawa.
Stosowanie się do kodeksów nie będzie obowiązkowe. Poszczególne przedsiębiorstwa i instytucje będą samodzielnie decydować, czy i w jakim zakresie wykorzystać zaproponowane w nich rozwiązania. Przedstawiciele wielu sektorów już dzisiaj jednak przyznają, że ich pojawienie się jest bardzo oczekiwane, bo mogą wydatnie pomóc w procesach dostosowania firmy do nowych regulacji.

W niektórych środowiskach, np. w Polskiej Izbie Informatyki i Telekomunikacji, Związku Banków Polskich, już trwają prace nad przygotowaniem kodeksów dobrych praktyk. Z tym że oficjalnie będę mogły zacząć obowiązywać dopiero po wejściu w życie ustawy o ochronie danych osobowych. Do tego czasu regulator nie może ich zatwierdzić ani wprowadzić do obiegu.

Przewidziane jest również udzielanie certyfikatów. Nie wiadomo jednak jeszcze, czy będą one miały charakter podmiotowy czy przedmiotowy. Trwa dyskusja, czy certyfikacja powinna obejmować podmiot dostarczający rozwiązanie lub produkt bądź świadczący usługę, czy dotyczyć 
bezpośrednio samego produktu lub usługi, czy też może uwiarygadniać cały proces zapewnienia bezpieczeństwa danym osobowym.

Przesądzone jest już natomiast, że certyfikacji będzie mógł udzielać nie tylko Prezes Urzędu Ochrony Danych Osobowych. Certyfikować będą mogły również podmioty prywatne, które uzyskają akredytację Polskiego Centrum Akredytacji. Ministerstwo Cyfryzacji opowiada się za tym, aby kryteria certyfikacji miały charakter branżowy i były zróżnicowane dla poszczególnych rodzajów firm. Sam certyfikat byłby przyznawany na 3 lata.

 

Paweł Rybczyk

Business Developer CEE & Russia, Wallix

Wymogi wynikające z RODO znacząco wpływają na zakres praktyk w obszarze informatyki i cyberbezpieczeństwa. Zapewnienie poufności danych jest teraz częścią niemal każdej możliwej dziedziny IT. „Privacy by Design” rzutuje na sposób projektowania i opracowywania systemów. Prawo do usunięcia i przenoszenia danych zaowocuje pojawieniem się nowych procesów, które będą wymagać nowych funkcji zaprogramowanych w różnych systemach składujących dane osobowe w postaci rekordów, np. systemach zarządzania zasobami klienta (CRM). Przy czym zarządzanie uprzywilejowanymi użytkownikami to jedno z kluczowych działań umożliwiających płynne osiągnięcie zgodności z polityką RODO. Uprzywilejowany użytkownik ma pełny dostęp administracyjny do systemu IT i danych. Jest to osoba, która może dodawać, modyfikować lub usuwać na przykład wpisy w bazie klientów firmy. Jej uprawnienia dostępu muszą być ściśle kontrolowane i łatwo odwoływane, gdy nie są już potrzebne. Dodatkowo przestrzeganie zasady zachowania należytej staranności będzie wymuszać, aby odpowiednio monitorować i kontrolować taki dostęp.

 

Po wsparcie do GIODO…

Gdzie teraz mogą szukać pomocy ci, którzy nie są do końca pewni, jak powinien wyglądać proces wdrożenia RODO w ich przedsiębiorstwie? Trzeba bowiem pamiętać, że RODO jako unijne rozporządzenie, a nie dyrektywa, zacznie bezwzględnie obowiązywać 25 maja br. Bez względu na to, czy zostanie znowelizowana ustawa o ochronie danych osobowych czy nie. Z chwilą wejścia w życie nowych przepisów wszyscy będą musieli być gotowi do funkcjonowania zgodnie z nimi.

Warto więc wiedzieć, że w procesach wdrażania obowiązujących przepisów główną rolę odgrywa regulator. Obecnie w naszym kraju jest nim wciąż Generalny Inspektor Ochrony Danych Osobowych. Dopóki z mocy ustawy nie zastąpi go Prezes Urzędu Ochrony Danych Osobowych, to u niego należy szukać pomocy w sprawach związanych z implementacją RODO. Od niego firmy mogą oczekiwać wsparcia i wyjaśnień. Urząd Generalnego Inspektora Danych Osobowych podejmuje zresztą w tym zakresie różne działania. GIODO prowadzi akcję edukacyjną, organizuje konferencje, warsztaty, seminaria, przygotowuje szkolenia, a także wydaje poradniki, opracowuje wytyczne, opinie, wskazówki. Inicjatywy te mają charakter zarówno ogólny, jak i sektorowy.

Wśród opublikowanych materiałów warto m.in. zwrócić uwagę na poradniki: „Jak rozumieć podejście oparte na ryzyku?” i „Jak stosować podejście oparte na ryzyku?”. Udostępnione zostały także wskazówki dotyczące przeprowadzenia sprawdzianu gotowości firmy do stosowania postanowień RODO. Informacje o najważniejszych wymaganiach można znaleźć w poradniku „Czy jesteś gotowy na RODO?”. GIDO przedstawia też stanowisko w różnych kwestiach związanych z RODO, np. niedawno w sprawie ważności zgód na przetwarzanie danych osobowych.

Wskazówek dotyczących wdrożenia rozporządzenia można też szukać w wytycznych i opiniach Grupy Roboczej Art. 29. Skupia ona inspektorów ochrony danych osobowych z krajów członkowskich Unii Europejskiej. Jednym z ostatnich stanowisk tego zespołu są wytyczne w sprawie uzyskiwania zgody na przetwarzanie danych osobowych. Dopuszczają one zastąpienie regulaminu świadczenia usług okazywanego przed zawarciem umowy krótkimi komunikatami wyświetlanymi na smartfonie udostępnianymi klientowi w toku wykonywania umowy.

 

Sebastian Wąsik
Country Manager na Polskę, baramundi software

Zalecałbym ostrożność i krytyczne podejście do wyboru rozwiązań informatycznych. RODO obejmuje cały obszar zagadnień w wielu miejscach infrastruktury, a określone narzędzie może być wyspecjalizowane tylko w konkretnej dziedzinie. Istotna jest zatem identyfikacja najsłabszych punktów w firmowym ekosystemie i priorytetowe potraktowanie działań zmierzających do zapewnienia zgodności z rozporządzeniem właśnie w tych obszarach. Jednym z nich są miejsca, w których może dochodzić do wycieku newralgicznych danych lub uzyskania dostępu do infrastruktury przez osoby niepożądane. Źródła zagrożeń podzieliłbym na trzy kategorie. Pierwsza to sami ludzie – ich niedostateczna edukacja, popełniane błędy, niefrasobliwość. Druga – luki i podatności w systemach użytkowanych w firmie, szczególnie w oprogramowaniu. Trzecim źródłem jest sama infrastruktura teleinformatyczna. W praktyce występują one łącznie. W zapewnieniu kompleksowej ochrony pomocne może okazać się oprogramowanie wspomagające pracę administratorów IT.
 

 

…i do firm IT
Istniejąca sytuacja stwarza też okazję do wzmożonego działania dla firm z branży IT. Na rynku poszukiwane są wiedza i kompetencje, które umożliwią sprawne przeprowadzenie procesu implementacji rozwiązań, które zapewnią spełnienie wymogów unijnego rozporządzenia. Liczy się też doświadczenie biznesowe i techniczne z przeprowadzonych wdrożeń. Firmy, które miały już z takimi projektami do czynienia, na pewno mogą liczyć na duże zainteresowanie ze strony kolejnych potencjalnych klientów. Także te, które z powodzeniem wdrożyły rozwiązania i narzędzia IT pomagające wywiązać się z postanowień RODO. To może być szansa dla integratorów, którzy będą potrafili udowodnić swoją przydatność w tym obszarze, oferując m.in. specjalistyczne umiejętności i sprofilowane rozwiązania.

Wygrają z pewnością ci, którzy udowodnią użyteczność swoich produktów bądź usług w kontekście rozwiązania konkretnego problemu wynikającego z konieczności dostosowania się do nowych przepisów. Trudno już chyba bowiem liczyć na sprzedanie systemu promowanego jako uniwersalny sposób na zapewnienie firmie pełnej i całkowitej zgodności z wymogami RODO. To zbyt złożony problem.

 

Trzy pytania do… 
dr. Macieja Kaweckiego, dyrektora Departamentu Przetwarzania Danych w Ministerstwie Cyfryzacji

CRN Czy po uchwaleniu polskiej wersji ustawy można się spodziewać specjalnych wytycznych pod adresem IT?
Maciej Kawecki Nie, te kwestie określają bezpośrednio przepisy RODO. Będą natomiast wydawane rekomendacje zawierające wskazówki, jak zabezpieczać dane, również w odniesieniu do IT. Stosowanie się do nich nie będzie jednak obligatoryjne. Twórcą tych rekomendacji będzie prezes UODO.

CRN Jak będą wyglądać kontrole przestrzegania RODO?
Maciej Kawecki Organ kontrolny będzie bezpośrednio opierał się na przepisach RODO oraz przepisach krajowych. Będzie sprawdzał wywiązywanie się podmiotów z obowiązków nakładanych przez rozporządzenie. Kodeksy dobrych praktyk, rekomendacje czy certyfikaty będą natomiast traktowane fakultatywnie. Posiadanie certyfikatu lub wdrożenie kodeksu postępowania może być jednak potraktowane jako argument za obniżeniem kary w przypadku stwierdzenia nieprawidłowości.

CRN Co jeszcze może zachęcić do ubiegania się o certyfikat?
Maciej Kawecki Certyfikat będzie zwiększać wartość rynkową oferty. Jego posiadanie będzie można uwzględniać w zamówieniach publicznych jako atut oferenta. Wreszcie przedsiębiorca dzięki niemu może poprawić swój wizerunek, wyróżniając się na konkurencyjnym rynku.