Ubiegłoroczne, intensywne prace, które miały na celu dostosowanie się do wymogów RODO, nie zakończyły procesu inwestowania w rozwiązania służące do ochrony danych osobowych. Wręcz przeciwnie. Idea unijnej regulacji zakłada bowiem stałe monitorowanie sytuacji i ciągłe dostosowywanie środków zabezpieczających przed nowymi zagrożeniami. Jak podkreśla Urząd Ochrony Danych Osobowych: „zapewnianie zgodności z RODO to proces ciągły, a nie jednorazowe działanie”.

Z oczywistych jednak względów obecnie wokół RODO nie jest już tak głośno jak w ubiegłym roku. Można odnieść wrażenie, że przedsiębiorcy uznali, iż zrobili już wszystko, co było konieczne. W rzeczywistości sprawa nie jest zamknięta. Liczba skarg do UODO pokazuje, że nie wszystkim udało się – przy pierwszym podejściu – sprostać wyzwaniom wynikającym z rozporządzenia i część procedur oraz systemów będzie zapewne wymagała poprawy.

Do stycznia 2019 r. nadeszło ponad 3 tys. zgłoszeń dotyczących nieprawidłowego przetwarzania danych osobowych. Urząd rozpoczął szereg kontroli w celu wyjaśnienia zgłaszanych problemów. Zdaniem ekspertów z ODO 24 do najczęściej popełnianych błędów należą: niewłaściwa analiza ryzyka, nieumiejętność dostosowania do niego rozwiązań informatycznych oraz brak weryfikacji partnerów zewnętrznych.

Gdzie ten zarobek?

Czy na wdrożeniach związanych z dostosowaniem się do wymogów RODO można więc będzie jeszcze zarobić? Teoretycznie tak, gdyż ubiegłoroczne działania powinny stanowić jedynie pierwszą fazę stałego procesu zapewniania zgodności z RODO. W konsekwencji powinno to rodzić zapotrzebowanie na utrzymanie bądź rozwój już istniejących rozwiązań lub sprzyjać nowym wdrożeniom.

Skąd więc ta cisza? A może to cisza przed burzą? W środowiskach prawniczych i informatycznych dosyć powszechne jest przekonanie o wyczekiwaniu przez wszystkich na pierwsze wysokie kary nałożone przez prezesa Urzędu Ochrony Danych Osobowych. Jeśli będą dotkliwe, mogą dać impuls do podjęcia dalszych działań dostosowawczych. Takie kary posypały się już w wielu krajach Unii Europejskiej. U nas też już zostały zapowiedziane…

Administratorzy danych osobowych czekają też zapewne na ogłoszenie wyników pierwszych kontroli. Mogą one zawierać ważne wskazówki odnośnie do tego, co należy poprawić, na co trzeba zwrócić uwagę, jakie rozwiązania zostały uznane za pożądane, a jakie się nie sprawdziły. Przy czym kontrole nie muszą się od razu kończyć nałożeniem kar. Początkowo lepszym rozwiązaniem wydaje się nakaz doprowadzenia do stanu zgodnego z wymogami rozporządzenia.

Przed podjęciem kolejnych działań może powstrzymywać przedsiębiorców oczekiwanie na zatwierdzenie przez prezesa UODO branżowych kodeksów postępowania. Od listopada ubiegłego roku na akceptację czeka na przykład kodeks dla sektora ochrony zdrowia. Na ukończeniu są prace nad ustawą o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, dostosowującą przepisy krajowe do wymogów RODO. Wprowadzi ona modyfikacje dotyczące różnych przepisów sektorowych, na przykład prawa pracy czy prawa bankowego (w chwili oddawania artykułu do druku ustawa czekała na zatwierdzenie przez Senat i podpis prezydenta RP).

 

Zrobić jak najwięcej

Z pewnością wiele firm wdrożyło rozwiązania, które umożliwiają im zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych przez dłuższy czas. Z dalszymi decyzjami będą czekać do momentu wyjaśnienia się, jak zastosowane narzędzia i systemy będą się sprawdzać w praktyce, jak zadziała to, co zostało zaimplementowane w pierwszej fazie wprowadzania w życie nowych przepisów.

Wielu naszych klientów robiło możliwie jak najwięcej, żeby móc wykazać, że w sposób wszechstronny i wyczerpujący dostosowali się do wymogów RODO – zapewnia Szymon Dudek, dyrektor Działu Oprogramowania i pełnomocnik zarządu w Infonet Projekt.

Stąd zapewne w dużej mierze zainteresowanie dalszymi działaniami w tym obszarze jest obecnie mniejsze niż przed majem 2018 r. Przy czym wiele firm zdecydowało się wręcz na nadmiarowe rozwiązania. Takie podejście zdaniem Szymona Dudka wynikało z chłodnej kalkulacji. Szczególnie w przypadku przedsiębiorstw obsługujących tysiące klientów indywidualnych po analizie ryzyka dochodzono do wniosku, że należy dołożyć wszelkich starań, aby jak najlepiej zabezpieczyć dane i tym samym uchronić się przed roszczeniami ze strony konsumentów. Co nie znaczy, że w przyszłości nie będą potrzebne aktualizacje czy dokładanie kolejnych, szczegółowych rozwiązań. Najważniejsze obszary już jednak zostały w takich przypadkach zagospodarowane.

Jednym z najważniejszych zadań w ubiegłorocznej fazie dostosowywania się do wymogów RODO było porządkowanie przez firmy procesów dostępu do danych osobowych oraz ich automatyzowanie. Zaobserwować można było również zwiększone zapotrzebowanie na szeroko rozumiane systemy bezpieczeństwa chroniące przed wyciekiem danych.

Jak mówi Szymon Dudek, podejmowane w związku z RODO działania stawały się czasem również impulsem do kolejnych, nieplanowanych wcześniej prac i wdrożeń. Na przykład po zainstalowaniu oprogramowania okazywało się, że dobrze by było jeszcze dołożyć bezpieczny storage.

 

Standardowa aktualizacja

W innej sytuacji były firmy korzystające z narzędzi informatycznych w modelu usługowym, na przykład z programów finansowo-księgowych. O dostosowanie ich do wymogów RODO zadbał wtedy dostawca. Klient nie musiał podejmować w tej materii żadnych kroków. Jego zadaniem było ewentualnie pobranie aktualizacji. Taka sytuacja dotyczyła zazwyczaj firm z sektora MŚP.

Standardowo dokonujemy aktualizacji oprogramowania, gdy pojawią się nowe przepisy. RODO nie było w tym względzie żadnym wyjątkiem – mówi Adrian Byrdziak, specjalista ds. serwisu w Nawratroniku. Zwrócił przy tym uwagę na fakt, że dużo działań związanych z zabezpieczeniem danych zostało podjętych wcześniej.

Ponieważ w programach finansowo-księgowych przetwarzanych jest wiele newralgicznych danych, kwestie bezpieczeństwa muszą być w nich uwzględniane od samego początku. Dotychczasowe działania producenta oprogramowania okazywały się więc zazwyczaj wystarczające również w kontekście RODO. Jak zauważa Adrian Byrdziak, w przypadku oferowanego przez jego firmę rozwiązania potrzebne było wprowadzenie jedynie niewielkich dodatków, na przykład zabezpieczenia listy obecności, która wcześniej nie była objęta taką ochroną.

Oczywiście zabezpieczenie dostępu do danych na komputerach w przedsiębiorstwie korzystającym z oprogramowania leży po stronie klienta. To jednak w dużej mierze działania ze sfery organizacyjnej, a nie technologicznej.

Kto do kontroli?

Zgodnie z planem zatwierdzonym przez prezesa UODO w 2019 r. kontrolerzy będą sprawdzać przeważnie placówki z sektora publicznego. Przykładowo zweryfikują udostępnianie danych osobowych w Biuletynie Informacji Publicznej lub funkcjonowanie systemu identyfikacji i monitoringu odpadów. Przyjrzą się też środkom ochrony danych osobowych w Policji, Straży Granicznej i aresztach śledczych. W placówkach ochrony zdrowia sprawdzą z kolei sposoby przetwarzania danych w związku z udostępnianiem dokumentacji medycznej. Szczególnej kontroli zostanie poddane wykorzystanie systemów monitoringu wizyjnego, zarówno miejskich, jak i stosowanych w placówkach oświatowych. W sektorze prywatnym UODO zajmie się sprawdzeniem przestrzegania ochrony danych osobowych w telemarketingu, u brokerów danych oraz w zakresie profilowania w bankach i firmach ubezpieczeniowych.

 

Dobry czas dla integratorów

Większość przedsiębiorców, którzy przetwarzają dane osobowe, zdaje sobie sprawę, że ich wydatki związane z przestrzeganiem przepisów RODO nie skończyły się z datą 25 maja 2018 r. Wiedzą, że w bliższej czy dalszej perspektywie będą musieli ponieść dodatkowe koszty na utrzymanie oraz dostosowanie już wdrożonych rozwiązań do aktualnych wymagań i ryzyka.

Z badania przeprowadzonego przez Deloitte wynika, iż tylko 15 proc. firm z Unii Europejskiej uważa, że ich dotychczasowe wydatki związane z RODO są wystarczające. Zdecydowana większość jest zdania, że potrzebne będą kolejne nakłady na utrzymanie wprowadzonych rozwiązań. Prawie wszyscy (92 proc.) uważają, że są w stanie na dłużej sprostać wymogom RODO, ale muszą się tym zająć już teraz.

W opinii Roberta Kozłowskiego, COO w Roob-Soft, wprowadzone przez RODO zmiany w sposobie podejścia do bezpieczeństwa danych zmuszają do weryfikacji metod działania również integratorów.

Nie wystarczy już, by firma miała dobry produkt i potrafiła wykazać jego użyteczność dla klienta. Będzie musiała także zapewnić zgodność przetwarzania danych z wymogami RODO – podkreśla Robert Kozłowski.

Otwarty charakter unijnej regulacji ma sprzyjać poszukiwaniu przez klientów wyspecjalizowanych, znających i dobrze rozumiejących obowiązujące zasady ochrony danych osobowych partnerów po stronie IT. Świadczyć o tym może chociażby przebieg procesu wdrażania wymogów RODO w ubiegłym roku. W związku z chaosem interpretacyjnym wiele firm zaczęło poszukiwać zintegrowanych, specjalistycznych rozwiązań. To dobra wiadomość dla integratorów, którzy chcieliby się stać ekspertami w tej dziedzinie. Ci, którzy będą potrafili skorzystać z szansy, mogą liczyć na sukces. Zakres niezbędnych działań – od analizy posiadanych zasobów przez organizację procesów po wdrożenie bądź modernizację programu informatycznego – przerasta możliwości niejednej firmy czy instytucji.