Rozporządzenie ogólne o ochronie danych osobowych (RODO) bazuje na nowym podejściu do ochrony tychże, gdyż wprowadza całkowicie nowe zasady ich wykorzystania i zapewnienia im bezpieczeństwa. Dostosowanie się do nich będzie wymagało m.in. zmian w funkcjonowaniu systemów informatycznych używanych do przetwarzania danych. Otwiera to przed branżą IT nowe możliwości działania, stawiając przed nią jednocześnie nowe wyzwania. W rozporządzeniu próżno bowiem szukać konkretnych, jednoznacznych wskazań dotyczących zgodnego z prawem kształtu wdrażanych rozwiązań.

Istotą regulacji, zwanej też z angielska General Data Protection Regulation (GDPR), jest brak szczegółowych wytycznych na temat niezbędnych sposobów ochrony przetwarzanych danych, w tym również używanych do tego celu narzędzi IT. Każdy podmiot przetwarzający dane osobowe będzie musiał dokonać samodzielnej oceny ryzyka naruszenia praw i wolności osób w kontekście przetwarzania dotyczących ich danych. Zastosowane do ochrony danych środki, w tym rozwiązania IT, mają być adekwatne do oszacowanego poziomu ryzyka. Każdy administrator danych osobowych będzie musiał sam podjąć decyzję o wyborze odpowiednich narzędzi.

 

Co może konsument

Podstawą skutecznej kontroli nad danymi mają być nowe prawa przyznane osobom, których dane będą przetwarzane. RODO przede wszystkim gwarantuje każdemu prawo do bycia informowanym o tym, w jaki sposób i do jakich celów są wykorzystywane jego dane osobowe. A mogą być użyte tylko w takim zakresie, na jaki każdy udzielił zgody. Przedsiębiorcy będą mogli przetwarzać dane jedynie w celach, do których zostali bardzo wyraźnie upoważnieni.

Co to jest RODO?

W maju 2018 r. wejdzie w życie unijne rozporządzenie o ochronie danych osobowych (GDPR – General Data Protection Regulation; po polsku: Rozporządzenie ogólne o ochronie danych osobowych – RODO). Zastąpi obowiązującą obecnie dyrektywę z 1995 r. Celem rozporządzenia jest ujednolicenie przepisów na terenie całej Unii Europejskiej, dostosowanie ich do aktualnych uwarunkowań biznesowych i technologicznych oraz zapewnienie większej kontroli nad danymi indywidualnym osobom.

 

Wszystkim będzie też przysługiwało prawo „do bycia zapomnianym”, czyli wykreślenia swoich danych z wszystkich systemów i rejestrów podmiotu przetwarzającego dane osobowe. Administrator będzie miał obowiązek spełnić takie żądanie w trybie natychmiastowym. Towarzyszy temu prawo dostępu do swoich danych oraz możliwość ich sprostowania czy modyfikacji. W dowolnym momencie klient dowolnej firmy będzie mógł zgłosić sprzeciw wobec przetwarzania przez nią dotyczących go danych w wybranym zakresie. Ciekawą nowością jest prawo do przenoszenia danych (data portability). Konsument będzie mógł zabrać swoje dane z jednego miejsca i przenieść je do innego administratora, np. z jednego serwisu internetowego do drugiego.

Szczególne znaczenie będzie miała w obecnych warunkach możliwość niewyrażenia zgody na stosowanie danych osobowych do procesów podejmowania decyzji w sposób zautomatyzowany, na przykład o udzielenie kredytu na podstawie wykonanej przez algorytm analizy ryzyka. Chodzi m.in. o sprzeciw wobec profilowania, gdy może ono powodować konsekwencje prawne lub przynosić skutki o istotnym znaczeniu dla jednostki.

 

Co powinien przedsiębiorca

Obowiązkiem każdego, kto przetwarza dane osobowe, będzie przede wszystkim dokonanie oceny ryzyka naruszenia dóbr, praw i wolności osób, o których posiada informacje. Wszyscy, którzy przetwarzają dane w sposób automatyczny, będą musieli przeprowadzić sformalizowaną analizę skutków tych działań (DataProtection Impact Assesment – DPIA) i udokumentować jej wyniki. Chodzi o to, aby oszacować, na jakie szkody i niepożądane konsekwencje mogą zostać narażone osoby, gdy ich dane dostaną się w niepowołane ręce lub będą poddane obróbce niezgodnie z prawem. Od wyników wspomnianej analizy będzie zależał dobór odpowiednich metod i środków przetwarzania danych, w tym również systemów IT. Powinny one zapewniać minimalizację ryzyka i zapobiegać potencjalnym szkodom, jakich mogliby doznać konsumenci.

Ocena ryzyka powinna być stale aktualizowana i dostosowywana do zmieniającej się sytuacji oraz uwarunkowań – czy to technologicznych, czy biznesowych, bądź rynkowych. Firma, która przetwarza dane osobowe w niewielkim zakresie i tylko przy okazji swojej podstawowej działalności, będzie mogła zastosować inne środki ochrony niż przedsiębiorstwo opierające swój biznes na pozyskiwaniu i wykorzystywaniu danych osobowych.

Dotkliwe kary

Za niestosowanie się do wymogów RODO przewidziane są wysokie kary pieniężne. Będą one, w zależności od rodzaju i stopnia przewinienia, wynosiły do 20 mln euro lub 4 proc. rocznego obrotu firmy w skali globalnej. W praktyce ma być stosowany ten wariant naliczania, który będzie bardziej dotkliwy dla przedsiębiorstwa. Kary mają być dobierane indywidualnie, proporcjonalnie do zaistniałych uchybień, a jednocześnie powinny być skuteczne i odstraszające.

 

Do właściwej oceny ryzyka niezbędna będzie wiedza na temat faktycznego zasobu danych będących w dyspozycji administratora oraz procesów, w ramach których są one przetwarzane. Dlatego też zaleca się, aby na początku przedsiębiorca przede wszystkim dokonał inwentaryzacji i skatalogował wszystkie dane osobowe (jakiego rodzaju są to dane, do jakich celów wykorzystywane, gdzie zlokalizowane, w jakich systemach i w jaki sposób przetwarzane). Taka wiedza będzie potrzebna, by zapewnić skuteczną realizację praw konsumentów.

Konieczne  stanie się też sprawdzenie istniejących rozwiązań, narzędzi, systemów i procedur. Weryfikacji będą musiały zostać poddane wszystkie obszary, w których następuje przetwarzanie danych osobowych: od IT przez marketing, zakupy, sprzedaż i obsługę klientów po HR.

Przedsiębiorcy powinni też sprawdzić, czy rzeczywiście mają wszystkie niezbędne zgody na przetwarzanie danych osobowych we wszystkich zakresach, w jakich to robią. Jeśli nie, to muszą je uzupełnić. W przypadku skargi ze strony konsumenta, po stronie przetwarzającego dane będzie leżało udowodnienie, że określone zgody zostały mu faktycznie udzielone.

Nowe przepisy wprowadzają rozszerzoną klauzulę zgody na przetwarzanie danych osobowych. W związku z tym administratorzy danych będą musieli wprowadzić zupełnie nowe formularze. Zgoda na przetwarzanie danych nie będzie potrzebna w sytuacjach, gdy dane te są niezbędne do wywiązania się z umowy, na przykład świadczenia usług.

Zniesiony został obowiązek rejestrowania zbiorów danych osobowych. W to miejsce pojawił się obowiązek ich dokumentowania. Z uwagi na konieczność samodzielnej oceny ryzyka związanego z przetwarzaniem danych i doboru adekwatnych do niego środków ochrony przedsiębiorcy w swoim dobrze pojętym interesie powinni prowadzić dokumentację potwierdzającą spełnienie wymagań RODO. W przypadku kontroli firma przetwarzająca dane będzie musiała wykazać, że robi to zgodnie z prawem.

Co ważne, wprowadzony został obowiązek informowania o każdym incydencie dotyczącym naruszenia bezpieczeństwa danych osobowych. O takim zdarzeniu administrator danych będzie musiał powiadomić zarówno organ nadzorujący (jaka instytucja będzie pełniła w Polsce taką funkcję, zostanie określone w ustawie przygotowywanej przez Ministerstwo Cyfryzacji), jak i osoby, których dane zostały zagrożone. Podmiot przetwarzający dane ma na przekazanie tej informacji 72 godziny.

Kto na tym zarobi

Sukces na rynku odniosą ci, którzy będą potrafili zaoferować firmom rozwiązania trafiające w ich konkretne potrzeby. Będzie to wymagało umiejętności pogodzenia w oferowanych produktach specyficznych potrzeb poszczególnych użytkowników z ogólnymi wymogami i obowiązkami wynikającymi z nowych regulacji.

Na wdrożeniach zarobią ci dostawcy IT, którzy przedstawią firmom narzędzia faktycznie rozwiązujące ich problemy wynikające z potrzeby dostosowania się do wymogów GDPR. Gros wyzwań związanych ze spełnieniem wymagań RODO będzie dotyczyło sfery zarządzania danymi i ich przetwarzania.

 

Jak ma funkcjonować IT

Podstawowym wymogiem wobec systemów informatycznych wykorzystywanych do przetwarzania danych osobowych jest zachowanie zasady privacy by design. Chodzi o to, aby mechanizmy ochrony danych osobowych były wpisane w istotę funkcjonowania systemu już w momencie jego projektowania. Wszystkie procesy i narzędzia przetwarzania danych będą musiały być projektowane lub modyfikowane tak, aby zapewnić spełnienie wymagań GDPR. Ochrona danych osobowych musi być integralną funkcją systemów informatycznych.

Niezbędnym warunkiem funkcjonowania systemów przetwarzania danych osobowych jest również zachowanie zasady privacy by default. Chodzi tu o minimalizację zakresu zbierania danych osobowych, a więc ograniczenia ich do minimum niezbędnego dla realizacji konkretnego celu. Od strony technicznej polega to m.in. na tym, żeby, co do zasady, wszystkie opcje zaznaczenia zgody na przetwarzanie danych zostały wyłączone. Zgodnie z nowymi przepisami dane mają być chronione w sposób domyślny. Jedynie ci, których one dotyczą, mogą sami dokonywać wyboru zakresu i celu przetwarzania.

Istotnym wyzwaniem dla specjalistów IT będzie zapewnienie skutecznego egzekwowania praw osób, które są właścicielami danych osobowych. W szczególności chodzi o respektowanie prawa do bycia zapomnianym oraz prawa do przenoszenia danych. W przypadku żądania usunięcia danych osobowych muszą one zniknąć ze wszystkich systemów, w których się znajdują czy w których były przetwarzane. Administrator musi mieć narzędzia, które mu to umożliwią, bez względu na to, czy systemy do przetwarzania znajdują się w wewnętrznym centrum danych czy w chmurze.

Wspomniane narzędzia mogą okazać się też przydatne w razie potrzeby udowodnienia, że dane są wykorzystywane tylko w celach, do których zostały pobrane, zgodnie z ich przeznaczeniem i udzieloną zgodą. Mechanizmy monitorujące proces przetwarzania danych pozwolą automatycznie wychwytywać pojawiające się nieprawidłowości i alarmować w przypadkach wykrycia działań niezgodnych z wymogami prawa lub naruszających bezpieczeństwo przetwarzanych danych. Dla zapewnienia bezpieczeństwa danych osobowych zalecane jest m.in. stosowanie metod ich anonimizacji.

Systemy informatyczne powinny też w prosty sposób umożliwiać konsumentom przenoszenie danych. Sugestie europejskich inspektorów ochrony danych osobowych są takie, by mogło się to odbyć niemalże automatycznie, jednym kliknięciem. Rozwiązaniem możliwym do zastosowania jest umieszczenie na stronie internetowej przycisku przewidzianego do tego właśnie zadania.

W kolejnym wydaniu CRN Polska opublikujemy zapis debaty na temat wyzwań technologicznych związanych z nowym prawodawstwem.