Dostosowanie przedsiębiorstwa do wymogów RODO to nie jednorazowy projekt, lecz proces. W gruncie rzeczy to ciągłe, systematyczne działanie, które trzeba wpisać na stałe w podstawową działalność firmy czy instytucji. Nie ma też jednego uniwersalnego systemu IT, którego wdrożenie rozwiązałoby kompleksowo problem zgodności z RODO (musiałby być w zasadzie napisany w całości od nowa).

Z drugiej strony to właśnie informatyka dysponuje narzędziami, które mogą wydatnie pomóc w spełnieniu wymogów wynikających z rozporządzenia. Najważniejszym wyzwaniem staje się dobór odpowiednich rozwiązań. Muszą przede wszystkim zapewniać możliwość realizacji zidentyfikowanych w przedsiębiorstwie zadań i zaspokajać potrzeby wynikające z analizy skutków przetwarzania danych. A te dla każdej firmy mogą być inne.

Zastosowane rozwiązania powinny funkcjonować tak, aby gwarantować wywiązywanie się z obowiązków regulacyjnych na każdym etapie i we wszystkich obszarach funkcjonowania konkretnego przedsiębiorstwa. Bez względu na to, czy są to rozwiązania nowe, wdrożone na okoliczność dostosowania firmy do wymogów RODO, czy też tradycyjne, biznesowe systemy informatyczne wykorzystywane w przedsiębiorstwie od dawna. Wszystkie muszą działać zgodnie z zasadami określonymi w rozporządzeniu i tym samym umożliwiać całej firmie wywiązywanie się z nałożonych prawem zobowiązań.

Przed przystąpieniem do wyboru konkretnego narzędzia lub wdrożeniem nowej funkcji trzeba przede wszystkim zadać sobie pytanie: jakie cele i zadania w kontekście wymogów RODO ma określona firma realizować? I jaką rolę ma w tym do odegrania informatyka? Jakie systemy i w jaki sposób mogą pomóc klientowi w spełnieniu nowych obowiązków, a jakie i w jakim zakresie powinien do nowych wyzwań dostosować?

Co zrobić z kopią zapasową

Zgodnie z wymogami RODO system IT powinien zapewniać zdolność do usuwania danych osobowych na życzenie osoby, której one dotyczą (prawo do bycia zapomnianym). Tu pojawia się problem, który stawia pod znakiem zapytania przystawalność rozwiązań prawnych do możliwości technicznych. Nie usuniemy danych z kopii zapasowej, jeżeli ma ona rzeczywiście spełniać swoje funkcje. Musi być kompletna, żeby można było na jej podstawie przywrócić funkcjonowanie systemu. Jak sobie z tym poradzić, skoro RODO wymaga usunięcia danych ze wszystkich miejsc, również z kopii zapasowych?

Kwestia ta czeka jeszcze na właściwe rozwiązanie. Pojawiają się na przykład propozycje, by każdorazowo po uruchomieniu kopii bezpieczeństwa następowało obligatoryjne, automatyczne sprawdzanie,

czy nie zostały cofnięte zgody na przetwarzanie danych osobowych. Innym pomysłem jest zastosowanie cząstkowych backupów. Nikt na razie nie jest jednak w stanie powiedzieć, jak opisany problem zostanie rzeczywiście rozwiązany. Innym, mniej nagłośnionym, ale równie ważnym wyzwaniem okazuje się znalezienie sposobu na usuwanie danych osobowych z zasobów informacji nieustrukturyzowanych i kopii rozproszonych. To również będzie wymagało wypracowania odpowiednich rozwiązań systemowych.

 

Być może okaże się wtedy, że wcale nie trzeba kupować nowego oprogramowania, tylko wystarczy odpowiednio zmodyfikować już stosowane rozwiązania. Być może trzeba będzie przede wszystkim dostosować do nowych wyzwań procesy biznesowe, w których są przetwarzane dane osobowe, i usprawnić zarządzanie informacją. Wszystko zależy od konkretnej firmy, poziomu jej rozwoju organizacyjnego, zaawansowania technologicznego i uwarunkowań biznesowych.

– RODO nie jest wyzwaniem informatycznym, lecz zarządczym – zwraca uwagę Jarosław Włodarczyk, konsultant Value Tank.

To na kadrze zarządzającej, a nie dziale IT spoczywa obowiązek takiego zorganizowania działalności firmy, takiego przepływu informacji w procesach biznesowych, żeby ochrona danych osobowych nie utrudniała realizacji podstawowych zadań przedsiębiorstwa, a jednocześnie była rzeczywiście zapewniona. Jeżeli realizowany proces jest zgodny z prawem, to dostosowanie do niego systemu IT staje się rzeczą wtórną.

Warto przy tym pamiętać, że istotą nowego rozporządzenia nie jest samo zapewnienie bezpieczeństwa danych osobowych w firmowych zasobach. Przesłanką dla wprowadzenia nowych przepisów jest zagwarantowanie podstawowych praw obywateli poprzez skuteczną ochronę dotyczących ich danych. Bezpieczeństwo zasobów informacyjnych okazuje się sposobem osiągnięcia tego celu.

 

Klasyfikacja i agregacja

Proces wdrożenia wymogów RODO należałoby w gruncie rzeczy zacząć od inwentaryzacji zasobów informacyjnych. Żeby dobrze chronić dane osobowe, trzeba wiedzieć, jakie one faktycznie są i gdzie się dokładnie znajdują. Szczególnie w firmach, które korzystają z kilkuset różnych, często niezintegrowanych ze sobą systemów informatycznych, programów i baz danych, może to być nie lada wyzwanie. I tu pojawia się ważny obszar zastosowań IT. Narzędzia informatyczne mogą wspomóc klienta w identyfikacji danych osobowych i panowaniu nad ich właściwym wykorzystaniem.

Skutecznym sposobem poradzenia sobie z wymogiem zapewnienia podmiotowi danych prawa dostępu do wszystkich dotyczących go danych lub ich usunięcia (prawo do bycia zapomnianym) może być odpowiednie indeksowanie informacji w ramach systemów informatycznych i baz danych.

– Indeksowanie powinno być opracowane tak, aby było wiadomo, do jakich celów wykorzystywane są dane osobowe przetwarzane w systemach informatycznych. Gdy pojawi się wniosek o usunięcie danych, to system będzie musiał umożliwić zidentyfikowanie, które z nich i w jakich bazach są faktycznie do skasowania, a których wykorzystanie trzeba jedynie ograniczyć do wybranych procesów biznesowych – zwraca uwagę Sławomir Kowalski, adwokat w Kancelarii Maruta Wachta.

Dane osobowe powinny być zatem oznaczone w sposób umożliwiający ustalenie, do jakich procesów są wykorzystywane, a systemy informatyczne winny umożliwiać zarządzanie zakresem ich użycia w poszczególnych sytuacjach.

 

Obowiązek usunięcia danych na żądanie nie ma charakteru absolutnego. Z jednej strony dotyczy tylko sytuacji opisanych w rozporządzeniu, np. gdy przetwarzanie danych jest niezgodne z prawem. Z drugiej strony przewiduje wyjątki, m.in. w sytuacji gdy obowiązek przetwarzania wynika z przepisów lub przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Nie będzie zatem konieczności usunięcia danych wówczas, gdy zażąda tego dłużnik, od którego egzekwujemy należność, lub klient, któremu świadczymy usługę.

Duże znaczenie będzie miała też możliwość agregacji posiadanych danych. Przedsiębiorstwo powinno umieć zebrać i zintegrować w jednym miejscu wszystkie informacje o określonej osobie (tzw. podmiot danych). Muszą to być informacje ze wszystkich jego zasobów. Firma będzie zobowiązana do przekazania osobie, która sobie tego zażyczy, całego zestawu dotyczących jej danych. Na wniosek podmiotu danych, w przypadkach określonych w rozporządzeniu, firma będzie musiała też przekazać dane osobowe dostarczone przez wnioskodawcę innej, wskazanej przez niego firmie bądź instytucji. Uprawnienie to ma w założeniu na celu ułatwienie zmiany usługodawcy. W tym zakresie istotna będzie rola systemów informatycznych, które powinny wspierać, a nawet automatyzować proces raportowania na potrzeby realizacji uprawnień podmiotów danych.

 

Dostęp i korzystanie

Dane osobowe mogą być wykorzystane jedynie w takim zakresie i do takich celów, na jakie została udzielona zgoda. Do naruszenia dochodzi nie tylko wtedy, gdy dane wyciekną na zewnątrz firmy, lecz także wówczas, gdy dostęp do nich wewnątrz przedsiębiorstwa będzie miała nieuprawniona osoba lub zostaną użyte do przetwarzania w celu, na który nie było zgody.

Dla zapewnienia zgodności z RODO istotne jest więc szczegółowe określenie uprawnień dostępu do systemów informatycznych, baz danych czy wręcz poszczególnych rekordów.

– W systemie powinna być możliwość identyfikacji każdego jego użytkownika oraz określenia, z jakich danych i w jakim zakresie korzysta – tłumaczy Cyprian Gutkowski, specjalista ds. RODO w Fundacji Bezpieczna Cyberprzestrzeń.

Obszary wykorzystania IT pod kątem potrzeb wynikających z RODO

• analiza wyjściowa ryzyka i dobór odpowiednich rozwiązań,

• przegląd danych, identyfikacja zasobów i zasad ich użycia (gdzie są jakie dane i zgody na ich przetwarzanie),

• zarządzanie informacją: stały nadzór nad zgodnym z przeznaczeniem i wymogami RODO wykorzystaniem danych z różnych systemów (zarządzanie prawami dostępu do danych, przetwarzanie danych zgodnie z przeznaczeniem),

• mechanizmy zapewniające realizację praw obywateli (prawo do bycia zapomnianym, prawo do przenoszenia danych itp.),

• zapewnienie sprawnego i zgodnego z wymogami RODO funkcjonowania systemów biznesowych (ERP, CRM, BI itd.),

• cyberbezpieczeństwo: monitoring zagrożeń, zapewnienie ochrony danych i systemów do ich przetwarzania, zabezpieczenie przed utratą danych,

• reagowanie na incydenty, zapobieganie skutkom ataków i naruszeń.

 

Chodzi o to, aby dopuścić do korzystania z konkretnych zasobów danych tylko osoby do tego upoważnione i w sposób zgodny z wymogami prawa.

Osobom nieuprawnionym dostęp do ściśle określonych danych powinien być automatycznie blokowany. Inny zakres korzystania z informacji będzie miał dział księgowości, inny – dział marketingu czy sprzedaży, jeszcze inny – dział HR lub prawny. Wyzwaniem przy takim zróżnicowaniu praw dostępu pozostaje znowu zachowanie integralności danych, co stanowi wymóg RODO.

Monitorowanie sposobów korzystania z zasobów informacyjnych może mieć istotne znaczenie w przypadku naruszenia danych. Łatwo wtedy będzie sprawdzić, gdzie doszło do incydentu i kto zań odpowiada. Takie rozwiązanie umożliwi też zbieranie dowodów dla Urzędu Ochrony Danych Osobowych czy prokuratury. Mając odpowiednie narzędzia IT, firma będzie mogła na przykład udowodnić, że zachowała należytą staranność przy ochronie danych osobowych lub że naruszenie było nieumyślne.

To jeden z elementów wykorzystania IT również do wspierania pracy firmowego inspektora ochrony danych osobowych (IODO). Będące do jego dyspozycji systemy powinny mieć możliwość rozpoznawania i wykrywania naruszeń oraz automatycznego powiadamiania o nich. IODO powinien mieć też zapewnione rozwiązania pozwalające śledzić, co się dzieje z danymi w firmie. Udogodnieniem dla niego byłaby możliwość automatycznego sprawdzania powiązań między procesami, w których przetwarzane są dane osobowe – kto ma dostęp do jakich danych i kiedy.

 

Według zagrożeń i potrzeb

W przypadku RODO nie ma gotowego rozwiązania. Nie można kupić programu z pudełka i mieć problem z głowy. Co więcej, nie można sięgnąć do tekstu regulacji i przeczytać, jakie konkretnie rozwiązania są wymagane, bo ich tam nie ma. Jednocześnie za działania niezgodne z unijnym rozporządzeniem grożą wysokie kary. Co można więc w tej sytuacji zrobić?

Funkcje systemów IT istotne z perspektywy RODO

• Inwentaryzacja zasobów i lokalizacja danych

• Powiązanie procesów i danych (data governance)

• Zarządzanie informacją (klasyfikacja danych i zapewnienie ich integralności)

• Identyfikacja celów i zakresów przetwarzania danych (zarządzanie zgodami na przetwarzanie)

• Agregowanie, udostępnianie, przekazywanie i usuwanie danych (prawo do przenoszenia danych i do bycia zapomnianym)

• Szyfrowanie, anonimizacja, pseudonimizacja

• Zarządzanie prawami dostępu do danych

• Wykrywanie naruszeń i powiadamianie o nich

• Ochrona infrastruktury teleinformatycznej

• Ochrona zasobów informacyjnych (ochrona przed utratą danych)

• Ochrona urządzeń końcowych i mobilnych

 

– Formalnie najbardziej skuteczne jest podejście systemowe, np. na bazie wybranych mechanizmów zarządzania architekturą korporacyjną. Trzeba spojrzeć na potrzeby związane z RODO w kontekście funkcjonowania całej struktury informacyjnej firmy. Warto to potraktować też jako okazję do uporządkowania całego obszaru governance w przedsiębiorstwie, ukształtowania określonych postaw i zachowań kulturowych oraz organizacyjnych – mówi prof. Andrzej Sobczak, kierownik Zakładu Zarządzania Informatyką w Szkole Głównej Handlowej.

Jak jednak podkreśla, może się okazać, że w przypadku firm działających w Polsce przeważy pragmatyka, na zasadzie „RODO wdrażamy w formule projektowej, po najniższych możliwych kosztach”. Jego zdaniem niewykluczone, że będzie to kolejna stracona szansa na podniesienie poziomu dojrzałości organizacyjnej.

Dostosowanie przedsiębiorstwa do wymogów nowego rozporządzenia wymaga zapewnienia spójności jego środowiska biznesowego i informatycznego. Z tego potem wynikają zasady wykorzystania danych zgodnie z ich przeznaczeniem.

Firmy nie mają innego wyjścia, jak tylko dokonać rzetelnego przeglądu sytuacji i dobrać rozwiązania do własnych potrzeb i możliwości. Nie muszą od razu kupować najbardziej zaawansowanego, najdroższego oprogramowania, jeśli ich na to nie stać albo uznają, że nie jest im ono faktycznie potrzebne. Z drugiej strony nie mogą też nastawiać się na załatwienie sprawy jak najmniejszym kosztem, z góry zakładając przznaczenie na ten cel jedynie minimalnych środków i nakładów.

Jak przetwarzać w chmurze

Nie ma osobnych regulacji odnośnie do przetwarzania danych osobowych w chmurze. Przedsiębiorcy muszą więc bardzo rozważnie wybierać dostawcę usług chmurowych. Cały ciężar odpowiedzialności za skutki przetwarzania danych osobowych spoczywa bowiem na administratorze danych. Co nie zwalnia oczywiście tzw. procesora, czyli podmiotu, któremu powierzono dane do przetwarzania, z obowiązku zapewnienia ku temu odpowiednich warunków i środków. W interesie obu stron jest, by zostały one jak najdokładniej określone w umowie między administratorem a procesorem. Przetwarzający dane może też podlegać kontroli Urzędu Ochrony Danych Osobowych w zakresie spełniania wymogów nałożonych na niego przez rozporządzenie. Urząd może również na niego nałożyć kary za nieprzestrzeganie wymogów RODO. Pojawiają się obawy, czy mali dostawcy usług chmurowych będą w stanie ponieść koszty dostosowania swoich systemów i rozwiązań do poziomu wymaganego przez RODO.

 

Przy wyborze rozwiązań należy brać pod uwagę wyniki analizy ryzyka, dostępną technologię i koszty jej wdrożenia. Cały czas trzeba monitorować sytuację na rynku IT. Może się bowiem okazać, że cena optymalnego dla firmy systemu spadła na tyle, iż stał się on już dla niej osiągalny. Jeżeli nie zostanie wdrożony, to urząd ochrony danych osobowych może zakwestionować zastosowane zabezpieczenia. Firma będzie zmuszona w takiej sytuacji uzasadnić swoją decyzję rezygnacji z zakupu. Jeżeli zdoła przekonać organ nadzorczy, że zapewnia należyty, adekwatny do oszacowanego ryzyka poziom ochrony za pomocą innych, równie skutecznych środków, to nie zostanie ukarana. Jeżeli jednak nie będzie miała dostatecznie mocnych argumentów, to poniesie skutki swego zaniechania.

Trudno w przypadku RODO mówić o standardowych, ujednoliconych rozwiązaniach. Chociaż oczywiście do spełnienia wymogów rozporządzenia można użyć wielu standardowych, powszechnie dostępnych narzędzi IT.  Nie ma ustalonych przez ustawodawcę poziomów zabezpieczeń – decyzje w tej sprawie znajdują się w gestii każdego podmiotu przetwarzającego dane. Dlatego tym bardziej musi on zachować należytą staranność przy wyborze odpowiednich rozwiązań.

Podobna sytuacja ma miejsce w przypadku zabezpieczeń fizycznych każdej własności. To zarząd fabryki lub właściciel terenu decyduje, czy wystarczy postawić tylko tablice ostrzegawcze ewentualnie drewniany lub metalowy płot, czy też może zbudować betonowy mur, postawić kamery monitoringu albo nawet jeszcze zatrudnić strażników. Różnica polega na tym, że zazwyczaj działa na własne ryzyko i odpowiedzialność, a gdy mowa o ochronie danych osobowych, podlega kontroli organu nadzoru, przed którym będzie musiał wytłumaczyć się ze swoich decyzji i wyborów. W jednym i drugim wypadku nie jest zwolniony z odpowiedzialności za skutki swojej decyzji.

 

Wiele szans i możliwości

Co taka sytuacja oznacza dla integratorów i resellerów? Przede wszystkim wyzwanie związane ze znalezieniem odpowiedniego pola do działania. Wielorakość potencjalnych modeli wdrożenia wymogów RODO, mnogość i rozległość obszarów dostosowania IT do potrzeb nowych regulacji zapewnia wiele nowych możliwości działania i okazji do zarobku. Mogą się one pojawić w wielu różnych miejscach, dziedzinach i okolicznościach.

Od dobrego rozeznania potrzeb klientów w tych poszczególnych obszarach i zdobycia związanych z nimi kompetencji będzie zależała ostatecznie szansa na rynkowy sukces.