GDPR będzie mieć ogromny wpływ na biznes. Realizowane projekty pokazują, że wyzwania związane z wdrażaniem wymogów unijnej regulacji są naprawdę poważne. Na dodatek bardzo trudno oszacować faktyczną skalę potrzebnych działań. Największy problem polega na tym, że nadal istnieje wiele niejasności i problemów interpretacyjnych. Sprawiają one, że pomimo podejmowanych wysiłków nie ma pewności, czy uda się spełnić wymogi rozporządzenia. Mimo wszystko trzeba działać. A do tego szybko!

„GDPR to o wiele większe przedsięwzięcie, niż początkowo myśleliśmy. W większości realizowanych projektów jesteśmy na etapie rekomendacji lub analizy. Nie dotykamy jeszcze bezpośrednio systemów, a to właśnie w tym obszarze można spodziewać się największych trudności” – stwierdził mecenas Marcin Maruta z Kancelarii Prawnej Maruta Wachta podczas zorganizowanego przez Oracle seminarium „Zgodność z GDPR – przyspieszajmy!”.

Doświadczenia Kancelarii Maruta Wachta, zdobyte przy prowadzeniu kilkunastu projektów GDPR dla dużych firm, pokazują, że zagadnienie jest wyjątkowo skomplikowane. Praktycznie żadna organizacja nie posiada precyzyjnej wiedzy, w których procesach biznesowych wykorzystywane są dane osobowe. Tymczasem w dużych organizacjach procesy te liczy się w setkach. Nawet kiedy już zostanie przeprowadzona analiza i dokonana inwentaryzacja, dużą trudność sprawia przełożenie otrzymanych wyników na aspekty prawne.

Praktycznie żadna organizacja nie posiada precyzyjnej wiedzy o tym, w których procesach biznesowych wykorzystywane są dane osobowe. W dużych organizacjach procesy te liczy się w setkach.

„Największym problemem jest niepewność co do tego, czy wypracowane rozwiązania są w pełni zgodne z GDPR. Ostateczne rozstrzygnięcia będą zapadać w sądach” – mówi Marcin Maruta. Zwraca uwagę na zagadnienie kopii zapasowych, w których przechowywane są dane. Z pewnością mamy tu do czynienia z przetwarzaniem danych. Zgodności z regulacjami nie zapewnia jednak w tym przypadku ani szyfrowanie, ani pseudonimizacja. Wydaje się, że jest to tzw. uzasadnione użycie, ale nie ma co do tego pewności.

Trzeba też pamiętać, że projekty GDPR nie zakończą się w maju 2018 r. Ochrona danych osobowych w modelu opartym na ocenie ryzyka to proces ciągły. Na dodatek w najbliższych kilku miesiącach mogą jeszcze pojawić się jakieś istotne zmiany, które wpłyną na kształt projektów. Ze względu na to, że czasu jest niewiele, a projekt złożony i nie do końca określony, idealnie może sprawdzić się podejście typu agile.

Potrzebna współpraca i determinacja

Powodzenie projektów GDPR będzie, zdaniem Marcina Maruty, w dużej mierze zależne od umiejętności komunikacji i współpracy zarówno wewnątrz organizacji, jak i pomiędzy klientem a doradcą. Biznes nie jest w stanie zaakceptować, że nie można czegoś zrealizować ze względu na trudności wynikające z konieczności ochrony danych osobowych. Dlatego niezwykle istotny jest dobór odpowiedniej strategii komunikacyjnej i właściwych słów.

W dużej organizacji zespół, który będzie w stanie skutecznie zająć się projektem GDPR, musi składać się z osób zajmujących się wyłącznie tym tematem. Ilu? W naszym kraju może to być nawet 20 osób. Muszą to być ludzie posiadający odpowiednie umiejętności i zdeterminowani do działania, gotowi do intensywnej pracy, zmierzenia się ze stresem i z frustracją oraz zdolni do współpracy z firmami doradczymi.

Trzeba pamiętać, że projekty GDPR nie zakończą się w maju 2018 roku. Ochrona danych osobowych w modelu opartym na ocenie ryzyka to proces ciągły.

Na dodatkowe wyzwania dla specjalistów od ochrony informacji i danych osobowych zwraca uwagę dr Maciej Kawecki, zastępca dyrektora Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji i zarazem koordynator krajowej reformy ochrony danych osobowych. „Kończy się era prawników i informatyków specjalizujących się w ochronie danych osobowych oraz bezpieczeństwie informacji. Zaczyna się era ludzi, którzy łączą analitykę i prawo oraz prawo i aspekty techniczne. Obecnie prawnikom potrzebne są większe umiejętności analityczne, a analityków warto wysyłać na szkolenia z zakresu prawa. Podobnie ma się sprawa w przypadku informatyków, którym przydałyby się zarówno większe umiejętności analityczne, jak i wiedza prawna” – uważa Maciej Kawecki.

Po pierwsze, bezpieczeństwo

Każda organizacja musi ocenić własne ryzyka i odpowiednio do nich dobrać zabezpieczenia. W większości firm prawdopodobnie okaże się, że wystarczą gotowe normy bezpieczeństwa. W takich przypadkach będą zapewne sprawdzać się standardowe oferty dużych dostawców technologii informatycznych. Często jednak trzeba będzie też szukać rozwiązań dopasowanych do konkretnych warunków.

Ochrona danych wymaga przede wszystkim zrozumienia, gdzie one się znajdują i z jakim ryzykiem w przypadku ich przetwarzania mamy do czynienia. „W wielu firmach nadal brakuje podstawowych zabezpieczeń albo popełniane są proste błędy. Wynika to z faktu, że tempo zachodzących zmian jest tak duże, iż pojedyncze osoby nie są w stanie za nimi nadążyć. Trudno jednak zapewnić zgodność z GDPR, jeśli nie są stosowane podstawowe zasady bezpieczeństwa. Wszystko, co poprawia bezpieczeństwo, usprawnia IT, przynosi korzyści także w kontekście GDPR” – podkreśla Alessandro Vallega z Oracle Business Development GDPR EMEA.

W dużej organizacji zespół zdolny do skutecznej realizacji projektu GDPR  musi składać się z osób zajmujących się wyłącznie tym tematem.

W inwentaryzacji zasobów, systemów i procesów pomocne mogą okazać się odpowiednio dobrane i umiejętnie wykorzystane narzędzia informatyczne. Ułatwiają zdobycie wiedzy o tym, gdzie znajdują się dane osobowe. Automatyzacja prac pozwoli też na znacznie przyspieszenie projektów GDPR.

 Teoria w praktyce

Odpowiednie podejście do implementacji wymogów unijnego rozporządzenia jest niezwykle istotne z uwagi na wysoki poziom złożoności projektów realizowanych w dużych firmach. „Mieliśmy już do czynienia z wieloma projektami regulacyjnymi, ale GDPR nie przestaje nas zaskakiwać. Mamy 200 systemów, w których kolekcjonowane są dane. Projekt musi ogarnąć całe to spektrum, dlatego dzielimy go na mniejsze części. Na dodatek w momencie przejścia od procesów i rozwiązań prawnych do technologii skala wyzwań zdaje się rosnąć” – twierdzi Tomasz Wójcik, zastępca dyrektora Departamentu Informatyki w PGNiG.

W nieco lepszej sytuacji niż pozostałe sektory jest bankowość. Doświadczenia wyniesione z wdrażania wydanej przez Komisję Nadzoru Bankowego Rekomendacji D sprawiają, że przystępując do projektów GDPR, banki mają już gotowe podwaliny. Są one tym bardziej użyteczne, że polski nadzór bankowy kładł duży nacisk na technologie. „Jesteśmy w nieco lepszej sytuacji niż inne sektory ale zagadnień, którymi trzeba się zająć, i tak jest dużo. Przy tym konieczność realizacji tego projektu wpłynie na dostępność zasobów i możliwości realizacji projektów innowacyjnych” – powiedział Artur Rudziński, dyrektor IT Risk and Continuity w Alior Banku.

W nieco lepszej od innych sytuacji jest bankowość. Doświadczenia wyniesione z wdrażania Rekomendacji D sprawiają, że przystępując do projektów GDPR, banki mają już gotowe podwaliny.

GDPR oznacza także pewne ograniczenia dla banków. Zablokuje i spowolni projekty związane z obsługą klientów, w obszarze profilowania i automatycznego podejmowania decyzji. Sektor bankowy będzie także ostrożniej realizował projekty Big Data. Z drugiej strony, jak zauważa Artur Rudziński, regulacja sprawi, że wszyscy będziemy się zastanawiać, co i kiedy przetwarzamy. W konsekwencji pozwoli to oczyścić systemy, zmniejszy się także presja na rozbudowę ich pojemności.