Jak przygotować się do RODO i kolejnych zmian prawnych związanych z ochroną i bezpieczeństwem danych osobowych? Jak przygotować firmę, szkołę czy wspólnotę mieszkaniową do nowej rzeczywistości prawnej? Od czego zacząć analizę ryzyka przy przetwarzaniu danych osobowych? Jak przygotować dokumenty zgody na przetwarzanie czy powierzenia danych osobowych. Jak raportować incydenty związane z naruszeniem bezpieczeństwa danych osobowych do organu nadzorczego? To wciąż aktualne pytania, mimo że do terminu wdrożenia RODO pozostały już tylko cztery miesiące. Bo samo rozporządzenie mówi tylko, że zastosowane środki bezpieczeństwa muszą być adekwatne do stopnia oszacowanego ryzyka.

Obecnie w Ministerstwie Cyfryzacji trwają prace nad projektem ustawy o ochronie danych osobowych. Wprowadzi ona unijne rozporządzenie o ochronie danych osobowych (RODO) do polskiego porządku prawnego. Znajdą się w niej m.in. zasady powoływania Prezesa Urzędu Ochrony Danych Osobowych, przysługujące mu kompetencje i sposoby działania jego urzędu. Ustawa rozstrzygnie również kwestie dotyczące kontroli przestrzegania wymogów RODO oraz określi wysokość kar w poszczególnych sektorach i sposób ich nakładania.

Przekazane projektu ustawy do Sejmu planowane jest na drugą połowę lutego br. Brak tego aktu prawnego nie zwalnia firm i instytucji z obowiązku wdrożenia do 25 maja 2018 roku wymogów wynikających z RODO. Dopiero jednak po wejściu w życie ustawy pojawią się tak bardzo oczekiwane przez biznes rekomendacje i kodeksy dobrych praktyk.

Kodeksy będą miały charakter branżowy. Ich opracowywaniem będą zajmowały się poszczególne środowiska czy organizacje branżowe. Rekomendacje będzie zaś wydawał Prezes Urzędu Ochrony Danych Osobowych. Będą one dotyczyły technicznych i organizacyjnych sposobów zabezpieczania danych osobowych. Stosowanie się do jednych i drugich, według aktualnego projektu ustawy, nie będzie obligatoryjne, będzie miało charakter dobrowolny. W niektórych przypadkach, np. przy przetargach publicznych, może być dodatkowym argumentem konkurencyjnym lub, jak w przypadku kontroli UODO, czynnikiem łagodzącym wymiar kary. Tak samo jak posiadanie certyfikatów.

Chodzi głównie o to, aby każdy mógł kontrolować informacje o sobie. To jest bardzo istotne teraz, kiedy coraz bardziej przenosimy swoje życiowe aktywności do internetu.

Reforma wymaga czasu

„To jest reforma, nie nowelizacja prawa, dlatego proces wdrażania nowych rozwiązań musi być długotrwały” – tłumaczył podczas ubiegłorocznej konferencji RIBA Forum Maciej Kawecki z Ministerstwa Cyfryzacji, odpowiedzialny za przygotowanie projektu ustawy o ochronie danych osobowych. Wymagało to m.in. przeglądu ponad 600 ustaw z punktu widzenia konieczności dokonania zmian synchronizacyjnych. Konieczna też była ścisła współpraca z innymi resortami – pracy, zdrowia, finansów czy rozwoju.

Wojciech Wiewiórowski, zastępca Europejskiego Inspektora Ochrony Danych, zwracał też uwagę na aspekt międzynarodowej współpracy organów nadzorczych. RODO przewiduje wzajemną pomoc oraz wspólne operacje organów nadzorczych. „Widzimy w praktyce, że już teraz wymieniają się informacjami, w przyszłości będą też prowadzić wspólne działania” – oceniał Wojciech Wiewiórowski.

Projekt ustawy o ochronie danych osobowych przewiduje powołanie Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Na ile będzie on czerpał z doświadczeń dotychczasowego GIODO? Zdaniem Wojciecha Wiewiórowskiego wdrożenie RODO powinno być wynikiem już stosowanych praktyk. „Nie ma możliwości stworzenia organu ochrony danych osobowych od zera. Wszelkie takie próby odrzucające dotychczasowe doświadczenia w kilku krajach zakończyły się niepowodzeniem. Natomiast RODO wprowadza rozwiązania dla wielu krajów nowe, np. sankcje administracyjne, których w Polsce nie było; w takiej sytuacji dobrze jest korzystać z doświadczeń innych państw” – mówił w trakcie obrad „RIBA Forum 2017” Wojciech Wiewiórowski.

Zdaniem Katarzyny Szymielewicz, prezes Fundacji Panoptykon, RODO to kompromis, z którym da się żyć i nie ma co wracać do tego, dlaczego zostało wprowadzone. To już za nami, przed nami teraz wdrożenie. „Chodzi głównie o to, aby każdy mógł kontrolować informacje o sobie. To jest bardzo istotne teraz, kiedy coraz bardziej przenosimy swoje życiowe aktywności do internetu” – mówiła Katarzyna Szymielewicz.

Dotąd żyliśmy w porządku prawnym, gdzie kary za naruszenie danych osobowych były śmiesznie niskie. Nasze GIODO było „pluszowym organem”. Nowy organ nadzorczy będzie miał zapewne dużo większe możliwości kadrowe.

Dobry przykład działa lepiej

Do przyłożenia się do wdrożenia w życie nowych rozwiązań mogą skłonić firmy przewidziane wysokie kary. Do tej pory w Polsce nie było tak wysokich kar za niezapewnienie odpowiedniej ochrony danych osobowych. W opinii Wojciecha Dziomdziory z kancelarii prawnej Domański, Zakrzewski, Palinka, przewidywane sankcje tylko z polskiej perspektywy wydają się bardzo wysokie. „Dotąd żyliśmy w porządku prawnym, gdzie kary za naruszenie danych osobowych były śmiesznie niskie. Nasze GIODO było ‘pluszowym organem” – uważa Wojciech Dziomdziora. Ocenia, że sankcje RODO będą porównywalne z tymi w innych obszarach, np. za naruszenie przepisów o ochronie konkurencji. Będziemy też mieli do czynienia z miarkowaniem tych kar.

Bogusława Pilc, dyrektor Departamentu Inspekcji w GIODO, przestrzegała jednak przed strategią „do mnie nie dotrą”. Zauważyła, że najpewniej nowy organ nadzorczy będzie miał dużo większe możliwości kadrowe. „Nie chcę straszyć, ale świadomość, że inspektorzy mogą się zjawić, jest bardzo ważna” – mówiła Bogusława Pilc.

W podobnym tonie wypowiadali się uczestnicy panelu dyskusyjnego poświęconego obawom przed RODO. „Nikt nikogo nie zamierza niszczyć tym rozporządzeniem i ustawą. Uważam, że jeżeli ktoś postępował zgodnie z obecnymi normami, wiedział, po co i przed czym chroni dane, to dla niego nic wielkiego się nie wydarzyło” – uspokajał Łukasz Kister, dyrektor Departamentu Audytu i Bezpieczeństwa w Polskich Sieciach Elektroenergetycznych.

Wtórował mu ekspert EY Mariusz Krzysztofek: To nie rewolucja, a ewolucja. Najpierw zaszła na świecie, a potem została przełożona na język ustawowy. Te same zasady i zręby mamy w dotychczasowych przepisach.

Paneliści zwracali uwagę na konieczne wsparcie merytoryczne ze strony polskich urzędów. „Nie byłoby dobrze, gdyby przedsiębiorcy byli zostawieni sami sobie. Zasada rozliczalności wprowadzona przez RODO oznacza, że ustawodawca zakłada dojrzałość rynku, ale też wiele wymaga od przedsiębiorców” – zauważył Artur Piechocki Radca prawny z Kancelarii Prawnej APLAW.

„Bardzo przydałaby się wymiana informacji o pozytywnych przykładach. U nas jest kultura negatywnej kontroli, podczas gdy w innych krajach dobre praktyki funkcjonują jako półprawo. Wskazywanie dobrego kierunku działa dużo sprawniej niż karanie” – przekonywał Mariusz Krzysztofek.

Pierwszy krok to budowanie świadomości u decydentów. Kolejny krok to zbudowanie zespołu projektowego. Tutaj jest duże wyzwanie, bo jest to projekt długofalowy i przebiega przez całą organizację, więc trzeba zaprosić do współpracy wiele osób.

Świadomość i porozumienie

Od czego zacząć przygotowania do wdrożenia RODO w organizacji? Piotr Darwaj, Executive Consultant w IBM, proponuje przeprowadzić szczegółową analizę wpływu nowych regulacji na działanie firmy. „Punktem wyjścia powinna być analiza ryzyka. Nazwaliśmy ją ‘v. 0’, bo nie mamy jeszcze wytycznych branżowych, a proces legislacyjny trwa. Jedyne, co znamy, to datę obowiązywania prawa” – mówi Piotr Darwaj. Jego zdaniem, ze względu na dynamiczną sytuację najlepiej sprawdza się metoda warsztatowa, w której wspólnie wypracowywane są rozwiązania.

„Pierwszy krok to budowanie świadomości u decydentów. Kolejny krok to zbudowanie zespołu projektowego. Tutaj jest duże wyzwanie, bo jest to projekt długofalowy i przebiega przez całą organizację, więc trzeba zaprosić do współpracy wiele osób” – ostrzega Monika Sobczyk kierownik ds. bezpieczeństwa informacji w Medicover. Kolejnym krokiem jest audyt zgodności z RODO. Trzeba zweryfikować dokumentację – czy są polityki, jak odbywają się szkolenia. „Nawet jeśli zbudujemy mocny system informatyczny, a nie będziemy mieli szkoleń, to nic nie da. Pracownik jest najsłabszym ogniwem bezpieczeństwa danych” – tłumaczy Monika Sobczyk.

Michał Jaworski, dyrektor ds. strategii technologicznej w Microsoft, przekonuje, że RODO może być dla wielu firm okazją do modernizacji polityk bezpieczeństwa i technologii zarządzania danymi osobowymi. Migracja do chmury w przypadku wielu organizacji może być dobrym rozwiązaniem problemu. Jego zdaniem, informatyka była tym działem techniki, który przez lata nie był w ogóle regulowany. Teraz pojawiły się dwa trendy. Pierwszy to regulacje, bo okazało się, że możemy być poszkodowani przez nowe technologie. Drugi jest taki, że w coraz większym stopniu zamieniamy produkt na usługę.

„Mnie trochę przeraża dyskusja o RODO. Prawnicy rozmawiają z prawnikami, technicy z technikami, menedżerowie proszą prawników o zrzucenie odpowiedzialności na dostawcę technologii. Spotykamy się z zupełnym brakiem zrozumienia tematu. Dzieje się tak dlatego, że w organizacjach inżynierowie nie rozmawiają z biznesem. Zwyczajnie nie rozmawiają z innymi” – uważa Michał Jaworski. A skuteczne wdrożenie wymogów RODO wymaga komunikacji w zespołach i między nimi w sposób szczególny.

Bardzo przydałaby się wymiana informacji o pozytywnych przykładach. U nas jest kultura negatywnej kontroli, podczas gdy w innych krajach dobre praktyki funkcjonują jako półprawo. Wskazywanie dobrego kierunku działa dużo sprawniej niż karanie.

Decyzja należy do nas

Jak zadbać o bezpieczeństwo danych od strony technicznej? Jak powinna wyglądać infrastruktura technologiczna wspierająca RODO? „Dane nie mogą być chronione tylko na wejściu do systemu. Atak może być wyprowadzony z wnętrza data center, poprzez e-mail z malewarem, który zaktywuje się po kilku miesiącach” – przestrzega Piotr Jabłoński, Senior Systems Engineer w VMware. A Marek Krauze, Sales Engineer w Trend Micro, przekonuje, że „nowe przepisy prawne wprowadzane są w czasach, gdy bezpieczeństwo danych staje się coraz większym wyzwaniem. Technologia zmienia się tak szybko, że bezpieczeństwa nie można oprzeć tylko na rozwiązaniu jednego dostawcy, trzeba zaufać więcej niż jednej firmie”.

Mariola Więckowska, ABI w Grupie Allegro, przyznała, że jest zwolennikiem RODO. „Wszystko oparte jest na ryzyku firm. To od nas zależy, jakie zabezpieczenia będziemy wdrażać. RODO zachęca nas do psedonimizacji i anonimizacji danych. To bardzo skuteczne metody, które dzięki nowym przepisom zostaną upowszechnione” – uważa Mariola Więckowska.

RODO wprowadza obowiązek zgłaszania do organu nadzorczego incydentów naruszenia bezpieczeństwa danych osobowych. Jak w praktyce powinno przebiegać raportowanie? Pewne doświadczenia z tego zakresu mają przedstawiciele operatorów telekomunikacyjnych, na których już teraz ciążą podobne obowiązki. „Wdrożyliśmy system do zarządzania incydentami naruszenia bezpieczeństwa. Jeśli pojawi się podejrzenie naruszenia, to rozsyłane są zadania do odpowiednich osób. Gdy otrzymamy potwierdzenie zdarzenia, przygotowujemy zawiadomienie do GIODO. Można już teraz znaleźć na stronie GIODO formularze dla operatorów” – opowiada Daniel Ślęzak, Privacy Officer w T-Mobile Polska.

„Gdy już uświadomimy decydentów, że potrzebna jest zmiana, powinniśmy dokonać inwentaryzacji lokalizacji danych. Dopiero wtedy, po procesie data discovery, możemy przejść do analizy ryzyka” – tłumaczy Dariusz Śliwa, Big Data Solutions Sales Manager w Helwett Packard Enterprise. Z kolei Cezary Prokopowicz, Regional Sales Manager Eastern Europe Hewlett Packard Enterprise, dodaje: Gdy już wiemy, gdzie są informacje, możemy wprowadzić produkty realizujące kompletne potrzeby bezpieczeństwa. Po pierwsze, bezpieczeństwo danych, czyli szyfrowanie i pseudonimizacja. Po drugie, zabezpieczenie przed naruszeniami, czyli prewencja. Po trzecie wykrywanie naruszeń, czyli „breach detection”.

Technologia zmienia się tak szybko, że bezpieczeństwa nie można oprzeć tylko na rozwiązaniu jednego dostawcy, trzeba zaufać więcej niż jednej firmie.

Potrzebne jasne kryteria

Informacje docierające z rynku pokazują, że wciąż trudno znaleźć firmę, która chciałaby się pochwalić, że wdrożyła już u siebie wymagania wynikające z RODO. Większość organizacji jest jeszcze w procesie dostosowywania się do nowych regulacji.

Ze względu na ich wysokopoziomowy charakter ułatwieniem byłaby z pewnością możliwość skorzystania ze wskazówek w postaci rekomendacji czy dobrych praktyk. Aktualne wciąż więc pozostają słowa Joanny Karczewskiej, eksperta i audytora z ISACA Warsaw: Jako audytor czekam tylko na dobre praktyki, na wytyczne do mojej pracy. Aby móc ją wykonywać, potrzebuję jasnych kryteriów oceny. Nie ma nic gorszego dla audytowanego niż sytuacja, w której audytor przychodzi i mówi: tego się tak nie robi, bo tego się tak nie robi.

Tegoroczna edycja konferencji RIBA Forum odbędzie się w dniach 28.02 – 1.03 w Warszawie. Więcej informacji na stronie ribaforum.pl.