Chociaż termin wdrożenia unijnego rozporządzenia o ochronie danych osobowych jest już bliski, wciąż wiele spraw jest niejasnych i budzi duże wątpliwości. Można powiedzieć, że im bliżej daty wejścia przepisów w życie, tym więcej pytań i rozbieżności w ocenie wynikających z regulacji wymagań. Nie ma chyba organizacji, która by się wciąż nie zmagała z wynikającymi z RODO wyzwaniami.

Na ostatniej prostej trudności nie ubywa. Wręcz przeciwnie. Wdrożenie RODO przynosi nawet nowe ryzyka, którym muszą stawić czoła firmy zobligowane do zapewnienia zgodności z nowymi przepisami. Wynika to m.in. z bardzo ogólnego charakteru rozporządzenia, braku jednoznacznych wytycznych i rekomendacji oraz przekazaniu decyzji w sprawie wyboru konkretnych rozwiązań w gestię organizacji zajmujących się przetwarzaniem danych osobowych. Jak obrazowo określił to jeden z uczestników panelu dyskusyjnego inicjującego RIBA Forum 2018, „zagadka zagadką zagadkę pogania”. Potwierdzeniem tego może być fakt, że biorący udział w konferencji przedstawiciele firm i instytucji wdrażających RODO mieli dużo pytań i wątpliwości dotyczących poszczególnych aspektów obowiązującego ich już niebawem prawa. Sprawa jest poważna również z tego powodu, że dostosowanie organizacji do wymogów rozporządzenia wiąże się zazwyczaj z dużymi kosztami i zaangażowaniem znacznej części pracowników, a w tle są dotkliwe kary za niespełnienie tychże wymagań.

Profile i decyzje

RODO wprowadza ograniczenia w obszarze niezwykle popularnego w niektórych branżach profilowania i zautomatyzowanego podejmowania decyzji. Choć samo zagadnienie jest dobrze znane, to w kontekście nowych przepisów stosowanie tego rozwiązania budzi wiele niejasności i pytań. Kluczowego znaczenia nabiera tu obowiązek uzyskania zgody konsumenta jeszcze przed zbieraniem danych oraz obowiązek informowania o profilowaniu. Przetwarzający dane są zobligowani do zaakceptowania braku zgody na profilowanie.

„Według RODO profilowaniem jest dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do określonego celu. Chodzi o ocenę niektórych czynników osobowych osób fizycznych w aspektach dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji, wiarygodności, zachowań czy lokalizacji” – mówił podczas RIBA Forum 2018 mecenas Artur Piechocki, radca prawny, prezes w Kancelarii Prawnej APLAW.

Podejmowanie zautomatyzowanych decyzji, bez udziału człowieka, wywołujących prawne lub porównywalnie istotne skutki, jest z zasady zakazane. Może być dozwolone tylko w niektórych przypadkach. Przepisy dopuszczają je m.in., kiedy decyzja jest niezbędna do zawarcia lub wykonania umowy. Przykładem takiej sytuacji – choć kontrowersyjnym, jak mówił Artur Piechocki – może być wybranie jednego z kilku tysięcy nadesłanych CV. Dozwolone przypadki dotyczą także w szczególności ochrony praw, wolności i prawnie uzasadnionych interesów, np. dla celów podatkowych czy w związku z zapobieganiem oszustwom.

W związku z profilowaniem RODO zobowiązuje przetwarzających dane osobowe do wyjaśniania zasad podejmowania decyzji, przedstawiania logiki stosowanego algorytmu, określania znaczenia oraz przewidywanych konsekwencji profilowania. „Główne zagrożenia związane z profilowaniem dotyczą niesprawiedliwości i dyskryminacji, np. odmowy dostępu do zatrudnienia, kredytu lub ubezpieczenia albo nakierowania na zbyt ryzykowne czy kosztowne produkty finansowe. Reszta zasad jest podobna do ogólnych zasad przetwarzania danych osobowych” – wyjaśnia Artur Piechocki.

Zapominanie w świetle prawa

Ważnym prawem gwarantowanym przez RODO jest prawo do bycia zapomnianym. Jego funkcjonowanie opiera się na przesłankach pozytywnych i negatywnych. „Ważne jest przy tym zachowanie równowagi pomiędzy prawem do prywatności a prawem do dostępu do informacji” – zwracał uwagę Michał Kaczorowski, radca prawny w Google Commercial Counsel CEE.

Do przesłanek pozytywnych należy zaliczyć sytuacje, w których: dane osobowe nie są już niezbędne do celów, dla których zostały zebrane, cofnięta została zgoda przy braku innej przesłanki do przetwarzania, wniesiony został sprzeciw bądź dane były przetwarzane niezgodnie z prawem, konieczność usunięcia wynika z obowiązku prawnego, wreszcie dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego. Przesłanki negatywne to: korzystanie z prawa do wolności wypowiedzi i informacji, wywiązywanie się z prawnego obowiązku ciążącego na administratorze lub do wykonania zadania realizowanego w interesie publicznym, interes w dziedzinie zdrowia publicznego, cele archiwalne, badania naukowe lub historyczne, cele statystyczne oraz ustalenie, dochodzenie i obrona roszczeń.

W 2017 r. do Google zgłoszono do usunięcia blisko 18 tys. adresów URL z Polski. Z tego usunięto ok. 7 tys., a reszta nie została usunięta. Znaczna część decyzji o nieusuwaniu wynikała, jak poinformował Michał Kaczorowski, z błędów formalnych we wnioskach.

Mapowanie i inwentaryzacja

W projektach wdrażania przepisów RODO znaczącą rolę odgrywają mapowanie i inwentaryzacja. Działania w tym zakresie koncentrują się na próbach analizowania ruchu danych. Polegają one na seriach wielogodzinnych wywiadów z pracownikami. Chodzi o ustalenie odpowiedzi na pytanie, co i gdzie się dzieje z danymi. Celem ostatecznym tych zabiegów jest zdiagnozowanie cyklu życia danej osobowej w organizacji.

„Do największych wyzwań projektowych należy zaliczyć synchronizację kalendarzy ze współpracownikami. Pojawiają się kolizje z innymi projektami w organizacji. Kiedy już do nich dojdzie, to próby pozyskania merytorycznych informacji od biznesu często sprowadzają się ‘ciągnięcia za język” – mówił Maciej Bratkowski, CSO/DPO w Kredyt Inkaso, członek ISACA oraz ISSA Polska. Zwracał także uwagę na brak sklasyfikowanych zasobów oraz narzędzi przeznaczonych do procesu wyszukiwania danych osobowych. Wyzwaniem są również koszty – wewnętrzne i zewnętrzne, koszty narzędzi i audytów.

Włamania i maskowanie

RODO to także wyzwania w kontekście technologicznym. Zwłaszcza w obliczu wzrostu liczby i zmian jakościowych w obszarze cyberzagrożeń. W dobie coraz częstszych włamań i wycieków danych na wielką skalę ważne jest, by dostosowując organizację do RODO, wiedzieć, jak identyfikować luki w systemach i jakie technologie są pomocne w przygotowaniach do nowych regulacji. „RODO w większym stopniu dotyczy procesów, niemniej technologia jest bardzo istotnym zagadnieniem” – przekonywał Dmitri Belotchkine, Principle Sales Engineer w Trend Micro.

Cztery kluczowe obszary w tym kontekście to: ochrona danych osobowych (przypadkowa utrata, niewłaściwe wykorzystanie przez nieuprawnione osoby, nieumyślne ujawnienie), ochrona urządzeń pracowników (kradzieże tożsamości, ochrona przed złośliwym oprogramowaniem, poprawność konfiguracji), zabezpieczenie infrastruktury korporacyjnej (ochrona i zabezpieczenie serwerów, nieautoryzowany dostęp do nich, propagacja zagrożeń w skali całej infrastruktury) oraz ochrona danych znajdujących się w chmurze (współdzielona odpowiedzialność, ochrona danych w skali środowisk składających się z wielu chmur, projekty transformacyjne zapewniające ochronę domyślną).

W przypadku ochrony danych osobowych największe znaczenie odgrywają zintegrowane systemy ochrony przed utratą danych (DLP – Data Loss Prevention) oraz mechanizmy szyfrowania danych na urządzeniach końcowych użytkowników. Jeśli chodzi o ochronę tych urządzeń, to istotne są: systemy zabezpieczenia poczty elektronicznej, aktywności związanych z przeglądaniem stron WWW, ochrona przed ransomwarem oraz ochrona sieci. W przypadku infrastruktury wewnętrznej i chmury, które to środowiska coraz częściej się przenikają, znaczenia nabierają przede wszystkim systemy zapewniające ochronę środowiskom hybrydowym. Zabezpieczają one serwery i aplikacje w skali całych środowisk obejmujących sprzęt lokalny i zasoby w chmurze. Ochronę wewnętrznej sieci zapewniają systemy typu IPS, a na potrzeby chmury przydają się dedykowane systemy ochrony oprogramowania dostępnego w postaci usług (Software as a Service).

Wymagania RODO pomagają spełnić technologie wykorzystywane w zakresie wykrywania, klasyfikacji i maskowania danych wrażliwych. „Proponowane przez nas rozwiązanie pozwala na skanowanie, identyfikowanie, klasyfikowanie i wreszcie statyczne maskowanie tych danych. Opiera się ono na ich fizycznym zmienianiu na potrzeby wykorzystania w systemach nieprodukcyjnych. Dane pozostają spójne, można z nich w pełni korzystać w realnych scenariuszach” – mówił Ami Aharonovich, prezes zarządu firmy Brillix.

Głównym wyzwaniem statycznego maskowania jest wykrywanie danych wrażliwych. Aż 80% czasu, kosztów, wysiłków poświęcanych na takie projekty dotyczy mapowania danych. Są one bowiem rozproszone pomiędzy różnorodnymi heterogenicznymi platformami bazodanowymi.

Potrzebne są wskazówki

W różnych krajach europejskich jest różny stopień przygotowania do RODO. Polska nie wypada źle, ale dużo jest jeszcze do zrobienia – mówili prawnicy tworzący panel dyskusyjny podczas sesji otwierającej RIBA Forum. Podczas dyskusji zastanawiano się, czy jako kraj jesteśmy „na właściwej ścieżce i kursie”.

Uczestnicy panelu byli zdania, że z projektem ustawy o ochronie danych osobowych, która ma wprowadzić RODO do polskiego porządku prawno-instytucjonalnego, nadal wiążą się liczne pytania i kontrowersje. Zapisy artykułów 3 i 4 dotyczące pewnych wyłączeń wobec sektora MSP są niejasne. Swoje uwagi w tej kwestii zgłaszał również GIODO. Eksperci zwracali jednocześnie uwagę, że pomimo obecnych propozycji nie jest tak, że małe i średnie firmy będą całkowicie wyłączone z RODO. Wszyscy, mimo istniejących wciąż wątpliwości, muszą przygotować się do RODO.

Z perspektywy małych i średnich firm brakuje jednak rzeczywiście zestawu jasnych, konkretnych wskazówek, co i jak należy zrobić. Trudno przecież spodziewać się, że małe organizacje czy przedsiębiorcy prowadzący jednoosobową działalność gospodarczą będą zatrudniać konsultantów i uruchamiać związane z tym projekty analityczne.

RODO stanowiło i nadal stanowi ogromne wzywanie legislacyjne. Przygotowanie organizacji do jego wymogów to wiele trudu i zaangażowania. „Trudno jest wytłumaczyć firmom, że obsługa pewnych procesów w tym momencie będzie bardzo kosztowna, ale wkrótce może się okazać, że trzeba będzie działać inaczej. W tym kontekście trudno będzie przygotować się do RODO do maja” – mówiła Beata Marek, IT&IP Lawyer w Cyberlaw.

Nikt nie ma wątpliwości, że wdrożenie RODO będzie też kosztowne. „Koszty szacuje się nawet na 2–4% PKB. Przy tym warto zwrócić uwagę, że nadal bardzo wiele kosztów jest wstrzymywanych. Nawet jeśli firmy posiadają analizę zmian procesowych, na razie nie podejmują działań, ponieważ nie wiedzą, z jaką skalą zjawiska będą musiały się zmierzyć. Czy uda się zrealizować zadania ‘ręcznie’, czy potrzebny będzie zautomatyzowany system? Obecnie nie wiadomo. Wszystko sprowadza się do zarządzania ryzykiem i ustalenia granic, przy których trzeba będzie powiedzieć: odpuszczamy” – mówił Marcin Maruta, senior partner w kancelarii Maruta Wachta.

Uczestnicy panelu podkreślali jednak, że w pewnym sensie zmiany nie są rewolucyjne. Tematem ochrony prywatności w związku z postępującymi zmianami technologicznymi eksperci zajmują się od blisko czterech dekad. „Był czas na przygotowanie. System ochrony danych istnieje od 1997 r. Podejście źródłowo się nie zmienia. Problem polega na tym, że rynek do tej pory nie stosował się do istniejących rozwiązań. RODO nie jest rewolucją. Nowością są jedynie aspekty związane z analizą ryzyka i oddanie w ręce administratora decyzji, co robić” – mówił dr Dominik Lubasz, radca prawny, wspólnik zarządzający w Lubasz i Wspólnicy Kancelaria Radców Prawnych.

Uczestnicy panelu zwracali uwagę, że mimo wielu wątpliwości i negatywnych ocen obecnego stanu przygotowań trzeba zwrócić uwagę również na pozytywne strony zjawiska. Mamy po raz pierwszy do czynienia z sytuacją, kiedy polski ustawodawca dokonuje przeglądu przepisów dotyczących ochrony danych osobowych, starając się dostosować liczne regulacje do jednego aktu. Udało się dzięki temu kompleksowo spojrzeć na ochronę danych osobowych i związane z tym kwestie.

Uczestnicy dyskusji podkreślali rolę, jaką odegrał w tym ministerialny zespół prowadzony przez Macieja Kaweckiego. Zasługą zespołu jest przygotowanie projektu ustawy i koordynacja przepisów sektorowych. Praca ta jest, zdaniem uczestników panelu, w większości wysoko oceniana przez specjalistów. Jeśli chodzi o przygotowania krajowe, to jesteśmy na poziomie, na jakim znajduje się obecnie większość państw europejskich, poza kilkoma wyjątkami, takimi jak Austria czy Niemcy.

Najwięcej emocji budzą branżowe przepisy wprowadzające, a właściwie ich brak. „Niewątpliwie łyżką dziegciu w tej beczce miodu jest fakt, że obecnie znamy jedynie projekt ustawy, ale brakuje przepisów wprowadzających. Sądy, kancelarie prawne, placówki oświatowe, szpitale i wiele innych organizacji ma w związku z tym ogromne wątpliwości, jak postępować. Te przepisy powinny być przygotowane już dawno” – mówiła Marlena Sakowska-Baryła, radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelaria Radców Prawnych.

Na fakt, że sama ustawa nie jest najważniejsza, zwracał również uwagę Dominik Lubasz. „Poza kilkoma elementami, m.in. wiekiem dziecka czy artykułami 3 i 4, ustawa nie jest kluczowa. Zwłaszcza że bez względu na jej ostateczny kształt przesądzone jest jej wejście w życie. O wiele większe znaczenie będą mieć przepisy szczegółowe. Te, które zostały zaprezentowane we wrześniu, muszą nabrać innego kształtu” – mówił Dominik Lubasz. Jego zdaniem kwestia ta ma ogromne znacznie dla wielu sektorów.