Trudno w pełni zautomatyzować realizację prawa do usunięcia danych na żądanie osoby, której one dotyczą. RODO dopuszcza możliwość ich zachowania na podstawie innych, przysługujących firmie regulacji. Dlatego też stworzenie mechanizmów usuwania danych powinno być poprzedzone dogłębnym rozpoznaniem sytuacji prawnej oraz biznesowej organizacji. Wymaga też odpowiedniego przygotowania architektury systemów przetwarzających dane osobowe.

Jednym z najważniejszych praw zagwarantowanych obywatelom przez RODO jest prawo do bycia zapomnianym. Łączy się z nim ściśle prawo do usunięcia danych osobowych. Nie jest ono nowe, istniało już w obowiązującej dotychczas ustawie o ochronie danych osobowych. Wraz z wprowadzeniem RODO nabiera jednak nowego wymiaru. Z unijnych regulacji wynika m.in., że w przypadku zgłoszenia żądania bycia zapomnianym administrator danych musi – w rozsądnych granicach – poinformować również inne podmioty o konieczności usunięcia danych.

Co nowe przepisy oznaczają w praktyce dla przedsiębiorstw zajmujących się przetwarzaniem dużych ilości danych osobowych, na dodatek w wielu różnych systemach teleinformatycznych? Z jakimi wyzwaniami muszą zmierzyć się te organizacje? Czy można całkowicie zautomatyzować usunięcie danych, gdy ustanie przesłanka do ich przetwarzania? O doświadczeniach firmy T-Mobile Polska mówili podczas RIBA Forum 2018 jej przedstawiciele – Adam Masiak, Data Security Specialist, i Daniel Ślęzak, Privacy Officer.

Teoretycznie, gdy cykl życia danych dobiega końca, na przykład klient cofnął zgodę na przetwarzanie, dane powinny być automatycznie usunięte. Zanim jednak administrator to zrobi, powinien sprawdzić, czy żądanie usunięcia danych lub realizacji prawa do zapomnienia nie stoi w sprzeczności z innymi uprawnieniami przedsiębiorstwa – uprawnieniami do przetwarzania w usprawiedliwionym zakresie. Należy się upewnić, czy usunięcie danych nie pozbawi organizacji możliwości działania i realizacji własnych celów (na przykład dochodzenia roszczeń).

Należy się upewnić, czy usunięcie danych nie pozbawi organizacji możliwości działania i realizacji własnych celów, na przykład dochodzenia roszczeń.

Potrzebna mapa systemów

„Automatyzacja realizacji prawa do bycia zapomnianym i do usunięcia danych jest skomplikowana” – podkreślali przedstawiciele T-Mobile Polska. Od czego najlepiej zacząć? Najpierw trzeba zrobić inwentaryzację. Szeroką inwentaryzację. Należy zinwentaryzować nie tylko systemy służące do przetwarzania danych osobowych, ale też same przetwarzane w nich dane oraz zasady i procesy ich integracji. Określone powinny być także przesłanki, na których podstawie odbywa się przetwarzanie danych, oraz zweryfikowane okresy retencji.

Potem trzeba stale mapować systemy i przetwarzane w nich dane. Organizacja musi wiedzieć, które systemy propagują jakie dane, do jakich innych systemów i w jakim celu. Jeżeli mamy do czynienia z systemem zintegrowanym, który jednak nie przetwarza danych osobowych, to nie ma potrzeby uwzględniać go w tych działaniach. Dla realizacji przepisów RODO firma musi mieć orientację w systemach służących do przetwarzania danych osobowych, ale orientację dokładną, szczegółową. Tylko wtedy będzie mogła odpowiedzialnie i rzetelnie spełniać wymogi rozporządzenia.

Nie może być tak, że z chwilą, gdy klient zgłasza żądanie, następuje automatyczne skasowanie jego danych. Przedsiębiorstwo ma też swoje prawa, w których ramach może, a czasami wręcz powinno dane zachować i dalej przetwarzać w określonym zakresie. Nawet po ustaniu celu bądź przesłanki do przetwarzania danych mogą one pozostać w określonych systemach firmy. Wyznacznikiem są tu odpowiednie regulacje prawne. Trzeba wiedzieć, jaka jest podstawa prawna prowadzonych działań, z niej będzie wynikać dozwolony okres dalszego przechowywania danych. Prawo do dochodzenia roszczeń jest jedną z takich regulacji. Pozwala na zachowanie danych osobowych do momentu odzyskania należności lub przedawnienia się roszczeń.

Organizacja musi dokładnie wiedzieć, które systemy propagują jakie dane, do jakich innych systemów i w jakim celu.

Technologia ma znaczenie

Z realizacją prawa do zapomnienia i usunięcia danych wiążą się też wyzwania natury technologicznej. Konieczne jest zbudowanie odpowiedniej architektury systemów i określenie właściwego kierunku propagacji danych. Szczególnie w dużych organizacjach jest to nie lada zadanie, zwłaszcza tam, gdzie następuje duplikacja systemów. Przedsiębiorstwo musi znać bardzo dobrze architekturę swoich systemów, aby móc właściwie zlokalizować odpowiednie dane i procesy, w których następuje ich obróbka.

Osobnym wyzwaniem jest usuwanie danych z dedykowanych systemów archiwizujących, na przykład z nośników danych. Te dane mają zazwyczaj zabezpieczenia, aby nie można ich było usunąć przez przypadek. Zapewnienie możliwości usuwania ich na żądanie klienta wymaga stworzenia specjalnych rozwiązań, zazwyczaj w porozumieniu i we współpracy z dostawcą wykorzystywanego rozwiązania.

Problemem, na który też warto zwrócić uwagę, jest zachowanie integralności baz danych przy realizacji prawa do usuwania danych. Temu zagadnieniu – podkreślali Adam Masiak i Daniel Ślęzak – warto poświęcić szczególną uwagę, konstruując mechanizm zapewnienia zgodności z wymogami RODO.

Potrzebne nowe funkcje

Wyzwania dla IT związane są także z innymi prawami osób zapisanymi w RODO. Zwracali na nie uwagę Anna Dmochowska i Maciej Jurczyk z ODO 24. Wskazywali na prawo do przenoszenia danych i prawo do ograniczenia przetwarzania danych. Ich realizacja będzie wiązała się ze specjalnym przygotowaniem systemów informatycznych. Bez zmian w IT nie uda się ich wprowadzić w życie.

Wdrożenie wymagań RODO będzie się też wiązało z koniecznością wprowadzenia nowych funkcjonalności do firmowych systemów IT. Mowa tutaj m.in. o szyfrowaniu oraz pseudonimizacji danych.

Zmiany muszą być dokonywane tak, aby nie zagrozić ciągłości działania systemów informatycznych, a tym samym ciągłości działania korzystającej z nich organizacji. To duże wyzwanie, wymagające zaangażowania nie tylko działu IT, lecz także innych departamentów w firmie.

Dla zapewnienia efektywnego funkcjonowania nowych rozwiązań wskazane jest też stworzenie nowych, wewnętrznych procedur wykorzystania firmowych zasobów IT zgodnie z wymogami RODO. Przydatny może okazać się wykaz procesów i dokumentów porządkujących relacje między IT i biznesem w kontekście regulacji zawartych w unijnym rozporządzeniu.