RODO to nowoczesny akt prawny, inteligentny, niedookreślony. Pozwala na ciągłe dostosowywanie się do zmieniającej się rzeczywistości. Wymaga jednak stałej pracy i doskonalenia, uczenia się, budowania świadomości, śledzenia nowych interpretacji i zaleceń, wreszcie sprawdzania, czy to, co zostało wypracowane, daje oczekiwany efekt – ocenia Piotr Stecz, kierownik Działu Bezpieczeństwa Informacji oraz Inspektor Ochrony Danych w firmie Adamed.

Jak można scharakteryzować branżę farmaceutyczną w kontekście RODO? Czy jest jakaś jej istotna specyfika? Jeśli tak, to na czym polega?

Jako firma farmaceutyczno-biotechnologiczna prowadzimy większość standardowych działań w obszarze działalności gospodarczej. Produkujemy, sprzedajemy, realizujemy działania marketingowe i prace badawczo-rozwojowe. Specyfika wynika z pewnych obowiązujących nas dodatkowo aktów prawnych, dotyczących np. prowadzenia badań klinicznych czy konieczności nadzoru nad bezpieczeństwem stosowania produktów leczniczych.

W ramach wprowadzania nowych leków na rynek jesteśmy zobowiązani do prowadzenia badań klinicznych. Zajmują się nimi wyspecjalizowane firmy, z którymi współpracujemy. Problem polega na tym, że są one rozsiane po całym świecie, a w przypadku firm spoza obszaru Unii Europejskiej mechanizmy i procesy ochrony danych nie są najczęściej dostosowane do wymogów RODO.

W większości przypadków firmy spoza Unii nie są przygotowane do współpracy w tym zakresie, a nie zawsze udaje się w prosty sposób przełożyć nasze wymagania na umowy. Jednocześnie nie jest także łatwo zrezygnować z usług takich firm i znaleźć alternatywę w Unii Europejskiej. Przedsiębiorstw tego typu nie jest znowu tak wiele.

Od 25 maja 2018 r. pełni Pan rolę Inspektora Ochrony Danych firmy Adamed. Z jakimi nowymi obowiązkami musiał się Pan zmierzyć?

Zmiany dotyczące ochrony danych zaczęły zachodzić w Adamedzie znacznie wcześniej. Mieliśmy świadomość nowych wyzwań i nadchodzących nowych regulacji prawnych. W związku z rozwojem firmy, wykraczaniem daleko poza rynki lokalne, zdecydowaliśmy się na kompleksowe rozwiązanie.

Opracowana została całościowa koncepcja odnosząca się do istniejących legislacji, a także RODO, która zmieniała podejście do bezpieczeństwa informacji. W wyniku tych zmian rok temu powstał Dział Bezpieczeństwa Informacji. Wcześniej za działania w tym obszarze odpowiedzialny był Pion IT. Jednocześnie z analizy wynikało, że najlepiej będzie, jeśli Inspektorem Ochrony Danych zostanie kierownik Działu Bezpieczeństwa Informacji. Formalnie stanowisko objąłem 25 maja, ale prace przystosowawcze rozpoczęły się znacznie wcześniej.

Oczywiście, pojawiły się nowe obowiązki. Wynikają one ze specyfiki RODO. Poprzednia ustawa była formalnoprawna. Teraz mamy do czynienia z aktem prawnym nowego rodzaju. De facto sami ustalamy, jak zabezpieczyć dane na podstawie analizy ryzyka.

Jednym z obowiązków jest konieczność ciągłego śledzenia nowych interpretacji. Zabrakło nieco konkretów przed wejściem RODO, dlatego trzeba się na tym skupić teraz. To wymusza dodatkowe obowiązki, ale wysiłek podejmuje całe przedsiębiorstwo. Inspektor firmuje prowadzone działania, ale odpowiada za nie cała organizacja. Staraliśmy się to przekazać wszystkim pracownikom w ramach działań związanych z budowaniem świadomości.

Największym wyzwaniem jest zarządzanie danymi nieustrukturyzowanymi. Jak np. skutecznie wyszukiwać dane osobowe w systemie pocztowym? Problem pozostaje tak naprawdę nierozwiązany. Prawie od początku przygotowań do RODO pojawiały się firmy, które oferowały różne technologie, ale nie przekonały nas, że dzięki nim poradzimy sobie ostatecznie z zadaniem.

Jakie są pierwsze wnioski po blisko dwóch miesiącach działania RODO?

Obecnie sytuacja nieco się ustabilizowała. W społeczeństwie wzrosła świadomość zagrożeń, wyzwań i praw. Można powiedzieć, że wprowadzenie RODO ma pozytywne konsekwencje i niesie dużo dobrego. Nie jestem jednak do końca przekonany, że uda się zwalczyć wszystkie uchybienia związane z wykorzystywaniem danych osobowych. Uznane firmy się dostosują, ale nadal będzie działać szara strefa. Innymi słowy, niechciane telefony się nie skończą.

Drugi wniosek jest taki, że społeczeństwo nie do końca rozumie RODO. Dużo się o tym mówiło, wiele osób chciało skorzystać z nowych możliwości, ale nie wszyscy zrozumieli, o co tak naprawdę chodzi. Przykładowo, mieliśmy zgłoszenia, że użytkownicy darmowych systemów pocztowych nie chcą oglądać naszych reklam. A przecież w takich przypadkach to nie my jesteśmy administratorem danych osobowych. Kiedy wystosowaliśmy odpowiedź, że zgłoszenia trzeba przesłać do innego podmiotu, otrzymywaliśmy informacje, że „przecież RODO obowiązuje w całej Polsce”.

Coraz częściej słychać też o absurdach RODO. Ktoś posunął się o krok za daleko i na zdjęciach przedszkolaków nie zamieścił nazwisk, tylko imiona, chociaż wszyscy przecież się tam znają, a zdjęcia nie są nigdzie publikowane.

Z punktu widzenia osoby prywatnej ciekawe było otrzymywanie informacji o posiadaniu naszych danych osobowych przez najprzeróżniejsze firmy. W kilku przypadkach zostałem zaskoczony, kto jest administratorem danych. Mam jednak też poczucie, że RODO działa. Dokonałem kilku zgłoszeń żądań usunięcia swoich danych osobowych i podmioty je przetwarzające zadeklarowały ich usunięcie.

Czy z punktu widzenia firmy i branży RODO to korzyść, czy raczej kłopot?

W długofalowej polityce to niewątpliwie korzyść. Pozytywem jest to, że reguły gry są jasne. Adamed zawsze działa etycznie, zgodnie z prawem i tego samego oczekuje od innych. Duże znaczenie ma też fakt, że RODO to inteligentny akt prawny. Można go dostosować do specyfiki działalności. Nie jest jeszcze wszystko w pełni dopracowane, ale to tylko pierwszy krok na dobrej drodze.

Wprowadzenie RODO ma pozytywne konsekwencje i niesie dużo dobrego. Nie jestem jednak do końca przekonany, że uda się zwalczyć wszystkie uchybienia związane z wykorzystywaniem danych osobowych. Uznane firmy się dostosują, ale nadal będzie działać szara strefa.

Jakie są główne wyzwania, z którym trzeba sobie poradzić?

Największy problem to dane nieustrukturyzowane. Jak np. skutecznie wyszukiwać dane osobowe w systemie pocztowym? Problem pozostaje tak naprawdę nierozwiązany. Prawie od początku przygotowań do RODO pojawiały się firmy, które oferowały różne technologie, ale nie przekonały nas, że dzięki tym narzędziom rozwiążemy ostatecznie sytuację. Zdecydowaliśmy się poczekać, aż rynek i rozwiązania dojrzeją.

Nadal brakuje także interpretacji, co robić z danymi zapisanymi w kopiach zapasowych. Jak pogodzić zdolność firmy do odtworzenia danych po poważnej awarii czy katastrofie z koniecznością usuwania pojedynczych rekordów z backupów? To praktycznie niemożliwe.

Głównym wyzwaniem jest jednak konieczność ciągłego uczenia się organizacji. Osoba pełniąca funkcję Inspektora Ochrony Danych, a zarazem sama organizacja muszą w sposób usystematyzowany rozpoznać wszystkie posiadane dane oraz sposoby ich przepływu. To ciągła praca. Podobnie jak budowanie świadomości. Wiem, że w naszej organizacji ta świadomość rośnie. Prowadziliśmy szkolenia e-learningowe i stacjonarne. To nie jest jednak projekt, który można zakończyć w kilka miesięcy. Niemniej sam wzrost świadomości to pozytywny efekt RODO.

Nie tylko w naszej firmie, ale w skali całego społeczeństwa kwestie bezpieczeństwa informacji zostały dostrzeżone. W historii IT można to chyba porównać tylko z problemem roku 2000. To niewątpliwie ogromna korzyść dla wszystkich.

Jak znaleźć równowagę pomiędzy wymaganiami RODO a potrzebami biznesowymi?

Równowagi trzeba szukać na bieżąco. Trzeba uważać, żeby nie wprowadzić przesadnej formalizacji. Z prawnego punktu widzenia najlepiej byłoby wszystko zapisać na papierze, ale to w praktyce niemożliwe. Liczy się przede wszystkim zdrowy rozsądek. Nie możemy zapominać, że głównym celem działalności Adamedu jest dostarczanie produktów leczniczych dla pacjentów.

Przykładem jest stworzenie centralnego rejestru udostepnień danych. Kiedy przekazujemy dane pracowników innym podmiotom, np. hotelom, należy każdy taki przypadek rejestrować. Gdyby miał to robić centralnie Inspektor Ochrony Danych, byłoby to zabójcze dla organizacji. Dlatego zdecydowaliśmy, że zajmują się tym poszczególne jednostki. Choć mając w perspektywie potencjalną kontrolę, lepiej byłoby mieć jeden rejestr.

Inny przykład to współpraca z biznesem. Optymalny scenariusz to formalne akceptowanie przez Inspektora każdej podpisywanej umowy, każdej akcji marketingowej. W praktyce to jednak niemożliwe, bo czas oczekiwania na zgodę znacząco spowalniałby prowadzenie biznesu. Dlatego trzeba znaleźć sposób, który umożliwi firmie normalne działanie, a jednocześnie zabezpieczy przed potencjalnymi problemami.

Najlepszym rozwiązaniem wydaje się budowanie świadomości i działanie na bazie sprawdzonych wcześniej przykładów i wzorów, a także bliska współpraca z działem prawnym, który powinien zwracać uwagę na aspekty związane z ochroną danych w przygotowywanych umowach.

Równowagi między wymaganiami prawnymi a potrzebami biznesowymi trzeba szukać na bieżąco. Trzeba uważać, żeby nie wprowadzić przesadnej formalizacji. Z prawnego punktu widzenia najlepiej byłoby wszystko zapisać na papierze, ale to w praktyce niemożliwe. Liczy się przede wszystkim zdrowy rozsądek.

Co trzeba będzie zrobić w najbliższym czasie? Czekać czy działać?

Uczulać, audytować i sprawdzać – wiadomo, że nie wszystko od razu uda się rozwiązać. Na pewno nie należy czekać na kontrolę UODO. My zaplanowaliśmy, że do końca roku przeprowadzimy całościowy audyt wewnętrzny. Spodziewamy się, że odpowie on precyzyjnie na wszystkie pytania o stan przygotowań i pozwoli udoskonalić politykę bezpieczeństwa informacji, także w kontekście RODO.

Rozmawiał Rafał Jakubowski.

Piotr Stecz będzie prelegentem podczas konferencji „Med. & Pharma Data Security Summit. Zarządzanie bezpieczeństwem i przetwarzaniem danych w świetle najnowszych regulacji”. (Warszawa, 20 września 2018 – więcej informacji na stronie https://datasecsummit.pl/)