Choć minął już prawie rok od wejścia w życie RODO i wydaje się, że wszystko się udało, to jednak wciąż wiele pytań pozostaje bez odpowiedzi. Mamy liczne problemy interpretacyjne, nie do końca wiadomo, jak rozumieć i wdrażać regulacje, a do tego proces legislacyjny nadal trwa – pojawiają się nowe rozporządzenia, wytyczne i inne akty prawne istotne z punktu widzenia specjalistów odpowiedzialnych za ochronę danych. Podczas „RIBA Forum 2019” będą oni dyskutować, jak współpracować, jakie są wymagania i jak wdrażać techniczne zabezpieczenia informacji. Poruszona będzie kwestia, czy istnieje optymalna kosztowo ścieżka w ochronie danych, a także komu można w tym obszarze ufać.

Przynajmniej część projektów – ze względu na brak wiedzy, doświadczeń oraz kompletu potrzebnych informacji i wynikający z tego pośpiech – zrealizowanych w okresie poprzedzającym wejście w życie RODO nie było przeprowadzonych w sposób optymalny. Dzisiaj firmy muszą się z tym pilnie zmierzyć. To niezwykle istotne, ponieważ Prezes Urzędu Ochrony Danych Osobowych (UODO) prowadzi kontrole zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, w tym ogólnego rozporządzenia o ochronie danych (RODO). Są to zarówno kontrole sektorowe, jak i doraźne. Zgodnie z planem rocznym kontroli sektorowych, tj. zaplanowanych, w 2019 r., Prezes Urzędu zamierza zweryfikować poprawność przetwarzania danych osobowych m.in. w zakresie telemarketingu, profilowania w bankach i zakładach ubezpieczeniowych, a także systemy monitoringu odpadów (pełny harmonogram znajduje się na stronie UODO).

Bogusława Pilc, Radca Prawny, Ekspert ds. Ochrony Infromacji

„Wybór określonych sektorów  jest uzasadniony głównie zakresem problemów przedstawianych w skargach, informacji, jakie wpływają do urzędu, czy zadawanych pytań. Na bieżąco są prowadzone również kontrole doraźne, które z kolei odnoszą się do bieżących spraw w zakresie naruszenia przepisów o ochronie danych osobowych. Kontrole są przeprowadzane w firmach prywatnych oraz w instytucjach publicznych” – mówi Bogusława Pilc, radca prawny, ekspert ds. ochrony informacji, która podczas RIBA Forum będzie opowiadać, jak przygotować się do kontroli oraz w jaki sposób IOD czy administrator powinien wykazać dopełnienie staranności.

Kontrole są wykorzystywane w celu zweryfikowania na miejscu i w siedzibie administratora lub podmiotu przetwarzającego w imieniu administratora, legalności czy bezpieczeństwa przetwarzanych danych. Za naruszenie przepisów o ochronie danych grożą dotkliwe sankcje, w tym kary pieniężne, które może nakładać Prezes UODO. Dlatego warto wcześniej przygotować się do kontroli, aby w sposób dokładny i przejrzysty wykazać odpowiedni poziom ochrony danych.

„Właściwe przygotowanie organizacji do wizyty przedstawicieli organu nadzorczego, zwiększa szanse na uzyskanie pozytywnej oceny badanych zagadnień poprzez wykazanie należytej staranności w realizacji wymogów prawnych. Pozytywna ocena ma także ogromne znaczenie w postrzeganiu organizacji przez klientów. Aby uniknąć ewentualnych negatywnych skutków, lepiej wcześniej przygotować się do kontroli Prezesa Urzędu, niż bezczynnie czekać i liczyć, że dopisze nam szczęście i komputer nie ‘wylosuje’ naszej firmy do kontroli” – mówi Bogusława Pilc.

Warto wcześniej przygotować się do inspektorów UODO, aby w sposób dokładny i przejrzysty wykazać odpowiedni poziom ochrony danych.

Wyzwania rekrutacji

Wiele problemów w obszarze ochrony danych ma charakter branżowy, ale są również takie, które dotyczą wszystkich kwestii. Takim przykładem jest rekrutacja, która w praktyce rodzi wiele pytań i trudności. Dlatego zainteresowało się tym UODO. W rocznym planie kontroli sektorowych na 2019 r. przewidziano m.in. sprawdzenie pracodawców pod kątem „przetwarzania danych w związku z rekrutacją”.

Agnieszka Witaszek, Data Protection Officer, Grupa Pracuj

„Rekrutacja to złożony proces, w który zwykle zaangażowanych jest kilka podmiotów mogących pełnić różne role, np. portal, gdzie zamieszczono ogłoszenie o pracę, agencja doradztwa personalnego. Właściciele biznesowi nie zdają sobie często sprawy z wymagań i obowiązków, jakie mają do spełnienia w związku z rekrutacją, oraz z tego, jak uregulować relacje z poszczególnymi podmiotami” – mówi Agnieszka Witaszek, Data Protection Officer w Grupa Pracuj, która podczas „RIBA Forum” opowie, na co trzeba zwrócić szczególną uwagę w obszarze rekrutacji w kontekście ochrony danych osobowych.

Przykładowo agencja doradztwa personalnego może w ramach rekrutacji występować w dwóch różnych rolach w odniesieniu do tych samych danych kandydata: administratora danych osobowych, ale także podmiotu przetwarzającego. Agencja posiadająca własną bazę kandydatów przedstawia potencjalnemu pracodawcy propozycje kandydatur i przekazuje dane kandydatów – wówczas występuje w roli administratora danych. Jednak w momencie, kiedy zaczyna organizować na zlecenie klienta spotkania z kandydatami wybranymi przez pracodawcę, działa w zakresie tych czynności jako podmiot przetwarzający dane na zlecenie pracodawcy.

Inny praktyczny problem dotyczy danych, jakie można przetwarzać w procesie rekrutacji. Kodeks pracy określa katalog danych, jakie pracodawca może pobierać od kandydata w procesie rekrutacji. Katalog ten nie uwzględnia jednak np. adresu e-mail czy telefonu, co oznacza, że pracodawca nie może wprost żądać tych danych od kandydata, jeżeli nie umieścił ich w swoich dokumentach aplikacyjnych.

„W większości przypadków kandydaci sami podają w CV adres e-mail i numer telefonu, co jest równoznaczne ze zgodą na przetwarzanie tych danych dla celów rekrutacji. Jednak co zrobić, jeśli kandydat ich nie poda? Na podstawie obecnych przepisów Kodeksu pracy i projektowanych zmian tych przepisów nie można wprost żądać od kandydata podania tych danych. W przypadku korzystania z elektronicznych systemów do zarządzania rekrutacjami adres e-mail kandydata może być konieczny do prawidłowej identyfikacji kandydata w systemie. Na razie nadal brak oficjalnej interpretacji, jak rozwiązać ten problem” – mówi Agnieszka Witaszek.

Kodeks pracy określa katalog danych, jakie pracodawca może pobierać od kandydata w procesie rekrutacji. Katalog ten nie uwzględnia jednak np. adresu e-mail czy telefonu. Pracodawca nie może żądać tych danych od kandydata, jeżeli nie umieścił ich w dokumentach aplikacyjnych.

Monitoring z RODO

Marcin Masłowski, Information Security Consultant, Carrefour Polska

Innym, również uniwersalnym zagadnieniem, które znalazło się w planie kontroli UODO na 2019 r., jest monitoring wizyjny. „To jedno z poważniejszych wyzwań w kontekście RODO z kilku powodów. Po pierwsze to chyba najbardziej, zaraz po kontach użytkowników w systemach internetowych, rozpowszechniona forma zbierania danych osobowych. Po drugie dane w systemach monitoringowych są zbierane bez zgody podmiotów i mogą zawierać dane wrażliwe – tutaj dobrym przykładem jest przypadek obecnej Prezydent Gdańska. Wreszcie po trzecie, o ile zgody na przetwarzanie są już nieźle zakorzenione w świadomości, o tyle na kamery monitoringu dotychczas niewiele osób patrzyło przez pryzmat ochrony danych osobowych. Od roku świadomość bardzo wzrosła, w efekcie liczba problemów w tym obszarze wzrosła znacznie bardziej niż np. w obszarze zgód na przetwarzanie” – mówi Marcin Masłowski, Information Security Consultant w Carrefour Polska, który podczas RIBA Forum opisze najciekawsze przypadki związane z monitoringiem wizyjnym w kontekście RODO, przedstawi ocenę prawną i techniczno-organizacyjną, a także poda praktyczne wskazówki dla IOD oraz oficerów bezpieczeństwa.

Można podać jeszcze czwarty powód: obrazy analizuje się o wiele trudniej niż dane ustrukturyzowane, przez co realizacja praw podmiotów sprawia znacznie więcej trudności. Przykładowo samo odnalezienie wskazanych danych osobowych nie byłoby praktycznie możliwe bez dodatkowej indeksacji. Innymi słowy: łatwo jest zrealizować żądanie klienta sklepu internetowego: „proszę przysłać mi komplet informacji o mnie”, natomiast o wiele trudniej zrobić to samo w przypadku nagrań z monitoringu.

„Wszystkie te wzywania sprawiają, że monitoring wizyjny dość trudno wdrożyć w sposób niebudzący wątpliwości pod względem RODO. Z drugiej strony nie jest też łatwo skontrolować poziom zgodności, zatem kontrolujący i kontrolowany będą zmuszeni do podejmowania decyzji, nie mając pełnej wiedzy” – podsumowuje Marcin Masłowski.

Obrazy analizuje się o wiele trudniej niż dane ustrukturyzowane, przez co realizacja praw podmiotów w związku z monitoringiem sprawia znacznie więcej trudności. Samo odnalezienie wskazanych danych osobowych nie byłoby możliwe bez dodatkowej indeksacji.

Racjonalne podejście do techniki

Kwestia różnorodności stosowanych rozwiązań, od programów uruchamianych na komputerach, aplikacji sieciowych, usług społeczeństwa informacyjnego, po monitoring wizyjny i inne formy nadzoru użytkowników systemów, prowadzi do jeszcze jednego zagadnienia: technologii zabezpieczeń. Największym problemem RODO w obszarze technologicznym wydaje się być brak zrozumienia zagadnienia ochrony informacji, jako wypadkowej wielu procesów – przede wszystkim technicznych, ale również organizacyjnych i formalno-prawnych. Przy tym mamy do czynienia z sytuacją, w której brakuje konkretnych wymagań stawianych przez przepisy i niewielu opracowanych już interpretacji obowiązków administratorów ze strony organów nadzorczych.

Maciej Kołodziej, wiceprezes SABI-Stowarzyszenie IOD, ekspert e-Detektywi.pl

„Brak konkretnych wskazówek, wytycznych i konsultowanych branżowo porad pogłębia poczucie niepewności po stronie administratorów, którzy nie wiedzą jak ocenić dojrzałość swoich systemów IT i stopień ich zgodności z przepisami. Niekiedy pozostaje więc metoda prób i błędów, oraz wiara, że zastosowane rozwiązania są wystarczające” – mówi Maciej Kołodziej, wiceprezes SABI-Stowarzyszenie IOD, ekspert e-Detektywi.pl, który podczas RIBA Forum będzie opowiadał o rozwiązaniach i środkach technicznych zarówno dla dużych jak i małych firm.

Fundamentem wyboru zabezpieczeń technicznych pozostaje więc racjonalna analiza potrzeb i stosowanie rozwiązań odpowiednich do skali i rodzaju przetwarzania. Zawsze chodzi bowiem o osiągnięcie zakładanego efektu, a przy tym kontrolowanie wielkości inwestycji i utrzymywanie równowagi pomiędzy ochroną i dostępnością informacji.

Największym problemem RODO w obszarze technologicznym wydaje się być brak zrozumienia zagadnienia ochrony informacji jako wypadkowej wielu procesów – przede wszystkim technicznych, ale również organizacyjnych i formalno-prawnych.

Konferencja „RIBA Forum 2019. RODO, innowacje, bezpieczeństwo, audyt” odbędzie się 16-17 kwietnia 2019 w Falentach pod Warszawą. Z programem konferencji można zapoznać się na stronie: https://ribaforum.pl/ .