– Nadal jest wiele pytań, wątpliwości i niejasności dotyczących stosowania w praktyce RODO.

– Nowa formuła regulacji pozbawiona jednoznacznych wymagań wymusza zmianę roli prawnika, który dla zapewnienia zgodności z prawem musi uwzględnić specyfikę działalności swojego klienta.

– RODO daje możliwości elastycznego, zindywidualizowanego podejścia do ochrony danych osobowych. Umiejętność skorzystania z nich może przynieść duże korzyści.

– Trzeba pamiętać, że systemy informatyczne mogą nie tylko wspomagać realizację zapisów prawa, ale też stanowić utrudnienie w wywiązywaniu się z obowiązujących wymogów.

Mimo że od wejścia w życie RODO minął już prawie rok, wciąż jest wiele pytań, wątpliwości, obaw i dylematów związanych ze stosowaniem w praktyce unijnych przepisów o ochronie danych osobowych. Tym bardziej że wciąż pojawiają się nowe rozporządzenia, wytyczne i inne akty prawne, takie jak chociażby nowelizacja ustaw branżowych.

Tegoroczna konferencja „RIBA Forum. RODO, Innowacje, Bezpieczeństwo, Audyt” uzmysłowiła, że nadal jest wiele niejasności dotyczących interpretacji obowiązujących regulacji. Uwidaczniają się one mocno m.in. na styku kompetencji poszczególnych działów i pionów merytorycznych w firmach – biznesowych, prawnych, informatycznych, compliance, cyberbezpieczeństwa i osób odpowiedzialnych za ochronę danych.

Poszukiwanie odpowiedzi na pojawiające się wciąż pytania staje się tym bardziej ważne, że zapewnienie zgodności z RODO to ciągły proces, a nie jednorazowe działanie. Ubiegłoroczne wdrożenia nie stały się zwieńczeniem starań na rzecz zapewnienia wymaganego prawem poziomu ochrony danych osobowych. Wręcz przeciwnie, uruchomiły potrzebę stałego szukania optymalnych rozwiązań i dopasowywania do zidentyfikowanych ryzyk.

Jedno jest pewne: zadania ochrony danych osobowych nie można powierzyć żadnemu działowi w firmie czy instytucji z osobna – ani IT, ani prawnikom, ani biznesowi. Wszyscy muszą połączyć siły i działać razem na rzecz zapewnienia zgodności z wymogami RODO. Inaczej trudno liczyć na zadowalające efekty.

Zapewnienie zgodności z RODO to ciągły proces, a nie jednorazowe działanie.

W poszukiwaniu rezultatów

Jak dotychczas w praktyce przebiegał proces wdrażania RODO w firmach? Przed jakimi wyzwaniami stanęli ludzie odpowiedzialni nie tylko za ochronę, ale też za użytkowanie danych osobowych w organizacjach? Z jakimi doświadczeniami po roku obowiązywania rozporządzenia mamy do czynienia zarówno wśród tych, którzy byli zmuszeni zaimplementować nowe przepisy, jak i wśród tych, którzy ich wspomagali od strony prawnej, organizacyjnej czy technologicznej? I wreszcie jakie pożytki społeczne przyniosło RODO? Czy dzięki nowym przepisom ludzie czują, że poprawiło się bezpieczeństwo ich danych osobowych? Na te i podobne pytania próbowali odpowiedzieć uczestnicy panelu dyskusyjnego „Od paniki do chłodnego osądu – czy rzeczywiście zrobiliśmy wszystko (i nie za dużo), czego wymagają nowe regulacje?”.

Marek Szydłowski, były członek zarządu TVN SA i dyrektor Pionu Finansowego Grupy TVN

Zdaniem Marka Szydłowskiego, byłego członka zarządu TVN SA i dyrektora Pionu Finansowego Grupy TVN, proces wdrażania RODO był długi i bolesny. Trzeba było zmienić przyzwyczajenia ludzi. Trzeba było ustalić, gdzie są dane, a potem zastanowić się, po co je zbieramy i czy wszystkie są naprawdę potrzebne. W dwóch przypadkach nastąpiła rezygnacja z dalszego gromadzenia. Nie wszyscy jednak byli przekonani o pożytkach płynących dla firmy z działań związanych z koniecznością dostosowania się do wymogów unijnego rozporządzenia. „Wcześniej wdrażaliśmy w TVN amerykańską regulację SOX. Mieliśmy poczucie, że wynika z tego coś pozytywnego. A przy RODO nie widać było tych bezpośrednich skutków” – tłumaczył Marek Szydłowski.

Michał Jobski, Dyrektor ds. Systemów Korporacyjnych, Budimex

Z perspektywy Michała Jobskiego, dyrektora ds. systemów korporacyjnych w spółce Budimex, pojawienie się RODO podniosło rangę działań w obszarze bezpieczeństwa informacji, zwiększyło świadomość menedżerów i pracowników firm w zakresie ochrony danych osobowych. „Widać, że stopniowo wzrasta świadomość wagi ochrony danych również w społeczeństwie. Widać to chociażby po tym, że pojawia się coraz więcej sensownych pytań związanych z przetwarzaniem danych osobowych. Na początku były one słabo przygotowane” – oceniał Michał Jobski.

Projekt wdrażania RODO cały czas trwa, nie można go zamknąć po określonym etapie, to stały proces, a nie jednorazowe działanie. W Budimeksie jest on jednak raczej kojarzony z reorganizacją niż z rewolucją, tak jak niejednokrotnie wprowadzenie rozporządzenia było przedstawiane w mediach. „Dla nas to nie była duża zmiana, bo już wcześniej zaczęliśmy działania w tym kierunku. Cały czas jednak musimy się przyglądać, jak działa rynek, i nieustannie się rozwijać. Bo tutaj zarządzanie ryzykiem jest kluczowe. Tego wszyscy musimy się jeszcze uczyć” – podkreślał Michał Jobski.

Pojawienie się RODO podniosło rangę działań w obszarze bezpieczeństwa informacji, zwiększyło świadomość menedżerów i pracowników firm w zakresie ochrony danych osobowych.

Nowe podejście do prawa

Milena Wilkowska, radca prawny, kancelaria Maruta Wachta

Niejednoznaczna, bazująca na konieczności samodzielnego dostosowania niezbędnych środków do zidentyfikowanych zagrożeń formuła unijnej regulacji sprawiła, że zmieniła się też rola prawnika – doradcy. Tradycyjna, mało elastyczna, ograniczona do obszaru prawnych wskazań postawa musiała zostać zmodyfikowana w stronę większego wczucia się w sytuację klienta i zrozumienia również jego uwarunkowań biznesowych. „Nie da się wdrożyć zindywidualizowanego prawa bez wejścia w specyfikę działań klienta, bez poznania i zrozumienia jego sytuacji. Nie można zastosować standardowych, podręcznikowych wzorów. Tylko indywidualne podejście do klienta gwarantuje sukces. Prawnicy nie mogą dalej tkwić w swoich dawnych schematach postępowania” – tłumaczyła Milena Wilkowska, radca prawny z kancelarii Maruta Wachta.

dr Dominik Lubasz, radca prawny, wspólnik zarządzający, Lubasz i Wspólnicy Kancelaria Radców Prawnych

„Projekty związane z RODO to nie tylko projekty prawne. Ważne jest także uwzględnienie perspektywy biznesowej. Trzeba zacząć od procesów, a skończyć dopiero na dokumentacji, odwrotnie niż w tradycyjnym podejściu. Inaczej konieczne będą poprawki. Docelowo model zgodności z RODO trzeba wpisać w realia biznesowe. Ochrona danych osobowych jest jednym z celów biznesowych, musi to być uwzględnione w projektach wdrożenia RODO” – dodawał dr Dominik Lubasz, radca prawny, wspólnik zarządzający kancelarii Lubasz i Wspólnicy. Jego zdaniem, RODO daje znakomite możliwości elastycznego, zindywidualizowanego podejścia do ochrony danych osobowych. Umiejętność skorzystania z nich może przynieść duże korzyści.

Piotr Drobek, Dyrektor Zespołu Analiz i Strategii, Urząd Ochrony Danych Osobowych

Stosowanie unijnego rozporządzenia wymaga podejścia procesowego. Bo nie jest powiedziane wprost, co trzeba zrobić, a czego nie wolno. „Problemy pojawiają się wtedy, gdy za wdrożenie RODO biorą się prawnicy z tradycyjnym podejściem do prawa: trzeba zrobić dokumentację, która wykaże zgodność z przepisami. A RODO prezentuje inny model prawa, wdrożenie go wymaga wysiłku dla określenia odpowiednich w danym przypadku rozwiązań. Podstawą jest zarządzanie ryzykiem, a ryzyko jest dla wielu prawników pojęciem zupełnie obcym” – mówił Piotr Drobek, dyrektor Zespołu Analiz i Strategii w Urzędzie Ochrony Danych Osobowych. Jak podkreślał, potrzeba jeszcze czasu, by właściwe rozumienie wyzwań związanych z nową formułą prawną weszło do świadomości ludzi.

RODO daje znakomite możliwości elastycznego, zindywidualizowanego podejścia do ochrony danych osobowych. Umiejętność skorzystania z nich może przynieść duże korzyści.

Duże pole do interpretacji

Czy w szybszym i lepszym przyswojeniu nowych reguł ochrony danych osobowych mogą pomóc kary nakładane przez UODO? „Kary są naturalnym elementem działania UODO. Pokazują, że RODO jest ważne. Przepisy dają dużą elastyczność działania, ale gdy już dochodzi do ich naruszenia, skutki muszą być dotkliwe, by nie opłacało się lekceważyć prawa czy oszukiwać przy wdrożeniach” – tłumaczył Piotr Drobek.

Bogusława Pilc, Radca Prawny, Ekspert ds. Ochrony Informacji

Co zatem zrobić, by dobrze przygotować się do kontroli przeprowadzanej przez inspektorów Urzędu Ochrony Danych Osobowych? Jak dobrze zrozumieć i wykorzystać zasadę rozliczalności? Na te pytania próbowała odpowiedzieć Bogusława Pilc, radca prawny, ekspert ds. ochrony informacji. Nie kryła związanych z obecnym stanem prawnym trudności. „Nie ma określonego minimum działań i warunków do spełnienia. Istnieje więc duży obszar poruszania się w celu wykazania przed kontrolerami UODO, z jakich rozwiązań skorzystaliśmy” – zwracała uwagę Bogusława Pilc.

Są co prawda dostępne na rynku gotowe wzorce działań, ale jak nie będziemy potrafili dostosować ich do specyfiki firmy, to i tak na nic się nam nie zdadzą. Z drugiej strony zastosowana w RODO formuła regulacji powoduje, że kontrolerzy nie mogą wymagać konkretnych, określonych rozwiązań. Argumentem na rzecz poprawności podjętych przez nas działań może być wykazanie dołożenia dostatecznej staranności w wyborze zastosowanych sposobów ochrony.

Agnieszka Witaszek, Data Protection Officer, Grupa Pracuj

Nie uchroni to oczywiście firm przed dylematami i wątpliwościami związanymi ze stosowaniem w praktyce obowiązujących przepisów. Na trudności związane z interpretacją zapisów RODO w procesie rekrutacji zwracała uwagę Agnieszka Witaszek, Data Protection Officer w Grupie Pracuj. „W rekrutację zaangażowanych jest często wiele różnych podmiotów, które mogą pełnić różne role – zarówno administratorów, jak i procesorów. Przetwarzaniu podlega zazwyczaj bardzo wiele danych. Trzeba się dobrze orientować, które z nich mogą być przetwarzane na jakiej podstawie prawnej” – mówiła Agnieszka Witaszek. W grę może wchodzić Kodeks pracy, umowa o pracę, zgoda kandydata lub pracownika na przetwarzanie, uzasadniony interes pracodawcy. Pomocą w podejmowaniu właściwych decyzji może być kodeks postępowania w zakresie rekrutacji, nad którego stworzeniem trwają właśnie prace.

Są dostępne na rynku gotowe wzorce działań, ale jak nie będziemy potrafili dostosować ich do specyfiki swojej firmy, to i tak na nic się nam nie zdadzą.

Problemy z technologią

Adam Gałach, Prezes Zarządu, Galach Consulting

Na wyzwania związane z zapewnieniem zgodności z RODO, gdy dane osobowe przetwarzane są w systemach informatycznych, zwracał uwagę Adam Gałach, prezes zarządu Galach Consulting. Widać je już chociażby w sytuacji wymagającej umożliwienia realizacji żądań usunięcia czy modyfikacji danych. „Trzeba znaleźć te dane, wiedzieć, gdzie się one znajdują. Gdy infrastruktura IT jest rozproszona, trudno to zrobić. Tak samo trudno odszukać dane, gdy są one nieustrukturyzowane. Funkcjonalności systemu powinny umożliwiać ich wyszukanie, nie zawsze jednak jest to możliwe do osiągnięcia. Stosowane oprogramowanie może mieć ograniczone funkcjonalności utrudniające wyszukiwanie danych w bazach czy w plikach graficznych” – tłumaczył Adam Gałach.

W takich sytuacjach rozwiązaniem problemu może być wprowadzenie dodatkowych metod identyfikacji danych, np. przez odpowiednie indeksowanie. Dobre efekty przyniesie też z pewnością połączenie wykorzystania narzędzi IT z zarządzaniem procesami. To ułatwi orientację, gdzie jakie dane mogą być przetwarzane i w jakim celu. Nie zwolni jednak od odpowiedzialności za utrzymanie poprawności danych, która dla prawidłowej identyfikacji właściwych danych może mieć kluczowe znaczenie. Osobną kwestią, na którą również trzeba zwrócić szczególną uwagę, jest zapewnienie bezpieczeństwa danych w systemach informatycznych.

Funkcjonalności systemu informatycznego powinny umożliwiać wyszukanie właściwych danych. Czasami jednak jest to trudne do osiągnięcia.