System ochrony danych osobowych zgodny z RODO
Lektura przepisów i preambuły rozporządzenia nawet przy kolejnym czytaniu nie daje jasnej recepty jak zbudować system ochrony danych osobowych. Czytając je z perspektywy przedsiębiorcy dochodzi się do wniosku, że główne przesłanie tego nowoczesnego aktu prawnego brzmi: administratorze (przedsiębiorco, decydencie) chroń dane osobowe tak, jak uznasz za stosowne, ale rób to skutecznie, ponieważ jeżeli z tego obowiązku się nie wywiążesz będziemy mogli dotkliwie cię ukarać.
Ważne
RODO niewiele narzuca, raczej daje wskazówki, dzięki temu przepisy szybko się nie zestarzeją oraz nie stracą na elastyczności. Nawet za kilka lat będą odpowiednie dla gabinetu stomatologicznego jak i dużej firmy telekomunikacyjnej. Dodatkowo, RODO wymusza rzeczywiste zaangażowanie się podmiotów w stworzenie adekwatnego do zagrożeń oraz dopasowanego do własnej struktury organizacyjnej systemu ochrony danych osobowych.
Jednak, na starcie procesu wdrożenia sporą bolączką wydaje się fakt, że ustawodawca nie wskazuje konkretnie jakie polityki i procedury należy stworzyć oraz jakie zabezpieczenia wdrożyć. Nie oznacza to jednak, że nasze obecne polityki, instrukcje i procedury nadają się tylko do kosza. To od nas zależy czy wykorzystamy funkcjonujący w naszej organizacji system ochrony jako fundament nowego, czy zbudujemy go od nowa.
RODO niczym latarnia morska wskazuje nam kierunki. Procesy, ryzyko, rozliczalność…
Procesy
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Zespół działań nakierowanych na realizację poszczególnych celów biznesowych składa się w proces przetwarzania danych osobowych. Dzięki identyfikacji procesów można ocenić zgodność przetwarzania danych z RODO i np. sprawdzić czy zakres przetwarzanych danych nie jest za szeroki w stosunku do celu dla którego są przetwarzane.
Ryzyko
Mamy procesy, a w nich dane osobowe, czasami dużo, bywa, że bardzo dużo danych osobowych, w tym dane osobowe szczególnej kategorii (wrażliwe). RODO każe spojrzeć na procesy przez pryzmat praw Murphy’ego, zróbmy sobie ćwiczenie załóżmy, że sprawy pójdą „tak źle jak to tylko możliwe”.
Wyobraźmy sobie, że nasze cenne informacje w tym dane osobowe zostaną zniszczone, zostaną upublicznione (wyciekną) zapewne powodując szum medialny, a w jego konsekwencji utratę dobrego wizerunku naszej organizacji… lub (o zgrozo) zostaną wykradzione przez konkurencję, lub narazimy się na dotkliwe konsekwencje prawne. Zastanówmy się czy te zagrożenia są realne? Jak się przed nimi ustrzec? Czy można zminimalizować ryzyko? Jeśli tak, to jak?
Rozliczalność
Aby zapewnić rozliczalność, a więc być w stanie wykazać przestrzeganie przepisów RODO nie wystarczy dostosowanie polityk i procedur przetwarzania danych. Należy też prowadzić różnego rodzaju ewidencje i rejestry, wśród nich warto wymienić rejestr czynności przetwarzania, rejestr naruszeń ochrony danych osobowych, czy też ewidencję żądań dotyczących realizacji praw osób, których dane dotyczą. Krótko mówiąc, w razie jakiejkolwiek skargi zarzucającej naszej organizacji naruszenie RODO, należy być przygotowanym, do udowodnienia jej niezasadność. W tym zakresie, najtrudniejszym wyzwaniem dla administratora, jest wykazanie stosowania takich środków technicznych i organizacyjnych, które zapewniają stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych (osób których dane dotyczą). Z tego też powodu, w centrum zainteresowania organizacji pragnącej dostosować się do RODO, powinna się znaleźć ocena skutków dla ochrony danych (z ang. DPIA) oraz analiza ryzyka.
Zgodnie z zasadą rozliczalności, o tym jakie zabezpieczenia i polityki należy stworzyć powinien zadecydować sam administrator na podstawie ww. analiz.
Najtrudniejszy pierwszy krok
W teorii RODO można wdrożyć wyłącznie przy pomocy własnych pracowników. Wydaje się to prawdopodobne jeśli posiadamy dział bezpieczeństwa lub compliance, jednak w praktyce raczej to się nie sprawdza. Alternatywą jest wsparcie ekspertów zewnętrznych, którzy mogą zapewnić specjalizację w zakresie ochrony danych osobowych, obiektywność przy ocenie ryzyk i projektowaniu zabezpieczeń oraz dostarczyć sprawdzoną metodykę wdrożenia tego skomplikowanego aktu prawnego. Właściwa metodyka poprowadzi niczym tor bobslejowy - prosto do celu. Jednak stanie się tak, tylko wtedy gdy organizacja taki tor zbuduje. Konsultant (firma doradcza) zaproponuje koncepcję i metodykę wdrożenia, konkretne rozwiązania oraz narzędzia, po ich akceptacji przygotowuje plany, w tym szczegółowy harmonogram wdrożenia. Organizacja natomiast dopasuje plany i narzędzia do swoich indywidualnych uwarunkowań i możliwości, zatwierdzi je i zacznie realizować. Firma doradcza wspiera wiedzą i doświadczeniem, analizuje, planuje, weryfikuje, raportuje, kolokwialnie mówiąc prowadzi za rękę, ale wymogi RODO wdraża sama organizacja za pośrednictwem swoich pracowników – inaczej się nie da.
Ważne
Dziś wybór fachowego i optymalnego kosztowo partnera to nie lada wyzwanie. Obecnie lawinowo przybywa firm oferujących usługi związane z wdrożeniem RODO. Zakres tych usług jak i wyceny różnią się tak diametralnie, że nie sposób je porównać. Jakie powinny być główne kryteria wyboru? Realne doświadczenie, interdyscyplinarny zespół, logiczna koncepcja, sprawdzona metodyka, zakres wsparcia podczas wdrożenia, czas realizacji, narzędzia do budowania świadomości personelu, możliwe wsparcie lub przejęcie nadzoru nad systemem ochrony danych osobowych po wdrożeniu.
Powołanie zespołu wdrożeniowego
Wdrożenie RODO jest procesem złożonym i wielowymiarowym, angażującym praktycznie całą organizację oraz wymagającym ustanowienia struktury odpowiedzialnej za jego przeprowadzenie.
Ważne
Zespół wdrożeniowy oraz proces wdrożenia musi zostać objęty nadzorem najwyższego kierownictwa (niezależnie w małej czy dużej organizacji) w przeciwnym razie nie warto zaczynać. Bez spełnienia tego warunku, trwający co najmniej kilka miesięcy proces wdrożenia, często skazany jest na niepowodzenie.
Członkami zespołu wdrożeniowego powinni być przedstawiciele kluczowych struktur przetwarzających dane osobowe, (np. działów: HR, obsługi klienta, marketingu, serwisu, windykacji, logistyki itp.). Obowiązkowo w zespole muszą znaleźć się takie osoby jak administrator bezpieczeństwa informacji (o ile został powołany) oraz przedstawiciel działu IT. Dobór członków zespołu wdrożeniowego w dużej mierze będzie zależny od profilu działalności i struktury organizacyjnej podmiotu.
Audyt otwarcia
Konieczne jest stworzenie szczegółowego harmonogramu prac wdrożeniowych, w którym wyspecyfikujemy wszelkie zadania oraz terminy ich wykonania. Nie sposób tego osiągnąć bez prawidłowego określenia sytuacji wyjściowej, czyli swoistej inwentaryzacji posiadanych zasobów informacyjnych oraz sposobów ich przetwarzania i ochrony. Dzięki tej wiedzy będziemy mogli obowiązujące regulacje dostosować (przemodelować) do nowych przepisów, a brakujące stworzyć, niejako rozwijając funkcjonujący system ochrony danych.
Audyt otwarcia można podzielić na dwa główne obszary: badanie wymogów formalno-prawnych (treść klauzul zgód, polityk, procedur, umów powierzenia itp.) oraz badanie zgodności obszaru IT (zabezpieczenia systemów informatycznych oraz funkcjonalności systemów informatycznych pod względem możliwości realizacji praw osób, których dane dotyczą tj. prawa do przenoszenia danych, prawa do bycia zapomnianym, ochrony danych włączonej domyślnie itd.). W kontekście organizacji oraz samej realizacji audytu zalecam posiłkować się wskazówkami zawartymi w normach ISO (27001, 19011).
Ważne
Dopiero po ustaleniu stanu faktycznego, zobaczymy „start i metę”. Wyłoni się wstępny zarys procesu wdrożenia, dowiemy się jaki etap będzie najbardziej pracochłonny, czy kosztowny.
Co wziąć na „pierwszy ogień”, a co można odłożyć w czasie. Dla przykładu w niektórych organizacjach największym wyzwaniem będzie dostosowanie systemów informatycznych, a w innych dostosowanie procesów przetwarzania danych w celach marketingowych.
DPIA, fundament nowego systemu ochrony danych osobowych
Dokonanie oceny skutków dla ochrony danych (z ang. Data Protection Impact Assessment, DPIA) jest obowiązkowe m.in. przy profilowaniu, przetwarzaniu na dużą skalę danych „wrażliwych”, czy systematycznym monitorowaniu na dużą skalę miejsc dostępnych publicznie”. Aby ustalić, czy w naszej organizacji przeprowadzenie DPIA jest obowiązkowe, należy odpowiedzieć sobie na pytanie, czy dany rodzaj operacji przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Ważne
Analiza DPIA powinna obejmować opis przewidywanego przetwarzania, ocenę niezbędności i proporcjonalności, środki przewidziane w celu zapewnienia zgodności, ocenę ryzyka naruszenia praw i wolności, środki przewidziane w celu zaradzenia ryzyku, dokumentację oraz monitorowanie i przegląd.
Jeśli ryzyko wydaje się zbyt wysokie, a administrator mimo to chce przetwarzać dane, musi skonsultować się z organem nadzorczym (tzw. uprzednie konsultacje). Należy pamiętać, że analizy DPIA trzeba wykonać przed rozpoczęciem przetwarzania oraz regularnie przeglądać, a gdy zmienią się warunki i otoczenie przetwarzania, aktualizować je.
Administratorzy danych osobowych powinni w tym zakresie posiłkować się dostępnymi wskazówkami (wytyczne WP248 Grupy Roboczej Art. 29 - przyszłej Europejskiej Rady Ochrony Danych - dotyczące oceny skutków dla ochrony danych oraz ustalenia czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”) dobrymi praktykami, jak normą ISO 29134.
Analiza ryzyka
Kolejnym wyzwaniem jest dokonanie szczegółowej analizy ryzyka dla zasobów uczestniczących w operacjach przetwarzania danych osobowych. Administratorzy w tym zakresie mogą posiłkować się międzynarodowymi normami ISO (27005, 31000).
Ponieważ na podstawie DPIA oraz związanej z nią analizy ryzyka, organizacja będzie decydowała o tym jakie zabezpieczenia wdrożyć oraz jakie procedury stworzyć, powinna przedmiotową analizę przechowywać w udokumentowanej formie.
Plan postępowania z ryzykiem
Kiedy ostatnio
robiłeś analizę ryzyka?
Dokumentacja oraz dostosowanie procesów biznesowych
Nie powinniśmy „odkrywać Ameryki od nowa”, ponieważ często obowiązujące procedury mogą być dobrym punktem wyjścia do nowych regulacji. W tym zakresie RODO to ewolucja, a nie rewolucja. Nowe przepisy wprost nie wskazują jakie polityki i procedury należy wdrożyć, niemniej często będzie to wynikać bezpośrednio z treści przepisów. Przykładowo, aby sprostać wymogowi zgłoszenia incydentu do Urzędu Ochrony Danych Osobowych najpóźniej w ciągu 72 godzin od momentu wykrycia naruszenia należy stworzyć wewnętrzną procedurę zgłaszania incydentu najwyższemu kierownictwu. Warto również, aby organizacja przechowywała udokumentowaną informację w zakresie analizy konieczności powołania inspektora ochrony danych. Należy również opracować i wdrożyć takie dokumenty jak zasady tworzenia kopii zapasowych, zasady usuwania danych i realizacji prawa do bycia zapomnianym, prawa do przenoszenia danych, polityki zapewnienia prywatności w fazie projektowania oraz zasady prywatności w ustawieniach domyślnych, czy też procedury stosowania zasady przejrzystości.
Ważne
Należy również ustalić standardy jakie muszą spełniać umowy z podmiotami zewnętrznymi przetwarzającymi dane osobowe w naszym imieniu, dla przykładu zewnętrzna księgowość, agencja marketingowa, firma hostingowa czy dostawcy systemów lub usług IT.
Sumując - rozpoczynając proces dostosowawczy (jeśli to możliwe) powinniśmy starać się nowe wymogi wprowadzać w funkcjonujący już system ochrony danych osobowych. Przykładowo, zawierając umowy powierzenia danych osobowych na kanwie obecnych przepisów, możemy już wprowadzać zapisy wymagane przez RODO. Musimy jedynie wskazać, iż odpowiednie unormowania umowy będą wiązać strony od 25 maja 2018 r. Dzięki takiemu działaniu jesteśmy w stanie zmniejszyć zakres pracy w procesie aneksowania umów.
Dostosowanie systemów informatycznych
Ze względu na relatywnie krótki czas pozostały do początku stosowania przepisów RODO dla wielu organizacji wielkim wyzwaniem będzie dostosowanie systemów informatycznych. Podczas audytu otwarcia wskazuje się systemy informatyczne służące do przetwarzania danych osobowych i ich ewentualną niezgodność z nowymi przepisami. Jako wynik DPIA i analizy ryzyka opracowuje się plan postępowania z ryzykiem. Na tej podstawie powstaje plan dostosowania środowiska teleinformatycznego.
Ważne
Można z dużą pewnością założyć, że systemy teleinformatyczne będą wymagały zmian mających na celu umożliwienie realizacji nowych praw osób fizycznych, tj. prawa do przenoszenia danych, prawa do bycia zapomnianym, domyślnej ochrony prywatności, minimalizacji przetwarzania danych oraz usuwania zbędnych w stosunku do celu przetwarzania danych.
Dodatkowo pozostaje kwestia bezpieczeństwa systemów IT – trzeba będzie zapewnić, aby systemy wykrywały naruszenia bezpieczeństwa, dla przykładu konieczne mogą się okazać inwestycje w systemy analizowania zdarzeń, aktualizacje systemów operacyjnych urządzeń przetwarzających dane, czy zabezpieczeń technicznych i fizycznych obszaru przetwarzania w tym w szczególności serwerowni.
Szkolenia
Aby nowy system ochrony danych osobowych mógł sprawnie funkcjonować, nie wystarczy jednorazowa realizacja zadań służących dostosowaniu zasad i środków bezpieczeństwa przetwarzania danych osobowych. Do przestrzegania nowych przepisów należy przygotować wszystkich pracowników i współpracowników upoważnionych do przetwarzania danych osobowych w naszej organizacji. Podobnie jak procesy biznesowe, tak i system ochrony danych osobowych nie może stać w miejscu. W związku z tym, ustalając zakres i częstotliwość szkoleń, należy wziąć pod uwagę potencjalne wyzwania, przed którymi mogą stanąć pracownicy. Wśród nich pojawiają się pytania, jakie dane możemy zbierać, jak je zabezpieczać, kiedy usuwać, jak postępować w razie incydentu…
Zastanawiając się nad częstotliwością szkoleń należy wziąć pod uwagę zmieniające się przepisy prawa, postęp technologiczny oraz fakt, że jednym z najważniejszych atrybutów skutecznego poszerzania wiedzy jest powtarzanie. Proponujemy szkolenia wszystkich pracowników i współpracowników w zakresie ochrony danych osobowych przeprowadzać co najmniej raz w roku. Do grupy osób podlegających obowiązkowym szkoleniom należy zaliczyć również osoby mogące przetwarzać dane osobowe, jak chociażby grafików komputerowych, magazynierów, czy personel sprzątający.
Audyt zamknięcia
Audyt zamknięcia, czyli weryfikacja działań dostosowawczych, ze szczegółowym harmonogramem wdrożenia. Jest konieczny, ponieważ w toku audytu otwarcia, opracowania DPIA i analizy ryzyka, powstaje nawet kilkaset rekomendacji oraz powiązanych z nimi zadań. Audyt zamknięcia weryfikuje i ocenia zakres realizacji założonego planu wdrożenia. Należy przy tym pamiętać, że dopiero prawidłowe wdrożenie rekomendacji po audycie zamknięcia daje możliwość osiągnięcia zgodności z wymogami RODO.
Podsumowanie
W trosce o realizację prawa podstawowego obywateli jakim jest prawo do prywatności i ochrony danych osobowych unijny ustawodawca stworzył ogólne rozporządzenie o ochronie danych osobowych. Aby nowe regulacje miały szanse zafunkcjonować przewidział możliwość nakładania wysokich kar finansowych. Jak to często bywa gdy ktoś zyskuje, to ktoś inny traci. To co dla obywateli jest uprawnieniem, dla przedsiębiorców staje się obowiązkiem i kosztem. Działania dostosowawcze szczególnie w dużych organizacjach mogą okazać się kosztowne. Można założyć, że dla wielu z nich będą to wydatki nieprzewidziane w budżecie. Ustawodawca mając tego świadomość dał nam (wszystkim krajom członkowskim Unii Europejskiej) dwa lata okresu dostosowawczego. Czas ten mija 25 maja 2018 r.
Mimo, że przedsiębiorcy na nowe regulacje patrzą często przez pryzmat zbędnej generującej koszty biurokracji należy zauważyć, że dostosowanie się do nich szczególnie w długoterminowym okresie okaże się dla nich korzystne. Z naszego doświadczenia wynika, że mimo obowiązywania obecnych przepisów (od ponad 20 lat) obszar ochrony danych osobowych i bezpieczeństwa informacji w wielu branżach jest dziewiczy. Dzięki nowym przepisom w tym realnej groźbie dotkliwej kary finansowej zostaniemy zmuszeni do systemowej, przemyślanej i skutecznej ochrony tego co dla wielu organizacji jest najcenniejsze, a mianowicie do ochrony informacji. Wśród cennego zasobu każdej organizacji jakim jest zasób informacji znajdują się dane osobowe, a chroniąc dane osobowe niejako samoistnie „parasol ochronny” rozciąga się również na inne informacje stanowiące np. tajemnicę finansową, technologiczną, czy know-how przedsiębiorstwa.
Dodatkowo możliwość uzyskania certyfikatu potwierdzającego przetwarzanie danych osobowych zgodne z przepisami będzie dowodem spełniania przez organizację wysokich standardów w tym zakresie. Co z kolei powinno przełożyć się na budowanie zaufania wśród pracowników, klientów, potencjalnych klientów i kontrahentów oraz pomóc uzyskać przewagę konkurencyjną.
Cytując tytuł filmu zachęcam do chwycenia byka za rogi „Lepiej późno niż później”.