System do zarządzania bezpieczeństwem informacji. Szkolenia ABI, GIODO, RODO, UODO | Securio24
  • Kategorie
    • GIODO
      • ABI
    • RODO
      • Inspektor Ochrony Danych
    • ODO
    • UODO
  • Sprawdź nas!
Inspektor Ochrony Danych , ODO , RODO

Zmiany w organizacji związane z RODO – 3 etapy

by Securio24 styczeń 3, 2018 Brak komentarzy
Zmiany w organizacji związane z RODO

W związku ze zbliżającym się terminem rozpoczęcia stosowania RODO, popularne jest określanie RODO jako swoistej rewolucji w obszarze ochrony danych osobowych – co w mojej ocenie nie jest do końca uzasadnione. Oczywiście, zmiany, które niosą ze sobą przepisy RODO, są istotne w aspekcie prowadzenia procesów przetwarzania danych oraz innych procesów zachodzących w organizacji, funkcjonalnie połączonych z przetwarzaniem – np. z procesami biznesowymi. Ale czy faktycznie mają one charakter rewolucji? I jakie zmiany w organizacji związane z RODO musimy wprowadzić?

Idea poszanowania prawa do prywatności

Weryfikując motywy oraz treść RODO można stwierdzić, że tak naprawdę idea poszanowania prawa do prywatności pozostała niezmieniona, a główne założenia Dyrektywy 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych zostały zachowane. Nastąpiło co prawda rozbudowanie pewnych mechanizmów uprawnień podmiotów danych, administratorzy uzyskali szersze możliwości stosowania środków ochrony i przetwarzania, dodano nowe regulacje definiujące (red. wreszcie) istniejące już od dawna procesy, np. profilowanie – czyli de facto dostosowano do rzeczywistości prawo, które do tej pory nie nadążało za postępem cyfryzacji oraz możliwości wykorzystania danych osobowych. Jako rewolucję można natomiast traktować bezpośrednie stosowanie kar za nieprzestrzeganie przepisów. Nie będzie na wyrost stwierdzenie, że do tej pory sankcje za niewłaściwe, niezgodne z prawem przetwarzanie nie były skutecznie egzekwowane. Może przyczyna określenia reformy ochrony danych mianem „rewolucji” tkwi więc w skali dysproporcji obecnych kar za naruszenie przepisów prawa ochrony danych osobowych w stosunku do tych wynikających z RODO? Można odnieść też wrażenie , że zmiany w organizacjach pod kątem przetwarzania danych nie są motywowane ideą ochrony prywatności, ale potencjalnym ryzykiem odpowiedzialności, która może sięgnąć nawet 20 mln Euro bądź 4 % światowego obrotu.

Zmiana podejścia

W tym miejscu wkraczamy w sferę tytułowych zmian. Otóż pierwszą z nich i zarazem najważniejszą jest właśnie zmiana podejścia do danych osobowych oraz ich ochrony. RODO, delikatnie mówiąc, sugeruje podmiotom przetwarzającym, aby na dane spojrzeć nie tylko przez pryzmat ich wartości, ale również poszanowania prawa do prywatności. Niedawno spotkałem się z określeniem danych osobowych jako nowej ropy naftowej – określenie bardzo trafne z uwagi na fakt, że gospodarka przesuwa się z twardych podstaw „węgla i stali” na bajty informacji. Co więcej bajty te są bardziej wartościowe (co doskonale pokazują wskaźniki podmiotów opierających swoją działalność właśnie na informacji) przez co proces przetwarzania często wykracza poza normy poszanowania prawa do prywatności w obliczu gigantycznych przychodów – bo po co wiedzieć tylko tyle, ile potrzebujemy, jeżeli możemy wiedzieć więcej i… jeszcze na tym zarobić. Wobec powyższego podmioty przetwarzające dane powinny w pierwszej kolejności ponownie spojrzeć na posiadane zasoby informacji i zweryfikować właściwość ich przetwarzania pod kątem art. 5 RODO, tj. zasad dotyczących przetwarzania. Działania powinny skupić się na:

  • jasnym zdefiniowaniu procesów przetwarzania;

  • weryfikacji formalnej podstawy oraz celu przetwarzania a także zakresu niezbędnych danych do jego realizacji;

  • zbadaniu prawidłowości danych oraz określeniu okresu ich wykorzystania;

  • analizie procedur gwarantujących zachowanie integralności oraz poufności danych.

Oczywiście konieczne będzie też zastosowanie narzędzi umożliwiających np. generowanie raportów, w zakresie wykazania organowi nadzoru właściwości procesów przetwarzania określonych powyżej.

O ile pierwsza zmiana ma charakter bardziej ideologiczny oraz inwentaryzacji zasobów i procesów przetwarzania, to kolejne mają za zadanie organizacyjnie i biznesowo dostosować przetwarzanie pod kątem spełnienia obowiązków wskazanych wprost w RODO. Z uwagi na fakt, że artykuł ma na celu odniesienia się do organizacji jako struktury, pominę w opracowaniu zmiany dotyczące stricte warunków formalnych związanych z procesem przetwarzania np. wypełnienia obowiązku informacyjnego, spełnienia warunków wyrażenia zgody, czyli takie o charakterze formalnym.

Zmiany w organizacji związane z RODO, a procesy

Trudno określić jest skalę koniecznych zmian procesów towarzyszących przetwarzaniu ze względu na fakt, że procesy te są zróżnicowane i zależne od wielu indywidualnych czynników charakteryzujących działalność oraz od potrzeb określonej organizacji. Poza tym sam proces przetwarzania danych połączony jest funkcjonalnie z innymi procesami w organizacji określającymi m.in. cele oraz metody, a także formy prowadzonej działalności. Niemniej jesteśmy w stanie wskazać fazy procesu przetwarzania w zakresie których należy dokonać konkretnych czynności mających na celu wypełnienie dyspozycji przepisów RODO. W mojej ocenie proces przetwarzania (sensu largo) dzieli się na 3 główne fazy:

  1. Projektowania – w zakres którego wchodzi m.in. zdefiniowanie potrzeb gromadzenia danych określenie celu, zakresu, ochrony oraz metod i narzędzi ich przetwarzania.

  2. Wdrożenia – podjęcie zaplanowanych działań zgodnie z wyznaczonymi kryteriami mającymi na celu osiągnięcie potrzeb gromadzenia.

  3. Zarządzania – stałe badanie właściwości procesu przetwarzania zgodnie z wyznaczonymi kryteriami oraz zasadami.

Etap projektowania

Podmioty gromadzące dane osobowe często na samym początku definiowania potrzeb oraz procesów związanych z gromadzeniem i przetwarzaniem danych osobowych, pomijają aspekt ochrony praw osób (vide zmiana w podejściu), których dane są gromadzone. Wychodząc temu naprzeciw, RODO w art. 25 wyraźnie zobowiązuje administratorów danych do uwzględnienia w aspekcie ochrony praw osób, których dane gromadzi, czynników mających na celu skuteczną realizację zasad ochrony oraz nadanie przetwarzaniu skutecznych zabezpieczeń tzw. privacy by design. Przepis art. 25 tworzy otwarty katalog możliwych do zastosowania środków, jednak wskazuje bezpośrednio pseudonimizację oraz minimalizację – bardziej jako przykład środków do zastosowania. Kolejno w art. 25 ust. 2 pojawia się wymóg stosowania środków technicznych i organizacyjnych w celu realizacji zasady adekwatności w tym, w szczególności w ujęciu wewnętrznym (w zw. z ustaleniami praw dostępu do danych wewnątrz organizacji) – privacy by default. Następnym ściśle powiązanym procesem z fazą projektowania jest tzw. ocena dla skutków przetwarzania – Data Protection Impact Assessment wynikająca z art. 35 RODO. Niektóre rodzaje przetwarzania mogą powodować wysokie ryzyko naruszenia praw lub wolności podmiotów danych. W takiej sytuacji administrator, przed ich rozpoczęciem, powinien dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Wobec powyższego można wskazać, że administrator po zdefiniowaniu zakresu danych niezbędnych do realizacji celu i przed rozpoczęciem procesu przetwarzania powinien dokonać analizy całości właśnie w aspekcie art. 25 oraz art. 35 RODO. O ile w dużych organizacjach procesy te zostały zaimplementowane na gruncie wdrożenia norm ISO (szczególnie z serii ISO/IEC 27000), o tyle mniejsze podmioty całkowicie nie mają świadomości konieczności przeprowadzenia takich działań. W dużym skrócie podmioty posiadające zdefiniowane procedury realizacji projektów powinny uwzględnić wprowadzenie w procedurze postanowień odpowiadających art. 25 oraz art. 35, które zagwarantują właściwe zbadanie tematyki ochrony danych (nie tylko w ujęciu technicznym i narzędziowym) np. poprzez określenia punktu kontrolnego procedury w postaci „ochrona danych – środki oraz narzędzia ochrony, forma, właściwości przetwarzania”, a podmioty, które nie mają w ogóle takich procedur, powinny je przygotować i wdrożyć – nie tylko wobec obowiązku wynikającego z przepisów RODO, ale również w celu podniesienia jakości zarządzania realizacją projektów. Trudność w tym zagadnieniu jest taka, że kwestie ochrony i środków zastosowanych do jej realizacji są określone uznaniowo – czyli to administrator powinien zadbać o właściwość podjętych działań i w związku z tym poniesie odpowiedzialność w sytuacji stwierdzenia przez organ nadzory ich niewłaściwej skali.

Etap wdrożenia

Etap ten powinien polegać na sukcesywnym wprowadzaniu w życie zaprojektowanych założeń zgodnie z ustalonymi kryteriami. W zakresie zmian ponownie nasuwa się konieczność stałej weryfikacji wdrożenia pod kątem właściwego spełnienia obowiązków wynikających m.in. z zasad privacy by design czy privacy by default, testowanie oraz ewentualne dopracowanie finalnie rozwiązań do kształtu gwarantującego odpowiednie zabezpieczenie gromadzonych danych oraz spełnienie kryteriów praw podmiotów danych. Niestety z doświadczenia wiem, że zbyt często na poziomie wprowadzania w życie projektu obowiązuje zasada „jakoś to będzie” i „zacznijmy, a później będziemy się martwić” – w aspekcie RODO jest to niedopuszczalne. Warto też przed rozpoczęciem gromadzenia danych (szczególnie w sytuacji przetwarzania z wykorzystaniem systemów IT), zlecić pomiotowi zewnętrznemu weryfikację jakości i prawidłowości zastosowanych rozwiązań pod kątem formalnym oraz technicznym.

Ponadto zalecałbym również faktyczne sprawdzenie pod kątem kryteriów RODO zewnętrznych dostawców usług np. hostingu, serwisu powdrożeniowego systemu IT, księgowości, kadr, marketingu oraz formlanego ułożenia stosunku przekazywania danych do przetwarzania zgodnie z warunkami art. 28 RODO.

Etap zarządzania

Zarządzanie procesami przetwarzania (już wdrożonymi) skupia się głównie na stałym badaniu właściwości procesu zgodnie z wyznaczonymi kryteriami oraz reagowaniu na zdarzenia mogące wpływać negatywnie na sam proces (ataki, naruszenia, incydenty) bądź też podejmowaniu czynności koniecznych do przeprowadzenia w związku z realizacją np. uprawnień podmiotów, których dane są przetwarzane, bądź organu nadzorczego w zakresie kontroli. Dlatego warto określić warunki wykonywania czynności monitoringu i nadzoru oraz reakcji na poszczególne zdarzenia z określeniem zdefiniowanych ról osób zaangażowanych w proces przetwarzania. W sytuacji posiadania sprecyzowanych procedur, zaangażowane osoby mają świadomość swoich obowiązków oraz zazwyczaj wiedzą dokładnie, co w określonej sytuacji powinny zrobić, bądź też jakie działania zaradcze podjąć. Warto w strukturach jednostki wydzielić też osoby konkretnie odpowiedzialne za weryfikację spełnienia obowiązków związanych z ochroną danych osobowych – RODO wskazuje na możliwości powołania do tego celu Inspektora Ochrony Danych. Dobrym rozwiązaniem może okazać się również zlecanie okresowo wykonywania sprawdzeń/audytów przez zewnętrzne podmioty wyspecjalizowane w ochronie danych osobowych i cyberbezpieczeństwie.

Marcin Kaleta

dane osobowegdprochrona danych osobowychodorodo

  • Previous RODO jako szansa dla firm7 lat temu
System zarządzania bazami danych Securio24

NAJPOPULARNIEJSZE POSTY

  • Inspektor Ochrony Danych Kim będzie Inspektor Ochrony Danych wg RODO
  • RODO jako szansa dla firm RODO jako szansa dla firm
  • Ochrona danych osobowych w służbie zdrowia i branży medycznej
ITLS
  • IT Law Solutions Sp. z o.o.
  • ul. Taneczna 78, 02-829 Warszawa
  • NIP: 951-235-88-09
  • REGON: 146238671
  • KRS: 0000428687
  • Polityka prywatności