RODO uporządkuje procesy zarządzania danymi

Polskie organizacje dobrze identyfikują i lokalizują posiadane dane, jednak wychodząca naprzeciw zapisom RODO kontrola nad tymi danymi oraz ich przetwarzaniem będzie wymagała od przedsiębiorców przepracowania polityk zarządzania ryzykiem oraz dostosowania środowisk IT.

Właściwa identyfikacja danych oraz kontrola nad miejscami ich przetwarzania to za mało, by mówić o gotowości na RODO. Według wyników badania przeprowadzonego przez „Computerworld” we współpracy z Sygnity i SAS Institute, jedynie niecała połowa polskich organizacji w pełnym zakresie analizuje ryzyka związane z przetwarzaniem danych osobowych, a niewiele więcej niż co dziesiąta posiada rozwiązanie do zarządzania i dokumentowania całościowego przepływu informacji.

Kontrola nad przetwarzaniem i składowaniem danych

Uporządkowane podejście do zapewnienia zgodności z RODO wymaga – po uprzedniej identyfikacji posiadanych danych osobowych – analizy stopnia kontroli nad źródłami przetwarzanych danych. W tym zakresie polskie przedsiębiorstwa radzą sobie nieźle; 63% uczestników badania zadeklarowało pełną kontrolę nad miejscami przetwarzania wszystkich posiadanych danych osobowych, wraz z monitoringiem ich wykorzystania, raportowaniem oraz możliwością ustalenia lokalizacji. Kolejne 18% respondentów udzieliło podobnej odpowiedzi, jednak z zastrzeżeniem, że pełna kontrola dotyczy w ich przypadku tylko danych ustrukturyzowanych. Na różnego rodzaju trudności i braki ograniczające możliwość kontroli i zarządzania danymi wskazało 19% badanych.

Zobacz również:

Interesujące obserwacje niesie rozdzielenie opisanych wyżej wyników na odpowiedzi udzielone przez przedstawicieli dużych i średnich organizacji; o ile pełną kontrolę nad danymi sprawuje 69% firm średniej wielkości, o tyle w przypadku największych przedsiębiorstw i instytucji podobnej deklaracji udzieliło 59% respondentów. Grupa ta częściej z kolei wskazuje różne ograniczenia co do możliwości i zakresu kontroli posiadanych danych osobowych (razem 16%) bądź zupełny brak takiej możliwości (3%) niż w przypadku organizacji o mniejszej skali (odpowiednio 13% i brak wskazań). Duże przedsiębiorstwa mają zwykle najwięcej źródeł danych oraz dziedzicznych, silosowych systemów IT, co w niektórych przypadkach skutecznie uniemożliwia określenie, gdzie i w jaki sposób przetwarzane i składowane są informacje spełniające definicję danych osobowych.

Zarządzanie ryzykiem i stopniem zabezpieczenia danych

Zarządzanie ryzykiem jest jednym z fundamentalnych wymagań RODO. Przepisy rozporządzenia wymagają, by podmioty przetwarzające dane osobowe analizowały poziom ryzyka naruszenia tych danych w odniesieniu do konkretnego kontekstu danej firmy, a także oceniały skutki planowanych działań w zakresie przetwarzania danych (zasada „Privacy by Design”). Na podstawie takiej analizy organizacja będzie musiała wdrożyć adekwatne środki zapobiegawcze – zarówno organizacyjne, jak i technologiczne. Co więcej, przedsiębiorca będzie zobligowany do zapewnienia tzw. rozliczalności, tj. możliwości wykazania i udokumentowania zgodności stosowanych rozwiązań z prawem.Wbrew pozorom może to okazać się bardzo trudne, ponieważ wymaga od firmy zaangażowania w opracownie własnej metodyki zarządzania danymi, a nie odtwórczego wdrożenia odgórnie narzuconego pakietu rozwiązań. Związana z tym odpowiedzialność oraz ryzyko spoczywać będą na administratorach danych.

Zdolność do pełnozakresowego szacowania ryzyka związanego z przetwarzaniem danych osobowych zadeklarował mniej niż co drugi (47%) uczestnik badania. Kolejne 17% respondentów szacuje ryzyka, nie podejmując jednak analiz dotyczących potencjalnych konsekwencji naruszenia danych w którymś z miejsc ich przetwarzania bądź składowania. Więcej niż co trzeci (36%) ankietowany powiedział, że jego organizacja nie różnicuje poziomu ryzyka, w ogóle (!) nie analizuje możliwości wystąpienia naruszeń w obszarze danych osobowych, lub nie potrafił udzielić jednoznacznej odpowiedzi.

Co ciekawe, o ile duże organizacje mają więcej problemów z kontrolą nad miejscami, w których przetwarzane sąich dane, o tyle znacznie lepiej wypadają w odniesieniu do kwestii związanych z szacowaniem ryzyka, z jakim wiąże się praca na danych osobowych. 54% respondentów wywodzących się z organizacji zatrudniających więcej niż 250 pracowników zadeklarowało pełną zdolność do analizy potencjalnych zagrożeń wraz z ich możliwymi konsekwencjami – to o 16 pkt proc. więcej niż w przypadku średnich organizacji. Te ostatnie ponadto dwa razy częściej niż duże (20% w porównaniu do 10%) wskazywały, że nie prowadzą żadnych analiz dotyczących ryzyka wystąpienia naruszeń danych. 22% uczestników badania reprezentujących średniej wielkości firmy i instytucje nie umiało ustosunkować się do pytania o zakres takich analiz. Podobnych deklaracji w grupie ankietowanych z dużych organizacji było o 15 pkt proc. mniej.

Nierozerwalnie związana z analizą ryzyka wystąpienia naruszeń w obszarze bezpieczeństwa danych osobowych jest możliwość ich szyfrowania (np. na poziomie baz danych czy pamięci masowych), a także anonimizacji (trwałe uniemożliwienie identyfikacji tożsamości) lub pseudonimizacji (według art. 4 ust. 5 RODO oznaczającej „przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”).

59% organizacji, których przedstawiciele wzięli udział w badaniu, szyfruje posiadane dane oraz stosuje różnego rodzaju mechanizmy ich anonimizacji i pseudonimizacji. Z takich rozwiązań nie korzysta 23% przedsiębiorstw, w szczególności średniej wielkości (27%, tj. o 7 pkt proc. więcej niż w przypadku dużych organizacji).

Szyfrowanie danych jest jednym z czynników skutecznej kontroli oraz zarządzania danymi pod kątem zapewniania zgodności z RODO rozumianej jako adresowanie właściwego stopnia zabezpieczeń w zależności od skali, na jaką przedsiębiorstwo przetwarza dane, a także kontekstu, w którym działa. Nie dziwi więc fakt, że w grupie organizacji, które pełnozakresowo podchodzą do problemu oceny ryzyka wystąpienia zagrożenia danych, wykorzystanie wymienionych wyżej mechanizmów jest zauważalnie częste niż w ogóle próby (72%). A contrario, w firmach, które w ogóle nie analizują ryzyka związanego z przetwarzaniem danych osobowych, szyfrowanie danych, pseudonimizację czy anonimizację wykorzystuje raptem 31% respondentów, zaś dokładnie połowa z nich w ogóle nie stosuje takich rozwiązań.

Podobna korelacja zachodzi w przypadku kontroli nad miejscami przetwarzania danych. Wśród firm, które kontrolują jedynie część swoich danych, nie kontrolują ich wcale bądź nie potrafią określić stopnia kontroli, wykorzystanie mechanizmów anonimizacji, pseudonimizacji oraz szyfrowania danych było 30 pkt proc. niższe niż w przypadku ogólnej puli respondentów.

IT z myślą o RODO

Istotna będzie rola właściwego zaplecza technologicznego w zagwarantowaniu zgodności z RODO. Konieczna będzie pełnozakresowa kontrola nad miejscami przetwarzania danych, dostarczenie mechanizmów umożliwiających ich monitoring, usuwanie na życzenie – w tym z kopii bezpieczeństwa czy zarchiwizowanych zbiorów danych, czy też stworzenie notyfikacji dotyczących naruszeń danych.

Wśród uczestników badania jedynie niewielka część posiada przygotowane do wejścia w życie RODO zaplecze IT (11%). Znaczna część respondentów zadeklarowała jednak, że w ich firmach i jednostkach rozpoczęto już prace mające na celu skatalogowanie całościowego przepływu informacji w organizacji w kontekście danych osobowych (32%).Warto zaznaczyć, że wskazań tych udzieliło blisko dwa razy więcej przedstawicieli dużych organizacji niż średniej wielkości przedsiębiorstw (39% do 22%).

Kolejne 28% ankietowanych stwierdziło, że w ich firmach wykorzystuje się różnego rodzaju silosowe systemy do zarządzania danymi, zaś 11% nie potrafiło wskazać jednoznacznej odpowiedzi.

Blisko co piąta (18%) organizacja nie ma rozwiązań do zarządzania danymi. W grupie tej wyraźnie dominują respondenci z firm o mniejszym zatrudnieniu (27% wskazań w porównaniu do 13% wśród dużych przedsiębiorstw).

Jak w tym kontekście wyglądają plany inwestycyjne i rozwojowe polskich organizacji? Blisko co trzecia (32%) firma jest w trakcie adaptacji lub wdrażania systemu do zarządzania danymi, bądź też planuje podjąć taki wysiłek w ciągu najbliższych miesięcy, poprzedzających wejście w życie RODO, tj. 25 maja 2018 roku. Plany inwestycyjne wykraczające poza tę datę ma 7% przedsiębiorstw. Ankietowani często deklarowali brak planów dotyczących wdrażania bądź wymiany rozwiązania do zarządzania danymi (36%), a co czwarty respondent nie potrafił odpowiedzieć na pytanie dotyczące zakupów w tym obszarze.

Udział organizacji realizujących wdrożenia rozwiązań klasy Data Governance bądź planujących wdrożenie w ciągu najbliższego roku jest zauważalnie wyższy wśród tych, które deklarowały trwający proces katalogowania całościowego przepływu informacji w kontekście danych osobowych (o 14 pkt proc. niż w ogólnej puli badanych), oraz – w mniejszym stopniu – w grupie przedsiębiorstw mających dane zarządzane silosowo (o 6 pkt proc. więcej niż w przypadku ogółu respondentów). Obserwacja ta wskazuje, że efektami wejścia w życie RODO będzie m.in. integrowanie i porządkowanie zbiorów danych oraz ujednolicenie sposobów zarządzania nimi.

Co ciekawe, w grupie firm, które nie mają rozwiązań do zarządzania danymi, aż 43% respondentów nie potrafiło jednoznacznie odpowiedzieć na pytanie dotyczące planów ich wdrażania. Wiele organizacji analizuje prawdopodobnie, czy zapewnienie zgodności z RODO będzie wymagało zastosowania narzędzi IT. Liczne wskazania odpowiedzi „trudno powiedzieć” sugerują, że znaczna część polskich firm wciąż nie wie, w jaki sposób ma antycypować przepisy wynikające z RODO.

Kontrola nad danymi i co dalej?

Ani poprawne identyfikowanie i lokalizowanie źródeł danych osobowych w organizacji, ani szacowanie ryzyka czy kontrola nad miejscami przetwarzania danych nie oznaczają, że dane przedsiębiorstwo jest przygotowane na RODO. Nawet jeżeli firma wie, gdzie i kto przetwarza dane w jej imieniu, oraz potrafi ocenić potencjalne konsekwencje naruszeń, wciąż musi dostosować swoje zaplecze technologiczne do takich wymogów, jak prawo do bycia zapomnianym i przenoszenia danych czy też rozróżnienia zgód na poszczególne rodzaje usług.