GDPR wymaga działania. Teraz!

CIO Executive Rozporządzenie GDPR/RODO wprowadza rewolucję w podejściu do ochrony danych osobowych, wymagając od firm rozliczalności i faktycznego, a nie formalnego zaangażowania się w kwestie ochrony danych osobowych. Czasu na zmianę pozostało niewiele.

General Data Protection Regulation - Rozporządzenie o Ochronie danych Osobowych (GDPR/RODO), o którym pisaliśmy już na łamach cxo.pl wskazując kontynuację i rozwój instytucji i regulacji z dotychczasowego ustawodawstwa będzie jednak dla większości firm powodem do zmian w architekturze i procesach opartych na rozwiązaniach IT. Dla mniejszych i nawet średnich firm może być to zbyt duży ciężar do udźwignięcia, tym samym GDPR/RODO stanie się kluczowym katalizatorem outsourcingu IT. Z kolei wraz ze skalą organizacji rośnie prawdopodobieństwo konieczności wprowadzenia fundamentalnych zmian w stosie technologii, w szczególności w wymiarze zapewnienia bezpieczeństwa i poufności.

Nie ma czasu do stracenia

25 maja 2018 r. na terenie Unii Europejskiej wchodzą w życie zasady zawarte w GDPR/RODO– rozporządzeniu Komisji Europejskiej zastępuje liczące 20 lat regulacje i zasady w obszarze ochrony danych osobowych.

Czasu pozornie tylko jest dużo. W istocie – jest to niewiele ponad 330 dni roboczych. Jeśli dostosowanie firmy wymagałoby wdrożenia rozwiązania IT, to dla większych organizacji – jest to już termin za krótki. Co więcej, w budżetach większości polskich firm najprawdopodobniej nie ma pozycji związanych z wdrożeniem zmian zgodnych z GDPR/RODO. O ile nie wykorzysta się rezerw – zapis w przyszłorocznym budżecie może pojawić się zbyt późno aby zrealizować wszystkie zmiany na czas.

GDPR/RODO TERRA INCOGNITA

52% polskich firm nigdy nie słyszało o GDPR, natomiast aż dwie trzecie pozostałych (67%) z nich nie zdaje sobie sprawy z tego, ile czasu pozostało na wdrożenie rozporządzenia.

50% nie dysponuje procedurami i technologiami zapewniającymi konsumentowi prawo do bycia zapomnianym, tymczasem rozporządzenie GDPR przyznaje osobom fizycznym prawo do bycia zapomnianym, czyli zażądania niezwłocznego usunięcia danych osobowych.

42% organizacji nie ma wdrożonych żadnych procedur informowania organu ochrony danych o zaistniałych naruszeniach. A takie są niezbędne do tego, aby realizować założenia nowego prawa, które obliguje firmy do zgłoszenia incydentu w ciągu maksymalnie 72 godzin od jego wystąpienia. W razie zaniechania takiego działania, przedsiębiorstwa te mogą być ukarane grzywną w wysokości nawet 4% rocznych obrotów. Prawie trzy czwarte firm (72%) uważa, że taka kara jest bardzo dotkliwa.

Żródło: ARC Rynek i Opinia. Ankieta z jesieni 2016 r. na grupie odpowiedzialnych za ochronę danych przedstawicieli 200 firm zatrudniających powyżej 100 osób.

„To będzie krótka ustawa”...

GDPR/RODO ma posłużyć przez 20 lat. Stąd sposób wprowadzania – poprzez rozporządzenie i pozostawienie krajowym legislatorom minimalnego pola do manewru i szczegółowych, lokalnych regulacji. Ochrona danych osobowych na obszarze Unii Europejskiej ma dzięki temu ulec standaryzacji, ujednoliceniu. To dopiero pozwoli uzyskać pierwszoplanowy cel autorów GDPR/RODO z Komisji Europejskiej: realne podniesienie konkurencyjności poprzez zapewnienie bezpiecznego, zaufanego cyfrowego ekosystemu dla nowoczesnej gospodarki.

„To będzie krótka ustawa - celem legislacji przygotowywanej przez Ministerstwo Cyfryzacji jest nałożenie tylko niezbędnych obowiązków wynikających z rozporządzenia i dyrektywy GDPR/RODO. Jej projekt zostanie przedstawiony wiosną 2017 (do połowy kwietnia)” – potwierdza Maciej Kawecki, doradca ministra w gabinecie politycznym Ministerstwa Cyfryzacji.

Jak wyjaśnia, jest to podyktowane troską o skuteczność w egzekucji prawa przez organy wyznaczone ustawą, m.in. nadanie następcy dzisiejszego GIODO kształtu, który umożliwia szybkie egzekwowanie prawa ale nie w sposób sformalizowany – ze względu na penalizację i wysokość kar. Rola ministerstwa nie ogranicza się do stworzenia przepisów, wydania aktów wykonawczych i egzekucji, ale ma także kształtować politykę państwa w obszarze ochrony danych osobowych – stąd wymóg budowania świadomości. Oprócz ogólnej zmiany w postaci prawa będą setki zmian, za które będą odpowiadały odpowiednie resorty. Zmiany te wejdą jednocześnie jako pakiet legislacyjny.

„Ustawodawca krajowy niewiele pomoże. Rozporządzenie zastępuje tę rolę w odniesieniu do ustawodawców krajowych – na poziomie krajowym i europejskim. O kluczowych kwestiach będzie wypowiadać się europejska rada ochrony danych osobowych. Te wypowiedzi będą miały niewiążący; podobny charakter będą miały opinie wydawane przez polski organ ochrony danych osobowych. To co, do tej porty mieliśmy w aktach wykonawczych, będziemy mieli w opiniach i wytycznych wydawanych przez organy ochrony danych osobowych” – mówi Piotr Drobek, z-ca dyrektora departamentu edukacji społecznej i współpracy międzynarodowej, GIODO.

Miecz GDPR/RODO

Najpowszechniej być może znaną nowością GDPR jest górna granica kar administracyjnych za naruszenia w ochronie danych osobowych.

Lżejsze przewinienia karane mogą być grzywną w kwocie do 10 mln EUR, albo 2% całkowitego światowego obrotu podmiotu, natomiast

cięższe naruszenia wiązać się będą z karami w kwocie do 20 mln EUR, albo 4% całkowitego światowego obrotu, przy czym bierze się pod uwagę tę kwotę, która jest wyższa w przypadku danego podmiotu.

Według Rafała Szyndlauera, analityka politycznego w Regionalnym Przedstawicielstwie Komisji Europejskiej w Polsce, wiele zależy od postawy karanego, dążenia do zapobieżenia lub naprawienia naruszenia; zaś imponująca wysokość maksymalnych kar (choć niższa w stosunku do planowanych pierwotnie maks. 100 mln EUR) wynika z charakteru współczesnej gospodarki, w której potentaci przetwarzania danych dysponują ogromnymi środkami finansowymi.

GDPR to pierwsze rozporządzenie nakładające kary bez wprowadzenia do prawa krajowego. Wysokość kary określa 11 kryteriów. Organy nadzorcze muszą zbudować metodykę taryfikatora, aby ujednolicić zasady nakładania kar. Wiadomo, że wyłączone jest kryterium sytuacji ekonomicznej państwa, wpływ na wysokość kary ma jedynie sytuacja ekonomiczna w odniesieniu do osoby fizycznej. Jeśli naruszenie nastąpi na terenie Polski a jednostka centralna jest w innym państwie, kara zostanie nadana w kraju centrali.

... która wszystko zmienia...

Do punktu zero – 25 maja 2018 r., kiedy rozporządzenie zacznie obowiązywać - zostało kilkanaście miesięcy. Nie można zacząć myśleć o wdrożeniu jego wymogów dopiero wtedy, nawet jeśli w oparciu o dostępny dokument rozporządzenia i powstające opinie nie wiemy, jak stosować i co wdrożyć.

Piotr Drobek uspokaja: „Choć GDPR/RODO, to nowe spojrzenie, zarazem istota zmiany jest znana. Kwestie, które powinny być wyjaśnione przez organy ochrony danych – stopniowo są ogłaszane w opiniach i dokumentach przyjmowanych przez grupę roboczą ds. artykułu 29, której GIODO jest członkiem. W grudniu 2016 r. grupa przyjęła np. trzy dokumenty: dotyczące inspektora ochrony danych, kryteriów pozwalających określić organ właściwy w procedurze one stop shop, dokument dotyczący realizacji prawa do przenoszenia danych. Różnią się zawartością, ale maja charakter praktyczny. Pomagają w ujednoliceniu pojęć i pomóc w procesach dostosowawczych”.

... i składa odpowiedzialność na barkach firm

Podejście zaprezentowane w GDPR/RODO można dobrze porównać do modelu zastosowanego w Polsce przez KNF przy wprowadzaniu systemu wytycznych dla sektora bankowego (rekomendacja D): wdrażaj, albo wyjaśnij, dlaczego nie wdrażasz. Zawiera jednak przy swoim ogólnym charakterze aparat określający ramy dialogu z organami nadzorującymi. Językiem jest język oceny i zarządzania ryzykiem – który ma być wprowadzony do obszaru zarządzania danymi osobowymi powierzonymi firmie. To także język zarządzania procesowego i podejście procesowe w interpretacji sytuacji i własnego biznesu stoją w istocie za GDPR/RODO.

Dlaczego to duża odpowiedzialność? Ponieważ wymaga analizy własnego obecnego i planowanego podejścia do danych. Nie implementacji odtwórczej, ale zaangażowania w wytworzenie własnego, adekwatnego do biznesu systemu ochrony danych osobowych. To niczym zmiana przy przejściu ze szkoły średniej na dobry uniwersytet: profesor wymaga samodzielnej kreatywności, a nie pracy odtwórczej. Prawodawca traktuje firmy tak, jak dorosłych, a nie jak dzieci: nie narzuca, ale oczekuje poważnego zaangażowania.

„Rozporządzenie przenosi ciężar z obowiązków rejestracyjnych, notyfikacyjnych na model realizowany przez zasadę rozliczalności. Firmowy administrator danych wdraża zasady ochrony danych, operacjonalizuje je i musi umieć wykazać, że dokonał właściwego wdrożenia. To daje większa elastyczność, co było postulatem w stosunku do dotychczasowych przepisów. Odpowiedzialności i ryzyko są po stronie administratora danych” – mówi Piotr Drobek.

Technologiczna neutralność

Rozwiązania technologiczne zmieniają się dynamicznie, dlatego rozporządzenie mówi o stosowaniu adekwatnych i współczesnych rozwiązań do realizacji wymogów. To warunkuje postulowaną długowieczność legislacji wchodzących w życie w 2018 r. Technologia, która w intencji twórców rozporządzenia ma być neutralna i transparentna w stosunku do nowych reguł i nowego podejścia, jest zarazem możliwa do wyinterpretowania.

W ocenie dostawców technologii, GDPR/RODO uwzględnia i odpowiada na rozwój technologii idący w stronę integracji i konsolidacji bezpieczeństwa oraz uwzględniający trend usługowy realizowany w modelu chmurowym. „Oracle nie przygotowywał nic w związku z GDPR/RODO, ale przed powstaniem rozporządzenia postawił na bezpieczeństwo jako nieodzowny element swojej oferty. Dostępne mechanizmy bezpieczeństwa, które oferuje Oracle zarówno dla warstwy baz danych jak i warstwy aplikacji w zupełności odpowiadają podejściu zaprezentowanemu w rozporządzeniu” – mówi Krzysztof Grabczak, odpowiedzialny za sprzedaż rozwiązań bezpieczeństwa w Oracle.

Pułapki GDPR/RODO

Privacy impact assesment – analiza ryzyka utraty prywatności wydaje się zagadnieniem prostym, ale wymaga dobrego zdefiniowania, jaki wkład będzie przekazywany w tej analizie wykorzystywany. Bardzo dobrego przemyślenia wymaga określenie i uzasadnienie własnego apetytu na ryzyko. Nieadekwatne oszacowanie może prowadzić z jednej strony do paraliżu operacyjnego, a z drugiej – do kontroli.

Privacy by default oraz privacy by design – w dobrych organizacjach CSO będzie przekonywał, iż posiada już proces uwzględniający bezpieczeństwo w fazie projektowania rozwiązań i na koniec odpowiednie testy. Tymczasem security by design nie w pełni pokrywa się zakresem z zagadnieniem privacy.

Privacy by design w przyszłości okazać się hamulcowym inicjatyw marketingowych, jeśli zostanie zaprojektowane w taki sposób, że analiza ryzyka będzie zbyt często ujawniać kategorie ryzyka wymagające konsultacji z organem nadzorującym. Można sobie wyobrazić, że np. zestawienie ad hoc sezonowych kampanii marketingowych może się w takiej sytuacji okazać nierealne, jeśli odpowiedzi z (prawny następca) GIODO przyjdą w ciągu kilku tygodni po przesłaniu zapytania.

Breach response plan – w rozumieniu RODO nie jest zwykłym plan reakcji na incydent. Jeśli wystąpi incydent, a firma nie dysponuje własnym zespołem śledczym, trzeba mieć możliwość zorganizowania tego samego dnia zespołu złożonego z prawnika, który oceni sytuację pod względem prawnym, eksperta informatyki śledczej, który zinterpretuje wydarzenie oraz specjalistę bezpieczeństwa, który wymyśli sposób naprawienia sytuacji. Dopiero z takim zespołem można stworzyć właściwe i pełne stanowisko. BRP może także okazać się pułapką, jeśli nasze własne instrukcje nie są dostatecznie przemyślane. Polecany przykład najprostszego ćwiczenia, to rozpatrzenie scenariusz zgrywanie danych na pendrive w świetle RODO. Czy nawet nie powodujące wycieku danych osobowych zgranie przez pracownika danych na pendrive będzie incydentem wymagającym odnotowania w rejestrze incydentów? Jakie wówczas jest ryzyko, że tym samym rejestr incydentów stanie się kroniką wydarzeń błahych ale rodzących biurokratyczny narzut?

Rejestr incydentów nie może być pusty – i na odwrót, niż w sytuacji powyższej, bardzo liberalne ustawienie reguł i instrukcji, powodujące, że bardzo trudno jakiekolwiek zdarzenie podciągnąć pod kategorię incydentu - sprawia złe wrażenie i zachęca organ nadzorujący do kontroli.

Socjotechniczny atak DDoS - interakcja z podmiotem danych – to wyjątkowo grząski grunt; można wyobrazić sobie sytuację, kiedy codziennie otrzymuje się od danej osoby prośbę, o przekazanie informacji o przechowywanych danych i statusie udzielonych zgód. To stwarza warunki do zjawiska, które można nazwać socjotechnicznym atakiem DDoS; kiedy np. na internetowym forum banku albo w sieci społecznościowej pojawi się mobilizujący apel: „wszyscy klienci, którzy mają złą marżę – piszmy prośbę o podanie informacji o przechowywanych danych”. Interakcja z podmiotem danych wymaga zatem uporządkowania i ujęcia w karby, np. ustalenia, że na wszystkie zgłoszenia odpowiedź udzielana jest zbiorczo raz na 30 dni.

Skuteczne usuwanie danych osobowych - jest w dzisiejszych warunkach scyfryzowanej firmy po prostu trudne. Powinna istnieć procedura informująca, jaki rekord i z jakich systemów powinien być usunięty. Wymaga to analizy dla każdego systemu i analizy architektury informacji. Konieczna jest także analiza, w jaki sposób decyzja i procedura o usunięciu danych jest skuteczna dla hurtowni danych. Na skuteczne usuwanie danych z systemów back-up’owych w praktyce nie ma dziś pomysłu technicznego. GIODO wymaga, aby po zakończeniu przetwarzania danych, wszelkie dane na ten temat zostały usunięte z systemów i kopii zapasowych. Oznaczałoby to, że do celów back-upowych trzeba posiadać dodatkowe środowisko, gdzie ze wszystkich systemów usuwane są wskazane informacje. Albo zdefiniować back-up z retencją jednodniową, na co jednak dobry CSO nigdy by się nie zgodził.

RODO a’la silos; bardzo starannie należy przestrzegać zasady, że rozporządzenie RODO nie jest wyłącznie tematem prawników, albo pracowników działu compliance lub bezpieczeństwa. Na każdym etapie implementacji i posługiwania się RODO w firmie musi istnieć integracja działań i wzajemna komunikacja.

Cechy rozwiązań technologicznych zgodne z podejściem reprezentowanym w rozporządzeniu, to zdaniem przedstawicieli Oracle w szczególności dziedziczność bezpieczeństwa – przez wszystkie warstwy sprzętowe i oprogramowania, zapewnienie nieprzerwanego działania funkcji bezpieczeństwa, oraz transparentność z punktu widzenia aplikacji.

„Jeśli godzimy się, że dla spełnienia wymogów GDPR/RODO trzeba zapewnić, aby dane były bezpieczne na każdym etapie przetwarzania, to najpełniej realizowane jest to przez dziedziczenie bezpieczeństwa wskroś całego stosu technologicznego Oracle” – mówi Kamil Kurowski, Dyrektor Generalny Sprzedaży Technologii w Oracle Polska.

I wyjaśnia: „Mówimy o zabezpieczeniu informacji i danych przez cały czas jej przetwarzania. Jeśli posługująca się danymi aplikacja jest dobrze chroniona, wówczas atak może zostać skierowany na platformę, na której aplikacja działa. Jeśli także to ogniwo jest zabezpieczone, luki poszukuje się w systemie operacyjnym. Jeszcze bardziej uszczelnić można tylko „w krzemie” – na poziomie procesora, a więc na samym początku przetwarzania informacji. I Oracle zapewnia procesor w pełni uniemożliwiający nieuprawniony dostęp do pamięci, w sposób nie obniżający wydajności aplikacji wykorzystującej dane na końcu łańcucha (w ostatnim czasie nastąpił zasadniczy postęp, niwelujący narzut wydajnościowy szyfrowania z 10% do poniżej 1%). Dane muszą być one zaszyfrowane i odszyfrowane na ostatnim etapie, w procesorze, a nie w aplikacji. Tym samym liczba miejsc, gdzie można je zaatakować jest zredukowana do minimum”.

Kompletność i platformowość w zakresie tożsamości i bezpieczeństwa także są z ducha podejściem wspierającym GDPR/RODO. „Oracle, który jest w ocenie firm analitycznych liderem w obszarze Identity Governance and Administration ze względu na platformowość, umożliwia znaczące uproszczenie integracji przy wdrażaniu tego typu rozwiązań, co skutkuje dużo niższymi kosztami jego utrzymania oraz późniejszego rozwoju.” – mówi Krzysztof Grabczak.

Zarządzanie uprawnieniami i dostępem do zasobów w organizacji jest jednym z ważnych zagadnień poruszanych w GDPR/RODO, szczególnie istotnym w obszarze użytkowników uprzywilejowanych takich jak administratorzy. „Mówiąc obrazowo: administrator bazy danych lub systemu pozostanie wyłącznie administratorem, ponieważ będzie miał ograniczone możliwości działania wyłącznie do czynności administracyjnych. Pozostałe operacje uznane jako obarczone ryzykiem lub niezgodne z obowiązkami administratora zostaną ograniczone, co oznacza, że nie będzie miał on możliwości wykonywania czynności takich jak np.: przeglądanie informacji. Podobnie w przypadku deweloperów lub testerów aplikacji, jeżeli do testowania nowych systemów używają danych produkcyjnych, rodzi to ryzyko utraty poufnych danych. Z tego względu warto uwzględnić to ryzyko, korzystając z mechanizmów anonimizacji danych dla środowisk testowych i developerskich. Na wykorzystanie pseudonimizacji dla adresowania ryzyk wskazuje GDPR/RODO” – mówi Krzysztof Grabczak.

W opinii przedstawicieli Oracle, artykuł 25 rozporządzenia poświęcony „data protection by design and by default” może być wspierany poprzez zastosowanie konkretnych technologii oraz oferty usług chmurowych, pozwalających z jednej strony na elastyczność biznesową poprzez wykorzystanie nowych możliwości do rozwoju biznesu, a z drugiej strony oferując poczucie bezpieczeństwa wykorzystania infrastruktury chmury do tego celu. „Także w tym ostatnim względzie oceniamy, że nasze podejście do rozwoju chmury jest kompletne od strony bezpieczeństwa przetwarzania danych i pomaga w osiągnięciu wymagań przedstawianych w GDPR/RODO” – mówi Krzysztof Grabczak.

GDPR to... cyberbezpieczeństwo

Cyberbezpieczeństwo nie pojawia się w rozporządzeniu GDPR/RODO wprost, ale nie da się zrealizować niektórych punktów bez posiadania w organizacji takiej funkcji. Tzw. Digital trust w powiązaniu z efektywnością operacji będą kluczowymi wyróżnikami konkurencyjnymi dla biznesu. Oba te czynniki ściśle wiążą cyberbezpieczeństwo z GDPR/RODO.

„Jeśliby przyjąć za podstawę porównania i poszukania relacji obu obszarów operacyjny model obrony przed cyberzagrożeniami NIST – to 4 z 6 elementów maja wpływ na realizację GDPR/RODO” - mówi Artur Józefiak, Dyrektor Zespołu Bezpieczeństwa Cyfrowego w Accenture.

Są to elementy dotyczące procesów analizy zagrożeń i monitorowania bezpieczeństwa, wprost łączą się z zakresem tematycznym GDPR/RODO: zarządzaniem podatnością, monitorowaniem operacyjnym, zarządzaniem incydentami bezpieczeństwa i zarządzaniem zagrożeniami. „Jednak te procesy dzielą się jeszcze na podprocesy, połączone przez wspólne narzędzia. Tak skomplikowane modele są w stanie w polskiej skali realizować tylko naprawdę duże organizacje. Poza sektorem bankowym dysponującym Rekomendacją D nie ma też powszechniej wiedzy, co należy zrobić i jakie procesy oraz role wdrożyć aby zapobiec atakom grożącym organizacji. Dzisiaj dużym wyzwaniem dla polskich firm jest samo uświadomienie i uwzględnienie faktu, że koszt bezpieczeństwa to 10-20% budżetu IT” – ocenia Artur Józefiak.

Stąd, zdaniem eksperta ds. cyberbezpieczeństwa w Accenture, płyną dwa wnioski.

W dużych organizacjach potrzebne jest uświadomienie, czym jest dojrzałe podejście do cyberbezpieczeństwa. Brakuje wykonawczych dokumentów do wymagań postawionych przez GDPR/RODO. Jeśli ktoś tworzy organizację bezpieczeństwa pod kątem GDPR/RODO, musi się więc przejrzeć w takim zwierciadle: przygotowanie, przewidywanie i wykrywanie reakcja i przywracanie – to zwierciadło do przejrzenia się przed wdrożeniem GDPR/RODO.

Model nie jest prosty, co przekłada się na zasoby ludzkie. Wdrożenie podstawowego modelu NIST w odniesieniu do wymogów GDPR/RODO realizowanych non-stop to 17 osób zatrudnionych do zapewnienia cyberbezpieczeństwa.

„Stawiam tezę, że właśnie GDPR/RODO będzie katalizatorem outsourcingu IT w przypadku małych i średnich firm. Własne IT i infrastruktura zgodne z GDPR/RODO pozostaną rozwiązaniem dla dużych lub dla firm o specyficznych potrzebach” – mówi Artur Józefiak. Jego zdaniem małym i średnim firmom będzie ciężko spełnić wymagania GDPR/RODO, o ile nie powstanie wzór implementacji modelu przetwarzania w chmurze obliczeniowej i korzystania z usług IT realizowanych w chmurze obliczeniowej. „Dzisiejsze problemy z chmurą spowodowała m.in. poprzednia regulacja, nakazująca wykazać, gdzie dokładnie znajdują się dane. Wypracowanie podejścia do chmury – to klucz. Potrzeba wskazówek, jak używając rozwiązań bazujących na chmurze obliczeniowej, osiągnąć zgodność z GDPR/RODO. I to można w formie wytycznych zaproponować” – podsumowuje Artur Józefiak.

Ku GDPR/RODO przez procesy

Od refleksji nad ochroną danych w ramach i poprzez system cyberbezpieczeństwa firmy, dojść można jednak do szerszych wniosków dotyczących konsekwencji implementacji GDPR/RODO.

„Jeśli osoba z pionu bezpieczeństwa analizuje art. 32 rozporządzenia mówiący o atrybutach bezpieczeństwa takich, jak poufność, integralność, zdolność do szybkiego przywrócenia, szybko dostrzeże nieprecyzyjność, niedodefiniowanie ich w GDPR/RODO. Z punktu widzenia bezpieczeństwa naturalnym rozwiązaniem jest zatem sięgnięcie po standardy ISO albo obowiązującą obecnie ustawy aby te wymagania spełnić” – zauważa Łukasz Ślęzak PwC. Jak dodaje, rozporządzenie mówi o mierzeniu i że środki będą adekwatne - ale nie mówi o doskonaleniu procesu. GDPR/RODO skupia się tylko na uszczelnieniu ochrony i procedurach uruchamianych w razie zdarzenia włamania – utraty poufności danych.

„Cel rozporządzenia jest znany – natomiast drogi prowadzące do jego osiągnięcia są różne dla każdej firmy. Co więcej, dla jednej firmy może być kilka możliwości” – dodaje Łukasz Ślęzak, menedżer w zespole cyberbezpieczeństwa PwC Polska. To naturalne, jeśli wziąć pod uwagę, ze pełne wdrożenie GDPR/RODO to wielki koszt. Można zastosować, to, co uważa się za adekwatne, ale trzeba umieć wybór uzasadnić. Należy przy tym wziąć pod uwagę, ze większość obecnych rozwiązań nie spełnia jednak wymogów. Z kolei część tematów, tylko pozornie wydaje się prosta a w istocie wymaga zmian procesowych.

Przykładem są zmiany w klauzulach informacyjnych warunkujących uzyskanie zgody na przetwarzanie danych. W myśl rozporządzenia, mają one wzmacniać świadomość konsumentów, co stawia firmy wobec sporego wyzwania. „Klauzule informacyjne trzeba w zasadzie napisać na nowo. Zgoda na przetwarzanie danych musi być świadoma. A więc klauzula musi być zgodna z GDPR/RODO i przejrzysta: musi zawierać informację, jakie są skutki udostępnienia danych, komu to służy, po co dane są zbierane, informację o okresie retencji. Firma musi te wszystkie elementy umieć wyjaśnić. I napisać w sposób przejrzysty. To dopiero będzie warunkowało skuteczność zgody. Jeśli klauzule będą nieodpowiednio sformułowane – istnieje ryzyko odmówienia zgody, mobilizacji organizacji prokonsumenckich, tak jak to miało miejsce w przypadku klauzul abuzywnych, wreszcie – ryzyko kar” – mówi Mariusz Krzysztofek, ekspert GDPR i Prywatności w Dziale Doradztwa Biznesowego EY. Intencją Komisji Europejskiej jest w tym względzie działanie na rzecz konsumenta i przejrzystości gospodarki cyfrowej. Nie dokona się to, bez nowego przeanalizowania własnych procesów, tak jak w tym wypadku – np. marketingowych, produktów i usług w kontekście GDPR/RODO. Podobnie jest, jak wskazuje Łukasz Ślęzak, w przypadku inwentaryzacja danych i rejestru operacji przetwarzania danych. „Kategorie danych osobowych i podstawowe operacje przepływów powinny być już zidentyfikowane w obecnych firmowych politykach i instrukcjach. Ale GDPR/RODO chce szerszej perspektywy, wymagającej przejścia po procesach, wszystkie operacje” – podkreśla ekspert PwC.

GDPR/RODO to zatem przede wszystkim to świeże spojrzenie na pojęcia i na obowiązki. "To, co jest dorobkiem 20-letniego obowiązywania ustawodawstwa o ochrony danych osobowych należy interpretować w nowy sposób. Rozporządzenia nie da się interpretować przez pryzmat dotychczasowych ekspertyz”- podsumowuje Piotr Drobek.

Rekomendacje na dziś i na jutro

Bądź gotów: zawczasu wprowadzaj dobre praktyki wypełniające wymogi przyszłej ustawy, które po 25 maja 2018 będą obligatoryjne. Praktyki, które, niezależnie od skali i branży, warto już dziś przenieść do wewnętrznej procedury, to:

- Privacy by design, ocena ochrony danych osobowych na etapie projektowania rozwiązań, uwzględnienie ochrony danych (np. poprzez specyficzną dokumentację projektową – wkład poświęcony ochronie danych osobowych); to nie tylko ćwiczenia i dobra praktyka: jeśli bowiem dzisiaj toczą się projekty, których skutki będą wywoływały także po 25 maja 2018 – organy wykonawcze będą egzekwować te przepisy, mimo że projekt powstał wcześniej tej oceny;

- Notyfikacja na temat naruszeń ochrony – już dzisiaj wprowadzić firmowemu ABI obowiązek powiadamiania GIODO o sytuacjach naruszeń; taka praktyka w ciągu półtora roku pozwoli zbudować świadomość wśród pracowników, można następnie wypracowane i przetestowane procedury przenieść na poziom wyższy do procesu przekazywania notyfikacji do organu wykonawczego.

Przygotowanie do wdrożenia GDPR wymaga przeglądu procesów, rozwiązań i wykorzystywanych modeli:

- Przegląd i wypracowanie dojrzałych praktyk bezpieczeństwa, w czym przydatne mogą być np. zalecenia opracowywane wspólnie przez Narodowe Centrum Cyberbezpieczeństwa i Związek Banków Polskich.

- Rewizja praktyki wykorzystanie chmury obliczeniowej – rzetelne spełnienie przez średnie i mniejsze firmy wymogów GDPR będzie z dużym prawdopodobieństwem wymagało wykorzystania modelu chmurowego, samodzielne ich spełnienie będzie okazać się kosztowną inwestycją.

Implementacja wymogów GDPR jest także wysiłkiem zbiorowym branży, sektora.

Kodeks postępowania w sprawie ochrony danych osobowych jest dobrym działaniem na rzecz branżowego wypracowania i uzgodnienia z GIODO standardów. Taką inicjatywę podjęły firmy ubezpieczeniowe, podpisując za pośrednictwem PIU list intencyjny z GIODO. Pewne jest, że zmniejsza to nakład prac przy implementacji - zmniejsza też potencjalne kary, w myśl wspierania przez RODO aktywności na polu ochrony danych.

Seminarium o ochronie danych osobowych w kontekście GDPR/RODO

Artykuł powstał na podstawie wystąpień i dyskusji na seminarium dotyczącym unijnej reformy danych osobowych oraz jej skutków dla sektora publicznego oraz podmiotów gospodarczych w Polsce, które odbyło się w dniu 16 stycznia br. w Warszawie. Wydarzenie zorganizowane przez Fundację im. Kazimierza Pułaskiego zostało objęte patronatem Ministerstwa Cyfryzacji, Generalnego Inspektora Ochrony Danych Osobowych oraz Przedstawicielstwa Komisji Europejskiej w Polsce.

Podczas czterech sesji prelegenci zaprezentowali istotne rekomendacje dla polskich podmiotów w odniesieniu do całego pakietu przepisów związanych z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (GDPR/RODO).