Rz: Od 25 maja 2018 r. będziemy zobowiązani do stosowania przepisów RODO, czyli unijnego rozporządzenia ogólnego o ochronie danych osobowych. Skala zmian w porównaniu z obecnym stanem prawnym jest ogromna. Pozostało sześć miesięcy na dostosowanie się do tych zmian. Jak z pana punktu widzenia wygląda stan wdrożenia tych przepisów w Polsce?
Arwid Mednis: Wdrożenie RODO okazało się sprawą bardziej skomplikowaną niż się początkowo wydawało. Część firm i instytucji już dawno rozpoczęła proces wdrożenia i ci zdążą. Część czekała na polskie przepisy zmieniające regulacje sektorowe, bo w nich mają się znaleźć ograniczenia niektórych obowiązków wynikających z RODO. Jednak ich przyjęcie może się znacznie opóźnić, dlatego administratorzy danych powinni przyjąć, że trzeba wdrożyć RODO wprost, nie czekając na ewentualne zmiany, ponieważ istnieje ryzyko dużych kar.
To czy organizacja zdąży wdrożyć RODO przed końcem maja zależy od kilku czynników: wielkości firmy, charakteru i zakresu przetwarzania danych. Inaczej będzie w banku czy dużej firmie ubezpieczeniowej, a inaczej w mniejszej firmie produkcyjnej, która nie ma klientów – osób fizycznych, a jedynymi danymi będą dane pracownicze, dane dostawców, dane z kamer ochrony oraz książki wejść i wyjść. Jeśli klientami są osoby fizyczne, to ich dane wykorzystuje się w różnych celach: realizacji umowy, marketingowych oraz różnych celach przewidzianych przepisami. Np. banki muszą sprawdzić zdolność kredytową, zakłady ubezpieczeniowe – ryzyko ubezpieczeniowe, i to jest ich ustawowy obowiązek. Tych celów może być naprawdę dużo: sprawdzenie pod kątem prania brudnych pieniędzy, monitorowania kredytobiorców i tak dalej. Duże firmy, które jeszcze nie rozpoczęły procesu wdrażania, mają nikłą szansę, żeby zdążyć wdrożyć wszystko, czego wymaga RODO.
Co składa się na proces wdrożenia RODO?
Podstawą jest oczywiście inwentaryzacja procesów przetwarzania i zrobienie analizy luki, czyli „jak daleko organizacja jest od RODO". Część firm robi to własnymi siłami, część zleca na zewnątrz. Tu ważna jest kompleksowość inwentaryzacji i zaangażowanie szerokiego grona pracowników, którzy mają kontakt z danymi osobowymi. Nie wystarczy przejrzeć zarejestrowane zbiory, bo często pojedynczy pracownicy zbierają różne dane bez wiedzy kierownictwa czy administratora bezpieczeństwa informacji. Trzeba przeanalizować jakie dane i w jakim celu zbieramy, czy ten cel nie ulega zmianie, jaka jest podstawa prawna przetwarzania danych. Zaprojektować nowe formuły informacyjne, zgody, komunikację z klientami, itd.