RODO: Kiedy i w jaki sposób firma musi udowodnić swoją niewinność

Rz: Przed każdym podmiotem zobowiązanym do wdrożenia RODO i każdą osobą odpowiedzialną za takie wdrożenie stoi trudne pytanie, w jaki sposób to zrobić. Za tym idą kolejne: czy da się to zrobić, kiedy to zrobić, a przede wszystkim jak to zrobić efektywnie.

Maciej Gawroński: Zdaję sobie sprawę ze skali wyzwań stawianych przez unijne ogólne rozporządzenie o ochronie danych, popularnie zwane RODO. Filary merytoryczne, na których opiera się nowe prawo, to: prywatność, prawa jednostki i bezpieczeństwo danych. Każdy z tych obszarów stawia przed obowiązanymi organizacjami nowe wyzwania. Jednak to nie wszystko.

Fundamentem RODO jest też rozliczalność. Pod tym pojęciem kryje się to, że nie możemy biernie czekać na wykazanie nam nieprawidłowości. To my – firma, administracja publiczna, uczelnia, instytucja użyteczności publicznej, parafia, fundacja, stowarzyszenie etc – musimy wykazać, że i jak jesteśmy zgodni z RODO. W tym sensie RODO wprowadza domniemanie winy. Jeżeli dodamy do tego wysokość maksymalnych kar, jakie przewiduje rozporządzenie za naruszenie przepisów, nie powinna zaskakiwać wypowiedź mecenasa Wojciecha Kapicy, odpowiedzialnego za praktykę regulacyjną w Gawroński & Partners, który stwierdził, że nikt dotychczas nie odważył się wprowadzić regulacji, w której są tak wielkie kary za tak niejasne przepisy.

Jednak dla przedsiębiorców to żadne pocieszenie. Fakt, że przepisy są trudne i wciąż brakuje dobrych wzorców ich wdrożenia, nie zwalnia ich z konieczności przygotowania się na nadejście nowych regulacji i dostosowania do nich mechanizmów i standardów działania firmy.

Rzeczywiście nie są na razie znane rynkowi szczegółowe metodyki wdrożenia RODO. A chociaż pojawiło się nieco wytycznych Grupy Roboczej Art. 29, w tym np. dotyczących oceny skutków przetwarzania danych, to są one nieprecyzyjne. Podobnie jest zresztą z rekomendacjami krajowych organów nadzoru.

Od czego więc zacząć przygotowania?

Kluczowym pytaniem, jakie trzeba sobie zadać na początku drogi, jest pytanie o skalę działalności oraz o to, jak bardzo RODO stosuje się do naszej organizacji. Przy tym samo rozporządzenie przewiduje tylko jeden wyraźny wyróżnik podziału na mniejsze i większe organizacje. Jest nim obowiązek opracowania rejestru czynności przetwarzania danych (tzw. RCPD). Zgodnie z art. 30 RODO, obowiązek ten dotyczy organizacji, które zatrudniają co najmniej 250 pracowników lub które niesporadycznie przetwarzają dane w sposób rodzący ryzyko naruszenia praw i wolności osób, których dane dotyczą, lub przetwarzają dane specjalne. Niestety przepis jest napisany na tyle nieprecyzyjnie i ogólnikowo, że za każdym razem konieczna jest jego uważna i inteligentna wykładnia.

Nie ulega wątpliwości, że duże organizacje – banki, telekomy, firmy energetyczne, znaczący operatorzy internetowi, organizacje zatrudniające tysiące pracowników, a także organizacje zawodowo przetwarzające dane specjalne w tym także ich dostawcy, tacy jak dostawcy usług przetwarzania chmurowego, powinni przeprowadzić pełne przemyślane wdrożenie RODO. Mikroprzedsiębiorcy zapewne będą mogli chwilę poczekać i skorzystać z gotowych rozwiązań zgodności z RODO, gdy takie rozwiązania pojawią się już na rynku – gotowej dokumentacji, gotowych systemów i gotowych usług zgodnych z RODO.

Zapewne oni nie pójdą też na pierwszy ogień kontroli, chyba że uczynią sobie źródło stałego zarobku z deptania podstawowych zasad ochrony danych osobowych. Podobną taktykę mogą przyjąć organizacje nieco większe, ale dalej zatrudniające poniżej 250 pracowników, które nie mają obowiązku opracowania RCPD.

Gdybyśmy mieli zaproponować mapę drogową przygotowań do wdrożenia RODO, to co by Pan zaproponował?

Wdrożenie RODO polega na wykazaniu zgodności sposobu działania organizacji z przepisami RODO. Jak wspomniałem, RODO stawia wymóg szczególny – rozliczalności. Organizacja ma obowiązek wykazać, że zapewnia zgodność z RODO – nie może przy tym polegać na domniemaniu niewinności.

Wykazanie zgodności jest problemem, gdyż nie ma gotowej listy kontrolnej wymogów zgodności. Te wymogi należy samemu wydedukować z dyrektyw zawartych w RODO po zastosowaniu ich do własnej sytuacji i przeprowadzeniu różnego typu analiz.

Zatem elementem zgodności z RODO jest wykazanie należytej staranności przy wdrożeniu RODO. Tę zaś można wykazać tylko za pomocą odpowiednich dokumentów i logiki podejścia do wdrożenia RODO, którą nazywamy metodyką wdrożenia RODO, a my, w ramach kancelarii, MetODOlogią WdRODOżenia, co jest pewną zabawą językową. Gdyby podzielić ją na etapy, to można wyróżnić ich co najmniej dwadzieścia. Od pierwszego planu wdrożenia, przez analizę obowiązków wynikających z RODO, przygotowanie list kontrolnych, przeprowadzenie inwentaryzacji i mapowania czynności przetwarzania danych, drugi plan wdrożenia, po przygotowanie struktury nowej dokumentacji, podjęcie czynności wdrożeniowych, weryfikację zgodności przetwarzających i aktywne utrzymanie wdrożenia (zgodności).

Gdyby na szybko polecać coś przedsiębiorcom, to podstawowe zadania, jakie w ramach wdrożenia RODO staną przed każdą jednostką, to:

- dokonanie analizy i uszczegółowienia obowiązków wynikających z RODO, które będą ciążyć na danej jednostce;

- zapewnienie realizacji podstawowych zasad ochrony danych, takich jak legalność, przejrzystość, rzetelność, celowość, projektowanie prywatności (privacy by design), minimalizacja (privacy by default), prawidłowość, czasowość, bezpieczeństwo, rozliczalność;

- zapewnienie obsługi praw jednostki, których jest obecnie osiem, ale łącznie z ich cechami wymienionymi przez RODO około dwadzieścia;

- przygotowanie inwentaryzacji przepływów danych;

- uszczegółowienie i zapewnienie bezpieczeństwa, w tym przeprowadzenie analiz ryzyka i oceny adekwatności środków ochrony;

- określenie, zapewnienie i uzgodnienie wymogów względem przetwarzających i podprzetwarzających (outsourcerów);

- opracowanie mechanizmów zarządzania w przypadku naruszenia procedur przetwarzania danych, w tym przygotowania się na obowiązek notyfikacji tego faktu organowi nadzorczemu i poszkodowanym;

- uregulowanie statusu inspektora ochrony danych (IODy);

- udokumentowanie procesu wdrożenia RODO jak i zgodności z RODO.

Powyższe czynności powinny owocować aktualizacją dokumentacji przetwarzania danych w organizacji. Zapewne nie ma potrzeby odchodzić od dotychczasowej nomenklatury i głównym dokumentem powinna pozostać „Polityka ochrony danych". Jednak jej treść powinna zostać przemyślana i dostosowana. Dość szczegółowo licząc, powinno powstać nieco ponad sześćdziesiąt dokumentów, które można pogrupować w ok. dwadzieścia większych.

Jak widać wdrożenie RODO składa się z wielu szczegółowych czynności. Wymagają one dużego nakładu pracy, na początku analitycznego, później także wykonawczego. Konieczne na ogół okaże się zainwestowanie w funkcjonalności systemów informatycznych lub wręcz nowe usługi takie jak portal obsługi praw jednostki. Łącznie różnych jak je nazywamy „Produktów WdRODOżenia" na razie naliczyliśmy ponad 140. Nie rekomendujemy jednak, aby proces wdrożenia rozpoczynać od zmian w systemach IT.

Tylko przykładowo wybierając z przedstawionej listy, na czym miałaby opierać się inwentaryzacja przepływów danych?

W wyniku inwentaryzacji powinien powstać rejestr czynności przetwarzania danych – mapa tego, co firma lub inna organizacja robi z danymi. Należy oczekiwać, że rejestr czynności przetwarzania danych będzie bardziej szczegółowy, niż dotychczasowe zgłoszenie zbiorów danych. Należy bowiem odrębnie opisywać poszczególne działania (tzw. czynności przetwarzania daynych) względem danych osobowych.

Warto także nadmienić, że RODO idzie dalej pod względem ochrony szczególnych kategorii danych osobowych, takich jak dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej konkretnej osoby, jak i dane dotyczące konfliktów z prawem. Szczególne wymogi RODO stawia także przy przetwarzaniu danych dzieci.

A co z obsługą praw jednostki?

Ochrona prywatności to podstawowy cel RODO. A jego osiągnięciu służyć ma realizacja praw jednostki, do których wolno zaliczyć: obowiązek informacyjny, prawo dostępu do danych, prawo poprawiania i aktualizacji danych, prawo do usunięcia (bycia zapomnianym), prawo do ograniczenia przetwarzania, prawo do przenoszalności danych, prawo sprzeciwu, prawo do ludzkiej decyzji (niektórzy pomijają to ostatnie). Realna obsługa tych praw będzie wymagała zmian organizacyjnych i technicznych, poczynając od inwentaryzacji i dostosowania narzędzi do „śledzenia" danych, na organizacji procesu usuwania danych i podejmowaniu decyzji co to naprawdę ma oznaczać, kończąc.

Właśnie przygotowanie się do obsługi praw jednostki może być najpotężniejszym wyzwaniem dla największych podmiotów lub tych wyspecjalizowanych w przetwarzaniu danych. RODO stawia przed administratorami danych konkretne wymagania co do tak zwanego „poziomu usługi" w tym zakresie. Należy żądania załatwiać w miesiąc, ewentualnie w trzy miesiące, ale dając pierwszą odpowiedź w ciągu miesiąca. Są to kryteria mierzalne i wymagające odpowiedniego ułożenia procesu obsługi, wymagające nakładów osobowych oraz informatycznych. Należy zastanowić się, w jaki sposób efektywnie ułożyć ten proces, biorąc pod uwagę wymóg, aby administrator był przewodnikiem „interesantów". Problemem podstawowym jest przy tym zidentyfikowanie i zebranie danych osobowych konkretnej osoby posiadanych w danym momencie przez organizację, kolejnym zapewnienie śledzenia danych udostępnianych innym organizacjom.

Wspomniał Pan, że nie rekomendujecie rozpoczęcia procedur wdrożenia od inwestycji w systemy informatyczne. Dlaczego?