BiznesCyberbezpieczeństwoPolecane tematy
Nadal żyjemy, czyli rzeczywistość po RODO
25 maja 2018 roku rozpoczęło się stosowanie ogólnego Rozporządzenia o Ochronie Danych Osobowych, znanego powszechnie pod nazwą RODO. Tym samym dla krajów członkowskich i administratorów przetwarzających dane zakończył się okres dwuletnich przygotowań do nowych przepisów.
Mimo wielu mitów, które narosły wokół rozporządzenia, po 25 maja nadal możemy przetwarzać dane osobowe (choć na nieco innych zasadach), nie musimy przechowywać dokumentów w szafach „zgodnych z RODO” ani wymieniać okien na takie, które są „zgodne z RODO”, a także, wbrew przypuszczeniom, nie doszło do masowych upadłości firm, których działalność koncentruje się na przetwarzaniu danych osobowych.
Abstrahując od dyskusji, czy ponowne spełnienie obowiązku informacyjnego było faktycznie konieczne, zauważalna jest tendencja, zgodnie z którą wnioski dotyczące realizacji praw podmiotów danych otrzymały przede wszystkim te firmy, które spełniły obowiązek informacyjny wobec swoich klientów. Dotychczasowe doświadczenia pokazują, że większość tych wniosków stanowią żądania usunięcia danych osobowych lub wycofania zgody. Oznacza to, że przedsiębiorcy będą teraz musieli przedsięwziąć działania, aby usunąć te informacje nie tylko z systemów, w których przetwarzają te dane w codziennej pracy, lecz także z kopii zapasowych.
Nie oznacza to jednak, że nic się nie zmieniło, bo pierwsze „skutki RODO”, takie jak wiadomości z obowiązkiem informacyjnym przesyłanym na nasze skrzynki e-mail, czy wyskakujące okienka o konieczności wyrażenia zgody na cookies odczuł praktycznie każdy z nas. Zmiany te – mniej lub bardziej widoczne – albo już nastąpiły, albo dopiero nastąpią. Mimo dwuletniego okresu dostosowawczego, RODO – jak co roku zima – zaskoczyło bowiem przedsiębiorców… i, niestety, nie tylko ich.
Przepisy krajowe zapewniające stosowanie RODO
W Polsce za koordynowanie działań związanych z rozporządzeniem odpowiadało Ministerstwo Cyfryzacji. Jednym z głównych zadań Ministerstwa było opracowanie przepisów wewnętrznych, pozwalających na zapewnienie w Polsce skutecznego stosowania unijnego rozporządzenia. Ministerstwo 14 września 2017 roku zgłosiło dwa projekty – Projekt ustawy o ochronie danych osobowych oraz Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679.
Niestety, obecnie tylko pierwszy z tych projektów doczekał się uchwalenia. Jest to istotny problem, ponieważ brak tych przepisów w praktyce powoduje sporo wątpliwości lub problemów w stosowaniu rozporządzenia. Jednym z nich jest niewątpliwie brak wyłączenia w RODO konieczności spełnienia obowiązku informacyjnego przez adwokatów czy radców prawnych. W przypadku pozyskania danych osobowych dotyczących przeciwnika procesowego od swojego klienta, pełnomocnik byłby zobowiązany do spełnienia obowiązku informacyjnego wobec niego (godząc niejednokrotnie w interes klienta). Ponadto adwokat czy radca byłby zobowiązany realizować inne obowiązki ciążące na administratorze danych, na skutek skorzystania przez taką osobę z praw wynikających z RODO.
Z perspektywy stosowania rozporządzenia 2016/679, to jednak dopiero początek problemów. Przyjęta dotychczas w polskim porządku prawnym podstawa prawna legalizująca przetwarzanie zgodnie z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 roku może okazać się trudna w stosowaniu, gdyż jej zakres jest odmienny niż analogicznej przesłanki z art. 6 ust. 1 lit c) RODO. Rozporządzenie wskazuje na niezbędność przetwarzania dla spełnienia obowiązku wynikającego z przepisu prawa, nie wspomina natomiast o realizacji uprawnień. Rodzi to wątpliwości co do zakresu wykorzystania tej przesłanki. Kwestię tę dostrzegł także sam projektodawca, odmiennie formułując np. treść art. 221 Kodeksu pracy poprzez wskazanie, że pracodawca „żąda”, a nie jak dotychczas, że pracodawca „ma prawo”. Niestety, wątpliwości jest znacznie więcej, a konflikty norm spowodowane opóźnieniem w przyjęciu przepisów dostosowujących ustawy sektorowe spowodują dużą niepewność wśród podmiotów przetwarzających dane osobowe.
Kto da więcej, czyli obowiązki informacyjne vs wnioski podmiotów danych
Mimo działań promujących reformę ochrony danych osobowych, podejmowanych głównie przez podmioty publiczne, organizacje społeczne czy firmy zajmujące się wdrożeniem RODO, najbardziej skuteczne w zwiększeniu świadomości społeczeństwa okazały się chyba wysyłane drogą elektroniczną obowiązki informacyjne, które ok. 25 maja zalewały skrzynki internetowe internautów. Choć wywołało to powszechną frustrację osób, które otrzymały takie wiadomości, zjawisko to należy oceniać pozytywnie. Świadczy ono z jednej strony o tym, że wielu administratorów faktycznie przygotowywało się do nadchodzących zmian, a z drugiej – daje nadzieję na to, że nowe przepisy (a szczególnie surowe kary) mogą skutecznie zachęcić przedsiębiorców do ich respektowania.
Abstrahując od dyskusji, czy ponowne spełnienie obowiązku informacyjnego było faktycznie konieczne, zauważalna jest tendencja, zgodnie z którą wnioski dotyczące realizacji praw podmiotów danych otrzymały przede wszystkim te firmy, które spełniły obowiązek informacyjny wobec swoich klientów. Dotychczasowe doświadczenia pokazują, że większość tych wniosków stanowią żądania usunięcia danych osobowych lub wycofania zgody. Oznacza to, że przedsiębiorcy będą teraz musieli przedsięwziąć działania, aby usunąć te dane nie tylko z systemów, w których przetwarzają te dane w codziennej pracy, lecz także z kopii zapasowych.
Dotychczasowej Ustawie o ochronie danych osobowych, która obowiązywała przez 20 lat, zarzucano zbytnią drobiazgowość, a mimo to, wiele kwestii w niej zawartych jest spornych do dziś. Teraz podnoszony jest zarzut, że RODO wskazuje administratorom obowiązki, jakie na nich nakłada, bez wskazania, w jaki sposób należy je spełnić, aby być „zgodnym z RODO”. Takie ogólne sformułowanie przepisów rozporządzenia było poniekąd zamierzone, gdyż celem prawodawcy unijnego było przygotowanie aktu, który będzie neutralny technologicznie. I choć trudno jest znaleźć właściwy balans pomiędzy szczegółowością a ogólnością aktu prawnego, wydaje się, że tym razem czeka nas jeszcze więcej, niż za czasów ustawy z 1997 roku, wątpliwości co do interpretacji przepisów prawnych.
Usunięcie danych nie jest jednak prawem absolutnym, a administrator nie zawsze będzie je usuwał niezwłocznie po wpłynięciu żądania. Artykuł 17 wskazuje na wiele wyjątków, kiedy prawo to nie będzie miało zastosowania. Często podstawą do dalszego przetwarzania takich danych będzie np. ich niezbędność dla ustalenia, dochodzenia lub obrony roszczeń. Dane zostaną więc wykasowane dopiero po upływie tego okresu. Powstaje jednak wątpliwość, czy technicznie możliwe będzie usuwanie danych ze wspomnianych kopii zapasowych, bez naruszenia innych danych, które się na nich znajdują? Trudności może stwarzać również obowiązek zawiadomienia wszystkich odbiorców danych o żądaniu osoby, której dane dotyczą w przypadku, gdy to żądanie dotyczy ich sprostowania, ograniczenia przetwarzania lub usunięcia. Problem polega na tym, że choć technicznie nie stwarza to takich problemów, jak usuwanie danych z kopii, to wielu administratorów zwyczajnie nie jest w stanie ustalić wszystkich odbiorców, którym ujawniło te dane.
Warto zauważyć, że zgodnie z RODO wnioski osób, do których dane się odnoszą, powinny zostać zrealizowane niezwłocznie, jednak nie później niż w ciągu miesiąca od otrzymania żądania. Okres ten może być przedłużony o kolejne dwa miesiące, jeśli charakter żądania lub liczba zgłoszeń nie pozwalają na udzielenie odpowiedzi w terminie miesięcznym. Administrator nie jest jednak zwolniony z podejmowania jakichkolwiek działań. Powinien on w ciągu pierwszego miesiąca od otrzymania wniosku poinformować o przedłużeniu oraz jego przyczynie. Milczenie w tym zakresie może być traktowane jako niepodjęcie żadnych działań i tym samym niewywiązanie się z obowiązku spoczywającego na administratorze.
Zgłaszanie naruszeń do PUODO
RODO wprowadziło obowiązek notyfikacji naruszeń do organu nadzorczego, a także poinformowania o nim osób, których dane dotyczą (jeśli naruszenie może powodować wysokie ryzyko naruszenia praw i wolności osób, do których dane się odnoszą). Naruszenia mogą mieć różny charakter – poczynając od wysłania korespondencji do wielu odbiorców, bez wykorzystania funkcji ukrytej kopii, poprzez zagubienie nośnika danych, a kończąc na złamaniu zabezpieczeń systemu i uzyskaniu dostępu do danych przez nieuprawnionych odbiorców.
Nie każde naruszenie będzie podlegać zgłoszeniu, ale każde należy odnotować w wewnętrznym rejestrze naruszeń. Należy tutaj dostrzegać trudności dla administratora, tj. w jaki sposób ocenić, które z naruszeń będą skutkowały ryzykiem – bądź wysokim ryzykiem – naruszenia praw i wolności osób, których danych dotyczy naruszenie? Taka ocena będzie przecież kluczowa do dokonania zgłoszenia.
Przed 25 maja 2018 roku administratorzy sceptycznie podchodzili do kwestii notyfikacji naruszeń, postrzegając ją jako otwarte „przyznanie się do błędu” oraz narażenie na karę finansową. Niezależnie od powyższego podejścia, należy zawsze mieć na względzie, że wyższą karą finansową będzie zagrożony ten administrator, który będzie próbował ukryć fakt naruszenia, niż ten, który je zgłosi.
Rzeczywistość po rozpoczęciu stosowania RODO
Trochę za wcześnie na ocenę, w jakim stopniu RODO wpłynie na poziom bezpieczeństwa przetwarzania danych osobowych. Niewątpliwie szum medialny towarzyszący jego wdrożeniu miał na celu podkreślenie, że jest to akt o dużym znaczeniu, nie tylko ze względu na zakres zmian, które wprowadza, ale przede wszystkim na skutki dla osób, których dane są przetwarzane. Coraz częściej pojawiają się głosy wskazujące, że sens przepisów rozporządzenia zostaje błędnie zinterpretowany, co często powoduje bardzo osobliwe skutki. Jednym z bardziej znanych jest przypadek cmentarza, który został zamknięty na kilka dni, z uwagi na niewłaściwe zrozumienie przepisów, czy odczytywanie przez nauczycieli numerów z dziennika zamiast imion i nazwisk uczniów.
Dotychczasowej Ustawie o ochronie danych osobowych, która obowiązywała przez 20 lat, zarzucano zbytnią drobiazgowość, a mimo to, wiele kwestii w niej zawartych jest spornych do dziś. Dlatego też duży stopień ogólności rozporządzenia 2016/679 nie jest postrzegany jako jego zaleta. Przede wszystkim podnoszony jest zarzut, że RODO wskazuje administratorom obowiązki, jakie na nich nakłada, bez wskazania, w jaki sposób należy je spełnić, aby być „zgodnym z RODO”. Takie ogólne sformułowanie przepisów rozporządzenia było poniekąd zamierzone, gdyż celem prawodawcy unijnego było przygotowanie aktu, który będzie neutralny technologicznie, dzięki czemu rozwiązania prawne w nim zawarte nie będą podlegały zbyt szybkiej dezaktualizacji. I choć trudno jest znaleźć właściwy balans pomiędzy szczegółowością a ogólnością aktu prawnego, wydaje się, że tym razem czeka nas jeszcze więcej, niż za czasów ustawy z 1997 roku, wątpliwości co do interpretacji przepisów prawnych. Jeśli jednak RODO faktycznie jest aktem neutralnym technologicznie, to administratorzy będą mieli bardzo dużo czasu na ich rozwianie (lub pomnożenie).
Natalia Kalinowska, prawnik w kancelarii Maruta Wachta sp.j., doktorantka na Wydziale Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego
KOMENTARZ EKSPERTA
Prawidłowa identyfikacja klientów jest niezbędna w kontekście realizacji wymagań RODO
Z punktu widzenia IT realizacja wymagań RODO stawia przed firmami wyzwanie w zakresie identyfikacji klientów, których dane osobowe są przechowywane w ich systemach IT. Brak jednoznacznej identyfikacji klienta może powodować wiele trudności. Większość organizacji potrafi w łatwy sposób odpowiedzieć na pytanie: Ile produktów sprzedaliśmy? Dużo gorzej wygląda sytuacja, gdy potrzebna jest odpowiedź na inne podstawowe pytanie: Ilu mamy klientów?
Na pierwszy rzut oka może się wydawać, że sprawa nie jest skomplikowana, ale zauważmy, że dane osobowe są przechowywane w różnych systemach IT. Informacje o zakupach znajdują się w systemie sprzedażowym, faktury w księgowym, szanse sprzedażowe w systemie CRM, a zamówienia i ich przebieg w systemie logistycznym. Każdy z tych systemów może przechowywać inny zakres danych tego samego klienta. Co więcej, dane te mogą być ze sobą częściowo sprzeczne, ponieważ klient mógł przykładowo zmienić miejsce zamieszkania. Praktyka pokazuje, że również w jednym systemie IT ta sama osoba może występować wielokrotnie z identycznymi lub rozbieżnymi danymi. Finalnie okazuje się, że organizacja ma nawet do kilkudziesięciu kopii danych jednego klienta rozsianych w różnych systemach IT, bazach danych i skoroszytach Excel.
Prawidłowa identyfikacja klientów jest niezbędna w kontekście realizacji wymagań RODO. Realizacja takich żądań jak ograniczenie przetwarzania danych klienta, przekazania klientowi informacji o zakresie przetwarzanych danych czy prawa do bycia zapomnianym nie jest możliwa, jeśli wcześniej jednoznacznie nie zidentyfikujemy klienta w naszych systemach IT. Bez poprawnej identyfikacji nie możemy zrealizować w pełni wniosku zgłoszonego przez klienta albo – co gorsza – możemy zrealizować go dla niewłaściwej osoby o podobnych danych osobowych.
Rozwiązaniem problemów związanych z identyfikacją i zarządzaniem danymi klientów jest Centralna Baza Klientów (CBK). Systemy tej klasy w pierwszej kolejności integrują wszystkie dane osobowe z każdego systemu IT organizacji. W drugim kroku dane poddane zostają procesowi normalizacji. Normalizacja ma na celu umożliwienie porównania ze sobą informacji z różnych baz danych, w których np. sposób zapisu numeru telefonu może być różny. Na etapie tym usuwane są błędy, takie jak literówki, czy braki spójności np. między adresem zamieszkania a kodem pocztowym. Ostatnią fazą procesu zasilania CBK jest scalenie rekordów tego samego klienta w tzw. złoty rekord. Złoty rekord zawiera najlepsze dostępne dane klienta, ale jest też nośnikiem informacji o wszystkich rekordach z różnych systemów IT, które zostały do niego przypisane. Złoty rekord jest więc odpowiednikiem jednego realnego klienta i ma wszelkie dane osobowe tej konkretnej osoby, jakie są w posiadaniu firmy.
Nasuwa się pytanie, czy warto tak skomplikowany proces realizować tylko po to, aby spełnić wymagania RODO w zakresie realizacji wniosków klienta? Zapewne można by szukać prostszych i tańszych (choć mniej skutecznych) rozwiązań tego problemu. Jednak budowa Centralnej Bazy Klientów pozwala nie tylko na realizację wniosków RODO. W bardzo prosty sposób możemy ją uzupełnić innymi danymi, jakie mamy o kliencie. Skoro pobraliśmy z systemu IT informacje osobowe, to możemy wzbogacić je o przypisane do nich informacje sprzedażowe, finansowe czy opis ostatniego kontaktu klienta z naszą organizacją. W takiej sytuacji CBK staje się podstawą do budowy tzw. widoku 360° klienta opisującego wszystkie interakcje, w jakie pojedyncza osoba weszła z naszą firmą. Zebrane w taki sposób informacje stają się bazą do zwiększenia jakości działań marketingowych, sprzedażowych, lepszej obsługi klienta. Dzięki pełnemu obrazowi klienta możemy do niego skierować spersonalizowany komunikat, który nie tylko będzie skuteczniejszy, ale też bardziej akceptowalny. Zmniejszamy również ryzyko, że nasi klienci skorzystają z przysługującego im zgodnie z rozporządzeniem RODO prawa do bycia zapomnianym.
Łukasz Nienartowicz, Business Intelligence Manager w Britenet
Artykuł ukazał się na łamach Raportu ITwiz BEST100 edycja 2018. Szczegóły dotyczące publikacji wraz z formularzem dla osób zainteresowanych zakupem wydania dostępne są na stronie: https://itwiz.pl/kiosk