Nie takie RODO straszne? Obalamy mity w branży IT!

W ostatnich miesiącach nic chyba nie wzbudzało tylu emocji przedsiębiorców, jak wejście w życie w dniu 25 maja słynnego RODO. Nowe obowiązki, milionowe kary i brak polskich przepisów (nowa ustawa o ochronie danych osobowych uchwalona została przed samym wejściem w życie RODO; wciąż natomiast czekamy na ustawę, dostosowującą do RODO ponad 200 innych aktów prawnych) przyczyniały się do powstania nastroju niepokoju – a czasem wręcz paniki.

Sytuacji nie poprawiały liczne publikacje prasowe, które często nie dostarczały rzetelnej informacji, a jedynie podgrzewały atmosferę.

Nagłówki mówiły o zamykaniu cmentarzy, montowaniu krat w oknach urzędów i firm czy kupowaniu “specjalnych” szafek biurowych “zgodnych z RODO”…

Czym tak właściwie jest RODO?

Ten groźnie brzmiący skrót oznacza po prostu Rozporządzenie o Ochronie Danych Osobowych, a dokładniej – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Co ważne, choć jest to unijny akt prawny, stosuje się go w Polsce bezpośrednio.

Nowa ustawa o ochronie danych osobowych, uchwalona przed samym wejściem w życie RODO, ma bowiem znaczenie głównie pomocnicze (skupia się między innymi na organizacji nowego organu nadzorczego – Urzędu Ochrony Danych Osobowych i uprawnieniach jego Prezesa).

Czy w ogóle należy się RODO przejmować?

Zadajesz sobie pytanie może, czy RODO w ogóle dotyczy Ciebie i Twojej firmy. Otóż, mam dla Ciebie złą wiadomość – RODO dotyczy KAŻDEGO, kto przetwarza dane osobowe obywateli Unii Europejskiej w celach innych niż czysto osobiste lub domowe.

Odnosi się to zwłaszcza do firm IT, które nie tylko mają dostęp do danych swoich pracowników czy klientów, lecz – wdrażając systemy ERP czy CRM u swych kontrahentów mają dostęp do milionów często posiadanych przez nich danych osobowych.

Nie tylko „papierologia”, ale przede wszystkim PRAKTYKA

Jak zatem sprawdzić, czy dane osobowe w Twojej firmie przetwarzane są zgodnie z RODO? Najlepiej zacząć od przeprowadzenia tzw. audytu RODO, czyli identyfikacji posiadanych przez firmę zasobów związanych z przetwarzaniem danych osobowych.

Jeżeli już do tej pory dopełniałeś formalności wynikających z obowiązujących w zakresie ochrony danych przepisów to mam dla Ciebie dobrą wiadomość. Prawdopodobnie wykonałeś już większość pracy, a dostosowanie do nowej sytuacji prawnej nie będzie zbyt bolesne.

Przykładowo, jeżeli już przed wejściem w życie RODO, posiadałeś odpowiednią dokumentację, to jest politykę bezpieczeństwa i instrukcję zarządzania systemami informatycznymi – a także, co bardzo istotne, zasady z niej wynikające naprawdę zostały wdrożone i funkcjonowały w Twojej firmie, a nie tylko pozostały na papierze – to jesteś na najlepszej drodze do bycia zgodnym z RODO.

Rozporządzenie nie wymaga co prawda wyraźnie posiadania takich dokumentów – to administrator (czyli Ty) podejmować ma samodzielną decyzję, czy są one potrzebne ze względu na skalę, cele, zakres i kontekst przetwarzania danych osobowych.

Jednakże, jeżeli już taka dokumentacja istnieje i są faktycznie przestrzegane, mogą one po dostosowaniu stanowić dobrą podstawę do dalszych działań.

Zrób rejestr, a będziesz wiedział co przetwarzasz

Oprócz stosownej dokumentacji opisującej procedury związane z przetwarzaniem danych osobowych, warto (a czasami nawet trzeba) posiadać również odpowiednie rejestry:

• czynności przetwarzania danych osobowych (jeżeli jesteś administratorem),
• oraz kategorii czynności przetwarzania danych osobowych (jeżeli występujesz w roli procesora).

Poniekąd, są one odpowiednikiem dotychczas wymaganego wykazu zbiorów danych osobowych.

Co ważne, posiadanie takich rejestrów nie jest według RODO obowiązkowe – muszą je utworzyć „jedynie” te podmioty, które zatrudniają powyżej 250 osób, CHYBA że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego, lub obejmuje szczególne kategorie danych osobowych (dawniej – „dane wrażliwe”) lub dane osobowe dotyczące wyroków skazujących lub naruszeń prawa.

Nawet kiedy stwierdzisz, że to prawo nie zobowiązuje Cię do posiadania takiego rejestru – warto go przygotować, bo pozwoli on Ci wyodrębnić wszystkie istniejące w Twojej firmie zbiory danych osobowych i dokonać analizy, w jakim zakresie i w jakim celu dane są przetwarzane.

Co więcej, rejestr taki pozwoli Ci na stwierdzenie, czy faktycznie masz prawo do przetwarzania wszystkich danych osobowych, które posiadasz w swoich zasobach (przy czym nie chodzi tu tylko o osławioną zgodę osoby, której dane dotyczą, bowiem RODO w artykule 6 wspomina również o innych przesłankach legalności, takich jak między innymi przetwarzanie danych niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, czy też niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze).

Poinformuj osoby, których dane posiadasz!  

RODO przykłada dużą wagę do dopełnienia przez administratora obowiązków informacyjnych, bliżej opisanych w art. 13 i 14 Rozporządzenia. W porównaniu z dotychczasowo obowiązującymi przepisami, zwiększył się zakres obowiązkowych do przekazania informacji.

Jako że wszystkie te dane należy przekazywać użytkownikowi W TRAKCIE ich pozyskiwania, wiążą się z tym wymogiem (szczególnie w przypadku zbierania informacji za pomocą formularzy na stronach internetowych), istotne wątpliwości praktyczne, które trudno w tym momencie jednoznacznie rozstrzygnąć.

Najbezpieczniejszym rozwiązaniem w tym przypadku byłoby niewątpliwie dodanie niezbędnych informacji bezpośrednio w treści formularza, co z uwagi na ich objętość może przyprawić o rozpacz każdego projektanta stron i specjalisty UX. Czy rozwiązania kompromisowe, jak na przykład rozwijalne klauzule, otwieralne okna czy wyraźne linki, będą również dopuszczalne przez urzędników, okaże się z czasem.

Zasady RODO – privacy by design i privacy by default

Wszystkie powyższe obowiązki (oraz wiele innych, opisywanych w RODO, a dla omówienia których ten artykuł jest za krótki) mają jeden cel – ochronę PRYWATNOŚCI użytkowników.

RODO wymusza prawdziwą rewolucję w podejściu do tworzenia narzędzi i procesów związanych z przetwarzaniem danych – co ma szczególne znaczenie dla firm IT, zajmujących się tworzeniem jakiegokolwiek oprogramowania.

Mianowicie, wspomniane poszanowanie prywatności musi:

• być uwzględniane już na etapie założeń,
• być jak najbardziej domyślne,
• musimy robić wszystko, aby tę prywatność w jak największym stopniu chronić.

Zasada Privacy by default oznacza wdrożenie ustawień zapewniających ochronę danych jako domyślnych ustawień systemu IT czy oprogramowania. Jakakolwiek zmiana tych ustawień powinna następować jedynie na wyraźne żądanie użytkownika.

Z kolei Privacy by design sprowadza się do uwzględniania jak najpełniejszej ochrony danych osobowych już w momencie projektowania.

Skomplikowane?

Wszystko to wydaje się bardzo skomplikowane, jednak istnieje możliwość, że z biegiem czasu powstaną dobre praktyki ułatwiające życie przedsiębiorcom, a ochrona danych osobowych stanie się po prostu dobrym nawykiem, przestrzeganym bez większego trudu i refleksji, tak jak chociażby segregowanie śmieci. Przecież, w końcu, każdy przedsiębiorca też komuś powierza swoje dane, choćby robiąc zakupy w sklepie internetowym…

Dobrze byłoby więc, abyśmy – dla naszego własnego dobra – zaprzyjaźnili się z ochroną danych osobowych.

W końcu kar(m)a wraca !