Prawo: RODO to dopiero początek
Wojciech Materna
Kolejny akt prawny regulujący zasady poszanowania danych osobowych ma szansę ujrzeć światło dzienne w najbliższych miesiącach. W Parlamencie Europejskim trwają właśnie prace nad rozporządzeniem w sprawie ochrony prywatności w łączności elektronicznej, określanym też jako e-privacy regulation. Dokument ten ma zastąpić obowiązującą obecnie dyrektywę Parlamentu Europejskiego i Rady nr 2002/58/WE dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej. Mamy tu do czynienia z analogicznym mechanizmem jak w przypadku RODO, kiedy to również zrezygnowano z dyrektywy na rzecz przepisów obowiązujących bezpośrednio we wszystkich krajach Wspólnoty.
Zgodnie z założeniem przyjętym przez unijnego ustawodawcę, nowe prawo powinno zacząć obowiązywać w maju 2018 r., a więc równolegle z RODO oraz dyrektywą 2016/680/WE, regulującą zasady przetwarzania danych osobowych na potrzeby zwalczania przestępczości i postępowania karnego. – Czy będzie to realny termin, przekonamy się podczas estońskiej prezydencji w Unii Europejskiej, czyli w drugiej połowie 2017 r. – podkreślił Wojciech Wiewiórowski. Na jakość ochrony danych osobowych w państwach Wspólnoty będzie mieć wpływ również Europejski Kodeks Komunikacji Elektronicznej, który kompleksowo ma regulować funkcjonowanie usług telekomunikacyjnych i łącznościowych. Ten niezwykle obszerny dokument przedstawiony został przez Komisję Europejską 14 czerwca 2016 r.
Zmiany na szczeblu krajowym, europejskim i globalnym
Konsekwencją zmian w przepisach unijnych będzie również potrzeba unormowania na nowo relacji pomiędzy Wspólnotą a państwami trzecimi w obszarze ochrony prywatności. W przypadku członków Europejskiego Obszaru Gospodarczego i EFTA konieczne będzie wydanie nowych decyzji o zasadach obowiązywania GDPR na terenie tych państw, natomiast dla krajów spoza wymienionych struktur, takich jak Argentyna, Izrael, Nowa Zelandia, Szwajcaria, a po części również i Stany Zjednoczone, zmianie ulegną decyzje w sprawie adekwatności ochrony danych. – Wszystkie wydane wcześniej decyzje muszą zostać ocenione pod kątem zgodności z RODO – podkreślił zastępca Europejskiego Inspektora Ochrony Danych. Reforma ochrony prywatności może ponadto skłonić pozostałe kraje do uzyskania decyzji o adekwatności. Już obecnie trwają negocjacje w sprawie umożliwienia swobodnego przepływu danych pomiędzy Wspólnotą a Japonią i Koreą. – W takich przypadkach decyzje wydawane będą już przy wykorzystaniu nowych regulacji – przypomniał Wojciech Wiewiórowski. Nie mniej istotnym działaniem w ramach nowego podejścia do ochrony prywatności będzie implementacja nowych przepisów w poszczególnych państwach oraz przygotowywanie wytycznych, zaleceń i interpretacji nowego stanu prawnego przez organy ochrony danych na szczeblu wspólnotowym, jak i krajowym.
– Kwestie te powinny być rozstrzygnięte przed wejściem w życie RODO, jednak dyskusje na temat stosowania nowego prawa w praktyce toczyć się będą jeszcze przez wiele miesięcy po jego wejściu w życie. W tym okresie będzie trwać również dyskusja nad kodeksami dobrych praktyk i zbiorami dobrych przykładów wdrożenia RODO – podsumował przedstawiciel EIOD.
Piotr Mechliński, Country Leader for Government & Banking w firmie IBM Analytics.
Nadchodzi wielka zmiana
– Wdrożenie unijnego rozporządzenia o ochronie danych wymagać będzie zmian w ponad 600 aktach polskiego prawa – tym mocnym akcentem gospodarz ostatniej części forum, dr Tadeusz Białek, dyrektor Zespołu Prawno-Legislacyjnego Związku Banków Polskich, rozpoczął finałową dyskusję. Wzięli w niej udział moderatorzy wcześniejszych paneli: Maciej Byczkowski, prezes zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji; Krzysztof Kowalski, doradca ochrony danych; Piotr Mechliński, Country Leader for Government & Banking w firmie IBM Analytics; Marta Nieścierowicz, audytor oraz dr Stefan Szyszko, członek Rady Nadzorczej ComCERT S.A.
Przy tak szerokim zakresie nowelizacji przepisów podmioty obowiązane do stosowania RODO powinny skoncentrować się w pierwszej kolejności na najistotniejszych i najpilniejszych wyzwaniach. Jednym z takich priorytetów powinno być odpowiednie przygotowanie administratora bezpieczeństwa informacji (ABI), który po wejściu w życie RODO stanie się inspektorem ochrony danych. – W firmach, które powołały ABI, sytuacja z reguły jest uporządkowana – podkreślił Maciej Byczkowski. Przypomniał, iż nowelizacja ustawy o ochronie danych osobowych z roku 2015 uregulowała kompetencje ABI w taki sposób, by były spójne z zakresem obowiązków inspektora ochrony danych, określonym w powstającym wówczas ogólnym rozporządzeniu o ich ochronie. Prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji przestrzegł również przed demonizowaniem finansowych sankcji z tytułu niedopełnienia obowiązków określonych przez RODO. – Wysokie wolumeny kar są przewidziane dla wielkich korporacji, przetwarzających dane na ogromną skalę. Jeżeli w danej organizacji nie przetwarza się na przykład danych szczególnego ryzyka, wówczas wymiar kary będzie niepomiernie niższy – dodał Byczkowski.
Znacznie większym zagrożeniem aniżeli sankcje nakładane przez urzędy będzie możliwość wystąpienia z pozwem o odszkodowanie z tytułu naruszenia danych przez osobę, której one dotyczą, co w przypadku dostawców usług masowych może przybrać również formę pozwów grupowych. – Możliwość taką przewiduje art. 79 rozporządzenia – zauważył Krzysztof Kowalski. Ponadto w przypadku pewnych rodzajów naruszeń organ nadzorczy uzyska prawo do wydania całkowitego lub częściowego zakazu przetwarzania danych, co dla instytucji finansowych równoznaczne byłoby z końcem działalności.
80% naruszeń to efekt działania „czynnika ludzkiego”
Biorąc pod uwagę wszystkie wskazane przez panelistów zagrożenia, niezmiernie ważnym zadaniem jest właściwie przeprowadzona analiza ryzyka. – Ważne jest to, żeby wiedzieć, jakie procesy przetwarzania danych osobowych realizowane są w organizacji – zaznaczył Maciej Byczkowski. Mając wiedzę o procesach, należy następnie skonfrontować je z wymogami regulacyjnymi, by wyznaczyć obszary niespójności. Prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji dodał, że analiza ryzyka nie jest żadną nowością jeśli chodzi o zasady ochrony danych. – Znam organizacje, które od wielu lat rokrocznie wykonywały taką analizę – nadmienił. Kluczowym wyzwaniem dla większości podmiotów będzie natomiast zmiana podejścia do retencji danych. – Ten obszar przez całe lata był bagatelizowany, ponieważ przepisy się do tego obszaru nie odnosiły. Teraz RODO wyraźnie zobowiązuje do wskazania okresu retencji danych w każdym przypadku – przypomniał Byczkowski.
Krzysztof Kowalski i Marta Nieścierowicz wskazali z kolei na konieczność właściwej edukacji pracowników banku w zakresie ochrony danych osobowych. – 80% wycieków danych to efekt błędu ludzkiego, nieznajomości procedur czy nawet świadomego działania pracownika. Jeżeli pracownik nie będzie wiedzieć, kiedy dochodzi do naruszenia, nie będzie szkolony w tym zakresie i nie będzie monitorowany przez nikogo, to jak mamy ograniczać przypadki naruszenia danych? – zapytała Marta Nieścierowicz. Zdaniem Krzysztofa Kowalskiego znacznie ważniejszym zadaniem od kreowania strategii jest budowa interdyscyplinarnych zespołów wspierających inspektorów ochrony danych, w skład których wchodziliby reprezentanci wszystkich komórek, które w swej działalności mają styczność z danymi osobowymi. – Czemu w dużych organizacjach z przygotowań do RODO wyłączane są działy obsługi klienta? One mają kluczowe znaczenie w procesie dostosowania – dodał.
Od lewej: Marta Nieścierowicz, Krzysztof Kowalski, Maciej Byczkowski.
Dane niestrukturyzowane: skutek bałaganu czy nieunikniony efekt postępu?
W toku dyskusji uczestnicy odnieśli się także do niemałego wyzwania, jakim jest opanowanie żywiołu danych niestrukturyzowanych. Przedstawiciel IBM Analytics przypomniał, że we współczesnych firmach aż 80% informacji nie jest należycie uporządkowanych. A to oznacza ogromne ryzyko natury prawnej. – Proszę sobie wyobrazić prawo do zapomnienia przy dokumentach PDF, jak z takich umów masowo usunąć dane osobowe? – zapytał Piotr Mechliński. Podobnie sytuację ocenił Maciej Byczkowski. – Anonimizacja stanowi problem, ponieważ dane są w tylu obszarach, że ludzie nad tym nie panują – zauważył prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji. – Można sobie wyobrazić, że tych danych nie ma i że można funkcjonować. Powinniśmy zastanowić się nad tym, żeby nie śmiecić, to uprości i potani naszą działalność – dodał Stefan Szyszko. Zgodził się z tą opinią Piotr Mechliński, według którego uporządkowanie danych może odchudzić ich zasoby nawet o 50% – i to bez straty dla instytucji.
Stefan Szyszko przestrzegł również przed pomysłami dodatkowego certyfikowania procedur na potrzeby RODO. Przypomniał, iż wiele organizacji posiada już wdrożone normy zarządzania bezpieczeństwem ISO 27000, które można łatwo zaadaptować do nowych potrzeb. – Wystarczy zmapować RODO na kontrolki z części załącznika do norm ISO 27000 – podkreślił. Odnosząc się do słów przedmówcy, Maciej Byczkowski przypomniał podstawową różnicę pomiędzy rozwiązaniami unijnymi a standardami ISO w zakresie ochrony danych. – RODO bierze za punkt wyjścia prawa osób, których dane dotyczą, a przy ISO 27000 sfokusowani jesteśmy na organizację. Trzeba to zmienić poprzez przeprowadzenie oceny skutków dla osób, których dane dotyczą, z wykorzystaniem analogicznych metodyk, jakie przewiduje ISO 27000 – zaznaczył szef Stowarzyszenia Administratorów Bezpieczeństwa Informacji.
(Współpraca SBW)
Zdjęcia: CPBiI/Marzena Stokłosa