Kierunek RODO

Przepraszam,  # którędy do RODO ?

W dniu publikacji tego artykułu, liczniki który znajdziemy na stronie GIODO będzie pokazywał niewiele ponad 300 dni do RODO. Mniej niż rok, na rozwianie wielu wątpliwości które narastają wokół skutecznego wdrożenia RODO i dokumentowania zgodnego z prawem postępowania przez Administratorów Danych Osobowych w tym zakresie. Skala tego wyzwania, obszary organizacji które wymagają zmian są nadal trudne do określenia szczególnie dla mniejszych podmiotów.

Przy jednoczesnych alarmujących wręcz komunikatach ze strony GIODO, aby nie zostawiać wdrożenia na ostatnią chwilę oraz coraz bardziej intensywnych działań Ministerstwa Cyfryzacji promujących bardziej sam fakt ewolucyjnych zmian w prawie niż konkretne rozwiązania, mikro przedsiębiorca nie dostaje prostych odpowiedzi na kluczowe dla niego pytania – jakie dokumenty ma stworzyć, czy musi powołać Inspektora Ochrony Danych(IOD), jakiej metodyki analizy ryzyka użyć i czy w ogóle musi to robić? Zaznaczyć należy, iż są to pytania, od bardziej zaawansowanych podmiotów na rynku, nie bójmy się jednak spojrzeć w stronę tych które na dzień dzisiejszy nie posiadają zgodności z obecnie obowiązującą ustawą o ochronie danych osobowych, a dokumentacja opisana w rozporządzeniu z roku 2004 nadal jest dla nich nowością!

# Przetwarzam dane osobowe, i co dalej ?

O ile dyskusje na poziomie ministerialnym, rozważania nad innowacyjnością i inteligencją reformy prawa w tym zakresie są skądinąd fascynującą lekturą, można odnieść wrażenie, iż są to dywagacje na bardzo dużym, filozoficznym poziomie ogólności a każde zbliżenie się do istoty problemu w postaci konkretnych rozwiązań kończy się odesłaniem ADO do mitycznej konieczności zastosowania adekwatnych rozwiązań. Obawę, zresztą w obliczu gigantycznych wręcz kar jakie mogą zostać nałożone na ADO, bardzo uzasadnioną, wzbudza fakt, iż nadal nie określono jednoznacznie na jakiej podstawie zostanie rozstrzygnięte, iż zastosowane środki są lub nie są adekwatne!

„Nowa” zasada rozliczalności wprowadza bardzo dużą swobodę działania ADO. Z dużą swobodą działania wiąże się jednak ogromna odpowiedzialność za zakres wdrożonych zabezpieczeń, procedur postępowania oraz dokumentacji opisującej wdrożenie w podmiocie. Brak jednoznacznych wytycznych, choćby w postaci wskazania dobrych praktyk w tym zakresie przez GIODO, a w niektórych przypadkach nie uwzględnianie standardów takich jak normy ISO podnosi poprzeczkę jeszcze wyżej.

Wiemy już, kiedy, wiemy już co, ale nadal nie wiemy jak! Komunikaty o zaawansowanych praca nad kolejnymi Kodeksami Postępowań na pewno cieszą, deklaracje ze strony MC iż prace legislacyjne idą pełną parą i już w sierpniu doczekamy się publikacji projektów ustaw i nadejdzie burzliwy okres konsultacji publicznych.

# Inspektor Ochrony Danych Osobowych

Tak duży poziom skomplikowania i ilość niewiadomych powoduje, iż coraz częściej przedsiębiorcy (również Ci mikro) spoglądają w stronę ekspertów, którzy posiadają fachową wiedzę nie tylko z zakresu prawa i ochrony danych osobowych, ale również informatyki, szeroko rozumianego bezpieczeństwa informacji, zarządzania projektami, procesami oraz umiejętności elastycznego analitycznego myślenia. Interdyscyplinarny „zawód przyszłości”, bo do takiej rangi urasta IOD (obecnie ABI), może stać się gwarantem skutecznego wdrożenia RODO w każdej organizacji. Nie każda organizacja jednak, będzie mogła sobie na takiego eksperta pozwolić. Powierzając tą funkcję podmiotom zewnętrznym musimy liczyć się z znacznymi dodatkowymi kosztami, jednakże rozwiązanie polegające na powołaniu IOD z szeregu własnych pracowników również do tanich nie należy, gdyż rozwiązania „parawanowe” polegające na wyznaczeniu „kogokolwiek” mogą bardziej zaszkodzić niż pomóc organizacji.

Potrzeba zapewnienia IOD gwarancji niezależności, odpowiednich środków na ciągłe podnoszenie kwalifikacji zawodowych poprzez umożliwienie zdobywania wiedzy, ostrożność w nakładania dodatkowych obowiązków które mogłyby powodować konflikt interesów powodują, iż wybór ten nie jest prosty i oczywisty. Sprawy dodatkowo komplikuje fakt, iż w niektórych przypadkach powołanie IOD będzie konieczne, a nie tak jak do tej pory – stanowić będzie przywilej ADO.

Osoby posiadające wiedzę i doświadczenie we wspomnianych wyżej zakresach mogą mieć zdecydowanie większą łatwość w wyznaczeniu bezpiecznych granic wdrożenia adekwatnych rozwiązań w organizacji i zapewnienia zgodności z RODO bez narażania się na nieuzasadnione koszty w trakcie wdrożenia jak i ewentualne kary w przyszłości. Wieloletnie doświadczenie może być kluczem do elastycznego reagowania na wskazówki w obszarach które nadal pozostają dużą niewiadomą, jeśli chodzi o środki techniczne i organizacyjne zastosowane dla odpowiedniego zabezpieczenia procesów przetwarzania.

Rola IOD w całym procesie jest ogromna, nie można jednak przenosić całej odpowiedzialności za ostateczny kształt i skuteczność wdrożenia na jedną osobę. Ład organizacyjny i kultura pracy, nawet w najmniejszej jednoosobowej firmie to podstawa, bez której bardzo trudno będzie zbadać jaki zakres przetwarzania i skutki tego przetwarzania należy objąć ochroną.

# Kierunek RODO

RODO może pobudzić zatem przedsiębiorców do wprowadzenia systemowych, opartych na procesach rozwiązań które pośrednio doprowadzą do skutecznego wdrożenia wymagań, a działania będą o tyle bardziej precyzyjne i skuteczne w tym zakresie na ile będzie pozwalał „ład organizacyjny”. Ujmując prościej, udokumentowana wiedza na temat firmy, zinwentaryzowane aktywa w postaci zbiorów danych osobowych, procesów, w których te dane są przetwarzane, wskazania osób które są za ten proces odpowiedzialni i jasne określenie ich obowiązków to bazowe działania, które można podjąć zanim dobre praktyki w zakresie RODO odniosą się do szczegółów.

Posiadanie dokumentacji przetwarzania wymaganej nadal obowiązującymi w kraju przepisami stanowi stabilny punkt wyjścia do nadchodzących zmian, jej brak i brak zgodności z przepisami to duży problem, który pod presją czasu może okazać się trudny do przeskoczenia dla mniejszych podmiotów.

W gąszczu niejasności i dywagacji na temat RODO zachęcam do nadrobienia zaległości z ostatnich 20 lat, bo taką okrągłą rocznicę praw do ochrony danych osobowych w Polsce niedawno obchodziliśmy. Brak szczegółowych instrukcji postępowania nie może paraliżować działań prowadzących do przywrócenia stanu zgodnego z prawem w każdej organizacji! Przeskok pomiędzy zdrowym, funkcjonującym systemem bezpieczeństwa do RODO okaże się wtedy ewolucją a nie rewolucją. Bazowanie na wieloletnim doświadczeniu, dobrych praktykach oraz obecnie funkcjonujących wymaganiach (choćby dot. dokumentacji) wydaje się jedynym rozsądnym pomysłem, szczególnie w sytuacji, gdzie żadna z dostępnych interpretacji RODO nie prowadzi do przeczących temu stanowisku konkluzji.

Droga do RODO wiedzie przez obecnie funkcjonujący akt prawny – ustawę o ochronie danych osobowych i jej akty wykonawcze. Baza wiedzy dostępna w tym zakresie jest ogromna, systematyczne budowanie kompetencji i wiedzy pozwoli na uniknięcie chaosu i doraźnych działań pod presją czasu i kar.

Zachęcam do działania!

Może Ci się również spodoba