3 pytania o…rzeczywistość biznesową pod rządami RODO

25/10/18

Wdrożenie RODO w organizacji było początkiem ciągłego procesu ochrony danych osobowych i dbania o nie

Utrzymanie zgodności z wymogami RODO wiąże się z różnymi wyzwaniami. Przykładowo wprowadzenie nowych technologii i rozwiązań w firmie może się wydłużać ze względu na konieczność przeprowadzenia oceny skutków dla ochrony danych osobowych. Innym problemem praktycznym może być zgłaszanie naruszeń do regulatora. Nie każdy incydent musi być notyfikowany, a więc konieczna jest ocena, czy wiąże się on z ryzykiem (bądź wysokim ryzykiem) dla ochrony danych.

  • Jak wygląda rzeczywistość biznesowa po 25 maja w kontekście RODO?
  • Jakie nowe wyzwania dla przedsiębiorców stworzyło Rozporządzenie?
  • Na czym powinni skupić się przedsiębiorcy, aby utrzymać zgodność z RODO?

Błędne rozumienie przepisów RODO ogranicza działalność przedsiębiorstwa, a tym samym jego przychody


 

Posłuchaj podcastu o rzeczywistości biznesowej pod rządami RODO

Jakub Gołębiowski (JG): Dzień dobry, witam w nowym odcinku podcastów PwC. Nazywam się Jakub Gołębiowski i zapraszam Was do odsłuchania audycji, którą zatytułowałem „Cała prawda o RODO po 25 maja”. 

Dziś naszymi gośćmi są Marcin Makusak, partner w PwC, ekspert z zakresu zarządzania ryzykiem, dzień dobry. 

Marcin Makusak (MM): Dzień dobry, kłaniam się serdecznie. 

Oraz Gerard Karp, partner w kancelarii PwC Legal, adwokat, lider zespołu ochrony danych osobowych i TMT, dzień dobry. 

Gerard Karp (GK): Dzień dobry. 

 

JG: Dzisiaj wrócimy do tematu RODO, to jest ostatnio nośna tematyka. Od czasu wejścia w życie Rozporządzenia o ochronie danych osobowych już trochę czasu minęło. I teraz tak może dla przypomnienia RODO to jest ogromna zmiana, właściwie największa od 20 lat. Uchwalone zostało to wszystko w 2016 roku, pełną stosowalność osiągnęliśmy 25 maja 2018 roku. Okres więc na dostosowanie się trwał 2 lata.
Nowe prawo obowiązuje wszystkie kraje członkowskie w takim samym stopniu, rozporządzenie stosowane jest bezpośrednio i zastąpiło dotychczasowe przepisy dotyczące ochrony danych osobowych w państwach unii. I teraz może już po tym szybkim podsumowaniu przejdźmy do naszej rozmowy, mój wzrok kieruję na Marcina. Marcin jak wygląda nasza rzeczywistość po 25 maja w kontekście RODO?

MM: To dość szerokie pytanie, pewnie odpowiedź można rozpatrywać przynajmniej w trzech wymiarach: rynek, przedsiębiorstwo i klient. Jeżeli chodzi o rynek, to z przeprowadzonej przez nas analizy wysunąć można trzy wnioski.

Po pierwsze trzykrotnie wzrosła liczba skarg kierowanych do prezesa Urzędu Ochrony Danych Osobowych.

Po drugie połowa polskich firm deklaruje, że wdrożyła RODO. I po trzecie w ciągu 3 miesięcy pełnej stosowalności rozporządzenia wzrosła liczba incydentów związanych z bezpieczeństwem danych osobowych. Zanotowano już ponad 11 200 zgłoszeń.

Z perspektywy przedsiębiorstw nastąpiła tak zwana operacjonalizacja wdrożenia, oczywiście tam, gdzie to wdrożenie zostało wdrożone i albo dane przedsiębiorstwo działa w ramach nowych procedur, zapominając już jak to było przed RODO, albo, i tutaj mówię o znacznej części, wciąż modyfikuje działania, procesy, systemy, procedury, ponieważ wciąż odkrywają nowe wymiary zagrożeń i możliwości. 

W szczególności trudne jest bieżące utrzymanie zgodności, bo przecież wdrożenie powinno zakończyć się przed 25 maja, ale jak działać by pozostać zgodnym? Dość trudne pytanie. Trzeci wymiar, to wymiar klientów, jednostek, które z jednej strony posiadają prawa, które pozwalają im chronić swoją prywatność, czy też sposób, w jaki dane przedsiębiorstwo może wykorzystywać ich dane osobowe. Z drugiej strony ograniczenia, które co prawda często wynikają z niezrozumienia przepisów, ale sprawiają, że wiele osób czuje się jak w świecie absurdów. 

Myślę, że do historii przejdzie specjalne kodowanie nazwisk w kolejce do lekarza, gdzie zamiast imienia i nazwiska można usłyszeć nazwę zwierzątka, albo nazwiska znanych osobistości. Czyli przysłowiowy Kowalski usłyszy „Pan Żyrafa” albo „Pan Leonardo da Vinci”. Oczywiście fajnie się pośmiać, ale wszystko to świadczy o tym, że wielu z nas wciąż myli pojęcia i rozumienie przepisów, ale, co gorsza, i mówię to głównie z perspektywy przedsiębiorstw, przez błędne rozumienie rozporządzenia ogranicza się działalność, a tym samym przychody i nad tym warto się zastanowić. 

 

JG: Gerard, chciałbyś coś dodać do tego, co powiedział Marcin? 

GK: Proszę Państwa, chociaż RODO jest oczywiście bardzo istotną regulacją, być może nawet najistotniejszą regulacją w tym aspekcie od kilkudziesięciu lat, to trzeba pamiętać, że nie jest to rewolucja. Mamy do czynienia z ewolucją rozwiązań dotyczących ochrony danych osobowych. RODO wprowadziło nam szereg nowych instytucji, ale całokształt systemowy pozostał taki sam.

Teraz, co jest niezmiernie istotne, to żebyśmy we właściwy sposób te przepisy stosowali, żeby nie dochodziło do takich kuriozalnych sytuacji, o których mówił Marcin, gdzie pewne przepisy regulacje czy instytucje są w pewien sposób, w błędny sposób interpretowane i idea instytucji, powiedziałbym, wynaturzana.

To jest największe wyzwanie chyba w tym momencie, żeby podejść do tej regulacji w sposób zdroworozsądkowy, sposób probiznesowy, ale z drugiej strony też absolutnie chroniąc w pełnym zakresie prywatność i prawa podmiotów danych.  

 

JG: Wracając do tego, co powiedział Marcin. Tylko połowa polskich firm deklaruje, że wdrożyła RODO i tutaj mam pytanie do Gerarda. Czy mógłbyś w takim razie dokonać takiego podsumowania? Jakie nowe wyzwania dla przedsiębiorstw stworzyło to rozporządzenie? Bo jednak 50% to dość słaby rezultat. 

GK: Z jednej strony pewnie dość słaby, z drugiej strony należy pamiętać, że mamy do czynienia z potężną regulacją, dość skomplikowaną, łączącą elementy prawne, organizacyjne i techniczne. I to nie jest znowu takie proste oczywiście, żeby dobrze wdrożyć taką regulację do firmy.

Również musimy pamiętać, że jest to o tyle specyficzna regulacja, która dotyczy właściwie każdego aspektu funkcjonowania przedsiębiorstwa. O ile mamy akty prawne, które w jakiś sposób na nowo regulują nam pewne aspekty, chociażby pracownicze, czy w poszczególnych sektorach, dotyczące na przykład finansowania, o tyle dane osobowe występują w każdym departamencie, w każdej komórce, w organizacji, w firmie, w przedsiębiorstwie. I de facto każda ta komórka, każdy ten departament musi w odpowiedni sposób zaadresować kwestie związane z ochroną danych osobowych. Dlatego te wdrożenia, one rzeczywiście były tak wielowątkowe, tak szerokie, skomplikowane i być może stąd też się bierze odpowiedź na twoje pytanie, że tylko 50% przedsiębiorstw czy organizacji wdrożyło RODO. 

Natomiast jakie wyzwania dla przedsiębiorców stworzyło rozporządzenie? Myślę, że wiele różnych, przede wszystkim musimy pamiętać, że RODO stara się wprowadzić permanentny system dbania o kwestie ochrony danych osobowych do przedsiębiorstwa. Nie jest to element jednorazowy, nie jest to kwestia 25 maja, gdzie musimy mieć przygotowaną jedną czy drugą procedurę, rejestr przetwarzania danych osobowych tudzież inny dokument. To jest permanentny cykl dbania o dane osobowe.

Czyli my dzisiaj robiąc wdrożenie, my musimy cały czas o tym pamiętać, musimy wracać do tego, co ustaliliśmy, wracać do tych procesów, które mamy, do bezpieczeństwa, do kwestii naszych procedur i szeregu innych elementów, żeby w ciągły sposób patrzeć na to, co dzieje się z danymi osobowymi w naszej organizacji. Jakbym miał tak krótko podsumować, jakie są największe wyzwania, czy jakie wyzwania stworzyło RODO, to myślę, że przede wszystkim postawiło bardzo wysoką poprzeczkę już na samym początku tym wdrożeniem.

To znaczy nieumiejętne wdrożenie mogło powodować komplikacje biznesowe, chociażby uniemożliwić prowadzenie działań marketingowych, znamy takie przypadki, gdzie wskutek błędnych rekomendacji, szefowie danych marketingowych decydowali się opuścić jedno czy drugie przedsiębiorstwo. Znamy takie sytuacje, gdzie rekomendacje zmierzały do tego, że organizacja musiała usunąć potężne zbiory danych marketingowych. W tym momencie czy rzeczywiście te rekomendacje były słuszne czy nie, ale można mieć wrażenie, ten biznes, te przedsiębiorstwa mogą mieć wrażenie, że RODO wprowadziło nam taki system, który de facto bardzo mocno ingeruje w biznes, nawet w pewnych obszarach, powiedziałbym, może go zabijać. Więc to umiejętne wdrożenie polega na tym, żeby popatrzeć na kwestie ochrony danych osobowych, ale z drugiej strony, żeby ono było cały czas pragmatyczne, żeby nie powodowało zbyt wielu ujemnych konsekwencji i ujemnych skutków dla chociażby firmy. 

To o czym należy pamiętać, że tam, gdzie będziemy wdrażali nowe rozwiązania, nowe produkty, chociażby nowe aplikacje, albo inne rozwiązania, które mogą być oparte, powiedzmy, o nowe technologie, to ten proces wdrożenia będzie się wydłużał, bo będziemy musieli przeprowadzić ocenę skutków dla ochrony danych osobowych, czyli jest to taki nowy model oceny ryzyka wprowadzony po raz pierwszy rozporządzeniem.

No i to naturalnie zabierze jakiś czas, prawda, energię dla organizacji. Będzie trzeba popatrzeć na kwestie bezpieczeństwa, czy rzeczywiście na przykład ta nowa aplikacja w odpowiedni sposób zabezpiecza dane osobowe, czy ona jest w odpowiedni sposób skonstruowana i uwzględnia privacy by design, privacy by default. Czyli to są te elementy, które mogą w rzeczywistości proces wprowadzenia nowych chociażby aplikacji, czy innego rozwiązania do organizacji. Zaobserwowaliśmy też proces nadużywania praw wprowadzonych przez RODO, w szczególności prawa do bycia zapomnianym przez osoby fizyczne. Otóż nie zawsze i nie w każdej sytuacji to prawo będzie nam przysługiwało, tylko w tych, w których rzeczywiście to zostało wprost opisane Rozporządzeniem. 

Z takich bardziej pragmatycznych też elementów, mających charakter organizacyjny, które stanowią duże wyzwanie dla przedsiębiorców, to jest chociażby brak odpowiednich zasobów ludzkich w postaci dobrze wykwalifikowanych inspektorów ochrony danych osobowych. W Niemczech ta populacja osób sięga kilkuset tysięcy. W Polsce trudno powiedzieć, ile mamy wykwalifikowanych inspektorów ochrony danych osobowych, ale na pewno zbyt mało, by mogli oni rzeczywiście wypełnić tę lukę w tym momencie. Więc tutaj przedsiębiorstwa miały i mają cały czas duży problem, żeby w odpowiedni sposób zrekrutować właściwe osoby do pełnienia tejże funkcji. 

Również problem praktyczny, który obserwujemy to jest chociażby element zgłaszania naruszeń do regulatora, do prezesa urzędu ochrony danych osobowych, tudzież do podmiotów danych. Proszę pamiętać, że nie każde naruszenie, nie każdy incydent związany z ochroną danych osobowych będzie musiał być notyfikowany, tylko te, które wywołują ryzyko, bądź wysokie ryzyko powinny być przedstawiane regulatorowi.

To jest ta specyficzna instytucja, gdzie będziemy donosili na samych siebie, dlatego tym bardziej ważne jest, abyśmy mieli implementowane właściwe procedury, które z jednej strony w odpowiedni sposób pozwolą nam kwalifikować incydenty i w odpowiedniej sytuacji poinformować regulatora ochrony danych osobowych, tudzież podmiot danych o takim incydencie. Z drugiej strony te procedury muszą też w jakiś sposób precyzować te warunki informowania i tam gdzie to będzie niezbędne musimy to robić, bo inaczej narazimy się rzeczywiście na konsekwencje prawne ze strony regulatora, tudzież na kary finansowe, które są rozporządzeniem przewidziane, a one są wysokie. 

MM: Ale też pojawiła się ciekawa sytuacja, bo spora liczba oszustw, czyli oszuści, którzy powołują się na Urząd Ochrony Danych Osobowych, próbują przeprowadzić fałszywe kontrole w przedsiębiorstwie, wyłudzić informacje, dane, albo pieniądze, to jest też ciekawe zjawisko, na które trzeba być wrażliwym. 

 

JG: Z tego co powiedzieliście, to jasno rysuje się taki wniosek, że RODO zmieniło z perspektywy przedsiębiorstwa, właściwie wymogło zmianę kultury pracy, tego DNA organizacji. Ta zmiana powoduje jakby bardzo, bardzo istotne modyfikacje w pracy poszczególnych departamentów. No i tutaj pojawia się moje kolejne pytanie. 
Na czym powinni się skupić przedsiębiorcy, aby utrzymać zgodność z RODO? Bo to co powiedzieliście jest bardzo ważne, to nie jest jednorazowa akcja, tylko to jest pewne kontinuum. Ta zgodność musi być zagwarantowana przez cały czas.   

MM: Pewnie moglibyśmy przez następne dwie godziny o tym rozmawiać, ale może skupmy się na najważniejszych top 5 rzeczach. Ja myślę, że przede wszystkim działania uświadamiające wewnątrz organizacji, czyli okresowe szkolenia, akcje podnoszące świadomość wśród pracowników, to jest bardzo ważne. 

Innym elementem jest niezależna weryfikacja zmiennych procesów, w tym działania monitorujące dostawców w zakresie spełnienia wymagań. Czyli przysłowiowa kontrola, czy po prostu sposób działania organizacji jest prawidłowy. Tutaj pomocny powinien być na przykład audyt wewnętrzny. 

Takim trzecim elementem są tak zwane dobre DPIA, czyli analizy wpływu działania na dane osobowe na ryzyko naruszeń praw i wolności osób, których te dane dotyczą. W szczególności ważny element w przypadku uruchomienia nowego produktu czy wdrożenia nowych systemów informatycznych.

Pamiętajmy, że czynności wymagane do prawidłowego przeprowadzenia DPIA to przygotowanie usystematyzowanego opisu przewidywanych operacji przetwarzania danych na określenie celów przetwarzania, przedstawienie uzasadnionego interesu realizowanego przez administratora, jeśli dotyczy, ocena ryzyka dla praw i wolności podmiotów danych, przedstawienie i wdrożenie środków przewidzianych do wskazania ryzyka i wskazanie zabezpieczeń środków ochrony i mechanizmów zapewnienia ochrony danych osobowych do przedstawienia zgodności. Więc w taki sposób będziemy się zabezpieczać, czyli zabezpieczać organizację, systemy, miejsca, gdzie będziemy te dane przetwarzać. 

Czwartym takim punktem jest bieżąca aktualizacja rejestru czynności, polityk, wytycznych zwłaszcza w większych organizacjach, gdzie mamy dużą dynamikę. Pamiętajmy, że aktualizacja i wdrożenie zmodyfikowanych procedur powinno być na bieżąco, tak, żeby pracownik mógł odpowiednio reagować i był świadomy tego, co jest od niego wymagane. 

I na końcu prawidłowe reagowanie na incydenty i wyciąganie wniosków z tych sytuacji, kiedy już dochodzi do naruszenia praw podmiotów. Tu może zatrzymajmy się chwilę nad tym ostatnim tematem i spójrzmy z szerszej perspektywy, czyli bezpieczeństwo w ramach RODO. Samo rozporządzenie nie mówi wprost, jakie środki stosować czy wdrażać rozwiązania typu data leakage prevention, czyli rozwiązania, które wspierają organizację przed wyciekiem informacji, w tym danych osobowych lub systemy klasy SIEM (Security Information and Event Management), co pozwala na centralne zarządzanie logami z wielu urządzeń, w jednym czasie, a następnie ich analizę pod kontem zdarzeń, które mogą na przykład świadczyć o włamaniu do infrastruktury przedsiębiorstwa.

Natomiast rozporządzenie wskazuje na działania, takie jak pseudonimizacja, zdolność do ciągłego zapewnienia poufności, integralności, dostępności, odporności systemów i usług przetwarzania, czy regularne testowanie mierzenie i ocenianie skutków środków technicznych i organizacyjnych. 

W dzisiejszym świecie ciężko zapewnić to wszystko bez odpowiednich narzędzi wspierających, ale także odpowiednie zaprojektowanie czy zmienianie obecnych rozwiązań systemów z perspektywy RODO jest bardzo istotne. Przy okazji RODO powstają nowe rozwiązania technologiczne w obszarze data discovery, czyli wyszukiwanie i identyfikacja danych, zarządzanie danymi osobowymi oraz właśnie bezpieczeństwa, które są odpowiedzią na zapotrzebowanie technologiczne związane z realizacją praw podmiotów oraz zapewniania odpowiedniego poziomu bezpieczeństwa dla przetwarzanych danych. 

 

JG: To co powiedzieliście pokazuje, jak bardzo mamy do czynienia ze złożoną i właśnie kompleksową tematyką. To może tak, chciałbym się zwrócić do Gerarda jeszcze o takie podsumowanie, parę słów na koniec, bo na pewno tematyce RODO będziemy się cyklicznie przyglądać, ale jak możemy podsumować tę rzeczywistość po 25 maja na dziś. 

GK: Ja myślę, że musimy popatrzeć na to zdecydowanie szerzej, to znaczy z jednej strony chcemy chronić naszą prywatność, zdajemy sobie sprawę, że nasze dane osobowe stanowią dzisiaj dużą wartość ekonomiczną i chcemy wszyscy, by podlegały one ochronie. Z drugiej strony, kiedy patrzymy przez pryzmat przedsiębiorstwa i staramy się w odpowiedni sposób wdrożyć rozporządzenie, rzeczywiście wpadamy często w taki dyskurs, że ta regulacja jest niepotrzebna.

Otóż wydaje się, że ona jest absolutnie niezbędna i być może ona powstała nawet zbyt późno, tylko jest bardzo ważne, aby w odpowiedni sposób, w sposób pragmatyczny, w sposób zdroworozsądkowy to Rozporządzenie stosować, dlatego tak ważna rola jest tutaj i regulatora, który w pierwszej kolejności będzie rozporządzenie interpretował i stosował i wydawał na bazie tegoż aktu prawnego odpowiednie decyzje, a dalej sądów.

Poprzez nieumiejętne stosowanie nawet najmądrzejszego aktu prawnego można wypaczyć wiele różnego rodzaju instytucji. Dlatego długa droga przed nami, się wydaje, że absolutnie niezbędny akt prawny, który ma chronić nasze dane, naszą prywatność, ale wszyscy musimy nauczyć się w odpowiedni sposób jeszcze rozporządzenie o ochronie danych osobowych RODO stosować. 

 

JG: Myślę, że jest to bardzo dobra myśl na zakończenie. Bardzo dziękuję za wysłuchanie tego odcinka, a Marcinowi i Gerardowi za ciekawą rozmowę. 

MM, GK: Dziękujemy bardzo.

 

Podobał ci się odcinek? Oceń nasz podcast, podziel się z innymi oraz śledź nasze kanały.

Więcej podcastów PwC znajdziesz na stronie pwc.pl/podcasty oraz w aplikacjach iTunes i Google Music.

 

 

Nasi eksperci:

Marcin Makusak, partner w PwC, zespół zarządzania ryzykiem
Marcin Makusak

partner w PwC, zespół zarządzania ryzykiem

Gerard Karp, partner w PwC Legal, lider zespołu ochrony danych osobowych i TMT/IP, adwokat
Gerard Karp

partner w PwC Legal, lider zespołu ochrony danych osobowych i TMT/IP, adwokat

Skontaktuj się z nami

Marcin Makusak

Marcin Makusak

Partner, PwC Polska

Tel.: +48 502 184 718

Obserwuj nas