GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Jak wielcy gracze przygotowują się do RODO? Cz.1.

Zegar RODO tyka. Do pełnej egzekwowalności przepisów GDPR został już niecały rok. Jak przez ten czas wielkie firmy przygotowują się do jego wdrożenia? Opowiemy jak światowi giganci oceniają poszczególne rozwiązania RODO, jak zmieniają swoje produkty czy usługi, by być zgodnym z nowym rozporządzeniem, i na czym głównie koncentrują swoje działania.

Facebook

Największy światowy portal społecznościowy od dawna znajduje się na świeczniku w kontekście ochrony prawa do prywatności użytkowników – nie zawsze jednak w pozytywnym kontekście. Nie dalej jak w maju tego roku francuski organ nadzorczy (Commission Nationale de l’Informatique et des Libertés, CNIL) nałożył na firmę karę o wysokości 150.000 EUR – obecnie maksymalną karę przewidzianą przez francuską ustawę o ochronie danych osobowych – za nielegalne udostępnianie danych użytkowników reklamodawcom. Z drugiej strony, można podejrzewać, że Facebook chyba jak żaden inny światowy gracz zdaje sobie sprawę z wagi nowego europejskiego prawa. Według obliczeń biorących pod uwagę dochody firmy, potencjalne kary finansowe za działania niezgodne z RODO mogą kosztować ją setki milionów euro.

DPO

Stephen Deadman (Deputy Chief Privacy Officer firmy) uchyla rąbka tajemnicy, opowiadając o kilku aspektach działań wdrażających. Kluczowym ma być zatrudnienie w najbliższym czasie DPO z siedzibą w Dublinie (Facebook to tak naprawdę dwie spółki: amerykańska Facebook Inc oraz irlandzka Facebook Ireland Limited, ta druga miała zostać założona m.in. ze względu na wymagania europejskiego prawa ochrony danych). Osoba, która będzie na tym stanowisku ma mieć pełen dostęp do wszystkich zasobów firmy i raportować do zarządu, a jej działania mają być nadzorowane przez samego Zuckerberg’a. Jednocześnie ma też pozostawać w ciągłym kontakcie z lokalnym organem nadzorczym. Jak podkreśla Deadman, Facebook wypracował już bowiem wspólnie z irlandzkim organem (Data Protection Commissioner, ‘DPC’) pewien model współpracy. Dla firmy bardzo ważne jest to, aby organ ten miał do kogo się zwrócić, i vice versa.

Rola organów nadzorczych

I to właśnie m.in. takie partnerskie podejście do roli organu nadzorczego, a nie strach przed wysokimi karami finansowymi, mają pozwolić bardziej efektywnie wdrożyć RODO. W tym kontekście przedstawiciel Facebook’a pozytywnie ocenia działania Helen Dixon, pod wodzą której praktyczna rola irlandzkiego organu nadzorczego miała dalece wzrosnąć; do tego stopnia, że DPC staje sie de facto wiodącym organem nadzorczym dla wielu firm z branży nowych technologii mających swoje siedziby w Irlandii. Jednym z ważniejszych rozwiązań, które pozwolą dalej rozwinąć tą współpracę i które firma ocenia bardzo pozytywnie, jest mechanizm one-stop-shop. Praktyki portalu były do tej pory przedmiotem zainteresowania kilku europejskich organów nadzorczych, a w one-stop-shop przedstawiciele Facebook’a upatrują szansę na ujednolicenie ich podejścia do swojej polityki prywatności i bezpieczeństwa danych. Co prawda mechanizm ten nie wyklucza zapytań od pozostałych organów nadzorczych, ale wszelkie działania mają być jednak koordynowane przez organ wiodący (którym w przypadku Facebook’a będzie organ irlandzki) w ramach ustanowionego prawnie modelu współpracy (RODO, art. 60 i nast.). Według Stephen’a Deadman’a dotychczasowa praktyka była taka, ze organy nadzorcze działały niezależnie od siebie, co prowadziło do niespójności ich ocen.

Zmiany?

Aby wdrożyć GDPR, Facebook zatrudnił setki ludzi, począwszy od inżynierów i reasearch’erów, po prawników oraz specjalistów od polityk prywatności i bezpieczeństwa danych, którzy oceniają każdą poszczególną funkcjonalność portalu pod kątem zgodności z jego wymaganiami. Implementacja koncentruje się wokół dwóch kluczowych kwestii: transparentności przetwarzania oraz kontroli użytkownika nad swoimi danymi. Jak podkreśla Stephen Deadman, wprowadzenie nowych rozwiązań poprzez współpracę z prawnikami i regulatorami nie wystarczy, jeśli sam użytkownik nie będzie intuicyjnie postrzegał nowej, otoczonej aurą prawniczych terminów, funkcjonalności jako czegoś korzystnego dla siebie. Zmiany maja być widoczne dla każdego przeciętnego użytkownika, a jednocześnie korzystanie z nowych narzędzi ma być szybkie i proste. W styczniu tego roku portal wdrożył unowocześnioną sekcję Privacy Basics, która jest centralnym miejscem na portalu pozwalającym nawigować działania użytkownika w celu zwiększenia kontroli nad jego danymi. Obejmuje obszary takie jak zarządzanie prywatnością konta, ustawienia dotyczące reklam, bezpieczeństwa konta oraz zwiększanie świadomości na temat nowych technologii.  Pozwala także m.in. na obejrzenie całego profilu pod kątem ustawień prywatności czy też odpowiedniego ustawienia odbiorców dla poszczególnych postów. Zwiększeniu bezpieczeństwa użytkowników portalu przyświecało wprowadzenie możliwości włączenia dodatkowej autoryzacji w przypadku logowania się do konta z nowego urządzenia.

Zaufanie w centrum RODO

Stephen Deadman zapytany o to, czy Facebook obawia się drakońskich kar finansowych odpowiada zagadkowo – i tak, i nie, ponieważ poprzeczka dla portalu jest od dawna zawieszona bardzo wysoko. Sankcje to jedno, to co naprawdę ma stanowić wartość dla firmy w kontekście ochrony danych to reputacja i zaufanie. I właśnie zaufanie ze strony cyfrowego społeczeństwa ma sprawić, że Facebook chce iść w dobrym kierunku.

Microsoft

Amerykański gigant z branży IT, dostawca systemów operacyjnych i oprogramowania biurowego, odważył się niedawno na poważną deklarację. Jako jedna z niewielu firm, Microsoft ogłosił swoim klientom i użytkownikom, że z dniem 25 maja 2018 ich usługi w chmurze oraz zabezpieczenia systemu Windows 10, będą w pełnej zgodności z GDPR. W oficjalnych komunikatach Microsoft podkreśla wagę RODO jako regulacji, która całościowo umożliwi osobom fizycznym ochronę ich prawa do prywatności, uznając iż chociaż jest to europejskie prawo, tak naprawdę staje się ono nowym standardem dla całego świata.

Jakie podejście do wdrożenia RODO w organizacji rekomenduje Microsoft?

Brendon Lynch, który odpowiada w firmie za ochronę prywatności, opowiedział o kilku kluczowych aspektach działań wdrożeniowych w trakcie organizowanego przez Microsoft webinarium. Według niego jedną z fundamentalnych kwestii jest dualizm ról, w jakich firma występuje. Nieco różnią się od siebie działania implementacyjne w obszarach, gdzie firma występuje jako administrator danych osobowych klientów indywidualnych oraz pracowników, inne w zakresie działań obejmujących przetwarzanie danych w imieniu innych firm czyli klientów komercyjnych. Jeśli chodzi o same początki, to latem 2016 firma rozpoczęła od skrupulatnego przetłumaczenia wymagań prawnych na konkretne wymagania techniczne i biznesowe. Następnie oceniono wszystkie funkcjonujące w firmie procesy i zidentyfikowano poszczególne obszary wymagające dalszej pracy pod kątem zgodności z RODO. Jak podsumowuje Lynch, w skrócie wszystko sprowadza się do zrozumienia wymagań, zidentyfikowania braków oraz opracowania konkretnego planu wdrożeniowego dla poszczególnych rozwiązań.

4 kroki do wdrożenia GDPR

Jeśli chodzi o ogólne podejście do wdrożenia GDPR, w opracowanym niedawno dokumencie, firma proponuje metodę 4 kroków:

  1. Odkrywanie – celem tego kroku ma być zmapowanie danych: zidentyfikowanie, jakie dane osobowe posiada organizacja i gdzie dokładnie te dane się znajdują;
  2. Zarządzanie – kolejnym etapem jest zrozumienie, w jaki sposób przetwarzane są dane osobowe i jakie zasady rządzą ich udostępnianiem;
  3. Ochrona – gdy już wiemy, jakie dane osobowe przetwarza organizacja, należy ustanowić odpowiednie środków kontroli ich bezpieczeństwa w celu uniemożliwienia wykrywania incydentów ich naruszenia, jak również na bieżąco identyfikować obszary podwyższonego ryzyka podatności na incydenty bezpieczeństwa;
  4. Raportowanie – krok ten ma na uwadze wdrożenie procedur umożliwiających podmiotom danych wykonywanie ich uprawnień, zgłaszanie incydentów bezpieczeństwa oraz opracowanie odpowiedniej dokumentacji przetwarzania danych.

Nowe rozwiązania

Gigant z Redmond podkreśla, że stara się wprowadzić szerokie spektrum rozwiązań, nie tylko po to, aby samemu działać w zgodzie z RODO, ale też pomóc w tym swoim klientom. Jednym z nich są narzędzia związane z tzw. data discovery – produkty firmy mają zawierać wbudowaną możliwość zidentyfikowania danych osobowych i klasyfikowania ich w taki sposób, aby opuszczając daną organizację kategoryzacja danych w plikach wędrowała razem z nimi (rozwiązanie oparte na idei Persistent Data Protection). Inteligentne rozwiązania wbudowane w pliki mają same podpowiadać użytkownikowi odpowiednią kategoryzację zawartości dokumentu jako poufną np. poprzez zidentyfikowanie numery karty kredytowej, jak również automatycznie dostosowywać klasyfikację zawartości. Użytkownicy będą mieli możliwość wyszukiwania zawartości na dysku pod kątem kryterium klasyfikacji danych znajdujących się w plikach, tak aby m.in. móc szybciej odpowiedzieć na zapytania związane z wykonywaniem praw podmiotów danych. Rozwiązania związane z klasyfikacją danych mają w dalszej kolejności także pozwolić na ustanowienie kontroli plików na odpowiednim poziomie m.in. poprzez szyfrowanie czy też udostępnianie zawartości wyłącznie autoryzowanym użytkownikom. Ustanawianie odpowiednich polityk dostępu ma za zadanie blokadę poszczególnych plików przed udostępnieniem np. na zewnątrz organizacji, jednocześnie notyfikując o tym użytkownika. Co więcej, tzw. geo-tracking pozwala na monitorowanie uprzednio ‘otagowanych’ dokumentów pod kątem tego, komu i gdzie zostały one udostępnione, jak również pozwala na odwołanie dostępu do pliku jeśli tylko administrator uzna, że został on udostępniony nieautoryzowanym podmiotom. A to tylko kilka z przykładowych rozwiązań, które wdrożył Microsoft, aby dostosować swoje produkty pod kątem RODO.

Ciąg dalszy nastąpi…

Źródła:

  1. https://iapp.org/news/a/design-jam-provides-new-approach-to-data-transparency-and-control/
  2. https://www.youtube.com/watch?v=N1IyJRmhsYo
  3. https://iapp.org/news/a/facebook-the-right-path-forward-for-the-gdpr/
  4. https://www.slideshare.net/Chief_Data_Officer_Forum/stephen-deadman-global-deputy-chief-privacy-officer-facebook-cdo-europe-2017-gdpr
  5. https://www.complianceweek.com/blogs/global-glimpses/facebook-and-the-eu-a-compliance-failure-or-skirting-around-the-truth#.WVqP1PsUnIU
  6. http://www.independent.ie/business/technology/trust-a-bigger-motivator-than-fines-for-facebook-35852414.html
  7. https://info.microsoft.com/TrustPrivacyandGDPR-OnDemandRegistration.html
  8. https://blogs.microsoft.com/blog/2017/05/24/accelerate-gdpr-compliance-microsoft-cloud/
  9. https://www.youtube.com/watch?v=Y0K8CEfcn7o
  10. https://www.youtube.com/watch?v=J8VdBZ88qRw