U progu zmiany
GDPR to akt prawny kompleksowo regulujący kwestię ochrony danych osobowych, ujednolicający standardy w całej UE, wprowadzający nowe definicje i instytucje oraz rozszerzający kompetencje organów nadzorczych. Kwestią, która po głębszej lekturze tej regulacji wysuwa się na pierwszy plan, jest jednak zasadnicza zmiana kultury przetwarzania danych osobowych.
Samą „kulturę”, za Słownikiem Języka Polskiego PWN zdefiniować można jako „odpowiednio wysoki poziom rozwoju społeczeństwa w jakimś zakresie”, przy czym rozpatrywanym zakresem jest w tym przypadku ochrona danych osobowych. Kulturą przetwarzania danych osobowych będzie zatem zarówno stopień wiedzy w tym obszarze, poziom techniczny i organizacyjny danego podmiotu, ale też świadomość znaczenia tego problemu i jego miejsce w hierarchii innych zagadnień.
Koniec „szablonowego podejścia”
Na gruncie obowiązującej jeszcze ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i jej aktów wykonawczych istniała de facto „szablonizacja” podejścia do ochrony danych osobowych. W organizacjach przyjmowane były wzorcowe polityki ochrony danych osobowych, wzorcowe instrukcje zarządzania systemami informatycznymi, przeprowadzane wzorcowe szkolenia, a wszystko to traktowane, jako kolejny punkt do „odhaczenia” na długiej liście obowiązków obciążających prowadzenie codziennej aktywności.
GDPR zmienia to podeście w sposób zasadniczy, za pomocą nowych mechanizmów i instytucji niejako wpisuje ochronę danych osobowych w funkcjonowanie podmiotów przetwarzających dane, a intensywność zmiany jest tym większa, im bardziej podmiot opiera swoją działalność właśnie na przetwarzaniu danych osobowych.
Podejście oparte na ryzyku
Osią zmian jest podejście oparte na ryzyku, które zmusza administratora i podmiot przetwarzający do szacowania ryzyka związanego z przetwarzaniem danych, a także doboru stosownych środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (art. 24 i 32 GDPR). Podejście to ma z jednej strony zagwarantować techniczną neutralność nowego prawa – innowacyjne rozwiązania dotyczące przetwarzania danych będą wymagały nowego podejścia i prawdopodobnie odmiennych środków mitygujących ryzyko naruszenia praw i wolności osób fizycznych, w związku z przetwarzaniem ich danych osobowych. Z drugiej strony zastosowane środki techniczne i organizacyjne będą różniły się w zależności od rodzaju danych osobowych (np. danych o stanie zdrowia, danych biometrycznych), a także charakterystyki administratora lub podmiotu przetwarzającego oraz branży, w której działają (inne zabezpieczenia zastosuje bank, inne sklep sportowy, a jeszcze inne księgarnia internetowa).
To od stopnia ryzyka będzie np. zależało, czy naruszenie ochrony danych osobowych należy zgłaszać organowi nadzorczemu, a także w szczególnych przypadkach, gdy ryzyko takie będzie wysokie – również osobom, których dane dotyczą (art. 33 i 34 GDPR).
Stopień ryzyka będzie także determinował konieczność przeprowadzenia oceny skutków dla ochrony danych i tam, gdzie to konieczne – zwrócenia się do organu nadzorczego o konsultacje (art. 35 i 36 GDPR).
Zasada rozliczalności
Z powyższą regułą wiąże się zasada rozliczalności, którą sprowadzić można do dwóch wymagań: przyjęcia odpowiednich środków organizacyjnych i technicznych adekwatnych do ryzyka, a także możliwości wykazania spełnienia wymagań nakładanych mocą GDPR. W przypadku podmiotów o złożonej strukturze, będzie się to oznaczało konieczność wypracowania pełnej i przejrzystej dokumentacji. Mniejsze podmioty mogą ją posiadać w bardzo uproszczonej formie, a opierać się na przyjętych (nawet ustnie) procedurach. Jest to naturalna konsekwencja przyjęcia podejścia opartego na ryzyku, a więc pewnej swobody pozostawionej administratorom i podmiotom przetwarzającym, którą wyrazić można kolokwialnym nakazem – „zróbcie tak, żeby było dobrze, ale bądźcie w stanie pokazać, że jest dobrze i uzasadnić dlaczego tak jak jest, jest dobrze”.
Zasada ta jest explicite wymieniona w art. 5 ust. 2 GDPR, gdzie stwierdzono, iż administrator jest odpowiedzialny za przestrzeganie przepisów dotyczących zasad przetwarzania danych osobowych i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). W motywie 85 GDPR, poświęconym notyfikacji naruszenia ochrony danych osobowych podniesiono, iż natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
Organizacja w swoje wewnętrzne procedury musi zatem wplatać kwestie przetwarzania danych osobowych i uwzględniać je na każdym etapie działalności: planowania, pierwszego kontaktu z osobami których dane dotyczą, świadczenia usługi, dostawy towaru, prowadzenia działalności marketingowej lub innej działalności zarobkowej, zawodowej lub dla realizacji celów statutowych, a także pamiętać, by usuwać dane wtedy, gdy nie są już niezbędne do celu, dla którego realizacji zostały zebrane (retencja).
Elementy podejścia proaktywnego i prewencyjnego
Takie prewencyjne i proaktywne podejście znajduje swoje odbicie w nowych rozwiązaniach przyjętych na gruncie GDPR:
- privacy by design – zasada uwzględnienia ochrony danych osobowych w fazie projektowania. Zakłada, iż już na początkowym etapie należy brać pod uwagę kwestię ewentualnego przetwarzania danych osobowych w ramach danego projektu/towaru/usługi, a także planować zastosowanie adekwatnych do ryzyka środków organizacyjnych i technicznych (art. 25 ust. 1 GDPR);
- privacy by default – domyślna ochrony danych. Oznacza że administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania (art. 25 ust. 2 GDPR);
- mechanizm certyfikacji – polega na ujednoliceniu i ustandaryzowaniu certyfikacji na poziomie krajowym i europejskim oraz do wprowadzeniu znaków jakości i oznaczeń w dziedzinie ochrony danych, pozwalając w ten sposób osobom, których dane dotyczą, szybko ocenić stopień ochrony danych, której podlegają stosowne produkty i usługi (42 ust. 1 GDPR). Organizacja może zatem otrzymać widoczny dla innych znak zgodności z GDPR i legitymując się nim uwiarygadniać w oczach pracowników, partnerów i kontrahentów;
- zatwierdzone kodeksy postępowania – zrzeszenia lub inne organy reprezentujące kategorie administratorów lub podmiotów przetwarzających mogą sporządzać kodeksy postępowania w granicach GDPR, by ułatwiać skuteczne stosowanie nowego prawa, z uwzględnieniem szczególnych cech przetwarzania prowadzonego w niektórych sektorach i szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. W takich kodeksach można w szczególności dopasować obowiązki administratorów i podmiotów przetwarzających do ryzyka naruszenia praw lub wolności osób fizycznych, jakie może powodować przetwarzanie (art. 40 ust. 1). Kodeksy są przedstawiane do akceptacji organom nadzorczym, a po pomyślnym przejściu procedury weryfikacji – upubliczniane.
Wdrożenie GDPR w organizacji nie jest więc prostym dostosowaniem dokumentacji, ale stanowi projekt korporacyjny – zmianę sposobu podejścia i myślenia o danych osobowych. Przyjęcie nowych procedur niejako wymusza naszą ciągłą świadomość ryzyka związanego z możliwym naruszeniem praw i wolności osób fizycznych. Wiąże się także z uwzględnianiem szeregu konkretnych wymagań.
Zaangażowanie kierownictwa
W praktyce tak istotną zmianę niezwykle trudno jest wprowadzić w organizacji bez wsparcia najwyższego kierownictwa. Wdrożenie GDPR będzie bowiem zwykle wymagało partycypacji komórek ds. kard i płac, IT, działu prawnego, marketingu itd. Działania te należy odpowiednio zaplanować i skoordynować, a stosowny impuls i pęd powinny wyjść od osób, których pozycja pozwoli nadać projektowi odpowiedni priorytet. Nie bez znaczenia pozostaje także kwestia przyporządkowania odpowiedzialności konkretnym osobom, tak by uniknąć jej „rozmycia”, a tym samym jedynie mitygowania kluczowych działań w miejsce wdrażania nowego prawa.
Budżet
Z kwestią tą jest związane przeznaczenie odpowiednich środków nie tylko osobowych, ale też finansowych i uwzględnienie takiej pozycji w budżecie. Zmiany w formularzach, systemach informatycznych, opracowanie nowych polityk i procedur, a także zakup adekwatnych środków zapewniających bezpieczeństwo – mogą wiązać się z wydatkami, których wielkość zależeć będzie od charakteru danego podmiotu, a także dokonywanych operacji na danych osobowych.
Rola Inspektora Ochrony Danych
Inspektor Ochrony Danych ma być gwarantem przestrzegania zasady rozliczalności. Jego zadania koncentrują się w trzech obszarach:
- skierowanym na wsparcie podmiotu, w którym pełni funkcję – monitoruje, informuje, szkoli, a także konsultuje kwestie związane z przetwarzaniem danych;
- skierowanym na współpracę z organem nadzorczym (np. w razie zgłaszania naruszenia ochrony danych, oceny skutków dla ochrony danych);
- skierowanym na pełnienie roli punktu kontaktowego dla osób, których dane dotyczą.
Wyznaczenie takiej osoby oznacza posiadanie w swoim zespole specjalisty sprawnie zapobiegającego lub reagującego na incydenty związane z nieprawidłowym przetwarzaniem lub ochroną danych osobowych. Co istotne, prawodawca wprowadził stopniowalność kar finansowych za ewentualne naruszenia, a powołanie Inspektora (tam gdzie nie jest to obowiązkowe) może być uznane za wyższą staranność administratora.
Inwentaryzacja – co, jak i po co robię?
Pierwszym krokiem na drodze wdrażania GDPR jest zbadanie:
- kto przetwarza dane osobowe w organizacji,
- w ramach jakich procesów są one przetwarzane,
- jakie dane osobowe są przetwarzane,
- jaki jest cel i jaka jest podstawa prawna przetwarzania,
- w jakich systemach/lokalizacjach fizycznych dane są przetwarzane.
Taka mapa przetwarzania danych w organizacji pozwoli na identyfikację luk, sformułowanie rekomendacji, a następie opracowanie planu i harmonogramu działań dostosowawczych.
Wysoka jakość dokumentacji
Uwzględniając zasadę rozliczalności warto zadbać o przygotowanie odpowiednich polityk, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania (art. 24 ust 2 GDPR). Dokumentacja dotycząca przetwarzania danych w organizacji powinna być:
- przejrzysta, ławo zrozumiała dla odbiorców,
- kompletna, obejmować wszystkie niezbędne kwestie i aspekty,
- aktualna, zgodna nie tylko z obowiązującymi przepisami, ale też innymi regulacjami wewnętrznymi podmiotu (np. regulaminem pracy) oraz strukturą i zadaniami administratora.
Narzędzia i procedury
Przygotowując procedury i dobierając narzędzia (np. odpowiednie programy kadrowe lub płacowe), należy pamiętać, że mają one stanowić podstawę codziennej pracy, a nie jedynie formalne spełnienie wymagań GDPR. Wybór należy skonsultować z pracownikami, których specjalistyczna – a co ważniejsze praktyczna – wiedza pozwoli na weryfikację przydatności narzędzi i procedur w bieżącej działalności. Pomoże to uniknąć sytuacji, w której kilkudziesięciu stronicowa procedura zgłaszania naruszeń de facto sparaliżuje działania pracowników w momencie wystąpienia takiego incydentu.
Szkolenia
Najlepsze polityki i narzędzia okażą się bezużyteczne, jeśli użytkownicy nie będą posiadali odpowiedniej wiedzy i świadomości w obszarze, w którym powinny być one stosowane. Wysokiej jakości, regularne szkolenia z jednej strony sygnalizują pracownikom wagę poruszanej tematyki i budują ich kompetencje w tym obszarze, z drugiej strony pozwalają zminimalizować ryzyko ewentualnego błędu, który mógłby skutkować naruszeniem przepisów i wszczęciem postępowania przez organ nadzorczy.