RODO – nadciąga kataklizm. Czy na pewno?

Unia Europejska, chcąc zapewnić obywatelowi większe prawa do ochrony swoich danych osobowych przygotowała rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych uchylenia dyrektywy 95/46/WE1. Nazywa się je RODO (Ogólne Rozporządzenie o Ochronie Danych Osobowych) lub GDRP (ang. General Data Protection Regulation).  Rozporządzenie weszło w życie 17 maja 2016 r.

Zgodnie z nim organizacje gromadzące, przechowujące i przetwarzające dane osobowe mają czas na dostosowanie się do nowych wytycznych do 25 maja 2018 roku. W stosunku do obowiązujących obecnie przepisów zmian, które wprowadza regulacja jest wiele, część z nich wymagać może redefinicji procesów biznesowych oraz polityk zarządzania danymi, identyfikacji źródeł przetwarzania danych i inwentaryzacji przepływów danych. Jednak nie u wszystkich organizacji.

RODO wymagania

Najważniejsze wymagania, wynikające z RODO to:

  • Obowiązek prowadzenia rejestrów przetwarzania danych osobowych. RODO rozszerza zakres danych które powinny być zawarte w rejestrach. Wymusić to może przeprowadzenie inwentaryzacji danych. Przetwarzający dane będą zobowiązani do utrzymywania rejestrów dotyczących przetwarzanych danych, uwzględniających m.in.: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń i incydentów, przechowywanie potwierdzonych zgód na przetwarzanie danych itd. Przy czym ich liście danych osobowych znajdą się już nie tylko numery PESEL czy adresy zamieszkania, lecz wszystkie informacje, które umożliwiają identyfikację osób fizycznych, w tym również adresy IP czy identyfikatory zamieszczone w plikach cookies.
  • Opracowanie procedur i dokumentów wewnętrznych. RODO wymaga, aby w organizacji, w której przetwarzane są dane osobowe w sposób systematyczny – w formie procedury uregulować niektóre z zasad postępowania w określonych sytuacjach, w tym wzory niektórych dokumentów. Dotyczy to w szczególności konieczności oceny ochrony danych osobowych już na etapie projektowania rozwiązań (privacy by design) czy konieczności przeprowadzenia analizy ryzyka utraty prywatności (privacy impact assessment) oraz stworzeniu planu reakcji na incydent zagrażający bezpieczeństwu (breach response plan).
  • Dokonanie oceny wpływu ochrony danych. Wykonanie oceny skutków dla ochrony danych  (ang. Data Protection Impact Assessment, DPIA) będzie obowiązkowe przed podjęciem działań „wysokiego ryzyka”, takich jak na przykład profilowanie na dużą skalę czy wykorzystanie danych szczególnych kategorii (takich jak dane dotyczące zdrowia).  Operacje przetwarzania, które wiążą się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, obejmują w szczególności operacje, które wiążą się z użyciem nowych technologii; są nowe i nie zostały jeszcze poddane przez administratora ocenie skutków dla ochrony danych, lub stały się niezbędne z uwagi na upływ czasu od pierwotnego przetwarzania.
    Wysokie ryzyko naruszenia praw lub wolności osób fizycznych zachodzi w szczególności w przypadku systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu i jest podstawą decyzji wywołujących skutki wobec osoby fizycznej; przetwarzania na dużą skalę danych wrażliwych, genetycznych, biometrycznych, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa; systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
  • Rozbudowanie obowiązku informacyjnego. Rozszerza się zakres informacji, które należy przekazać osobom, których dane są przetwarzane. Konieczne będzie podanie danych kontaktowych administratora oraz IOD (obecny administrator bezpieczeństwa informacji – ABI), podanie informacji, z czego wynika prośba o podanie danych (np. przepisy ustawowe, treść umowy lub warunek konieczny do jej zawarcia). Nowością będzie obowiązek poinformowania o użyciu algorytmów podejmujących decyzję w sposób zautomatyzowany – w tym profilujących dane.
  • Wdrożenie mechanizmów pozwalających informować konkretną osobę o przetwarzaniu jej danych. Koniczne będzie wdrożenie mechanizmu polegającego na przekazaniu danej osobie informacji o wszelkich przetwarzanych przez organizację danych osobowych jej dotyczących. Także w formie ustrukturyzowanej, w powszechnie używanym formacie w sposób umożliwiający odczyt maszynowy. Oznaczać to może, że jeśli klient zażyczy sobie przesłania wszystkich jego danych osobowych z firmy X do firmy Z to należy zapewnić taką możliwość.
  • Wprowadzenie  „prawa do bycia zapomnianym”. Na mocy Artykułu 17 unijnego rozporządzenia obywatele zyskują prawo do usunięcia swoich danych ze wszystkich źródeł. Na wniosek osoby, której dane dotyczą, administratorzy danych zobowiązani będą do niezwłocznego wykasowania wszelkich dotyczących wnioskodawcy danych osobowych ze wszystkich systemów, w których są przetwarzane. Osoby, których dane dotyczą, będą także miały rozszerzone prawo sprzeciwu wobec przetwarzania ich danych, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych. Wprowadzone zostały także ograniczenia w zakresie profilowania włączając w to obowiązek otrzymania zgody na profilowanie przed rozpoczęciem zbierania danych.
  • Zgłaszanie naruszeń w zakresie ochrony danych osobowych. Obowiązkiem administratorów danych będzie zgłaszanie w ciągu 72 godzin od wykrycia przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Może także wystąpić konieczność zawiadomienia konkretnej osoby, bez zbędnej zwłoki, o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód. To może wymusić inwestycje w systemy DLP (ang. Data Loss Prevention), które są przeznaczone do kontroli zawartości i analizy danych znajdujących się w różnych środowiskach. Wzrosną więc wydatki na ochronę danych, w tym także na usługi związane z bezpieczeństwem informacji.

Konkluzja? Nie będzie konkluzji. Organizacje, które już dzisiaj stosują obowiązujące przepisy w zakresie ochrony danych osobowych muszą tylko zweryfikować, czy stosowane przez nie mechanizmy są wystarczające.

Może jedyna konkluzją będzie to, że wdrożenie rozwiązań, zapewniających zgodność z wymogami RODO, może przynieść organizacji wymierne korzyści, także w postaci dodatkowej wartości biznesowej. Warto więc podjąć odpowiednie działania już dziś.