Wdrożenie RODO - gdy opadł kurz po wielkich projektach

Panika wywołana magiczną datą 25 maja 2018r. przerosła oczekiwania wszystkich organizacji, nawet te podmioty, które pierwotnie nie wiedziały nic o ochronie danych osobowych finalnie odczuły jednak, że coś z tym tematem powinny zrobić. Popłoch nasilało jeszcze bardziej nie przygotowanie polskiego ustawodawcy, które dopiero dzień przed rozpoczęciem obowiązywania nowych przepisów wprowadził do porządku prawnego Ustawę o ochronie danych osobowych. Jednak co dzieje się teraz z ambitnymi planami wdrażania mechanizmów ochrony danych osobowych w organizacjach? Czy działają sprawnie, czy może wszyscy zdążyli już zapomnieć o tym temacie jak tylko opadł kurz?

Duże organizacje - Sukces projektów GDPR.

Grupy kapitałowe o zasięgu europejskim czy światowym, bardzo prężnie uruchomiły projekty zapewnienie zgodności z RODO jeszcze w 2017r. Jednak przez wielkość organizacji każda zmiana wymaga czasu i często decyzji, które mogą negatywnie wpłynąć na biznes. Podejście największych podmiotów do zgodności z RODO było bardzo ambitne jednak jak się obecnie okazuje wyjątkowo nieskuteczne. Nie ma się co jednak dziwić, że wdrożenie nowych zasad w bardzo dużej organizacji trwa latami. Z drugiej strony przepisy dotyczące ochrony danych osobowych obowiązują już od 21 lat. Dlaczego więc skuteczność projektów RODO okazuje się tak niska? W mojej ocenie dwa czynniki wpływają na obecny stan rzeczy. Po pierwsze ochrona danych osobowych jako element bezpieczeństwa informacji to koszty, które nie przynoszą żadnych profitów a jedynie chronią przed jeszcze większymi kosztami. Z tego względu przedsiębiorstwa i to nie tylko te największe starają się ograniczyć koszty. Przed 25 maja 2018r. retoryka publicznych wypowiedzi wskazywała na to, że po tej dacie nastąpi swoisty Armagedon i po Europie będą krążyć “lotne brygady” inspektorów organów nadzorczych i nakładały niebotyczne kary finansowe za najmniejsze przewinienie. Zarządy spółek na fali paniki aprobowały uruchomienie projektów RODO, często przy udziale zewnętrznych konsultantów. Jednak gdy w trakcie projektów pojawiały się dodatkowe koszty np. modernizacji infrastruktury informatycznej, czy zabezpieczeń fizycznych Zarządy zwlekały z decyzją lub starały sięza wszelką cenę ograniczyć koszty do minimum. Po drugie przepisy RODO są tak skonstruowane, że mogą być w łatwy sposób interpretowane na różne sposoby. Oczywiści można powiedzieć, że to zaleta bo nie ma dwóch takich samych organizacji, jednak w obszarze bezpieczeństwa informacji brak kategorycznych wymogów powoduje interpretację na korzyść obniżania kosztów, a nie na korzyść osób, których dane dotyczą. Często Zarządy spółek wolały słuchać takich konsultantów zewnętrznych, którzy nie rekomendowali kosztownych rozwiązań. Powyższe czynniki spowodowały, że w obszarze bezpieczeństwa informacji dużych podmiotów nie zmieniło się nic lub prawie nic. Zdarzały się również takie przypadki, gdy pod pretekstem RODO były realizowane długo odkładane projekty modernizacji infrastruktury informatycznej lub przeniesienia zasobów do zewnętrznych kolokacji. Pomimo dość mizernych efektów realizacji projektów RODO, spółki ogłaszają że są zgodne z RODO. Jednak wystarczy skontaktować się ze zwykłymi pracownikami spółki i zapytać o podstawowe informacje, które powinni wiedzieć odnośnie RODO, a okaże się że nie są w stanie na nie odpowiedzieć. Co więcej informacje publikowane w Politykach prywatności na stronach internetowych spółek są albo niezrozumiałe albo wręcz wprowadzają w błąd. W niektórych przypadkach dochodzi do wymuszania zgody na przetwarzanie danych osobowych na stronach internetowych. W obszarze zabezpieczeń wcale nie jest lepiej, strony internetowe nadal często nie są szyfrowane pomimo pobierania przez nie danych osobowych za pośrednictwem formularzy. Personel nadal nie blokuje komputerów i współdzieli dostępy do systemów informatycznych na jednym identyfikatorze. Często nie dochodzi do zawarcia umów powierzenia przetwarzania danych osobowych z zewnętrznymi dostawcami, osoby przetwarzające dane osobowe nie mają nadanych upoważnień do przetwarzania danych osobowych. Jak pokazała praktyka największym problemem dla dużych podmiotów było przypisanie RODO do konkretnego obszaru wewnątrz organizacji. Jedne podmioty umieściły RODO bardziej w dziale prawnym, inne w dziale IT. Zamiast włączyć RODO w istniejące struktury wszystkich jednostek organizacyjnych (w ramach tzw. Data Governence). Tu jednak pojawił się kolejny problem, gdyż nakładanie dodatkowych obowiązków na kierownictwo wykonawcze powoduje, że nie będą one realizowane lub będą realizowane bardzo pobieżnie. Efektem niemal wszystkich działań realizowanych w ramach projektów RODO jest już widoczny powrót do stanu sprzed 25 maja 2018r., czyli spółki chronią dane osobowe na tyle na ile dostrzegają ryzyko kontroli organu nadzorczego, a że te nie następują lub nie tak często by stały się zjawiskiem powszechnym to spółki nadal nie będą zgodne z nową regulacją.

Podmioty przetwarzające - Podpisaliśmy przecież umowę.

Podwykonawcy i wszelkie podmioty o profilu outsourcingowym, również przejęte nową regulacją, a w rzeczywistości bardziej utrata klientów za brak zgodności z RODO postanowiły się dostosować. Jednak tu scenariusz był nieco inny, zamiast wielkich projektów RODO, organizacje te skupiły się głównie na tych obszarach, które dotykają ich klientów. Innymi słowy chodziło o to by na zewnątrz było wszystko zgodnie z RODO, a wewnątrz organizacji wszystko pozostało po staremu. Głównym punktem dostosowania do RODO w podmiotach outsourcingowych było skonstruowanie jak najbezpieczniejszej umowy powierzenia przetwarzania danych osobowych dla klientów. Innymi słowy firmy te wolały wręczyć swoim klientom korzystne dla siebie umowy powierzenia przetwarzania danych osobowych, często pod rygorem nie nawiązania współpracy lub zakończenia dotychczasowej współpracy. W pozostałym zakresie obowiązków wynikających z RODO pojawiły się dodatkowo problemy organizacyjne. Przykładowo przeprowadzenie analizy ryzyka wobec zasobów wykorzystywanych do przetwarzania danych osobowych w podmiocie zatrudniającym 10 osób, z wykorzystaniem narzędzi dla korporacji wygląda jak zabijanie komara młotkiem. Właściciele tych podmiotów często nie byli w stanie zrozumieć po co im ta analiza ryzyka przecież wszyscy widzą, że jest bezpiecznie. Bardzo podobnie wyglądał proces przeprowadzania oceny skutków przetwarzania danych osobowych (DPIA- Data Protection Impact Assessment). W trakcie spotkania w sprawie RODO pracownicy zastanawiali się w jaki sposób mogą naruszyć prywatność przedstawicieli klientów. Takie sytuacje budziły śmiech wśród pracowników i konsternację u właścicieli firm. W działaniach marketingowych prowadzonych z wykorzystaniem połączeń telefonicznych opracowano koszmarnie długie obowiązki informacyjne. Dochodziło i nadal dochodzi do kuriozalnych sytuacji, gdy konsultant musi wyrecytować całą stronę A4 przez telefon by przedstawić ofertę handlową. Nie wspominając już o tym, że musi poinformować o nagrywaniu rozmów telefonicznych. Bardziej majętne podmioty stworzyły nagranie, które jest automatycznie odtwarzane przy nawiązaniu połączenia. Wszystkie te działania powodują, że marketing tym kanałem komunikacji staje się zupełnie nieskuteczny. W wyniku takiej formy wdrożenia RODO pojawiło się mnóstwo zabawnych nagrań, w których konsultanci przekomarzają się z potencjalnymi klientami. Małe podmioty, które bazują na modelu biznesowym outsourcingu w większości przypadków nie znalazły skutecznej metody wdrożenia RODO. Powodem takiej sytuacji nie są raczej koszty, a porostu brak know how połączony z brakiem profitu z rzetelnego dostosowania do RODO. Poziom zgodności z RODO organizacji jest tym mniejszy im dalej dane powierzone znajdują się od jego właściciela, czyli administratora danych. Jest to swoiste kółko zamknięte małe podmioty outsourcingowe świadczą usługi większym podmiotom ale przetwarzają ich dane z wykorzystaniem znowu dużych podmiotów (często monopolistów rynkowych). Generalnie dane są bezpieczne jednak jak przeanalizujemy umowy powierzenie przetwarzania danych osobowych to okaże się,  że klient firmy outsourcingowej posiada bezpieczne dla siebie zapisy umowne, ale już firma z usług której korzysta firma outsourcingowa przy przetwarzaniu powierzonych danych przedstawia korzystną dla siebie umowę powierzenia. Jak rozplączemy ten cały kłębek zależności to okazuje się, że przy zawieraniu umów powierzenia warunki dyktuje nie ten podmiot, który zgodnie z RODO jest administratorem danych, a ten który ma silniejszą pozycję rynkową.

Organ nadzorczy - Kontrole i kary będą lada chwila.

Urząd Ochrony Danych Osobowych (UODO) nie ma najłatwiejszej roli w układance jaką jest RODO. Z jednej strony trochę przepycha się z Ministerstwem Cyfryzacji o to kto jest podmiotem uprawnionym do wydawania wytycznych w zakresie ochrony danych osobowych. Z drugiej strony stara się nie straszyć RODO i wspiera sektor publiczny w dostosowaniu do nowych wymogów. Trudna rola urzędu wynika głównie z tego, że do ostatniej chwili był on urzędem regulowanym poprzednio obowiązującymi przepisami ustawy o ochronie danych osobowych z 1997r. Trudno wypowiadać się GIODO w imieniu UODO. Pozornie urzędy te są bardzo podobne jednak zakres zadań przewidziany w RODO wobec organu nadzorczego jest zdecydowanie szerszy niż to miało miejsce wcześniej. Dlatego też w 2017 roku i na początku 2018r. rolę sprawozdawcy w zakresie wdrażania RODO pełniło Ministerstwo Cyfryzacji. Teraz jednak od 10 miesięcy UODO powinno skutecznie egzekwować nowe regulacje. Dlaczego pomimo tak wielu skarg obywateli na niezgodność podmiotów z RODO oraz zgłoszeń naruszeń ochrony danych przez te podmioty, żadna kara nie została nałożona. Można wyciągnąć dwa wnioski z takiego stanu rzeczy. Po pierwsze albo UODO jest urzędem nieskutecznym w zakresie zarządzania realizacją swoich zadań. Jednak sądząc po tym, że Prezes UODO otrzymuje nagrody za sprawne zarządzanie urzędem, raczej nie jest to powód. Po drugie nie ma wystarczających zasobów wykwalifikowanego personelu do realizacji swoich zadań. Ta przyczyna jest bardziej prawdopodobna, gdyż osoby posiadające doświadczenie w obszarze nadzoru nad systemem ochrony danych osobowych raczej nie chcą pracować w sektorze publicznym. Zgodnie ze statystyką ERODO w polskim urzędzie brakuje 21% pracowników do realizacji zadań, co ciekawe UODO zatrudnia najwięcej personelu spośród wszystkich organów nadzorczych w Europie. Z drugiej strony brak 1/6 personelu to dość poważny problem. W Europe zgodnie z Raportem ERODO (Europejskiej Rady Ochrony Danych Osobowych) w sumie było 94,622 skarg na administratorów danych i 64,684 zgłoszeń naruszeń ochrony danych osobowych przez administratorów danych. Suma nałożonych kar administracyjnych w Europie to 55,955,871 euro, a w Polsce nadal nic. Oczywiście zgodnie z RODO organ nadzorczy musi brać pod uwagę szereg czynników nakładając karę administracyjną ale fakt, że po 10 miesiącach nadal żadna kara nie została nałożona całkowicie podważa zasadność wdrażania RODO. Przed rozpoczęciem obowiązywania RODO, przy okazji jednej z nowelizacji ówczesnej ustawy o ochronie danych osobowych, mogliśmy przeczytać uzasadnienie do nowelizacji, które wyjaśniało dlaczego zostały przewidziane w niej tak srogie przepisy karne (nawet do 3 lat pozbawiania wolności). Wyjaśnienie to sprowadzało się do tego, że administracyjne kary finansowe w sposób niewystarczający mobilizowały podmioty do zapewnienia bezpieczeństwa danych osobowych. Teraz mamy znacznie mniej przepisów karnych, a kary administracyjne w ogóle nie są nakładane. Wniosek z działania organu nadzorczego w Polsce jest taki, że skutecznych wdrożeń mechanizmów ochrony danych osobowych nie będzie w organizacjach dopóki urząd nie zacznie nakładać odstraszających kar. Póki co nie zanosi się na szeroko zakrojoną akcję kontrolną UODO, bazując na rocznym planie kontroli sektorowej, który jest bardzo podobny do tych, które wydawało GIODO.

Kodeksy branżowe i certyfikacja - Jak tylko będziemy gotowi.

RODO przewidziało mechanizmy, które miały w zamyśle ustawodawcy europejskiego ułatwić i przyspieszyć obrót gospodarczy i przepływ danych osobowych. Jednym z tych mechanizmów jest dość niefortunna konstrukcja kodeksów branżowych, która przewiduje przestrzeganie takiego samego standardu ochrony danych osobowych przez podmioty deklarujące swoją zgodność z nim. Drugim mechanizmem jest certyfikacja zgodności z RODO przez PCA (Polskie Centrum Akredytacji) oraz równolegle (najprawdopodobniej w sektorze publicznym) przez Prezesa UODO. Pierwszy mechanizm w mojej ocenie nie ma prawa skutecznie działać, gdyż zakłada on w dużej mierze samokontrolę w ramach konkretnej branży. Innymi słowy organizacje przystępujące do przyjęcia kodeksu branżowego z pewnością będą zgodne w momencie przystąpienia jednak później raczej nie będą przykładały dużej wagi do ponoszenia dalszych kosztów doskonalenia systemu ochrony danych osobowych. Finalnie według mojej wiedzy na chwilę obecną żaden kodeks branżowy nie został zatwierdzony przez Prezesa UODO, prawdopodobnie wynika to z faktu, że prace nad kodeksami stanęły w miejscu i nikt nie kwapi się do tego by wysyłać kodeks do UODO do zatwierdzenia. Drugi mechanizm to certyfikacja zgodności z RODO. To narzędzie wzorowane na certyfikacji zgodności z normami i standardami rzeczywiście od wielu lat sprawdza się w relacjach gospodarczych. Problem jednak polega na tym, że na chwilę obecną pojawiły się jedynie wytyczne ERODO w tym obszarze i trwają konsultacje społeczne, a PCA nic nie może zrobić dopóki nie dostanie konkretnych wytycznych od Prezesa UODO. Tym sposobem stoimy w miejscu i najprawdopodobniej nic w tym obszarze się nie zmieni do co najmniej połowy roku, a pierwsze audyty certyfikacyjne zgodności z RODO mogą się pojawić dopiero pod koniec roku lub w 2020r. Zaletą certyfikacji jest powszechna świadomość co do mechanizmów rządzących certyfikacją. Firmy, które posiadają jakikolwiek certyfikat ISO, wiedzą że z reguły jest audyt wstępny oceniający przygotowania firmy do certyfikacji, a później audyt właściwy oceniający zgodność z normą i wydanie certyfikatu lub nie. Certyfikaty są bardzo wyczekiwanym narzędziem zapewnienia zgodności z RODO, bo po pierwsze ich przyznanie musi być brane pod uwagę przez organ nadzorczy w razie wystąpienia naruszenia ochrony danych osobowych. Po drugie i najbardziej istotne zapewniają wiarygodność organizacji w obszarze zgodności z RODO w obrocie gospodarczym. Obecnie jak zaznaczyłem na początku RODO jest słabo lub wręcz wcale wdrożone w większości organizacji, posiadanie certyfikatu będzie wyróżniało organizację i dawało przewagę konkurencyjną. Oby jak najszybciej pojawił się mechanizm certyfikacji, gdyż jego przedłużający się brak powoduje chaos, w szczególności w sferze zaufania organizacji do siebie nawzajem.

Osoby prywatne - Czy słyszeli Państwo o RODO?

Najbardziej zaskakująca jest reakcja polskiego społeczeństwa na przepisy RODO. Od razu po 25 maja 2018r. okazało się że każdy jest ekspertem w dziedzinie prawa ochrony danych osobowych i bezpieczeństwa informacji. Nie rzadkie były i nadal są sytuację, gdy klient banku upomina pracownika o przestrzeganie RODO w sytuacji np. udostępniania jego danych w siedzibie banku. Pytania osób czekających w kolejne w urzędzie o kamery umiejscowione w jego siedzibie. Finalnie okazywało się, że firmy mniej wiedzą o ochronie danych osobowych niż ich klienci lub interesanci. Z drugiej strony wiedza osób w tym obszarze jest bardzo powierzchowna, szczególnie było to widoczne w czerwcu ubiegłego roku, gdy osoby domagały się realizacji prawa do bycia zapomnianym, niemal przy każdej okazji, mimo że jego zastosowanie w praktyce jest bardzo wąskie. Pozornie mogłoby się wydawać, że osoby które tyle czasu i wysiłku poświęcają zgłaszając skargi miałby w tym jakiś interes. Jednak jak się okazuje mało kto żądał zadość uczynienia z tytułu naruszenia prawa do prywatności. Innymi słowy zgłaszamy skargi na firmy do urzędu mimo, że nie mamy w tym tak naprawdę, żadnego interesu bo trochę trudno uwierzyć że ktoś składa skargę w trosce o prawo do prywatności pozostałych obywateli. W mojej ocenie tok myślenia osoby składającej skargę raczej jest następujący: – A tu ich mam, nie dali mi kredytu to dostaną karę 20 mln euro. W związku z powyższym liczba skarg zgłoszonych do UODO nie jest zbyt miarodajna, gdyż najprawdopodobniej znaczna ich liczba jest całkowicie bezpodstawna. Co oczywiście przekłada się na pracę urzędników UODO, którzy muszą każdą skargę uwzględnić i rozpatrzyć. Osoby bardziej postrzegają RODO jako dziwny ewenement, a w najlepszym razie wymysł UE. Jednak w rzeczywistości to nie Europa jest prekursorem w obszarze ochrony danych osobowych, a w wielu przypadkach gonimy kraje takie jak Japonia czy Australia, które od wielu lat mają bardzo rozwinięte mechanizmy ochrony danych osobowych. Zarówno od strony legislacji, doktryny jak i poziomu wdrożenia w organizacjach. Również Stany Zjednoczone, szczególnie po ostatnich aferach z Facebookiem w roli głównej dostrzegają konieczność uregulowania obszaru ochrony danych osobowych na poziomie federalnym, gdyż towar jakim są dane osobowe wymyka im się spod kontroli. Podsumowując wszyscy słyszeli o RODO, ale tak naprawdę mało kto zagłębił się w istotę przepisów, których celem jest ochrona naszego prawa do prywatności. Tak by za kilka lat nie włamywano się nam do lodówki podłączonej do internetu i nie zamawiano przez internet pięciu tuzinów jajek, czy nie przejęto kontroli nad automatycznie sterowanym samochodem bezobsługowym w trakcie naszej podróży w Alpach.

Zabezpieczenia - Mamy szafę zgodną z RODO.

My jesteśmy zgodni z RODO, bo mamy szafę zgodną z RODO. Wbrew pozorom to nie jest żart są firmy, które tak postrzegają RODO, jako akt prawny który mówi jakie zabezpieczenia mamy stosować wobec danych osobowych, a przecież jest odwrotnie. Poprzednie przepisy nakazywała stosowanie 8 znakowych haseł zmienianych co 30 dni. RODO przyniosło odwilż w tym zakresie i mówi, że zabezpieczenia mają być adekwatne do istniejących zagrożeń. Nie koniecznie musi być to szafa zgodna z RODO, czy w ogóle jakakolwiek szafa. Niestety pokutują tu jeszcze dziesięciolecia poprzedniego ustroju, gdzie to ustawodawca (władza) mówił jak ma być, bo przecież ludzie sami tego nie wymyślą. Niestety w mentalności jeszcze wielu osób zakorzeniony jest tok myślowy, że trzeba robić to co ustawodawca nakazuje, nie ważne czy to ma sens czy nie. Teraz pojawia się akt prawny, który nic nie mówi o tym jakie zabezpieczenie mamy zastosować (jest obojętny technologicznie), a my nadal szukamy szaf zgodnych z RODO. Z drugiej strony problem adekwatności zabezpieczeń nie jest wcale taki łatwy do rozwiązania. Analiza ryzyka wobec zasobów powie nam tylko jakie zabezpieczenia są nieadekwatne do istniejących zagrożeń, ale już nie odpowie nam na pytanie jakie zabezpieczenia będą adekwatne. Oczywiście możemy założyć, że po sprawnie przeprowadzonej analizie ryzyka dotychczasowe zabezpieczenia są wystarczające. Problemu nie ma w momencie gdy mówimy o np. zaporze ogniowej na styku z siecią publiczną ale gdy mówimy np. o polityce czystego ekranu to już stosowanie tego zabezpieczenia nie znajduje się w kategoriach zero jedynkowych. Problemem w praktyce jest opisanie i wdrożenie istniejących zabezpieczeń (organizacyjnych) tak by dało się udowodnić ich adekwatność. W związku z powyższym z punktu widzenia pracownika niestety RODO przynosi dodatkowe zobowiązania, procedury i czynności które trzeba wykonywać. Blokowanie komputerów, zakaz korzystanie z pendrive, zakaz korzystania z prywatnych telefonów do celów służbowych itd. W związku z tym, że te ograniczenia nie są właściwie komunikowane pracownicy odbierają je jako niepotrzebne ograniczanie ich swobody w miejscu pracy, a często wystarczy pokazać kilka przykładów co się może stać jak procedury nie będą przestrzegane. Ostatecznie problem z zabezpieczeniami jest taki, że wraz z upływem czasu i zmianami organizacyjnymi zabezpieczenia przestają być skuteczne. O ile organizacja przeprowadza regularnie analizę ryzyka i prowadzi audyty wewnętrzne w obszarze bezpieczeństwa informacji, o tyle problem ten jest zniwelowany. Niestety większość organizacji nie zamierza okresowo weryfikować skuteczności zabezpieczeń, bo albo nie ma kto tego robić albo nie ma środków na zewnętrzne audyty w tym zakresie. Finałem powyższych problemów z reguły jest sukcesywny spadek poziomu bezpieczeństwa informacji, w tym i danych osobowych.

Zgody na przetwarzanie danych - Proszę wyrazić zgodę bo inaczej się nie da.

Odbieranie zgód na przetwarzanie danych osobowych wydaje się pozornie najłatwiejszym rozwiązaniem. Brakuje nam podstawy prawnej lub nie wiemy z jakiej skorzystać to odbierzmy zgodę na przetwarzanie danych osobowych. To niestety jest czubek góry lodowej jaką są podstawy prawne przetwarzania danych osobowych. Znaczna cześć organizacji słysząc o podstawach prawnych przetwarzania danych osobowych rozumie „przepis prawa”, a przecież mamy 6 podstaw prawnych przetwarzania danych osobowych tzw. zwykłych. Dlaczego za wszelką cenę chcemy odbierać zgody. Odebranie zgody na przetwarzanie danych osobowych nie jest zabronione, jednak jest niepraktyczne i może wprowadzać osobę, której dane dotyczą w błąd. Najpowszechniejszym przykładem są klauzule zgody pod formularzami kontaktowymi na stronach internetowych. Wielokrotnie można znaleźć tzw. zgody wymuszone, czyli wysłanie formularza jest warunkowane wyrażeniem zgody, a przecież mamy do dyspozycji inne podstawy prawne jak choćby zamiar zawarcia umowy lub ostatecznie tzw. prawnie uzasadniony interes organizacji, który nie narusza prawa do prywatności osoby. Problem ze zgodą jest taki, że w każdej chwili może zostać odwołana. W takiej sytuacji oczywiście skorzystamy z powyższych podstaw prawnych, by dalej móc przetwarzać dane osobowe jednak już wprowadziliśmy osobę w błąd. Dodatkowo w przypadku, gdy odbieramy zgodę na przetwarzanie danych osobowych osoba może skutecznie skorzystać z prawa do bycia zapomnianym. W takim przypadku kompromitacja jest jeszcze większa, bo organizacja odmówi realizacji prawa do bycia zapomnianym powołując się na inną podstawę prawną przetwarzania danych osobowych i ponownie pojawi się pytanie – Po co była odbierana zgoda? Ostatecznie odbieranie zgód jako podstaw prawnych przetwarzania danych osobowych generuje dodatkowe koszty. Zgody są co do zasady bezterminowe, czyli stanowią ważną podstawę prawną przetwarzania do czasu ich odwołania lub upłynięcia założonego okresu retencji danych. Oznacza to, że trzeba przechowywać zgody wraz z dowodem ich wyrażenia przez niekiedy długi okres czasu. W przypadku wersji papierowych to organizacyjny koszmar – składowanie, zabezpieczanie, dostępność danych, etc. W systemach informatycznych proces ten jest nieco łatwiejszy jednak również wymaga przygotowania bezpiecznego zasobu oraz zapewnienia kontroli dostępu do samych dowodów wyrażenia zgody. Podsumowując organizacje powinny korzystać ze zgody na przetwarzanie danych osobowych jako podstawy prawnej przetwarzania dopiero w ostateczności, gdyż powoduje ona wiele problemów i generuje koszty, których można by uniknąć.

Informowanie osób - Kolejne wyskakujące okienka.

RODO nałożyło obowiązek informowania osób od których pobieramy dane osobowe o procesie ich przetwarzania. Nie jest to nowy obowiązek, bo na podstawie poprzednio obowiązujących przepisów również on istniał tylko mało kto go przestrzegał. Cześć organizacji postanowiła odbierać oświadczenia podpisane przez osoby, że zapoznały się z treścią obowiązku informacyjnego. Ponownie spotykamy się z organizacyjnym koszmarem. Gdyż sami stwarzamy sobie dodatkowe problemy. RODO oczywiście wymaga zapewnienia rozliczalności ale podpis osoby pod oświadczeniem to nie jedyna forma jej zapewnienia. Wystarczy publikacja treści obowiązku informacyjnego na stronie internetowej i odnoszenie do tych publicznie dostępnych informacji z innych kanałów komunikacji, w których pobieramy dane od osób (np. polaczenia telefoniczne, korespondencja mailowa, treści umów).  Kolejnym problemem jest przystępność treści obowiązku informacyjnego. Znaczna część obowiązków informacyjnych to albo ogólniki, które tak naprawdę nie dostarczają osobie żadnych informacji, a wręcz pokazują że organizacja sama nie do końca wiec co będzie się działo z danymi osobowymi. Z drugiej strony możemy spotkać również treści obowiązków informacyjnych, które jedynie wskazują artykuły RODO lub innych aktów prawnych, gdzie osoba powinna sobie szukać pozostałych informacji. W mojej ocenie jest to naruszenie zasady ogólnej RODO, tzw. zasady transparentności (Google dostało od CNIL karę właśnie za to). Obowiązki informacyjne powinny być pisane językiem przystępnym dla odbiorców. Jednak stworzenie obowiązku informacyjnego językiem potocznym dla wielu organizacji jest zbyt ryzykowne. Można usłyszeć argumenty dotyczące braków w treści obowiązku informacyjnego lub też nieprecyzyjnych sformułowań. Niestety formułowanie treści obowiązku informacyjnego to trudne zadanie, w szczególności że najczęściej realizują je prawnicy, którzy wolą wskazać trzy przepisy więcej niż miałoby jednego zabraknąć (wiem z własnego doświadczenia). Najciekawszym procesem, w którym realizowany jest obowiązek informacyjny jest proces monitoringu wizyjnego czy też kontroli dostępu. Każda organizacja nieco inaczej postanowiło go zrealizować. Jedni wskazują tylko odnośnik do strony internetowej, inni umieszczają całą treść obowiązku informacyjnego przyczepioną do ściany. Zgodnie z RODO obowiązek informacyjny powinien zostać zrealizowany w momencie pobierania danych, czyli w tym przypadku w momencie wkroczenia przez osobę w obszar objęty monitoringiem. Jednak znaczna część kamer już nagrywa osoby, które stoją w obszarze monitorowanym. Pomysłowość nie zna granic, więc pojawiły się taśmy żółto czarne na podłodze z informacją “wkraczasz w obszar monitorowany” lub tabliczki informujące, że po przekroczeniu bramy znajdujesz się w obszarze objętym monitoringiem. Tu pojawia się zasadnicze pytanie, skoro informujemy wszystkich o tym gdzie zaczyna się i gdzie kończy zasięg kamer to czy przypadkiem nie ujawniamy informacji o stosowanych przez Nas zabezpieczeniach. W ten sposób stają się one mniej skuteczne. Informowanie osób o procesie przetwarzania ich danych osobowych jest obowiązkowe ale powinno być realizowane w sposób racjonalny i nie powodujący zagrożeń zarówno dla organizacji jak i osób, których dane dotyczą.

Chcę być zapomniany - Jednak się nie da.

Prawo do bycia zapomnianym jest jednym z najgłośniej opisywanych uprawnień wynikających z RODO. Jednak jak w praktyce wygląda jego realizacja. Znaczna część organizacji, które zaplanowały wdrożenie RODO, w taki sposób zmodelowały procesy by nie musieć realizować tego uprawnienia, gdyż jego realizacja powoduje dużo pracy – w szczególności gdy dane znajdują się w systemach informatycznych. Finalnie osoba chcąca skorzystać z tego uprawnienia najczęściej otrzyma odpowiedź odmowną. Najczęstszą przyczyną odmowy będzie dalsze przetwarzanie na potrzeby ustalenia, dochodzenia lub obrony roszczeń wysuwanych przez osobę wobec organizacji. W momencie gdy osoba, żąda zrealizowania prawa do bycia zapomnianym organizacja najczęściej obawia się pozwu o zadośćuczynienie lub w najlepszym wypadku skargi do Prezesa UODO, więc nie ma się co dziwić że nie chce usunąć danych, które są jedyną deską ratunku w przypadku takiego roszczenia. Ostatecznie osoby po kilku nieudanych próbach zrealizowania swoich uprawnień odstępują od tego zamiaru, gdyż nie mają na to czasu. Oczywiście były również przypadki wniosków osób w całkowicie skrajnych przypadkach jak np. pracownik wnioskujący o realizację prawa do bycia zapomnianym w zakresie wykorzystanego urlopu czy wypłaconego wynagrodzenia. Czy wnioski o realizację prawa do bycia zapomnianym, osób odbywających karę ograniczenia wolności. Zakładając, że uprawnienie to udałoby się zrealizować w jednej organizacji, to przecież musi ona jedynie poinformować pozostałych odbiorców, że uprawnienie to zostało zrealizowane, a dalej odpowiadają już oni. Finalnie dane osoby i tak będą przetwarzane przez odbiorców danych, a osoba będzie musiała do każdego z nich dobijać się o realizację tego uprawnienia. Prawo do bycia zapomnianym w mojej ocenie było od początku skazane na porażkę nie dlatego, że jest ono niemożliwe do zrealizowania, a dlatego że dane osób są najczęściej rozproszone i realizacja tego uprawnienia przez poszczególne organizacje zajmie bardzo dużo czasu, a gwarancji że wszelkie dane zniknęły nigdy nie będzie. Zawsze może pojawić się jakaś nieplanowana kopia z kopii.

RODO na stałe, czy tylko na chwilę.

Po 10 miesiącach obowiązywania RODO można odnieść wrażenie, że wszystko wróciło do normy. Telemarketerzy dalej dzwonią bez naszej zgody, firmy nie informują Nas co dzieje się z naszymi danymi, a poziom bezpieczeństwa naszych danych wrócił do normy sprzed RODO. Narzędziem, które miało utrzymać odpowiedni poziom realizacji praw wynikających z RODO były wysokie kary administracyjne. Na chwilę obecną nie są one nakładane tak powszechnie jak można by sądzić. Jednak RODO jako akt prawny ma przetrwać próbę czasu więc o ile organizacje mogą się jeszcze czuć względnie bezpiecznie, o tyle wraz z upływem czasu kontrole i nacisk społeczny wymusi na organizacjach dopasowanie się do nowych standardów. RODO zostanie z nami, czy nam się to podoba czy nie. Jak pojawiały się pierwsze regulacje BHP i pracodawcy ponosili koszty stosowania zabezpieczeń też nie bardzo byli tym zachwyceni, podobnie będzie z ochroną danych osobowych. Sukcesywnie z miesiąca na miesiąc świadomość zarówno osób jak i przedstawicieli organizacji zacznie się zmieniać.