RODO. Mity na temat Rozporządzenia o Ochronie Danych Osobowych

About
Latest Posts

IT Business Analyst at eVolpe Consulting Group

W eVolpe pracuję od prawie 4 lat. Zajmuje się wdrażaniem biznesowego oprogramowania Open Source. Do moich zadań należą: analiza procesów biznesowych oraz doradztwo w zakresie odpowiedniej metodyki prowadzenia projektów. Miałam okazję współpracować z największymi polskimi i europejskimi przedsiębiorstwami. Każdy z projektów, w których brałam udział, buduje moje doświadczenie jako eksperta do spraw optymalizacji procesów biznesowych w systemach IT. Jeżeli aplikacja, z której korzystasz, nie odpowiada realiom Twojego biznesu – porozmawiajmy o tym, jak można to zmienić!

Mit 1 – RODO trzeba się bać

Zostały niecałe dwa tygodnie do wejścia w życie unijnego Rozporządzenia o Ochronie Danych Osobowych. Przez ostatnie dwa lata od czasu uchwalenia przepisów (27.04.2016) wokół regulacji narastało wiele mitów. Najwięcej mówiło się zwłaszcza o horrendalnych karach za niedostosowanie się do wskazanych w dokumencie norm. Publikacje, które zalały rynek po decyzji Parlamentu Europejskiego i Rady (UE), poruszały przede wszystkim tę właśnie kwestię; strasząc czytelnika sankcją finansową w wysokości 4% rocznego światowego obrotu lub 20 milionami EUR. Jest to rzeczywiście najwyższy wymiar administracyjnej kary pieniężnej, który przewidziano w rozporządzeniu. Mało kto wspomina jednak, o tym, od czego zaczyna się słynny Artykuł 83. Czytając dokument, znajdziemy całą listę okoliczności, które należy uwzględnić, zanim jakakolwiek kara zostanie wymierzona. Jeżeli nałożenie kary administracyjnej okaże się zasadne, jej wysokość ustalana jest adekwatnie do argumentów obciążających podmiot przetwarzający dane. Dobra informacja jest taka, że pod uwagę brane są również wszelkie zaistniałe czynniki łagodzące. Pierwszy mit, który należy zatem obalić to ten, że RODO doprowadzi do ruiny europejskich przedsiębiorców i dlatego należy się go obawiać. Żeby tak się stało, musieliby oni długotrwale, bezsprzecznie i z premedytacją działać na szkodę osób, których dane osobowe przetwarzają. Nie zakładamy, że intencją kogokolwiek z naszych czytelników jest tego typu zachowanie. Nie ma zatem powodu ulegać zbiorowej panice. Przewidziane przez RODO kary muszą być bez wyjątku proporcjonalne, skuteczne i odstraszające, nigdy zaś wymierzone bezpośrednio, bez wcześniejszej analizy konkretnego przypadku.

Mit 2 – RODO to rewolucja

W Internecie można przeczytać, że RODO wprowadza prawdziwą rewolucję w ochronie danych osobowych i, że przedsiębiorcy powinni zapomnieć o wszystkim, co do tej pory obowiązywało w tym zakresie. Rozporządzenie istotnie nakłada obowiązki na administratorów danych oraz zwiększa ich odpowiedzialność za ochronę informacji. Zmiany dotyczą jednak przede wszystkim dokumentacji, wewnętrznych procedur, sposobu zabezpieczenia danych (adekwatnie do ryzyka) oraz zakresu odpowiedzialności administratora i podmiotu przetwarzającego. Ogólne zasady przetwarzania danych osobowych, takie jak zgodność z prawem, adekwatność, integralność, poufność, czy ograniczenie zakresu zbieranych danych celem przetwarzania, były znane i wykorzystywane dużo wcześniej.

Co zrozumiałe przez lata sporo zmieniło się na gruncie przetwarzania informacji. Przepisy należało więc uaktualnić. Postęp technologiczny, który obserwujemy, sprawił, że obrót danymi osobowymi to już nie tylko domena organów publicznych, banków, czy wielkich korporacji. Wiedzę na nasz temat posiadają i przetwarzają także średnie i małe przedsiębiorstwa, start-upy, które być może nie mają nawet fizycznej siedziby! Dzięki dobrodziejstwu Internetu można prowadzić biznes, zatrudniając specjalistów z różnych dziedzin i zakątków świata. Jak wówczas zapanować nad bezpieczeństwem cyrkulujących danych? RODO przynosi na to odpowiedź. Pozwala zapobiegać cyberterroryzmowi, ale przede wszystkim daje obywatelom Unii realną kontrolę nad informacją na ich temat.

Decydenci UE uchwalając przepisy RODO jednogłośnie, dali wyraz idei rozszerzenia praw obywatelskich w wirtualnym świecie. Punktem wyjścia w pracach nad rozporządzeniem był przy tym inny unijny akt prawny – Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Zadbano zatem o ciągłość ustawodawczą i płynne wprowadzenie udoskonalonych zapisów. Z tego względu była to raczej ewolucja niż rewolucja.

rewolucja «proces gwałtownych zmian w jakiejś dziedzinie»

ewolucja «proces przeobrażeń, przechodzenia do stanów bardziej złożonych»

Tym samym, mit o nagłym, impulsywnym wdrożeniu nowych przepisów możemy uznać za obalony. Na koniec można jeszcze dodać, iż od momentu przyjęcia rozporządzenia w kwietniu 2016 roku do dnia jego wejścia w życie miną ponad dwa lata. Przedsiębiorcy otrzymali zatem relatywnie dużo czasu, aby się na te zmiany przygotować.

Mit 3 – System IT zgodny/niezgodny z RODO

Mit, z którym mamy najwięcej do czynienia w eVolpe, to ten związany ze zgodnością (tudzież niezgodnością) systemu informatycznego, czy jakiegokolwiek innego narzędzia z przepisami RODO.

Producent, dostawca oprogramowania, czy sam system, jakkolwiek rozbudowany by nie był, nie ponoszą odpowiedzialności za dopełnienie norm określonych w rozporządzeniu. Te kwestie pozostają w gestii podmiotu przetwarzającego dane osobowe, tj. organizacji, która się nimi posługuje. System IT może być narzędziem do osiągnięcia zgodności z RODO, ale sam w sobie nie jest jej definicją. Wszelkie publikacje, które sugerują inaczej, stanowią spore nadużycie. W kontekście nowych przepisów należy zatem postępować dwutorowo, tzn. zapewnić synergię podejścia prawnego oraz koncepcji organizacyjnej (w tym systemu IT, ale nie tylko). Wdrożenie RODO w rozumieniu pozyskania nowego oprogramowania mija się z celem i jest niewystarczające. Konieczne są: analiza wewnętrznych procedur, dostosowanie obowiązujących procesów do nowych przepisów (oba etapy najlepiej we współpracy z kancelarią prawną), a dopiero na końcu – przełożenie otrzymanych wniosków na system informatyczny.

Oprogramowanie IT automatyzuje codzienne czynności, w taki sposób, aby podążać wyznaczoną ścieżką, ale nie zapewnia zgodności z RODO jako takie. Z tego względu najlepszą opcją jest wykorzystanie narzędzia o otwartym kodzie źródłowym, w którym można swobodnie dokonywać zmian. Przy okazji warto rozważyć zwinną metodykę wdrożenia, która zapewnia elastyczność podejścia i wolność doboru kolejnych elementów oprogramowania wraz z rozwojem organizacji, tudzież zmianami w prawie, jak w przypadku RODO.

Jak wskazano powyżej, zgodność organizacji i jej procedur z RODO będzie oceniana indywidualnie, a to dlatego, że w każdym przypadku schemat obrotu danymi wygląda nieco inaczej. Agencji ubezpieczeniowej potrzebny jest na przykład numer rejestracyjny pojazdu, który ubezpiecza, a następnie powiązanie tej informacji z danymi osobowymi konkretnego klienta. Placówka lecznicza, której pacjentem jest ta sama osoba, przetwarza zupełnie inne informacje na jej temat, np. historię przebytych chorób, która ma bardziej opisowy charakter. Oba podmioty zapewne korzystają z systemu informatycznego, ale jeżeli chcą zachować zgodność z RODO, powinny podejść do tematu indywidualnie. Standardowy pakiet modułów, pól, czy workflowów oferowany przez producentów rozwiązań pudełkowych, nie ma raczej zastosowania w kontekście wyspecjalizowanej obsługi klienta.

Z RODO zgodny musi być każdy proces biznesowy, w którym przetwarzane są dane osobowe. Nie istnieje system IT w swej naturze zgodny z RODO. Można go natomiast przystosować, by służył firmie jako narzędzie do osiągania tego nadrzędnego celu. Na tym właśnie polega przewaga oprogramowania Open Source, gdyż takowe można dowolnie kastomizować.

Więcej dowiesz się z naszego ebooka: RODO a systemy CRM.