Image
Audyt zgodności z dyrektywą NIS

Wdrożenie RODO - sukces czy konsternacja?

lut. 2 2020 - Konrad Gałaj-Emiliańczyk

Przy okazji XIII Europejskiego dnia ochrony danych osobowych, który minął 28 stycznia 2019r. warto podsumować, czy przypadkiem liczba 13 nie jest trochę pechową liczbą w obszarze zgodności organizacji z przepisami o ochronie danych osobowych. W tym zakresie pojawiają się dalece od siebie rozbieżne opinie. Można spotkać się z opinią, że połowa organizacji w Polsce nie dostosowała swojej działalności do RODO, a z drugiej strony, której organizacji nie zapytamy czy jest zgodna z RODO to z reguły usłyszymy odpowiedź twierdzącą. Niestety najbardziej prawdopodobną wersją wydarzeń jest to, że organizacje dostosowały do wymogów RODO tylko to, co „widać z zewnątrz”. Natomiast system ochrony danych osobowych wewnątrz organizacji albo w ogólne nie istnieje albo działa bardzo wadliwie.

Eksperci i konsultanci ds. RODO: Pomożemy!

W związku z mało precyzyjną treścią RODO znaczna część organizacji postanowiła przed lub zaraz po 25 maja 2018r. skorzystać z zewnętrznych usług doradczych w obszarze zgodności z RODO. Jedne podmioty postanowiły skorzystać z usługi dedykowanego konsultingu w formie projektowej, inne – ograniczone skromniejszym budżetem – skorzystały z szerokiej puli szkoleń dostępnej w owym czasie. Niestety, jak pokazuje praktyka, w obu wersjach wydarzeń efekty nie były takie jak oczekiwały tego organizacje. Warto tu zaznaczyć, że nie można za bardzo mówić o byciu ekspertem w obszarze przepisów, które nie zaczęły obowiązywać lub obowiązywały zaledwie kilka miesięcy. W związku z powyższym konsultanci z reguły eksperymentowali na organizacjach tworząc lepiej lub gorzej wewnętrzne procedury i rozwiązania praktyczne.

Innymi słowy – część firm konsultingowych skorzystała z zapotrzebowania rynku, nie specjalizując się de facto w obszarze ochrony danych osobowych lub wdrażaniu wewnętrznych systemów zarządzania. Z drugiej strony mamy organizacje, które skorzystały z usług szkoleniowych by dedykowane, nowo mianowane osoby zaraz po odbyciu szkolenia same zapewniły zgodność z nowymi zasadami ochrony danych osobowych (dotyczy to w szczególności podmiotów sektora publicznego). W tym przypadku pojawił się bardzo podobny problem – trenerzy szkoleń z RODO często sami nie byli w stanie w praktyczny sposób wytłumaczyć jak zrealizować poszczególne wymogi prawa ochrony danych osobowych. Efektem udziału uczestników w pobieżnych szkoleniach z RODO była jeszcze większa konsternacja i zagubienie w obszarze ochrony danych osobowych. Finałem tych działań bardzo często jest właśnie powierzchowna zgodność organizacji z RODO i brak wdrożenia podstawowych mechanizmów wynikających z RODO.

Inspektor ochrony danych – idealne rozwiązanie?

Bardzo często osobą wysłaną na szkolenie z RODO był dotychczasowy administrator bezpieczeństwa informacji (ABI), który na mocy poprzednio obowiązujących przepisów sam zajmował się zapewnianiem zgodności z przepisami ustawy o ochronie danych osobowych. Rzadko kiedy ABI posiadał samodzielne stanowisko, najczęściej był to dodatkowy zakres zadań informatyka w jednostce organizacyjnej lub osoby z działu kadr czy działu prawnego. Osoba ta była wysyłana na szkolenie, po ukończeniu którego miała stać się kierownikiem projektu pt. „Wdrożenie RODO”. Co bardzo istotne – osoby te często nigdy wcześniej nie zarządzały żadnymi projektami, a przedmiotem szkolenia było tylko RODO, a nie zarządzanie zmianą w organizacji. Po 25 maja 2018r. osoby te często stawały się inspektorami ochrony danych (IOD) a najwyższe kierownictwo, nieświadome rzeczywistych obowiązków funkcji IOD, uważało, że sprawa ta jest zamknięta. IOD natomiast dowiedziawszy się na szkoleniu z RODO lub samodzielnie, że nie ponoszą odpowiedzialności za zgodność organizacji z RODO, a jedynie za rzetelny nadzór nad tą zgodnością, spokojnie wrócili do swoich obowiązków jako pracownicy. Finałem powyższego działania jest właśnie pozorne wdrożenie RODO. System ochrony danych osobowych nie został zaimplementowany do codziennych procesów biznesowych lub administracyjnych. Organizacje z obawy przed zmianą dotychczasowych metod działania i jakością wykonanej wewnętrznej dokumentacji ochrony danych osobowych wolały nowe procedury w najlepszym wypadku zatwierdzić, ogłosić i schować do szuflady na wypadek kontroli. Efektem takiego działania jest brak doskonalenia systemu ochrony danych osobowych co wraz z upływem czasu najprawdopodobniej przerodzi się w całkowitą niezgodność z RODO.

Najwyższe kierownictwo: Tniemy koszty!

Punkt widzenia najwyższego kierownictwa, czy to zarządów spółek kapitałowych czy kierownictwa jednostek finansów publicznych, był bardzo podobny. Zarządy mniej lub bardziej świadomie oszacowały ryzyko na jednej szali kładąc koszty wdrożenia RODO, a na drugiej ryzyko kontroli organu nadzorczego. W większości przypadków, ryzyko okazywało się mniejsze niż koszty. Czy te organizacje miały rację? Z perspektywy czasu i faktu, że do tej pory Prezes UODO nie nałożył żadnej kary finansowej na żaden podmiot w Polsce, powyższa analiza była słuszna. Jednak czy jest to wystarczający argument by zapomnieć o RODO? Wcześniej czy później organ nadzorczy zacznie przeprowadzać kontrole, podobnie jak inne organizacje zaczną weryfikować poziom zgodności z RODO podmiotów, którym powierzają dane osobowe. W związku z powyższym najwyższe kierownictwo nie powinno lekceważyć braku zgodności z wymagającymi przepisami, a zoptymalizować koszty ich wdrożenia tak by w perspektywie czasu doprowadzić jednak do zgodności z RODO. Często najbardziej racjonalnym rozwiązaniem jest rozpoczęcie rzeczywistego wdrożenia od podniesienia poziomu świadomości kadry kierowniczej średniego szczebla by otrzymali oni konkretne zadania do realizacji i wiedzieli jak je realizować. Taki model systemu ochrony danych osobowych jest odporny na istnienie lub nie funkcji IOD w organizacji oraz kładzie nacisk na samodoskonalenie. Wystarczy zauważyć, że inne wymogi wobec przetwarzania danych osobowych pojawiają się w obszarze kadr, inne w marketingu, a jeszcze inne w sprzedaży czy archiwizacji. Z tego względu opieranie systemu ochrony danych osobowych na specjalizacji średniej kadry kierowniczej wydaje się być najbardziej trwałym i najmniej kosztownym rozwiązaniem organizacyjnym. Jednak należy zaznaczyć, że bez zaangażowania w ten proces najwyższego kierownictwa skutki mogą być nie takie jak zamierzono.

Kierownicy jednostek organizacyjnych: Co mamy robić?

Kierownicy poszczególnych jednostek organizacyjnych w obliczu RODO mieli dwojakie podejście do zapewnienia zgodności z nowymi regulacjami. Jedni czekali, a niektórzy nadal czekają na konkretne wytyczne w zakresie dostosowania ich obszaru działalności do RODO przez najwyższe kierownictwo. Inni z kolei sami rozpoczęli dostosowanie by uniknąć ewentualnej wewnętrznej odpowiedzialności za brak zgodności z RODO. Konsekwencją powyższego podejścia niestety jest chaos. Przykładowo – kadry informują pracowników o ich nowych uprawnieniach wynikających z RODO w procesie zatrudnienia, a IT kilka dni później informuje tych samych pracowników o czymś przeciwnym w procesie kontroli dostępu do lokalizacji firmy i systemów informatycznych. Podobnych przykładów jest niestety mnóstwo. Oznacza to, że jednak funkcja osoby koordynującej działania poszczególnych osób odpowiedzialnych za procesy jest konieczna. Tylko pojawia się pytanie czy IOD jest właściwą osobą do tego zadania. W praktyce najbardziej skutecznym rozwiązaniem okazuje się sytuacja, gdy przedstawiciel najwyższego kierownictwa zajmie się koordynacją osobiście, powierzając wdrożenie IOD. Przy takim rozwiązaniu znika problem braku posłuchu przed koordynatorem oraz braku możliwości podejmowania decyzji. Innymi słowy IOD nie za bardzo nadaje się na koordynatora projektu RODO. Po pierwsze – tylko nadzoruje, a nie odpowiada za zgodność organizacji z RODO, a po drugie – nie jest władny by podejmować decyzje, które mogą pociągać za sobą koszty.

Pracownicy: Nie wyrażam zgody?

Ostatecznie sami pracownicy na wzór swoich przełożonych często na własną rękę próbowali zapewnić zgodność z RODO w swoim obszarze obowiązków. Osoby te często korzystały z dość wątpliwych źródeł informacji o RODO jak np. portale społecznościowe czy zasłyszane opinie od znajomy lub członków rodziny. Konsekwencją takich działań często były nieporozumienia. Przykładowo pracownik lokalizacji zamiejscowej sam opracowywał obowiązek informacyjny dotyczący monitoringu i umieszczał go na drzwiach wejściowych do lokalizacji tym samym wprowadzając w błąd każdą osobę wchodzącą. Inny pracownik wyszukał w Internecie „szafę zgodną z RODO” i przekonał swojego przełożonego, że jest ona niezbędna. Niestety chaos informacyjny i decyzyjny jaki spowodowało rozpoczęcie obowiązywania RODO i najwyraźniej niewystarczająca kampania informacyjna w tym obszarze doprowadziły do przeinaczania wymogów RODO.

Natomiast obszary na które RODO kładzie szczególny nacisk zostały pominięte i ostatecznie w wielu organizacjach do dnia dzisiejszego nie wdrożone. Zdarzały się również przypadki, gdy – nie do końca rozumiejąc nowe przepisy o ochronie danych osobowych – pracownicy próbowali korzystać z praw, które na mocy RODO zostały im przyznane. Przykładowo pracownik, który wykorzystał cały urlop na dany rok kalendarzowy składał wniosek o realizację prawa do bycia zapomnianym w zakresie wykorzystanego urlopu. Częstym przykładem były również postulaty nie wyrażania zgody na publikowanie danych osobowych pracowników na stronach internetowych pracodawców, w nadziei że będą mieli mniej pracy. Oczywiście żaden z tych postulatów nie ma racji bytu zgodnie z RODO, co jednak nie powstrzymało niektórych pracowników przed próbami korzystania z ich nowych „uprawnień”.

Dostawcy: Nie przetwarzamy danych osobowych!

Ciekawą reakcję można było zaobserwować wśród dostawców, czyli tzw. podmiotów przetwarzających dane osobowe. Im dalej od źródła danych osobowych, czyli od punktu ich pobrania, tym poziom dostawców w zakresie zgodności z RODO drastycznie spada. Z reguły na inicjatywę dotyczącą zawarcia umowy powierzenia przetwarzania danych osobowych reakcją była odpowiedź – Nie przetwarzamy żadnych danych osobowych! W szczególności przed 25 maja 2018r. można było zaobserwować ewidentny mechanizm wyparcia wśród małych i średnich organizacji, które niemal do samego końca próbowały udowadniać, że dane które otrzymują od swoich kontrahentów nie są danymi osobowymi. Jednak przyparci do muru, pod rygorem rozwiązania umowy o świadczenie usług, podpisywali umowy powierzenia przetwarzania danych osobowych często nie zdając sobie sprawy z konsekwencji takiego działania. Podpisanie umowy powierzenia przetwarzania danych osobowych, w której deklaruje się pełną zgodność z RODO mimo ewidentnego braku takiej zgodności nie jest działaniem odpowiedzialnym biznesowo.

To właśnie dostawcy do tej pory mają największy problem z zapewnieniem zgodności z nowymi przepisami o ochronie danych osobowych. Kardynalnym przykładem jest konieczność rozgraniczenia danych osobowych, których administratorem są dostawcy od tych, które zostały im jedynie powierzone do przetwarzania. Nie da się ukryć, że problemem małych i średnich organizacji jest również rozmycie procesów biznesowych, czyli istnienie takich procesów za które nikt nie odpowiada oraz takich za które odpowiedzialnych jest w równym stopniu np. 5 osób. Z drugiej strony wiele jednoosobowych działalności gospodarczych zostało zamkniętych lub zawieszonych przez swoich właścicieli z obawy przed negatywnymi skutkami RODO. Ostatecznie warto pamiętać, że również mali i średni dostawcy będą musieli w końcu dostosować się do RODO, gdyż korzystanie z usług podmiotu, który nie zapewnia takiej zgodności naraża jego kontrahenta na solidarną odpowiedzialność wobec osób, których dane są powierzane.

Co dalej z RODO?

Edyta
Bielak – Jomaa

Prezes Urzędu Ochrony Danych

Głównym problemem w początkowej fazie obowiązywania RODO były właśnie ww. niewłaściwe praktyki, niekiedy wręcz absurdalne, spowodowane strachem przed wysokimi karami administracyjnymi. Wraz z upływem czasu absurdów jest coraz mniej i RODO nie śmieszy już tak, jak to miało miejsce w maju 2018r. - podkreśla w liście otwartym podsumowującym pół roku obowiązywania RODO.

 

W rocznym planie kontroli Prezesa UODO na 2019r. znalazły się takie branże sektora prywatnego jak telemarketing i brokerzy danych w zakresie posiadania ważnych podstaw prawnych przetwarzania danych osobowych oraz profilowanie w sektorze bankowym i ubezpieczeniowym. Warto również zaznaczyć, że po 7 miesiącach obowiązywania RODO, do Prezesa UODO wpłynęło 10 000 skarg osób, których dane dotyczą, co również z pewnością będzie stanowiło ważny sygnał dla urzędu, które podmioty powinny być zweryfikowane w pierwszej kolejności. 

Podsumowując, nowe przepisy o ochronie danych osobowych już z nami pozostaną i nie ma co liczyć, że nagle przestaną obowiązywać. Te podmioty, które nie do końca poradziły sobie z ich wdrożeniem w początkowej fazie ich obowiązywania, powinny zaplanować długofalową zgodność z nowymi zasadami, gdyż kontrola państwowa czy też negatywne konsekwencje ze strony kontrahentów mogą pojawić się w każdej chwili.

Sprawdź, co możemy dla Ciebie zrobić


POTRZEBUJESZ PORADY CZY DODATKOWYCH INFORMACJI?
CHCIAŁBYŚ OTRZYMAĆ KOSZTORYS?