Jak przygotować się do RODO i kolejnych zmian prawnych związanych z ochroną i bezpieczeństwem danych?

Ponad 300 osób wzięło udział w konferencji RIBA Forum, poświęconej rewolucyjnym zmianom prawnym zawiązanym z ochroną danych osobowych. Przez dwa dni 6-7 kwietnia przedstawiciele Ministerstwa Cyfryzacji i GIODO, prawnicy, administratorzy danych, eksperci cyberbezpieczeństwa, menedżerowie, przedsiębiorcy, akademicy, reprezentanci NGO, samorządów oraz administracji publicznej wymieniali się praktycznymi informacjami, jak przygotować się do sytuacji, która nadejdzie 25 maja 2018, czyli dnia, w którym zaczną obowiązywać przepisy Rozporządzenia o Ochronie Danych Osobowych.

W konferencji dominowało podejście praktyczne. Uczestnicy RIBA Forum mogli zapoznać się ze szczegółowymi praktykami ochrony i animizacji danych osobowych, dowiedzieć się, jak przygotować firmę, szkołę czy wspólnotę mieszkaniową do nowej rzeczywistości prawnej, od czego zacząć analizę ryzyka przy przetwarzaniu danych osobowych, jak przygotować dokumenty zgody na przetwarzanie czy powierzenia danych osobowych, jak raportować incydenty związanych z bezpieczeństwem danych do organu nadzorczego.

Konferencję zorganizował ISSA Polska, organizacja zrzeszająca profesjonalistów bezpieczeństwa informacji, oraz Evention, organizator spotkań biznesowych na rynku ICT. Przygotowana została pod patronatem m.in. GIODO, Ministerstwa Cyfryzacji, we współpracy z partnerami technologicznymi: IBM, Hewlett Packard Enterprise, Microsoft, Trend Micro i Vmware.

Jak będą wyglądały polskie przepisy wprowadzające RODO? Kiedy powstanie?

mini-4b4f5021xO polskich planach legislacyjnych polskiego rządu uczestnicy konferencji mogli dowiedzieć się z pierwszej ręki od Macieja Kaweckiego, doradcy ministra cyfryzacji, który jest autorem projektu nowej ustawy. – Najdalej idące zmiany już znamy, to te przewidziane ogólnym rozporządzeniem unijnym – uspokajał. – Są to w szczególności kary finansowe za naruszenie zasad ochrony danych w wysokości do 20 mln. Euro, zasada risk-based approach (czyli wprowadzenia zarządzania ryzykiem jako podstawowe mechanizmu oceny, jak chronić w danej organizacji dane osobowe), dodatkowa ścieżka prawna dochodzenia roszczeń w przypadku naruszenia praw osób, których dane dotyczą, oraz paneuropejska sieć ochrony danych osobowych (ujednolicenie zasad ochrony danych w ramach całej Unii oraz pewnego rodzaju eksterytorylizacja regulatorów).

Wprowadzana reforma wymaga przeglądu ponad 600 ustaw z punktu widzenia konieczności dokonania zmian synchronizacyjnych. Zmiany będą wdrażane we współpracy z ministerstwami pracy, zdrowia, finansów  czy rozwoju. Uczestników RIBA Forum najbardziej ciekawiło, kiedy zostaną udostępnione praktyczne wskazówki dotyczące RODO. – Wypracowaliśmy zasadę zobowiązującą przyszły organ nadzorczy do wydania zbioru dobrych praktyk dla poszczególnych sektorów – telekomunikacyjnego, medycznego, bankowego, etc. Dzięki temu dostaną państwo wytyczne, które będą cyklicznie aktualizowane – zapewniał Maciej Kawecki. Wątpliwości zebranych budził jednak termin, kiedy to się stanie – zapewne dopiero w 2018 r., podczas gdy poszczególne podmioty muszą rozpocząć dużo wcześniej – siłą rzeczy kierując się fragmentarycznymi wytycznymi i swoją własną intuicją.

To jest reforma, nie nowelizacja prawa, dlatego może powstać komisja specjalna. Jeśli tak się stanie, prace mogą trwać miesiącami.

Zapytany o niebezpieczeństwo zalewu firm przez roszczenia cywilne, przedstawiciel Ministerstwa Cyfryzacji mini-4b4f5136xuspokajał, że nie spodziewa się takiego problemu. – Polskie sądy w praktyce zarządzają niskie odszkodowania w postępowaniu cywilnym, spodziewałbym się odpowiedzialności cywilnej zbliżonej do tej z tytułu naruszenia dóbr osobistych. To sądy administracyjne będą miały prawo zarządzać dużo wyższe kary przewidziane w RODO – wyjaśnił Maciej Kawecki.

Przedstawiciel Ministerstwa Cyfryzacji zapowiedział, że finalny projekt polskiej ustawy zostanie przedstawiony na przełomie czerwca i lipca. Potem czekają go konsultacje międzyresortowe. – Będą trwały długo, bo w proces zaangażowanych jest wiele ministerstw – Po nich projekt trafi na posiedzenie Rady Ministrów. Szacuję, że na przełomie października i listopada. Jeśli zostanie przyjęty, rozpoczną się prace sejmowe w komisjach. To jest reforma, nie nowelizacja prawa, dlatego może powstać komisja specjalna. Jeśli tak się stanie, prace mogą trwać miesiącami – przestrzegał Maciej Kawecki.

– Jesteśmy związani przez prawo unijne terminem 25 maja 2018 roku. Polska jest w czołówce trzech, czterech państw jeśli chodzi o przygotowania do wdrożenia RODO. Jednak proces musi być długotrwały. Państwo oczekują procesu jednocześnie transparentnego i szybkiego. To sprzeczne oczekiwania, bo konsultacja ze wszystkimi stronami musi trwać – powiedział Maciej Kawecki.

Koniec z „pluszowym” organem nadzorczym

mini-4b4f5089xWojciech Wiewiórowski, zastępca Europejskiego Inspektora Ochrony Danych, zwracał uwagę na aspekt międzynarodowej współpracy organów nadzorczych. –  RODO przewiduje wzajemną pomoc oraz wspólne operacje organów nadzorczych. Widzimy w praktyce, że już teraz wymieniają się informacjami, w przyszłości będą też prowadzić wspólne działania – powiedział .

Ciekawość zebranych budziła kwestia nowego urzędu regulacyjnego w Polsce – UODO zamiast GIODO. Czy powstanie on w drodze ewolucji obecnego urzędu, czy likwidacji i budowy od podstaw. Do tego nawiązywała wypowiedź Wojciecha Wiewiórowskiego, iż wdrożenie RODO powinno być wynikiem już stosowanych praktyk. – Nie ma możliwości stworzenia organu ochrony danych osobowych od zera. Wszelkie takie próby odrzucające dotychczasowe doświadczenia z kilku krajach, zakończyły się niepowodzeniem. Natomiast RODO wprowadza rozwiązania dla wielu krajów nowe, jak np. sankcje administracyjne, których w Polsce nie było, w takiej sytuacji dobrze jest korzystać z doświadczeń innych państw – dodał.

Dotąd żyliśmy w porządku prawnym, gdzie kary za naruszenie danych osobowych, były śmiesznie niskie. Nasze GIODO było „pluszowym” organem.

– RODO to kompromis, z którym da się żyć i nie ma co wracać, do tego, dlaczego to zostało wprowadzone. To mini-4b4f5170xjuż za nami, przed nami wdrożenie. Chodzi o to, aby każdy mógł kontrolować informacje o sobie. To jest bardzo istotne, im bardziej przenosimy swoje życiowe aktywności do Internetu – powiedziała Katarzyna Szymielewicz Prezeska Fundacji Panoptykon, działającej na rzecz prawa do prywatności.

– Moim zdaniem przewidywane sankcje tylko z polskiej perspektywy wydają się bardzo wysokie, bo dotąd żyliśmy w porządku prawnym, gdzie kary za naruszenie danych osobowych, były śmiesznie niskie. Nasze GIODO było „pluszowym” organem – tłumaczył Wojciech Dziomdziora,  prawnik w kancelarii DZP. – Sankcje RODO są porównywalne z innymi obszarami, jak naruszenie przepisów o ochronie konkurencji. Będziemy mieli do czynienia z miarkowaniem tych kar. Sprzedający usługi związane z ochroną danych osobowych epatuje tymi sankcjami – uspokajał.

Najpewniej nowy organ nadzorczy będzie miał dużo większe możliwości kadrowe.

Jak będą wyglądały kontrole nowego organu nadzorczego? Chociaż prace legislacyjne trwają, uczestnicy RIBA Forum mogli już teraz zapytać o to bezpośrednio Bogusławę Pilc, dyrektor Departamentu Inspekcji w GIODO. – Do tej pory mogliśmy być pluszowym organem, ale po wejściu RODO to już niekoniecznie. Przedsiębiorcy zadają sobie pytanie: czy przygotować się do RODO, a może zignorować je, a może nie przyznawać się w ogóle, ze mamy dane osobowe? – żartowała Bogusłąwa Pilc.

Dyrektor Departamentu Inspekcji przedstawiła możliwe scenariusze kontroli. Przestrzegała przed strategią „do mnie nie dotrą”, zauważając, że najpewniej nowy organ nadzorczy będzie miał dużo większe możliwości kadrowe. – Nie chcę straszyć, ale świadomość, że inspektorzy mogą się zjawić, jest bardzo ważna – powiedziała Bogusława Pilc.

mini-img_1930xZapytana o to wskazówki dobrych praktyk, które GIODO ma przygotować dla poszczególnych sektorów, nie potrafiła podać daty ich publikacji: – Pracujemy nad nimi, ale już teraz mogę powiedzieć żadnego odkrycia nie będzie. Bardzo dobrze jest stosować się do polskich i europejskich norm i dobrych praktyk związanych z zarządzaniem i ochroną danych osobowych – powiedziała Bogusława Pilc.

W podobnym tonie wypowiadali się uczestnicy panelu dyskusyjnego poświęconego obawom przed RODO. – Nikt nikogo nie zamierza wycinać tym rozporządzeniem i ustawą. Uważam, że jeżeli ktoś postępował zgodnie z obecnymi normami, wiedział po co i przed czym chroni dane, to dla niego nic wielkiego się nie wydarzyło – uspokajał Łukasz Kister Dyrektor Departamentu Audytu i Bezpieczeństwa w Polskich Sieciach Elektroenergetycznych.

Wtórował mu ekspert EY Mariusz Krzysztofek: – To nie rewolucja a ewolucja. Najpierw zaszła na świecie, a potem została przełożona na język ustawowy. Te same zasady i zręby mamy w dotychczasowych przepisach – zauważył.

Paneliści zwracali uwagę na konieczne wsparcie merytoryczne ze strony polskich urzędów. – Nie byłoby dobrze, gdyby przedsiębiorcy byli zostawieni sami sobie. Zasada rozliczalności wprowadzona przez RODO oznacza, że ustawodawca zakłada dojrzałość rynku, ale też wiele też wymaga od przedsiębiorców – jak zauważył Artur Piechocki Radca prawny z Kancelarii Prawnej APLAW.

Bardzo przydałaby się wymiana informacji o pozytywnych przykładach. U nas jest kultura negatywnej kontroli, podczas gdy w innych krajach dobre praktyki funkcjonują jako półprawo. Wskazywanie dobrego kierunku działa dużo sprawniej niż karanie

– przekonywał Mariusz Krzysztofek.

Od czego zacząć przygotowania do RODO w organizacji?

Piotr Darwaj,  Executive Consultant w IBM, proponuje przeprowadzić szczegółową analizę wpływu nowych regulacji. – Radzę zrobić to jak najszybciej. Wyzwanie związane z RODO jest jak najbardziej realne. Rozporządzenie zostanie wdrożone. Z moich analiz wynika, że niektóre firmy, których działalność jest oparta o przetwarzanie danych, mogą być zmuszone do zamknięcia działalności – przestrzegał. Tymczasem, badanie IBM z grudnia 2016 pokazuje, że zaledwie 15 proc. polskich firm jest gotowych do RODO, a aż 50 proc. nie wie o nadchodzących zmianach.

– Punktem wyjścia powinna być analiza ryzyka. Nazwaliśmy ją „v. 0”, bo nie mamy jeszcze wytycznych branżowych, a proces legislacyjny trwa. Jedyne co znamy, to datę obowiązywania prawa – mówił Piotr Darwaj. – W naszym zespole doradztwa zauważyliśmy, że ze względu na dynamiczną sytuację, najlepiej sprawdza się metoda warsztatowa, w której wspólnie wypracowujemy rozwiązania – dodał.

– Pierwszy krok to budowanie świadomości u decydentów. Kolejny krok to zbudowanie zespołu projektowego. Tutaj jest duże wyzwanie, bo jest to projekt długofalowy i przebiega przez całą organizację, więc trzeba zaprosić do współpracy wiele osób – opowiadała Monika Sobczyk kierownik ds. bezpieczeństwa informacji w Medicover. – Kolejnym krokiem jest audyt zgodności z RODO. Trzeba zweryfikować dokumentację: czy są polityki, jak odbywają się szkolenia, na to kładzie nacisk RODO. Nawet jeśli zbudujemy mocny system informatyczny, a nie będziemy mieli szkoleń, to nic nie da, bo pracownik jest najsłabszym ogniwem bezpieczeństwa danych.

Spotykamy się z zupełnym brakiem zrozumienia tematu. Spotykamy się z prośbami klientów: niech programista potnie, potnie, potnie, zaszyfruje i sprawi, że nie będą  to już dane osobowe, potem w druga trochę. Wyjaśnienie, że tak się nie da, to dla nas nie lada problem.

mini-4b4f5263xMichał Jaworski, dyrektor ds. Strategii Technologicznej Microsofcie, przekonywał, że RODO może być dla wielu firm okazją do modernizacji polityk i technologii zarządzania danymi osobowymi, a migracja do chmury w przypadku wielu organizacji może być dobrym rozwiązaniem problemu.

– Informatyka była tym działem techniki, który przez lata nie był w ogóle regulowany. Teraz pojawiły się dwa trendy: pierwszy to regulacje, bo okazało się, że możemy być poszkodowani przez nowe technologie, drugi: w coraz większym stopniu zamieniamy produkt na usługę – powiedział Michał Jaworski. – Mnie trochę przeraża dyskusja o RODO. Prawnicy rozmawiają z prawnikami, technicy z technikami, menedżerowie proszą prawników o zrzucenie odpowiedzialności na dostawcę technologii. Spotykamy się z zupełnym brakiem zrozumienia tematu. Spotykamy się z prośbami klientów: niech programista potnie, potnie, potnie, zaszyfruje i sprawi, że nie będą  to już dane osobowe, potem w druga trochę. Wyjaśnienie, że tak się nie da, to dla nas nie lada problem, a dzieje się tak dlatego, że w tych organizacjach inżynierowie nie rozmawiają z biznesem – zwyczajnie  nie rozmawiają z innymi.

Jak zadbać o bezpieczeństwo danych?

Piotr Jabłoński Senior Systems Engineer w VMware oraz Marek Krauze Sales Engineer w Trend Micro opowiadali o tym, jak powinna wyglądać infrastruktura technologiczna wspierająca RODO. – Dane nie mogą być chronione tylko na wejściu do systemu. Atak może być wyprowadzony z wnętrza data center, poprzez e-mail z malewarem, który zaktywuje się po kilku miesiącach – przestrzegał Piotr Jabłoński.  Nowe przepisy prawne wprowadzane są w czasach, gdy bezpieczeństwo danych staje się coraz większym wyzwaniem. –  Technologia zmienia się tak szybko, że w dzisiejszych czasach bezpieczeństwa nie można oprzeć tylko na rozwiązaniu jednego dostawcy, trzeba zaufać więcej niż jednej firmie – przekonywał Marek Krauze.

Mariola Więckowska, ABI w Grupie Allegro, opowiadała o praktyce ochrony danych osobowych: – Jestem zwolennikiem RODO, wszystko oparte jest na ryzyku firm, to od nas zależy, jakie zabezpieczenia będziemy wdrażać. RODO zachęca nas do psedonimizacji i anonimizacji danych. To bardzo skuteczne metody, które dzięki nowym przepisom zostaną upowszechnione – tłumaczyła.

Jak raportować incydenty naruszenia bezpieczeństwa?

RODO wprowadza obowiązek zgłaszania do organu nadzorczego incydentów naruszenia bezpieczeństwa mini-4b4f5576xdanych osobowych. Uczestnicy konferencji mogli zapytać, jak to wygląda w praktyce przedstawicieli operatorów telekomunikacyjnych, którzy już teraz mają podobne obowiązki. – Mamy system do zarzadzania incydentami naruszenia bezpieczeństwa. Jeśli mamy takie podejrzenie, to zadanie jest rozsyłane do odpowiednich osób. Gdy otrzymamy potwierdzenie zdarzenia, przygotowujemy zawiadomienie do GIODO. Można już teraz zajrzeć na stronę GIODO, gdzie są formularze dla operatorów – opowiadał Daniel Ślęzak Privacy Officer w T-Mobile Polska.

Cezary Prokopowicz, Regional Sales Manager Eastern Europe, oraz  Dariusz Śliwa, BigData Solutions Sales Manager w Helwett Packard Enterprise, opowiadali o nowoczesnych systemach bezpieczeństwa, które realizują obowiązek raportowania incydentów.  – Gdy już uświadomimy decydentów, że potrzebna jest zmiana, powinniśmy dokonać inwentaryzacji lokalizacji, dopiero wtedy, po procesie data discovery, możemy przejść do analizy ryzyka – tłumaczył Dariusz Śliwa.

– Gdy już wiemy, gdzie są informacje, możemy wprowadzić wprowadzenie produkty realizujące kompletne potrzeby bezpieczeństwa. Po pierwsze, bezpieczeństwo danych, czyli szyfrowanie i pseudonimizacja. Po drugie, jak nas zabezpieczyć się przed naruszeniami, czyli prewencja. Po trzecie wykrywanie naruszeń, czyli „breach detection” – wyjaśniał Cezary Prokopowicz.

Prawne przygotowania do RODO w praktyce

Duża część konferencji poświęcona była praktycznym problemom prawnym związanym z RODO. Rozporządzenie reguluje m.in. zasady profilowania. Kiedy można profilować?

mini-4b4f5356x– Osoba, której dane dotyczą, ma prawo by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa – tłumaczyła Beata Marek, prawniczka specjalizująca się w zagadnieniach IT oraz IP z firmy Cyberlaw. – Dlatego konieczne jest stosowanie odpowiednich zabezpieczeń, takich jak informowanie o profilowaniu, prawo do uzyskania interwencji człowieka, prawo do wyrażania własnego stanowiska, prawo do uzyskania wyjaśnienia decyzji i jej zakwestionowania. Nie możemy doprowadzić do tego, ze maszyny, algorytmy, skrypty pełniły rolę sędziów – dodała.

Agnieszka Sagan-Jeżowska radca prawny w praktyce ochrony prywatności i danych osobowych, Kancelaria prawna Bird & Bird opowiadała o umowach powierzenia. Marcin Zadrożny adwokat, specjalista ds. ochrony danych w ODO24 o prawie do przenoszenia danych. Natomiast Dominik Lubasz radca prawny, wspólnik zarządzający w Lubasz i Wspólnicy Kancelaria Radców Prawnych o tym, jak pozyskiwać dane w sposób zgodny z nowymi regulacjami.  Jak powinna wyglądać w praktyce zgoda, tak by dzisiaj zebrane dane można wykorzystywać i przetwarzać po 25 maja 2018 roku?

– Wszystkie nowe akty prawne, o których tu rozmawiamy, dotyczą każdego z nas jako obywatela. Idea jest taka, żebyśmy mogli ufać temu, co dzieje się w Internecie – mówiła w panelu podsumowującym konferencję Joanna Karczewska, ekspert i audytor z ISACA Warsaw. – Jako audytor czekam tylko na dobre praktyki, na wytyczne do mojej pracy. Aby móc ją wykonywać, potrzebuję jasnych kryteriów oceny. Nie ma nic gorszego dla audytowanego niż sytuacja, w której audytor przychodzi i mówi: „tego się tak nie robi, bo tego się tak nie robi”.

Wideorelacja z konferencji "RIBA Forum"

Wystąpienie dr. Macieja Kaweckiego o wdrożeniu RODO

Wystąpienie Bogusławy Pilc "RODO - sprawdzam!"