Dnia 25 maja 2018 r. RODO weszło w życie i stało się elementem rzeczywistości prawnej wszystkich przedsiębiorców w Polsce, a także we wszystkich krajach Europejskiego Obszaru Gospodarczego. Wiele spośród podmiotów zobowiązanych do wdrożenia nowego standardu postanowiło skorzystać z pomocy wyspecjalizowanych kancelarii prawnych lub firm konsultingowych.

Wydaje się jednak, że większość  przedsiębiorców postanowiło póki co we własnym zakresie zapoznać się z dostępnymi materiałami i poradnikami a następnie stosownie zmienić istniejącą dokumentację i sposób działania w kluczowych obszarach.

Takie ostrożne podejście było uzasadnione tym, że prawie do dnia wejścia w życie RODO polski ustawodawca nie zaprezentował nowej ustawy o ochronie danych osobowych, kryteriów certyfikacji czy  wytycznych. Nie wprowadzono koniecznych zmian w dziesiątkach aktów prawnych o charakterze branżowym, które fragmentarycznie regulują przetwarzanie danych osobowych w poszczególnych niszach gospodarki czy sektorach publicznych. Nie istniały wreszcie ogólnie przyjęte i potwierdzone przez praktyków jako prawidłowe wzory rejestrów, analiz ryzyka w procesach, polityk prywatności czy klauzul informacyjnych. W takich realiach trudno było zaufać zewnętrznemu doradcy i zainwestować niezbędne środki finansowe.

Dlatego wielu przedsiębiorców wdrożyło RODO we własnym zakresie i w ograniczony sposób. Zmodyfikowano istniejące klauzule informacyjne, klauzule zgód na przetwarzanie danych osobowych, a także wprowadzono redakcyjne zmiany do takich dokumentów jak polityka bezpieczeństwa, instrukcja zarządzania systemami informacyjnymi czy polityka prywatności. Często zmiany te polegały po prostu na aktualizacji odwołań z dotychczasowej ustawy na RODO, czy też rozbudowaniu sekcji informacyjnej dla klientów.

Tymczasem warto zastanowić się, czy obecnie nie zachodzi potrzeba weryfikacji i pogłębienia podjętych dotychczas wysiłków dostosowujących organizację do RODO.

Doświadczenie audytorów JDS Consulting pokazuje, że częstą przeszkodą dla prawidłowego wdrożenia jest zaniedbanie wykonania inwentaryzacji procesów przetwarzania danych osobowych.

Dotychczas w realiach ochrony danych osobowych nie posługiwano się pojęciem procesu lecz zbioru danych. Wszelkie zabezpieczenia obrotu danymi, czy to fizyczne czy logiczne, wprowadzano dla organizacji jako całości. Podobne myślenie rzutowało na sposób wstępnego wdrożenia RODO. Tymczasem podstawowym założeniem RODO jest wyodrębnienie poszczególnych procesów biznesowych (statutowych) obejmujących dane osobowe definiowane celem przetwarzania.

Wiele podmiotów zatrudniających mniej niż 250 osób zaniedbało inwentaryzacji po prostu dla tego, iż nie objęła ich konieczność wykonania rejestru czynności przetwarzania lub kategorii czynności przetwarzania.

W konsekwencji, nie mając rozeznania jakiego typu procesy przetwarzania zachodzą w organizacji, nie można przeprowadzić obowiązkowej dla każdego z nich oceny ryzyka przetwarzania i adekwatności zabezpieczeń.

W tej sytuacji trudno również zadbać o prawidłową treść umów powierzenia danych do przetwarzania czy treść upoważnień dla pracowników. Wynika to z faktu, że oba te obowiązkowe aspekty wdrożenia wymagają odwoływania się do zdefiniowanych procesów.

Wkrótce po wejściu w życie RODO Prezes Urzędu Ochrony Danych Osobowych opublikował wzorcowy rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania. Oba dokumenty uwypuklają tą zasadę i konieczność myślenia o organizacji jako zbioru procesów, nie zaś jak o monolicie.

W trakcie działań audytowych RODO spotkano się też w wielu przypadkach z błędami przy redagowaniu klauzul informacyjnych o zakresie wynikającym z art. 13 RODO.

Jednym z wymagań jest obecnie wskazanie, czy w trakcie przetwarzania dochodzi do transferu danych osobowych do krajów trzecich, a jeżeli tak – w jaki sposób zapewniono legalność tego procederu. Wielu przedsiębiorców uznało, że skoro nie ma „egzotycznych” parterów poza EOG, to nie dochodzi do transferu danych osobowych. Tymczasem bliższe przyjrzenie się infrastrukturze informatycznej często ujawnia, że korzystamy (nawet nieświadomie!) z narzędzi zlokalizowanych w tzw. chmurze, a więc na serwerach rozsianych w różnych częściach świata, często w USA czy w Indiach. Wystarczy posługiwać się znanymi zagranicznymi dostawcami poczty, przestrzeni serwerowej, komunikatorem czy translatorem.

Inny przykład dotyczy analizy konieczności wykonania oceny skutków dla ochrony danych (DPIA) dla dane procesu (o ile zostały wcześniej zgodnie z RODO wyodrębnione).

Dotychczas istniały tylko bardzo ogólne wytyczne, posługujące się wieloma pojęciami nieostrymi, nieokreślonymi. Wydawało się, że ta trudna i wielowątkowa procedura będzie dotyczyć tylko największych podmiotów, takich jak banki czy towarzystwa ubezpieczeniowe, placówki służby zdrowia.

Tymczasem 24 sierpnia 2018 r. w Monitorze Polskim został ogłoszony Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Okazuje się, że taki obowiązek dotyczyć będzie ogromnej części przedsiębiorców zatrudniających pracowników. Wystarczy wspomnieć o procesie monitorowania czasu pracy czy też aktywności pracowników w sieci, które aktualnie zostały zakwalifikowane do obligatoryjnego wykonania takiej oceny.

Co więc z przedsiębiorcami, którzy zaniedbali inwentaryzacji procesów przetwarzania? Co z tymi, którzy oceniając swoje obowiązki w zakresie oceny skutków dla ochrony danych poprzestali na dotychczasowych przepisach i zrezygnowali z wykonania DPIA?

Wydaje się oczywiste, że konieczne jest dokonanie weryfikacji dotychczasowych działań wdrożeniowych, czyli przeprowadzenie audytu powdrożeniowego RODO.

Wielu przedsiębiorców dokonując czynności wdrożeniowych nie miało szansy uwzględnić nowej ustawy o ochronie danych osobowych, opublikowanej dopiero 24 maja 2018 r., a więc na jeden dzień przed wejściem w życie RODO.

Ustawa ta nie tylko reguluje pewne aspekty funkcjonowania nowego organu nadzorczego czy postępowań kontrolnych. Co bardzo ważne, regulacją tą wprowadzono równocześnie zmiany w niemal pięćdziesięciu ustawach, wielu kluczowych dla każdego przedsiębiorcy. Dla przykładu zmieniono Kodeks Pracy, regulując zakres dopuszczalnego przetwarzania danych osobowych kandydatów do pracy, pracowników, czy też zasady monitorowania wizyjnego i elektronicznego. To jednak dopiero początek potężnej lawiny nadchodzących zmian. Na ukończeniu jest aktualnie Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679. Akt ten wprowadzi zmiany w kolejnych 168 ustawach. Dnia 6 stycznia br. odbyło się już I czytanie projektu na posiedzeniu Sejmu, które zdecydowało o jego dalszym procedowaniu. Każdy przedsiębiorca już dziś powinien zapoznać się z treścią projektu i rozważyć jego wpływ na adekwatność swoich dotychczasowych działań wdrożeniowych.

Abstrahując od wszystkich nowych prawnych, biurokratycznych obowiązków warto też pochylić się nad tym, czy osiągnęliśmy samą istotę założeń RODO: efektywne bezpieczeństwo danych - zwłaszcza w zasobach elektronicznych. Czy dotychczas funkcjonujące rozwiązania techniczne i organizacyjne rzeczywiście są odporne i skutecznie zniwelują błędy personelu, działalność nieuczciwej konkurencji czy przypadkowe kataklizmy?

Teoria zarządzania od zawsze przestrzega nas przed niekwestionowanym zaufaniem do istniejących rozwiązań. Czy własne służby informatyczne, które stworzyły bieżące rozwiązania rzeczywiście są obiektywnym czynnikiem, który skutecznie wyłapie ich słabe strony? To pytania, z którymi musi zmierzyć się każdy właściciel lub manager w procesie wdrożenia standardu bezpieczeństwa wymaganego przez RODO.

Podsumowując, aktualnie, ponad pół roku od dnia wejścia w życie RODO, po pojawieniu się dziesiątek nowych regulacji prawnych, wytycznych i wzorów, warto zastanowić się nad weryfikacją i ewentualną aktualizacją dokonanego wdrożenia. Tym bardziej, że stosowanie RODO nie ogranicza się do jednorazowego wysiłku, po którym można uznać, że temat jest zamknięty.

Audyt powdrożeniowy RODO może zapewnić, że wyłapane zostaną ewentualne zmiany w dynamicznie zmieniających się procesach lub zidentyfikowane nowe. Klauzule informacyjne uwzględnią realia nowo nabytych rozwiązań informatycznych, a słabe punkty pierwotnie zaplanowanych procedur zostaną dostosowane do doświadczeń pierwszych miesięcy obowiązywania RODO.

Warto więc rozważyć zlecenie dokonania obiektywnej – zewnętrznej weryfikacji tego, na ile udało nam się przeniknąć i przekuć w skuteczne rozwiązania nowe prawo ochrony danych osobowych.

Jakub Gosz, radca prawny