Jak zapewne większość Czytelników zdążyła już zauważyć, data rozpoczęcia stosowania RODO już minęła i zakończyło się wielkie odliczanie prowadzone w oczekiwaniu na zmiany. Większość zastanawia się jak ukształtuje się praktyka przetwarzania danych osobowych, jak przebiegać będzie weryfikacja wdrożonych rozwiązań audytowych, jak należy podejść do nowych procesów biznesowych wplecionych w najnowsze rozwiązania technologiczne, które stawiają coraz wyższe wymagania i nowe wyzwania w dziedzinie ochrony danych osobowych.
Stosuj zasady privacy by design oraz privacy by default
Zostawmy jednak na chwilę dotychczas istniejące procesy przetwarzania danych i zajmijmy się nowymi, planowanymi procesami, w których wykorzystywane będą nowe aplikacje lub narzędzia informatyczne służące do przetwarzania danych osobowych. Po uważnej lekturze art. 25 RODO wyraźnie dostrzeżemy czego robić nam nie wolno. Otóż w pierwszej kolejności należy wyraźnie zaznaczyć, że nie wolno nam rozpocząć przetwarzania danych osobowych bez uprzedniej weryfikacji czy proces taki gwarantuje bezpieczeństwo przetwarzania i właściwie realizuje prawa podmiotów danych. Zwykło się sprowadzać ten obowiązek do realizacji dwóch zasad: privacy by design oraz privacy by default, które nomen omen nie zostały wcale wprost wyrażone. Oczywiście nie sposób zaprzeczyć zasadności ich stosowania, jednak uwzględnienie tych zasad nie załatwia problemu. Należy pamiętać, że rdzeniem obowiązku wynikającego z art. 25 RODO jest wdrożenie / zaimplementowanie w każdym nowym rozwiązaniu biznesowym wszystkich zasad ochrony danych osobowych. Każdy administrator musi więc najpierw przeprowadzić proces oceny planowanego rozwiązania biznesowego pod kątem realizacji zasad ochrony danych, a następnie, w zależności od tej oceny, wdrożyć takie rozwiązanie, zmodyfikować projekt lub nawet od niego odstąpić, jeżeli koszty doprowadzenia do odpowiedniego poziomu bezpieczeństwa przewyższą spodziewane korzyści (np. zyski) lub odpowiedni stopień bezpieczeństwa w ogóle nie może być osiągnięty.
Ważny fragment
Aby mieć pewność, że ochrona danych zostanie uwzględniona w fazie projektowania najlepiej sporządzić odpowiednią procedurę, która krok po kroku przeprowadzi nas przez cały proces.
Nasz ekspert Tomasz Dziedzic jest do Twojej dyspozycji.
Z praktyki, która nie została jeszcze utrwalona wynika, że najlepiej jest podzielić taki proces na etapy lub fazy; może to być faza opisu, faza oceny oraz faza implementacji i testowania. Poszczególne etapy należy dokumentować w myśl zasady rozliczalności. Dobrym rozwiązaniem porządkującym może okazać się także opisanie planowanego rozwiązania w karcie oceny procesu.
Przechodząc teraz do praktyki wyobraźmy sobie, że w naszej spółce chcemy usprawnić sprzedaż towarów lub usług, ponieważ takie wymagania stawia rynek, na którym oferowane są sprzedawane przez spółkę towary lub usługi. Potrzeba wdrożenia takiego rozwiązania niewątpliwie wynika z celów biznesowych prowadzonej działalności i w założeniu może mieć na celu redukcję kosztów prowadzenia działalności gospodarczej, usprawnienie obrotu towarami lub stworzenie platformy do wymiany informacji z klientami. Pomocą miałaby być nowa aplikacja działająca w określonym otoczeniu biznesowym, wykorzystywana przez personel administratora (pracownicy), zainstalowana na określonym sprzęcie i wykorzystywana w określonym obszarze przetwarzania danych.
Opisz proces w odniesieniu do przestrzeni biznesowej, w której będzie funkcjonował
Faza pierwsza – opisowa – w dużej mierze pozostająca poza obszarem regulacji art. 25 RODO. Rozpoczyna się od uświadomienia sobie potrzeby biznesowej i poszukiwania dobrego rozwiązania, które pozwoli zrealizować cel biznesowy. Po wypracowaniu koncepcji powinna nastąpić faza opisu procesu biznesowego oraz otoczenia, w którym będzie działała aplikacja. Może to być ujęcie graficzne, tekstowe lub inne, natomiast istotne jest, aby zawarte tam były wszystkie niezbędne informacje. Opis przetwarzania jest niezwykle istotnym elementem całej procedury, gdyż z opisu wynikać będzie czy zachodzi potrzeba przetwarzania danych osobowych, a jeżeli tak, to jakich kategorii podmiotów, jakich danych, w jakim celu, zakresie i jak długo. Istotne jest również określenie planowanych narzędzi, przepływów danych, uczestników procesu, potrzeb w zakresie dostępu do danych. W fazie opisu powinno się również przeprowadzić analizę otoczenia gospodarczego, prawnego i społecznego, czyli zbadanie kontekstu przetwarzania oraz zakresu, celu i charakteru przetwarzania. W opisie takim powinien zatem brać udział co najmniej decydent biznesowy, właściciel procesu (członek personelu odpowiedzialny za realizację celu biznesowego), inspektor ochrony danych osobowych lub inna osoba wyznaczona do realizacji zadań z zakresu ochrony danych osobowych.
W tej fazie należy również pamiętać, że często zachodzić będzie potrzeba konsultacji z pracownikami działu IT lub rozpoczęcia negocjacji z podwykonawcą IT albo procesorem, który będzie dostarczał lub uczestniczył w tworzeniu podzespołu / części określonego rozwiązania informatycznego. Należy zatem zadbać o takiego dostawcę, który przejawiał będzie odpowiedni poziom świadomości z zakresu ochrony danych lub będzie legitymował się stosownymi certyfikatami czy znakami jakości w zakresie ochrony danych. Dla przejrzystości całego procesu / procedury należałoby zadbać o akceptację opisu procesu biznesowego przez osoby decyzyjne w spółce.
Oceń założenia projektu i sprawdź czy zapewniasz odpowiedni poziom ochrony danych
Druga faza, którą nazwałem fazą ocen, powinna koncentrować się na ocenie ustaleń i założeń poczynionych w pierwszej fazie. W pierwszej kolejności ustalenia fazy pierwszej powinny być poddane ocenie w kontekście zgodności z naczelnymi zasadami ochrony danych określonymi w art. 5 RODO oraz ustalona podstawa prawna przetwarzania. W następnej kolejności należałoby ustalić czy przetwarzanie będzie posiadało cechy, od których istnienia uzależnione jest przeprowadzenie oceny skutków dla ochrony danych osobowych (DPIA) lub skonsultowania z organem nadzoru takie, jak np. czy dane przetwarzanie będą na dużą skalę, czy przetwarzane będą szczególne kategorie danych, czy będzie dochodziło do systematycznego monitorowania miejsc publicznych, czy będą używane nowe technologie, których wpływ na przetwarzanie danych nie jest znany. W fazie tej zalecane jest przeprowadzenie weryfikacji (ogólnej oceny ryzyka – jaki jest jego poziom – naruszenia praw i wolności osób fizycznych jakie wiąże się z przetwarzaniem danych osobowych) czy posiadane środki organizacyjne i techniczne pozwalają na zapewnienie odpowiedniego poziomu ochrony danych, a jeżeli nie – jakiego rodzaju działania należy podjąć, aby ten cel osiągnąć. Przez środki organizacyjne należy rozumieć nie tylko organizację przetwarzania danych wewnątrz organizacji (np. poziomy dostępu do danych dla pracowników), ale również w możliwie szerokim znaczeniu strategie czy koncepcje biznesowe. Następnym krokiem powinna być ocena czy nasze założenia spełniają standardy techniczne oraz czy korespondują z praktykami rynkowymi. Czynności opisane w drugiej fazie powinny kłaść odpowiedni akcent na realizacji dwóch zasad – ochrony danych oraz minimalizacji ilości przetwarzanych danych i domyślnym wprowadzeniu takich ustawień, aby ingerencja w prywatność zredukowana została do najniższego poziomu, który pozwala nam na osiągniecie celu biznesowego. Ocena projektowanego rozwiązania powinna również odpowiadać na pytanie czy pozwala ono na wbudowanie nowych lub modyfikację dotychczasowych zabezpieczeń, co wynika wprost z Motywu 78 RODO. W fazie tej powinien brać udział co najmniej decydent biznesowy, właściciel procesu, inspektor ochrony danych osobowych lub inna osoba wyznaczona do realizacji zadań z zakresu ochrony danych osobowych, przedstawiciel IT oraz prawnik. Również i w tej fazie uzasadnione byłoby zadbanie o akceptację przez decydenta biznesowego poziomu ryzyka oraz kosztów implementacji konkretnych rozwiązań techniczno – organizacyjnych i narzędziowych (koszty wdrożenia).
Implementuj przyjęte rozwiązania w przestrzeń biznesową i przeprowadź testy
Trzecia faza, która nazwałem wdrożeniową, powinna koncentrować się na zagadnieniach technicznych / informatycznych przykładowej aplikacji, otoczenia informatycznego oraz kwestii organizacyjnych. W tej bowiem fazie powinno dojść do przyjęcia konkretnych rozwiązań technicznych / informatycznych implementujących ustalenia fazy pierwszej i drugiej, czyli np. określenie pól przetwarzania danych, przyjęcie konkretnych zabezpieczeń procesu przetwarzania, konfiguracji ustawień aplikacji, ustalenia poziomów dostępu, wbudowania możliwości modyfikacji lub dodawania nowych zabezpieczeń. Patrząc z punktu widzenia użytkownika aplikacji (np. klienta), nie powinien on mieć możliwości np. wpisania większej ilości danych, niż to jest potrzebne do osiągnięcia celu biznesowego – np. eliminacja pól opisowych. Jako, że aplikacja powinna działać w określonym środowisku informatycznym powinny zostać wprowadzone odpowiednie rozwiązania na poziomie hardware ponieważ przepływ tych danych następować będzie między urządzeniami informatycznymi łączącymi się za pomocą interfejsów oraz sieci teleinformatycznej. W fazie tej należy zatem wdrożyć odpowiednie zabezpieczenia danych osobowych na poziomie przesyłania danych zarówno wewnątrz organizacji, jak również na zewnątrz oraz zadbać o adekwatne ustawienie konfiguracyjne systemu, aby dane nie były przetwarzane w wymiarze większym, niż to jest potrzebne, każdy bowiem ruch użytkownika w sieci pozostawia w niej ślady jego działania. Na przykład, w podanym na wstępie przypadku wdrażania nowej aplikacji, z której korzystać mieliby użytkownicy zewnętrzni (np. klienci), faza trzecia powinna gwarantować, że dane o ruchu sieciowym dotyczące tych użytkowników gromadzone są w jak najwęższym zakresie. Ostatnim elementem fazy trzeciej powinno być testowanie działania aplikacji oraz weryfikacja zabezpieczeń. W fazie tej powinny brać udział przede wszystkim osoby posiadające wiedzę z obszaru IT oraz inspektor ochrony danych osobowych. Można również zarządzić przeprowadzenie audytu przez niezależne podmioty. Rezultatem tej fazy powinno być wdrożenie aplikacji spełniającej wymóg należytej ochrony danych (zabezpieczenia) oraz minimalnych ustawień konfiguracyjnych. Aplikacja powinna być zaprojektowana w ten sposób, aby mogła chronić dane od początku procesu przetwarzania danych do samego końca, czyli do chwili usunięcia / zniszczenia danych albo aplikacji. Jeżeli aplikacja miałaby być dedykowana dla podmiotów danych oczywiście powinna ona spełniać szeregi innych wymogów związanych z realizacją ich praw.
Nie przetwarzaj danych osobowych bez analizy nowego rozwiązania biznesowego
Podany przykład ma na celu jedynie pomoc w zobrazowaniu problematyki związanej z obowiązkiem uwzględniania ochrony danych w fazie projektowania. Powyższy artykuł nie stanowi gotowej procedury, a jedynie ma pomóc zrozumieć istotę obowiązku płynącego z art. 25 RODO i taką procedurę przygotować. Obowiązku na tyle istotnego, że bez jego realizacji przetwarzać danych na gruncie RODO nie wolno. Zatem, warunkiem realizacji tego obowiązku jest rzetelne przeprowadzenie procesu analitycznego uwzględniającego powinność zapewnienia ochrony danych już w fazie projektowania oraz taką konfigurację ustawień (aplikacji, systemu), aby domyślnie przetwarzany był minimalny zakres danych, który pozwala na osiągnięcie celu biznesowego. Proces ten jednak nie kończy się na wdrożeniu. Stan taki powinien być stale przez administratora utrzymywany o czym wprost przesądza RODO.
Analizowane zagadnienie ma również swój głębszy wymiar, gdyż sięga aż do rdzenia odpowiedzialności administratora i zasady rozliczalności. Administrator powinien bowiem posiadać odpowiednie procedury pozwalające mu po pierwsze przejść bezpiecznie przez proces wdrażania nowych rozwiązań biznesowych, po drugie powinien być w stanie udowodnić, że procedura oceny nowego procesu / aplikacji / narzędzia została przeprowadzona. Można zatem powiedzieć, że nie wolno administratorowi rozpocząć przetwarzania danych bez przeprowadzenia takiej analizy dla każdego nowego procesu / aplikacji czy narzędzia informatycznego.
AUTOR: Tomasz Dziedzic, Radca prawny