Nowa krajowa regulacja o ochronie danych osobowych wciąż jest w fazie koncepcyjnej, ale jak przekonuje dr Maciej Kawecki, doradca w Gabinecie Politycznym Ministra Cyfryzacji „założeniem jest, aby projekt nowych przepisów został przedstawiony wiosną 2017 roku”. Kwestie prawne i technologiczne były przedmiotem dyskusji na seminarium dotyczącym unijnej reformy danych osobowych oraz jej skutków dla sektora publicznego oraz podmiotów gospodarczych w Polsce, które odbyło się w dniu 16 stycznia br. w Warszawie. Wydarzenie zorganizowane przez Fundację im. Kazimierza Pułaskiego zostało objęte patronatem Ministerstwa Cyfryzacji, Generalnego Inspektora Ochrony Danych Osobowych oraz Przedstawicielstwa Komisji Europejskiej w Polsce.

Podczas czterech sesji prelegenci zaprezentowali istotne rekomendacje dla polskich podmiotów w odniesieniu do całego pakietu przepisów związanych z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (GDPR/RODO).

Cieszące się dużym zainteresowaniem seminarium zgromadziło wybitnych specjalistów i przedstawicieli kluczowych organów administracji publicznej, które w Polsce odpowiadają za dostosowanie krajowego systemu ochrony danych osobowych do unijnej reformy oraz pełnią funkcję organu nadzorczego w zakresie przestrzegania wymogów prawnych z zakresu ochrony danych osobowych. Ministerstwo Cyfryzacji reprezentował pan dr Maciej Kawecki, Doradca w Gabinecie Politycznym Ministra Cyfryzacji, natomiast Generalny Inspektor Ochrony Danych Osobowych był reprezentowany przez pana Piotra Drobka, Z-cę Dyrektora w Departamencie Edukacji Społecznej i Współpracy Międzynarodowej.

Wg danych ponad 90% Europejczyków chce wprowadzenia takich samych zasad ochrony danych osobowych na całą Europę, 70% obywateli UE obawia się o swoje dane, a 67% badanych uważa, ze nie ma pełnej kontroli nad danymi, które wprowadzają w internecie.

Powody reformy:
1) niedopasowanie obecnych rozwiązań prawnych do rozwoju techniki
2) rosnące oczekiwania społeczne
3) konieczność ujednolicenia przepisów prawnych
4) budowa jednolitego rynku cyfrowego w UE.

R. SZYNDLAUER

KE w Polsce

Witając uczestników prezes Fundacji pan Zbigniew Pisarski zaznaczył, że temat unijnej reformy ochrony danych osobowych i jej skutków dla podmiotów działających w Polsce to obecnie kluczowe zagadnienie w tym obszarze. Wyzwania w tym obszarze stoją przed szeroką gamą rożnych podmiotów i właśnie te zagadnienia wraz z rekomendacjami stanowią główny temat spotkania.

Swoistym wprowadzeniem do tematyki seminarium bylo wystąpienie pana Rafała Szyndlaurea z Przedstawicielstwa Komisji Europejskiej w Polsce, ktory zadał pytanie o przyczyny i cele reformy. Podstawowym problemem przemawiającym za reformą jest niedopasowanie obecnych rozwiązań prawnych do rozwoju techniki, a głównie sposobu korzystania z Internetu i nowych technologii. Obecnie obowiązująca dyrektywa 95/46/WE nie uwzględnia obecności mediów społecznościowych, handlu internetowego itp., których funkcjonowanie prowadzi do przetwarzania danych osobowych na ogromną skalę.

Jednocześnie duże znaczenie maja rosnące oczekiwania społeczne, o których wiemy z badań Eurobarometru. Większość obywateli UE obawia się o swoje dane i uważa, że nie ma pełnej kontroli nad danymi, które wprowadzają w internecie. Za wprowadzeniem nowego rozporządzenia przemawia również konieczność ujednolicenia przepisów prawnych. „Samo ujednolicenie spowoduje, ze firmy zaoszczędzą ok. 2,3 mld € rocznie na kosztach administracyjnych, w związku z wprowadzeniem reformy”. Nie mniej ważnym celem reformy jest budowa jednolitego rynku cyfrowego w UE, a co za tym idzie zwiększenie konkurencyjności europejskiej gospodarki. Zapewnić to mają lepsza ochrona praw obywateli, wprowadzenie ułatwień w prowadzeniu biznesu oraz lepsza współpraca administracji i łatwiejsza egzekucja prawa.

Rekomendacje dla przedsiębiorstw na dzień dzisiejszy to:
1) zapewnianie ochrony danych osobowych na etapie projektowania – tworzenie odpowiedniej dokumentacji na etapie projektów, co zapewni dobra praktykę przed wdrożeniem nowych przepisów opartych na GDPR
2) „wewnętrzne” notyfikowanie naruszenia ochrony danych osobowych – można wprowadzić proces wewnętrznej notyfikacji o naruszeniu do administratora danych, łatwiej potem będzie się przyzwyczaić pracownikom do nowych reguł związanych ze zgłaszaniem naruszeń do GIODO.

M. KAWECKI

MC

Nie mniej ciekawa była prezentacja pana dr Macieja Kaweckiego z Ministerstwa Cyfryzacji, który odpowiada za prace nad nową ustawą i dostosowanie przepisów w ramach resortu cyfryzacji. Jako najważniejsze cele działań ministerstwa w odniesieniu do GDPR wskazał na: pełne skuteczne funkcjonowanie oraz wdrożenie nowego rozporządzenia oraz uczynienie sektora ochrony danych osobowych bardziej skutecznym. Działania resortu cyfryzacji zostały podzielone na dwie części, które realizowane są jednocześnie. Pierwsza część to etap roboczy, w którym przeprowadzane są spotkania informacyjne i konsultacyjne, drugim krokiem jest przygotowanie projektu ustawy – co planowane jest do końca marca lub początku kwietnia br.

Jeżeli chodzi o prace nad ustawą to polski ustawodawca kieruje się główną zasadą, że uregulowanie danej kwestii w GDPR/RODO wyłącza możliwość jej przyjęcia przez krajowe ustawodawstwo państw członkowskich chyba, że przepisy ogólnego rozporządzenia powyższe przewidują. W takim przypadku państwa członkowskie mogą uregulować daną kwestię w zakresie, w jakim nie prowadzi to do wyłączenia lub utrudnienia stosowania przepisów ogólnego rozporządzenia. W GDPR mamy około 60 takich przepisów (delegacji bądź zobowiązania do przyjęcia krajowych regulacji).

Aktualne działania GIODO pod adresem poszczególnych podmiotów skupiają się na:
– prowadzeniu działalności edukacyjnej dotyczącej wymogów GDPR,
– udziale w tworzeniu kodeksów dobrych praktyk odnośnie wprowadzania rozporządzenia, które na bieżąco są opiniowane i zatwierdzane przez GIODO
– planowanym wprowadzeniu certyfikacji.

P. DROBEK

GIODO

Zaczynając swoje wystąpienie niejako od końca pan dyrektor Piotr Drobek, reprezentujący GIODO, wskazał na rekomendację dla przedsiębiorstw, które m.in. powinny przygotować odpowiednie procedury zgłaszania naruszeń danych osobowych. Ponadto podkreślił silny nacisk nowych przepisów na rozliczanie odpowiedzialności – to administrator danych ma wdrażać odpowiednie dla siebie zasady ochrony danych i to on ma wykazać, że zrobił to we właściwy sposób. W związku z tym GIODO rekomenduje, żeby zapoznawać się z opiniami i wytycznymi wydawanymi przez unijne oraz krajowe instytucje kontrolne (GIODO, Europejska Rada Ochrony Danych). Jednocześnie zachęca do składania uwag i komentarzy do GIODO, do udziału w konsultacjach oraz do śledzenia strony Generalnego Inspektora.

W opinii dyr. Drobka istotnym są również zmiany instytucjonalne jak powołanie Europejskiej Rada Ochrony Danych, która zastąpi Grupę Roboczą Art. 29. W Polsce organ ochrony danych osobowych zyska nowe kompetencje, np. jego rolą będzie wydawanie opinii oraz usprawnianie stosowania w praktyce nowego rozporządzenia m.in. poprzez zwiększoną współpracę międzynarodową.

Podczas drugiej sesji pt. “Perspektywa ekspertów odpowiedzialnych za opracowanie strategii i doradztwo – rekomendacje i zalecenia”, przedstawiciele firm doradczych mówili o praktycznych aspektach dostosowania się do nowej regulacji: co ze sobą niesie GDPR, na co należy zwrócić szczególną uwagę przy przystosowaniu się i jakie elementy często są pomijane w tym procesie.

Całość przedstawianych procesów ma niebagatelne znaczenie ze względu na przyszłość prowadzenia biznesu, w którym decydować będzie zaufanie klienta powierzającego swoje dane osobowe oraz efektywność operacji na danych.

A. JÓZEFIAK

Accenture

Panel otworzył pan Artur Józefiak, Dyrektor Zespołu Bezpieczeństwa Cyfrowego, Accenture który mówił o znaczeniu ochrony danych osobowych jako elemencie polityki cyberbezpieczeństwa. Przedstawił pokrótce obszary tejże polityki oraz ich złożoność i koszty (dzisiaj ok. 10-20% budżetu IT). W rezultacie w pełni zdolne do efektywnego prowadzenia tej polityki na odpowiednim poziomie i w oparciu o własne zasoby są właściwie tylko średnie i przede wszystkim duże firmy. Właśnie wśród nich powinno się promować znaczenie dojrzałego podejścia do cyberbezpieczeństwa. Ponadto ekspert przedstawił tezę, że ze względu na wysokie koszty małe przedsiębiorstwa zaczną korzystać z usług IT dostarczanych z zewnątrz. W tym kontekście kluczowe ma być stosowanie chmury, wobec której wciąż panuje atmosfera nieufności. Warto zatem podkreślić, że choć istnieją w Polsce firmy zajmujące się wdrażaniem zaawansowanych technik cyberbezpieczeństwa i przepisów GDPR, to nie poradzą one sobie bez pewnych wskazówek i wytycznych – przydatne tu mogą być np. zalecenia opracowywane wspólnie przez Narodowe Centrum Cyberbezpieczeństwa i Związek Banków Polskich.

Kluczowe elementy dostosowania do GDPR:
– inwentaryzacja danych i rejestr operacji przetwarzania – analiza ryzyka związanego z utratą danych;
– privacy by design i privacy by default;
– audyty podmiotów którym administratorzy powierzają dane do przetwarzania;
– breach response plan, czyli plan działań na wypadek incydentu,
– odpowiednio prowadzony rejestr incydentów
– interakcja z podmiotem danych
– przenoszenie danych oraz usuwanie danych.

Ł. ŚLĘZAK

PwC

Kolejnym prelegentem był pan Łukasz Ślęzak, Manager w Zespole Bezpieczeństwa Biznes, PwC Polska, który skupił się na aspekcie technicznego dostosowania się do GDPR oczami praktyka z doświadczeniem we wdrażaniu rozwiązań z tego zakresu w różnych firmach. Zwrócił uwagę na kluczowe regulacje GDPR w kontekście podstawowych atrybutów bezpieczeństwa danych: dostępności, poufności, integralności i rozliczalności. Dodał też, że w regulacji unijnej definicje tych atrybutów są dość ogólne i warto stosować się do dokładniejszych zapisów zawartych w obecnie obowiązującej ustawie, przy czym zastrzegł, że krajowe regulacje nie spełniają w pełni wymagań nowych unijnych przepisów. Na koniec swojego wystąpienia ekspert PwC podkreślił, że ochrona danych to nie stan, a proces, który należy wciąż monitorować i udoskonalać. Do tego tymi kwestiami powinien zajmować się nie tylko dział prawny czy compliance. Systemy zarządzania bezpieczeństwem informacji, zarządzania ryzykiem i audytu wewnętrznego powinny być zintegrowane. Wspomniał też o znaczeniu wypracowania kodeksu postępowania.

Naczelną zasadą formułowania klauzul ma być czytelność, niezależnie od tego, jak hermetyczna jest dana branża.

M. KRZYSZTOFEK

EY

Jako ostatni głos zabrał dr Mariusz Krzysztofek, ekspert z EY, który przybliżył obowiązki informacyjne wobec podmiotów danych, jakie ciążą na firmach i urzędach gromadzących dane osobowe w perspektywie GDPR. Podkreślił znaczenie odpowiedniej polityki informacyjnej w nawiązaniu do kwestii incydentów, których występowanie może zwrócić uwagę klientów, pracowników, mediów i regulatora. Zasadnicza jest też sprawa polityki informacyjnej i przepisów wobec nowych wyzwań, głównie technologicznych. W dalszej części skupił się na klauzulach informacyjnych, a szczególnie nowych ich elementach. Będą one miały dużo większy zakres: będą musiały zawierać dane kontaktowe inspektora ochrony danych, podstawę prawną, cel zbierania danych oraz informację o profilowaniu (o ile jest prowadzone). Oprócz tego, ekspert wskazał na konieczność doprecyzowania definicji związanych z tym tematem. Wspomniał też kwestie elastyczności formy składania wniosków w sprawie danych osobowych i udzielania odpowiedzi na nie podmiotom tych danych oraz zapobiegania dostępu do danych przez osoby nieuprawnione.

Wszyscy eksperci wskazywali na niedostosowanie obecnie obowiązujących przepisów w Polsce do nowych regulacji Unii Europejskiej.

We wnioskach końcowych drugiej sesji wskazano na konieczność uwzględnienia w budżetach już w bieżącym roku środków na wprowadzenie zaleceń GDPR, ponieważ wiele instytucji pominęło tę kwestię. Zalecono nawet zmianę przyjętych już budżetów, ponieważ niedostosowanie do nowych przepisów może dużo kosztować. W dużych firmach proces przystosowania jest czasochłonny, przez co należy zacząć go jak najszybciej, ponieważ w 2018 r. będzie już na to bardzo mało czasu.

 

Dzięki zastosowaniu nowoczesnych technologii można dużo szybciej wykrywać naruszenia bezpieczeństwa informacji, a następnie – co jest kluczowe z punktu widzenia przepisów – móc w wymaganym czasie spełnić obowiązek notyfikacji o naruszeniu do organu kontrolnego.

P. DOMINIAK

Oracle

We wprowadzeniu do sesji technologicznej pan Przemysław Dominiak, Menedżer Sprzedaży Oracle Digital Prime, podkreślił, że technologia stanowi istotny wymiar wdrażania zapisów GDPR – pomaga ograniczać zagrożenia dla bezpieczeństwa płynące z błędu ludzkiego, celowego działania lub niewiedzy pracowników i błędy wynikające z niedoskonałych procedur bezpieczeństwa. Prezentacje w tej sesji wzbudziły duże zainteresowanie uczestników. Innowacje w technologii bezpieczeństwa omówił Kamil Kurowski, Dyrektor Generalny Sprzedaży Technologii w Oracle Polska, który wskazał, iż bezpieczeństwo baz danych jest dziedziczone przez wszystkie aplikacje. Ponadto zwrócił uwagę na to, że funkcje bezpieczeństwa powinny działać nieprzerwanie – bez przycisku włącz/wyłącz, a praca nie może spowalniać i deprecjonować aplikacji. Wskazał też, że Oracle oferuje najbardziej zaawansowaną platformę bezpieczeństwa, wraz z najszybszym mikroprocesorem na świecie oraz 7-warstwowe rozwiązanie ”end-to-end”.

Oracle promuje silne zasady dotyczące bezpieczeństwa, uściślając to według zasady: mniej przywilejów w dostępie do danych – tylko to co należy do twoich zadań i co jest niezbędne, ma być dla ciebie dostępne.

P. MCLAUGHLIN

Oracle

Najnowsze rozwiązania stosowane na rynku europejskim przedstawił pan Patrick McLaughlin, architekt zabezpieczeń w Oracle, pracujący na co dzień w Dublinie, Irlandia. Wskazał na takie aspekty nowego rozporządzenia jak: tzw. prawo do bycia zapomnianym, obowiązkowym powiadomieniu o naruszeniu zasad czy zwiększonych kwotach kar. W dalszej części powiedział o sprawie używania silnych haseł, trudnych do odgadnięcia przez innych. To leży w gestii każdego użytkownika. Gość z zagranicy wspomniał także o ”Cloud Security Service”, czyli nowym rozwiązaniu w zestawie usług chmury, do którego wciąż wiele osób nie jest przekonanych.

Największym wyzwaniem jest zapewnienie bezpieczeństwa na poziomie aplikacji, gdzie należy zmierzyć się z ryzykami nie tylko przychodzącymi z zewnątrz, ale również z wewnątrz organizacji. Czynnik ludzki jest istotnym obszarem ryzyk. Podejście Oracle do bezpieczeństwa aplikacji dowolnego dostawcy to oferta kompletnej platformy zarządzania tożsamością, uprawnieniami i dostępem.

K. GRABCZAK

Oracle

Ostatnim prelegentem w trzecim panelu był pan Krzysztof Grabczak, odpowiedzialny za sprzedaż rozwiązań bezpieczeństwa w firmie Oracle, który swoje wystąpienie rozpoczął od retorycznego pytania – ,,czy warto postawić na technologię?”. Kontynuując mówił o tym, że jako klienci nie mamy w pełni kontroli nad informacjami przekazywanymi do potencjalnego dostawcy usług. Przytoczył również wyniki badań przeprowadzonych pośród obywateli UE, w których to 81% respondentów stwierdziło, że nie ma całkowitej kontroli nad danymi, które się przekazuje w ich firmach. Co więcej, w badaniu zleconym w Polsce, tylko mniej niż 50% obywateli jest bardzo dobrze lub wystarczająco dobrze poinformowanych i świadomych bezpieczeństwa danych osobowych. W dalszej części swojej prezentacji, ekspert wskazał na trzy czynniki ludzkiego zagrożenia, a więc: poufność, integralność i dostępność. W ostatniej części swojego wystąpienia, dyrektor Grabczak wyjaśniał, jak technologia może pomóc w ochronie danych wymieniając m.in.: szyfrowanie danych, maskowanie danych czy firewall bazy danych.

W ostatnim panelu zasiedli eksperci-prawnicy, w ramach którego mieliśmy okazję obserwować dyskusję, której tematem była perspektywa prawna. Wprowadzenie do zagadnień prawnych przedstawił pan Jakub Wezgraj, radca prawny, partner kancelarii „ODOekspert” oraz ekspert Fundacji im. Kazimierza Pułaskiego, wskazując na 5 głównych obszarów w rozporządzeniu UE dotyczących obowiązków administratorów danych oraz na kluczowe wymagania GDPR w kontekście zarządzania ryzykiem odpowiedzialności prawnej. Ważnym elementem tego wystąpienia było wskazanie na tzw. mapę procesów, która jest warta stworzenia, bo pozwala dostrzec, jak wygląda przepływ danych w organizacji, od momentu ich pozyskania aż do ich usunięcia. Rozwiązanie to może okazać się bardzo pomocne chociażby przy wdrażaniu wymogów w zakresie privacy by design, privacy by default czy też oceny skutków dla ochrony danych.

Istotne jest, aby organizacje zwracały uwagę na to, jak często dzisiaj przeprowadzają sprawdzenia planowe, a także, czy kiedykolwiek przeprowadzały sprawdzenia doraźne, ponieważ są to elementy budowania mechanizmów samooceny, która na gruncie GDPR jest jedną z podstaw.

J. WEZGRAJ

Radca prawny

W dyskusji wielokrotnie głos zabierał przedstawiciel GIODO pan dyrektor Piotr Drobek, który podkreślał, że w Polsce mamy silne tendencje do zbierania danych osobowych ,,na zapas”. Dostrzegł również, że kluczowym kryterium jest świadomość ludzka, a prawo powinno być neutralne technologicznie. Na pytanie o anonimizacji danych, dyr. Drobek poinformował, iż w przypadku występowania odwracalnego procesu, nie mamy do czynienia z anonimizacją, lecz wciąż z danymi osobowymi (w tym kontekście GDPR mówi o tzw. pseudonimizacji), a działanie, aby dane przestały być już danymi osobowymi, nie ma sensu z prawnego punktu widzenia. Przedstawiciel GIODO wskazał również na dwie grupy uprzywilejowanych podmiotów z perspektywy komunikacji z organem nadzorczym, tj. osobach których dane dotyczą oraz inspektorach ochrony danych.

Ta ostatnia kwestia dała niejako pretekst prelegentom do dyskusji nad rolą i zadaniami inspektora ochrony danych. W tym kontekście bardzo ważny głos zabrała pani Joanna Grynfelder, Compliance Manager z firmy CMC Markets, która porównała dzisiejszą rolę Compliance Officera do roli jaką na gruncie GDPR ma pełnić inspektor ochrony danych. Wskazała na cechy wspólne jakimi muszą charakteryzować się osoby pełniące te funkcje (np. umiejętność przeprowadzania analizy ryzyka). Biorąc pod uwagę swoje doświadczenia w łączeniu funkcji dzisiejszego ABI z obszarem compliance zwróciła również uwagę na ogromne zaangażowanie czasowe jakim musi wykazać się osoba odpowiedzialna za te zagadnienia. Na pytanie czy Compliance Officer może być również skutecznym inspektorem ochrony danych zwróciła uwagę, że zasadniczo tak, aczkolwiek nie we wszystkich sektorach rynku. W obszarze bankowości obowiązują bowiem regulacje sektorowe, które uniemożliwiają Compliance Officerowi łączenie swojej funkcji z jakimikolwiek innymi.

Z kolei mecenas Agnieszka Sagan-Jeżowska z kancelarii Bird&Bird odniosła się do sposobu uregulowania w GDPR kwestii transferu danych osobowych do państw trzecich. Zwróciła uwagę, że wymagania w tym zakresie nakładają na administratorów danych obowiązki nie tylko odnoszące się do zasad współpracy pomiędzy samymi administratorami danych, ale również podmiotami przetwarzającymi te dane na zlecenie, ponieważ w umowach powierzenia danych będą musiały znaleźć się zapisy odnoszące się do ewentualnego transferu danych. Bardzo istotna w tym zakresie będzie również polityka informacyjna wobec podmiotów danych, ponieważ będą oni musieli być informowani o ewentualnym zamiarze przekazywania ich danych do państw trzecich oraz czy te państwa zapewniają odpowiedni stopień ochrony. W kontekście transferu danych prelegenci zwrócili również uwagę na coraz większe znaczenie tzw. wiążących reguł korporacyjnych (BCR). Znaczenie tego rozwiązania podkreślono także na gruncie GDPR, gdzie jasno określono jakie elementy powinny zawierać te reguły.. W dalszej części była mowa m.in. o sankcjach finansowych i możliwym trybie ich nakładania jak również przysługujących środkach odwoławczych. Jak zauważył radca prawny Jakub Wezgraj te kwestie muszą być jeszcze dokładniej uregulowane na gruncie krajowym w celu zapewnienia pełnej efektywności regulacji UE. Na zakończenie prelegenci przypomnieli również o szczególnie istotnych obowiązkach przewidzianych na gruncie GDPR, w tym m.in. obowiązku przeprowadzania oceny ryzyka, czy też oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Zwrócili przy tym uwagę, że nieprzestrzeganie wymagań GDPR nie tylko może rodzić konsekwencje w postaci odpowiedzialności prawnej, ale również bardzo silnie wpływać na kwestie wizerunkowe administratorów danych.

W podsumowaniu prowadzący całość spotkania mec. Jakub Wezgraj podkreślił raz jeszcze, że zagadnienie unijnej reformy budzi wiele emocji, które wzrastają wraz ze zbliżaniem się daty 25 maja 2018 r. Często są to nieuzasadnione obawy wynikające z nadal słabej znajomości administratorów danych rozwiązań przewidzianych w GDPR, jednak świadomość obszerności materii prawnej oraz technologicznej powinna również proporcjonalnie wzrastać. Dlatego też takie inicjatywy jak seminarium zorganizowane przez Fundację im. Kazimierza Pułaskiego mają duże znaczenie i powinny być jak najczęściej organizowane dla poszczególnych kategorii odbiorców.