Wszyscy mówią o wejściu w życie nowego prawa [GDPR/RODO], które może dokonać rewolucji ochrony danych osobowych w całej Unii Europejskiej. Czy branże takie jak PR czy marketing mają się czego obawiać?
Rozporządzenia i ustawy nie są najłatwiejszą lekturą, dlatego postaram się możliwie przystępnie opisać wszystko to, co się wiąże z GDPR/RODO, czyli:
- Czym jest i czego dotyczy GDPR/RODO?
- Dlaczego powstało?
- Jakie obowiązki dla firmy wynikają z GDPR/RODO?
- Jak rozpocząć przygotowania agencji do wejścia w życie GDPR/RODO?
Czym jest i czego dotyczy GDPR/RODO?
GDPR (General Data Protection Regulation) to przyjęte 8 kwietnia 2016 roku przez Radę Unii Europejskiej rozporządzenie, zaś RODO to jego polskojęzyczne brzmienie, rozwijane jako Rozporządzenie o Ochronie Danych Osobowych. Zarówno Rozporządzenie (w nomenklaturze prawnej nazywane Rozporządzeniem 2016/679), jak i towarzyszącą mu Dyrektywę, czyli wytyczne dotyczące wdrożenia, Parlament Europejski przyjął 14 kwietnia 2016 roku.
W marcu 2017 roku polskie Ministerstwo Cyfryzacji przedstawiło projekt wdrożenia postanowień Rozporządzenia do naszego porządku prawnego (źródło). Nowe prawo zacznie obowiązywać od 25 maja 2018 roku. Biorąc pod uwagę krajowy proces legislacyjny i konieczność uchwalenia przepisów wykonawczych, czasu na adaptację pozostanie bardzo niewiele.
Przyczyny powstania GDPR/RODO
GDPR/RODO powstało, aby ujednolicić ochronę danych osobowych wszystkich obywateli państw członkowskich Unii. Wielu ekspertów i obserwatorów podkreśla, że jest systemową próbą odpowiedzi na konieczność ochrony prywatności w międzynarodowym społeczeństwie informacyjnym, w którym lokalne legislacje nie nadążają za nowo powstającymi obszarami ludzkiej aktywności i nowymi wyzwaniami, jakie stawia rynek. Dotyczy to także, a może nawet przede wszystkim, rynku cyfrowych mediów, PR i komunikacji, które od dawna są jednymi z najbardziej innowacyjnych.
Mając na uwadze tę dynamikę, prawodawca uznał, że nie sposób jest przewidzieć wszystkie zagrożenia dla prywatności i zamiast regulować konkretne przypadki, wprowadził dyrektywą do obiegu dwa filary, na których zamierza oprzeć system ochrony danych osobowych. Są nimi Privacy by Design oraz Privacy by Default.
Już sama nazwa opracowanych zasad wymusza zmianę sposobu myślenia o tworzeniu i przestrzeganiu procedur związanych z zarządzaniem danymi osobowymi. Ich ochrona ma być wynikiem działania procesów i architektury informacji na każdym etapie, a nie efektem działań reaktywnych. Można to porównać do różnicy w działaniu systemów bezpieczeństwa w samochodach osobowych – mamy systemy wkraczające do działania w chwili wypadku, takie jak poduszki powietrzne czy kontrolowane strefy zgniotu, ale i systemy bierne, które mają nie dopuścić do nieszczęścia, takie jak stabilizacja toru jazdy, ABS czy adaptacyjne światła mijania. Podobnie ma działać GDPR/RODO – zapobiegać, zamiast leczyć.
Podstawowe obowiązki dla przedsiębiorstw
W praktyce oznacza to, że każdy, kto zbiera i przetwarza bazy danych osobowych, musi stworzyć procedury ich ochrony i reagowania na potencjalny incydent bezpieczeństwa, czyli mówiąc wprost – wyciek danych. Nie jest to zatem odtwórcza implementacja, jak w przypadku pamiętnego obowiązku informowania o używaniu plików cookies, ale szeroko zakrojona, fundamentalna konieczność stworzenia własnego systemu ochrony danych osobowych, dostosowanego do modelu biznesowego i struktury organizacji.
Aby zobrazować kompleksowy wymiar GDPR/RODO, spójrzmy na prawa użytkowników, jakie w myśl przepisów organizacja musi respektować, a co za tym idzie – do realizacji których musi posiadać środki i strukturę:
- Prawo do informacji.
- Prawo do dostępu do danych.
- Prawo do sprostowania danych.
- Prawo do bycia zapomnianym (w miejsce dzisiejszego Prawa do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia.).
- Prawo do ograniczenia przetwarzania danych (w miejsce dzisiejszego Prawa do żądania zaprzestania przetwarzania ze względu na szczególną sytuację).
- Prawo do przenoszenia danych.
- Prawo do sprzeciwu wobec przetwarzania.
- Prawo do sprzeciwu wobec profilowania i zautomatyzowanego podejmowania decyzji.
Mowa jest również o obowiązku poinformowania w czasie 72 godzin od zaistnienia o wszystkich naruszeniach systemu ochrony danych odpowiedniego organu, a w niektórych przypadkach – także osób, których naruszenie dotyczyło. Jest to zmiana o tyle istotna, że wymusza na organizacji posiadanie stałego Administratora Bezpieczeństwa Informacji (więcej na temat tej funkcji w kontekście GDPR/RODO można przeczytać np. tutaj) oraz funkcjonowanie sprawnego systemu komunikacji z użytkownikami. Ale to nie koniec – GDRP/RODO zakłada, że każda organizacja przetwarzająca dane osobowe będzie posiadać breach response plan, czyli procedurę reakcji na włamanie bądź wyciek danych, w którą zaangażowani będą prawnicy, specjaliści od informatyki śledczej oraz specjaliści od bezpieczeństwa.
Jak rozpocząć przygotowania do wejścia w życie GDPR/RODO?
Zacznijmy od tego, że lista praw użytkownika jest związana z każdym etapem “życia” jego danych, zaczynając od ich pozyskania i wyrażenia zgody na przetwarzanie, a na faktycznym przetwarzaniu w dowolny sposób kończąc. Żeby nie mnożyć przykładów, weźmy choćby organizację regularnie wysyłanego newslettera czy najprostszą kampanię remarketingową – obydwa działania są przecież optymalizowane w oparciu o segmentację użytkowników, ich dane behawioralne, zwyczaje zakupowe, itd.
Od samego początku konieczna będzie zatem współpraca praktycznie wszystkich działów: IT, prawnego, marketingu, sprzedaży… Mentalne przygotowanie do przełamania struktury silosów będzie zatem pierwszym krokiem.
Dobrym scenariuszem może być powołanie zespołu ze wszystkich tych działów, który przeanalizuje sposoby przetwarzania danych osobowych przez organizację i zidentyfikuje słabe punkty. GDPR/RODO jest w gruncie rzeczy prawem związanym z cyberbezpieczeństwem, dlatego dotyczy każdej aktywności firmy. Oto przykładowe informacje, jakie należy zebrać podczas analizy:
- Jak zbierane są dane osobowe?
- Czy mamy kompletną listę inputów?
- Czy wiemy gdzie, jak i po co zbieramy dane?
- Jeśli tak, to czy wiemy kto jest za nie odpowiedzialny na danym etapie?
- Czy posiadamy procedury komunikacyjne między decydentami w różnych działach firmy?
- Czy posiadamy procedury komunikacyjne między firmą, a podmiotami zewnętrznymi (GIODO, potencjalni poszkodowani użytkownicy)?
Ogromną rolę pełnić będzie wzajemne uzupełnianie kompetencji między członkami zespołu, którzy mogą nie zdawać sobie sprawy z wpływu, jaki pośrednio mają na funkcjonowanie całej organizacji w kontekście ochrony danych osobowych. Realizacja dyrektywy Privacy by Design wymaga takiego projektowania procedur, aby przewidzieć wszystkie potencjalne zagrożenia. Żeby to osiągnąć, potrzebne jest bardzo szerokie spojrzenie i świadomość zachodzących interakcji daleko wykraczająca poza codzienną działalność własnego zespołu.