Analiza strategiczna polskiego RODO
Europa wyznacza światowe standardy prywatności i ochrony danych. GDPR (General Data Protection Regulation), w Polsce znana jako RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych) ustanawia bezprecedensowe wymogi ochrony prywatności i danych. Co więcej - wymogi te będą podlegały ścisłej weryfikacji i egzekwowaniu.
RODO wdraża w pełni unijne GDPR, ale “lokalizuje” te zasady i precyzuje pewne zapisy GDPR, które o których mogą decydować państwa UE. Będzie to analiza krytyczna.
Na początku w wielkim skrócie wymienię kilka cech samego GDPR, które daje bardzo wiele praw ludziom, i nakłada wiele obowiązków na firmy i instytucje, ale także organom nadzorczym.
GDPR - dlaczego ważne
GDPR to kamień milowy w ochronie prywatności i danych. Będzie stanowił wręcz pewnego rodzaju konstytucją. Tu wspomnę jedynie o kilku ważnych punktach, a zatem GDPR:
- Zapewnia rozliczalność, organizacja musi być w stanie wykazać że zrobiła wszystko by spełnić wymogi GDPR
- Analiza ryzyka - organizacje muszą przejść formalny, techniczny i strategiczny proces identyfikacji zagrożeń i rozwiązań, które im zaradzą
- Wymogi dotyczące zgody - jeśli dane są przetwarzane na podstawie zgody, to użytkownik musi móc udzielić jej w sposób świadomy. Udzielenie zgody nie może być wymogiem podpisania kontraktu czy umowy
- Użytkownik ma kontrolę nad swoimi danymi. Ma prawo m.in. do ich wycofania, aktualizacji, ale także informacji o przetwarzanych danych (wgląd), oraz innych!
- Privacy by Design - to podejście jest wymagane. W Polsce to nowość. Nie było wcześniej odpowiedniej kultury, a na pewno podobnych wymogów, a zatem także doświadczenia.
- Data Protection Impact Assessment (DPIA), czyli ocena skutków dla ochrony danych - często trzeba będzie poddawać rozwiązania analizie i recenzji, jeszcze w fazie projektowania. To m.in. tam wyszczególnia się co zrobiono by spełnić wymogi, jakie rozwiązania zostały wybrane, jak i dlaczego. DPIA to często proces wymagający pogłębionej analizy technicznej
- Inspektor Ochrony Danych - pewne większe organizacje będą musiały zlecić zadanie zajmowania się ochroną danych konkretnej osobie. Musi ona móc zachować niezależność.
- Organizacje muszą informować o naruszeniach ochrony danych, czyli np. gdy padły ofiarą cyberataku wskutek którego doszło do wykradnięcia danych
GDPR to także silny organ kontroli (w Polsce dotychczas: GIODO) z nowymi uprawnieniami i wymogami kompetencji i sprawnego działania. To jest wymóg strategiczny i polityczny.
Dlaczego spełniać wymogi? Bo kwestie zaufania, kontroli, prywatności i ochrony danych w tej dekadzie są kluczowe. Aby jednak zachęcić do zgodności GDPR to także ryzyko kar wynoszących nawet 20 milionów euro, lub 4% światowych obrotów firmy - za niezgodność. Kwota jest zaporowa i jej intencją jest to, by nie doszło do konieczności zapłaty. RODO wchodzi w życie w maju 2018. Organizacje chcące spełnić jego wymogi zaczynały przygotowania już w 2016, choć czasem w 2017.
Z tym może być problem, wg. różnych badań firmy i organizacje mają problem, i szacuje się, że nawet 50-60% nie jest zgodne z RODO, nie rozpoczęło przygotowań, lub też - część z nich - nawet nie zdąży. Dobry poziom przygotowań ocenia się na kilkanaście procent. Istnieją też szacunki wskazujące na to, że nawet 50% firm nie zdąży nawet do końca 2018. Będą zatem działać przy wysokim ryzyku.
Przejdźmy teraz do polskiego RODO.
RODO - polskie GDPR
Polskie RODO nie może zmienić GDPR. To kwestie szczegółowe, strategiczne, lokalne. Muszą być zatem oceniane z punktu widzenia sytuacji w Polsce, a także czekających wyzwań. Tak też robię.
Niezależność
Prezes Urzędu Ochrony Danych Osobowych (PUODO) musi zachować niezależność. To podstawowy wymóg GDPR. W Polskim RODO tworzone jest to w dość ciekawy sposób. PUODO ma podlegać jedynie ustawie, być powoływany przez Sejm (na wniosek premiera), a sam prezes ma mieć szeroki immunitet. Problemem pozostaną jednak kwestie budżetowe. Można sobie wyobrazić, że wdrożenie RODO wymagałoby znacznego zwiększenia obecnego budżetu GIODO - nawet trzykrotnie. Na samym początku.
Inną sprawą jest ciekawa forma powoływania zastępców Prezesa UODO. Otóż powoływać zastępcy nie będzie Prezes, bo zrobi to Premier. Decyzję zaopiniują też ministrowie: sprawiedliwości, obrony narodowej, finansów (i prokurator generalny).
Jakie jest uzasadnienie? Nie jest jasne, zwłaszcza jeśli chodzi o MON. Trudno sobie wyobrazić naturę związku wojska z prywatnością i ochroną danych. Choć - przykład z USA - o ile Departament Obrony USA przeznacza środki na badania i rozwój technologii prywatności, to jednak raczej nie gra roli w powoływaniu zastępców np. Federal Trade Commission.
Czy zapisy te nakładają ograniczenia na niezależność? To są kwestie do rozważenia, a przede wszystkim do sprawdzenia w praktyce.
Rada ds. Ochrony Danych Osobowych
Bardzo ciekawa i strategicznie potrzebna inicjatywa. Rada ma wspierać opiniami Prezesa, jak i mu doradzać. Chodzi o doradzanie m.in. w sprawach bieżących, ale także dynamicznie zmieniającym się światowym (choć głównie UE) środowisku regulacji prywatności i ochrony danych. Powinny być to też kwestie zmieniających się uwarunkowań i np. technologii, jak i jej wykorzystania.
Sprawne działanie Rady będzie wymagać kompozycji z osób o dużych i właściwych kompetencjach m.in. prawnych, technicznych i organizacyjnych. Jaka wygląda proces wyboru?
Kandydatów do Rady będą mogły wskazywać instytucje, m.in. członkowie Rady Ministrów, Rzecznik Praw Obywatelskich, Prezes Głównego Urzędu Statystycznego (dobry wybór), Prezes Urzędu Komunikacji Elektronicznej (też), Prezes Urzędu Ochrony Konkurencji i Konsumentów (takoż), Naczelny Dyrektor Archiwów Państwowych (ciekawa specyfika), jednostki naukowe (niestety brak w Polsce dziedziny technicznej prywatności) i organizacje NGO.
Czyli wiele organizacji i bardzo sztywny proces. Jedynym wymogiem dla kandydata jest posiadanie wyższego wykształcenia.
Problemy warte rozważenia? Wpisane na sztywno organizacje mogące nominować członków tej Rady. Powstaje pytanie na ile tak wyłoniona Rada będzie dynamiczna, a konkretniej - na ile realnie wskazane instytucje będą w stanie wyłonić (z siebie, z zewnątrz?) adekwatne zasoby osobowe (nikt nie mówi, że instytucje te będą mogły wskazywać też ludzi z zewnątrz, czy można to jednak uznać za prawdopodobne?).
Kompozycja, znaczenie i sposób tworzenia tej Rady - to elementy na podstawie których powinniśmy oceniać pomysł. Dobrym pomysłem jest by do Rady członków wybierał sam Prezes UODO. Jego kompetencje co do rekomendacji samych członków są jednak ograniczone.
Czy istnieje jakiś sposób by osiągnąć dobrą jakość inaczej, przyjaźniej, bardziej otwarcie? Tak. Najprościej zrobić to po prostu poprzez usunięcie sztywnego wymogu w zasadzie zamkniętej listy organizacji które mogą kandydatów zgłaszać.
Taki konkurs powinien być otwarty dla każdego. Tak jest m.in. w przypadku grup eksperckich na Zachodziem np. w Komisji Europejskiej.
UODO
GIODO zastąpione zostaje Urzędem Ochrony Danych Osobowych (UODO).
Nie wdając się w rozważania o naturze zmiany nazwy, ważne są kompetencje instytucji. Urząd ochrony powinien móc badać, monitorować, egzekwować. I będzie to robił, a RODO oczywiście zawiera także narzędzia motywacyjne (możliwość nakładania zaporowych kar; ryzyka otrzymania których najlepiej unikać).
UODO powinien mieć silne kompetencje kontroli, ale także zasoby o adekwatnych kompetencjach. Także technicznych i badawczych (m.in. weryfikacyjnych). Są takie instytucje w Europie. Prywatność i ochrona danych to jednak obszary szybkich zmian. UODO musi więc zostać wyposażone w odpowiedni budżet i swobodę działania.
Inną sprawą jest sam proces wprowadzania UODO w tym czasie. Czy uniknie się problemów przy konwersji? Chodzi o to aby instytucje (GIODO, za moment UODO) sprawnie poświęcały czas na rzeczywiście kluczowe sprawy. Nie znam żadnego dokumentu rozważającego ten to zagadnienie, np. analizy przed podjęciem tej decyzji.
DPIA
DPIA, czyli ocena skutków dla ochrony danych (pisałem o niej już tu: 1, 2) zdefiniowana w GDPR to w uproszczeniu wymóg oceny poziomu ochrony prywatności i danych w systemach i organizacjach. Wygląda jednak na to, że przepis ustanawiający tę instytucję (w zasadzie w Polsce nową) w lokalnym RODO jest wstawione z GDPR na zasadzie kopiuj-wklej: “Prezes Urzędu ogłasza w komunikacie wykaz rodzajów operacji przetwarzania danych osobowych, o którym mowa w art. 35 ust. 4 rozporządzenia 2016/679”.
Zatem przepis w zasadzie bez treści ani opisu (jak to np zawarto w propozycjach w innych krajach, gdzie przeznaczono na to nawet 170 słów), po prostu bezpośrednie odniesienie. Postulowałbym w tym miejscu jednak choćby odrobinę szerszą specyfikację zagadnienia. Dlaczego? Dla spójności.
Kary
Kary z RODO będą identyczne jak w GDPR (€20 mln, lub 4% obr). Polska zamierza jednak skorzystać z możliwości ich ograniczenia.
- €20 000 000 [lub 4% obr] (kary pełne): firmy, instytucje
- €25 000 (wyjątek; kary zmniejszone) m.in. dla: organy rządowe, samorząd, publiczne uniwersytety, ZUS, KRUS, NFZ, …
Kary trafią do budżetu państwa, ale powstanie także specjalny Fundusz Ochrony Danych Osobowych, na których przeznaczy się 1% środków z kar. Środki z Funduszu mają być przeznaczone na działalność edukacyjną i szerzenie wiedzy o ochronie danych itp.
Ryzyko kar, to coś co znacznie wpływa na podejmowanie decyzji strategicznych w organizacjach. Jeśli organizacja nie wytworzyła własnej kultury ochrony prywatności i danych, to niestety pomóc może w tym chyba właśnie widmo kar (jeśli UODO będzie sprawny).
GDPR jest aktem ze swoistym polotem zachodnim. Odpowiada na problemy Zachodu, stworzonym na Zachodzie, w odpowiedzi właśnie na problemy Zachodu, posiłkując się wkładem badawczym z Zachodu.
Czy w Polsce mamy do czynienia z wysoką kulturą prywatności? Pytanie retoryczne.
Jak więc ocenić samo zwolnienie z kar? Pomijając już pytania o różnice między ministrem (€25k) i dyrektorem zarządu firmy (€20M), czy też dlaczego uniwersytet publiczny mógłby w mniejszym stopniu chronić (ryzyko kar małe: €25K), niż uczelnia prywatna (ryzyko kar terminalne: €20M). Podobne pytania można wyobrazić sobie także w stosunku do innych instytucji.
Dotykamy tu więc kwestii strategicznych, bo sprawne skłonienie do przestrzegania ochrony prywatności i danych mogłoby pomóc w szybszym nadrobieniu licznych braków, i znacznym podwyższeniu standardów. Nie chodzi tu tylko o cyberbezpieczeństwo.
Podsumowanie
GDPR spowoduje, że zasady prywatności i ochrony danych staną się wizytówką Unii Europejskiej i zaczną przenikać też do innych państw, proces ten już się dzieje.
RODO jako takie jest implementacją GDPR w Polsce. To, co je wyróżnia to jednak kontekst państwowy, bardziej związany z kwestiami kultury i mentalności prywatności i ochrony danych. Powstaje zatem szereg pytań na ile polskie RODO wykorzystuje szanse by te nowe zasady wywarły pozytywne zmiany (może skokowe, może strategiczne) i dążenie do wysokich standardów? W tej chwili można mieć jednak wątpliwości.
Nie wiemy jeszcze w jaki sposób działał będzie UODO i czy znajdzie mechanizmy skłonienia instytucji publicznych do przyjęcia wysokich standardów ochrony, ale także UODO będzie w stanie sam identyfikować, wykrywać i badać nadużycia i ryzyka. Samo RODO też będzie musiało zostać poddane ocenie działania. Warto się temu przyglądać