RODO dla MiŚOT Co to jest RODO?

594

 
[miejsce publikacji] ICT Professional, Nr 18 – 2/2018, strona 26.
[rubryka] Prawo i Telekomunikacja

[autor] Łukasz Bazański

[tytuł] RODO dla MiŚOT Co to jest RODO?

___________________________________________________________________________________________________________
 
Dzięki wspólnej inicjatywie Krajowej Izby Komunikacji Ethernetowej, Stowarzyszenia e-Południe oraz iNET Group, przy współpracy z kancelarią itB Legal, przygotowane zostało pomocne opracowanie dla małych i średnich operatorów telekomunikacyjnych – „Wdrożenie RODO w przedsiębiorstwie telekomunikacyjnym”. Samo opracowanie ma przyczynić się do integrowania środowiska MiŚOT, czego efektem na gruncie RODO może stać się w przyszłości przygotowanie branżowego kodeksu dobrych praktyk przy przetwarzaniu danych osobowych. Opracowanie dostępne jest dla operatorów zrzeszonych w KIKE, Klastrze e-Południe oraz iNET Group. Poniżej przedstawiamy podsumowanie informacji dot. RODO prezentowane przez jedną z kancelarii obsługujących MiŚOT. Dowiecie się także, co w temacie RODO mają do powiedzenia twórcy inicjatywy.
 
RODO to powszechnie stosowany skrót, oznaczający Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, które weszło w życie 24 maja 2016 roku, a bezpośrednio w polskim porządku prawnym stosowane będzie od 25 maja b.r., zastępując obecnie obowiązującą ustawę z 29 sierpnia 1997 roku
o ochronie danych osobowych. Uchylenie tej ustawy nie oznacza jednak, że RODO będzie jedynym aktem regulującym materię danych osobowych. W wielu miejscach RODO pozwala albo wręcz zobowiązuje, aby niektóre kwestie doprecyzować czy odrębnie uregulować w ustawodawstwie krajowym.
Temu służyć będzie nowa ustawa o ochronie danych osobowych, której projekt z dnia 8 lutego 2018 r. skierowany został pod obrady Komitetu do Spraw Europejskich Rady Ministrów. Dla sektora małych i średnich przedsiębiorców (w tym telekomunikacyjnych) projekt ten jest o tyle istotny, że przewiduje nieco dozwolonych przez RODO ułatwień lub wyłączeń spod określonych w RODO obowiązków, np. węższy ma być katalog obowiązków informacyjnych, jakie administrator danych ma przekazać osobie, której dane jednostka przetwarza.
 

Wprowadzenie RODO dla operatorów telekomunikacyjnych wnosi uporządkowanie chaosu informacyjnego i jasne wyznaczenie praw i obowiązków w zakresie ochrony danych osobowych. MiŚOT-y nigdy nie przesyłały niezamówionych informacji handlowych, po ukróceniu takich praktyk ich rzetelna prezentacja oferty będzie bardziej dostępna i wiarygodna. Typowy lokalny ISP charakteryzuje się zbliżoną działalnością i bardzo zbliżonymi procesami na danych osobowych. W związku z tą powtarzalnością, naturalnym krokiem jest wspólna inicjatywa organizacji działających dla nich w zakresie zlecenia opracowania dedykowanego MiŚOT. W dalszych działaniach w ramach inicjatywy RODO dla MiŚOT, zależnie od interpretacji obowiązków w działalności ISP, możliwy jest outsourcing Inspektora Ochrony Danych lub wsparcie w audycie procesów i decyzji o niepowoływaniu tegoż.
 
Grzegorz Szeliga – prezes zarządu iNET Group

 
Rewolucja czy ewolucja?
Wdrożenie RODO traktować należy jako przedsięwzięcie, które w założeniu zmieniać ma zasady ochrony danych osobowych na wiele lat, nie ma mowy wyłącznie o doraźnym zastosowaniu. Dotychczasowy, krajowy system ochrony danych niezbyt częstotliwie (ani restrykcyjnie) egzekwował obowiązki wynikające z przepisów o ochronie danych osobowych. Ze świecą szukać przypadków kontroli GIODO u przedsiębiorców telekomunikacyjnych. Z tego względu kwestia ochrony danych przez niektórych z nich mogła być bagatelizowana.
Obecnie za sprawą określonych w RODO znacznie poważniejszych konsekwencji finansowych, związanych z naruszeniami przepisów oraz zwiększenia środków przyznanych z budżetu państwa na realizację zadań wynikających z nowej ustawy o ochronie danych osobowych, przedsiębiorcy mogą spodziewać się wzmożonych działań ze strony organu nadzoru (przyszłego Prezesa Urzędu Ochrony Danych Osobowych). W powszechnej ocenie nie tylko widmo dotkliwych kar wymusi wdrożenie nowych przepisów, ale także coraz to większa prawna świadomość konsumentów oraz konkurencja, która zapewne w tym aspekcie upatrywać będzie możliwości zbudowania przewagi rynkowej.
Oczywiście dla podmiotów, które ignorowały dotychczas obowiązujące zasady związane z ochroną danych, zakres zmian wynikających z RODO może wydawać się radykalny lub wręcz przewrotowy, ale dla podmiotów, które miały już styczność choćby z dokumentacją ochrony danych osobowych (np. polityką bezpieczeństwa czy instrukcją zarządzania systemem informatycznym) na gruncie obecnie obowiązującej ustawy, RODO powinno być przyjmowane jako krok w kierunku usamodzielnienia się operatorów w stosowaniu konkretnych procedur.
 
Nastawienie na rezultat
Ustawodawca unijny jest świadomy tego, że przepisy prawa w żadnym wypadku nie będą w stanie nadążyć za rozwojem technologicznym, dlatego konstrukcja przepisów RODO oparta jest na elastycznej formule i zasadzie: środki dowolne, istotne aby osiągnąć pożądane rezultaty, które zakłada RODO. Jedną z cech rozpoznawczych RODO jest przyjęcie proaktywnego podejścia administratorów danych do ochrony danych.
W miejsce sztywnych, ale za to wprost określonych procedur i środków bezpieczeństwa, np. wymuszonego wprowadzenia dokumentu polityka ochrony danych osobowych czy obowiązku rejestracji bazy danych w GIODO (w alternatywie powołanie ABI), ustawodawca unijny wielokrotnie nie przewidział nawet propozycji określonych rozwiązań, pozostawiając administratorowi danych konieczność wdrożenia własnych środków technicznych i organizacyjnych, np. pseudonimizacji danych klientów, wprowadzania haseł dostępu itd., minimalizujących ryzyko naruszenia danych w zależności od zmieniających się zagrożeń i postępującego rozwoju technologicznego. Dlatego gotowych czy obowiązkowych rozwiązań jakie „narzuca” RODO jest tak naprawdę niewiele, zdecydowanie większy nacisk kładzie się na osiągnięcie konkretnych rezultatów. Z tego względu rozporządzenie przewiduje konieczność przeprowadzenia swoistego „rachunku sumienia” przez każdego administratora,
którym może być audyt procesów przetwarzania danych osobowych wykonywany w ramach tak zwanej oceny ryzyka.
 

RODO jest dla operatorów ustawą podnoszącą wymagania dotyczące ochrony danych osobowych. Z pewnością wejście w życie ustawy będzie wymagało korekty w systemach informatycznych firm telekomunikacyjnych oraz zmiany we wzorcach umów telekomunikacyjnych. Nasze organizacje współpracują ze sobą we wspieraniu MiŚOT. Wspólna inicjatywa daje szansę dotarcia
z dokumentem do większej ilości operatorów, przez co zasięg wsparcia dla firm jest bardzo duży. Będziemy wspierać operatorów we wdrażaniu wymogów ustawy. Z pewnością pojawią się dodatkowe szkolenia, oferty audytów przedsiębiorstw oraz wdrożeń. Prelekcje oraz dyskusje o RODO pojawią się również w tematach podczas konferencji KIKE.
 
Karol Skupień – prezes zarządu KIKE

 
Ewolucja i ocena ryzyka
Ewolucja polega na zmianie podejścia do ochrony danych osobowych w jednostce i pozostawieniu osobom odpowiedzialnym za ochronę danych większej samodzielności w podejmowaniu decyzji, co do zastosowania różnych rozwiązań. Jak wspominałem, ustawodawca unijny odchodzi w RODO od narzucania wprost różnego rodzaju obowiązków, jak choćby te stanowiące sztandarowe punkty obowiązującej obecnie ustawy, czyli posiadania dokumentacji przetwarzania danych osobowych czy zgłaszania GIODO zbioru danych do rejestru. Sztywne procedury dotychczasowych regulacji przechodzą w dużo bardziej elastyczne rozwiązania, które poprzedzone mają być procesem oceny ryzyka. Ocena ryzyka, zgodnie z RODO, ma na celu oszacowanie, na podstawie zebranych informacji, czy występuje ryzyko naruszenia praw lub wolności osób fizycznych oraz czy ryzyko naruszenia praw lub wolności osób fizycznych jest wysokie. Z takiej oceny z reguły sporządza się protokół.
 

Krajowa implementacja unijnego prawodawstwa wprowadziła spore zamieszanie oraz wiele niejasności. Operatorzy telekomunikacyjni, którzy z oczywistych względów przetwarzają dane osobowe, zasypywani zostają ofertami szkoleń, audytów i publikacji, które wprowadzają jeszcze większy chaos. Branża konsultingowa, która poczuła świeżą krew, przedstawia wizje ogromnych kar nakładanych na ISP, jeśli oczywiście nie skorzysta się z jej usług. Środowisko MiŚOT, dzięki współpracy organizacji branżowych, doczekało się własnego specjalistycznego opracowania. KIKE, iNet oraz e-Południe pracują dla tego samego środowiska, więc naturalnym działaniem było wspólne przedsięwzięcie. Mam nadzieję, że rozwieje ono większość wątpliwości oraz pozwoli obiektywnie spojrzeć na wymogi regulacji oraz zaplanować działania, które przystosują nasze przedsiębiorstwa do nowego prawa. Opracowanie jest pierwszym krokiem do stosowania RODO i jestem przekonany, że po pierwszych doświadczeniach we wdrażaniu rozporządzenia w przyszłym roku wydamy co najmniej suplement, gdzie umieścimy dobre praktyki, najnowsze interpretacje oraz stanowiska administracji.
Nie bójmy się RODO!
 
Sebastian Kachel – wiceprezes Stowarzyszenia e-Południe

 
Co wymusza RODO?
Powyższe uwagi nie oznaczają jednak, że RODO nie przewiduje żadnych obligatoryjnych form działania. Takie formy również występują, co więcej, będą miały obowiązek przybierać formę materialną, tak aby zgodnie z zasadą rozliczalności, każdy administrator danych mógł wykazać przed organem nadzoru i osobami, których dane dotyczą, że przeprowadził ocenę ryzyka i podjął stosowne środki ochrony w celu minimalizacji naruszeń. Dlatego, jeśli komuś znane są już takie dokumenty jak polityka bezpieczeństwa czy instrukcja zarządzania systemem informatycznym, nie będzie musiał z nich całkowicie rezygnować. Wymagały one będą wprowadzenia w nich stosownych zmian.
Przedsiębiorcy telekomunikacyjni, podobnie jak inni administratorzy danych, zobowiązani będą działać w zgodzie z obowiązkowymi na gruncie ochrony danych zasadami zasady – privacy by design oraz privacy by default. Pierwsza z nich oznacza nakaz uwzględniania prywatności (dla ochrony danych) już na etapie projektowania określonych rozwiązań, usług, programów, produktów i przewidywania oraz przeciwdziałania możliwym problemom w zakresie ochrony danych już w tej fazie, np. przy tworzeniu/projektowaniu programów do obsługi abonentów czy wykonywania instalacji abonenckich, bądź wirtualnych biur obsługi klienta itp. Druga z zasad obejmuje tworzenie możliwości konfiguracji opcji prywatności przez osobę, której dane dotyczą. Prywatność w tych ustawieniach musi być stanem wyjściowym, tzn. domyślnie przetwarzane mogą być wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania, np. obsługi i korzystania z WBOK/EBOK itp. Dotyczy to ilości zbieranych danych, zakresu przetwarzania, okresu ich przechowywania oraz sposobu udostępniania. Udostępnienie bliżej nieokreślonej liczbie innych osób danych osobowych przez użytkownika aplikacji, systemu, np. WBOK/EBOK, jest możliwe dopiero wtedy, gdy użytkownik ten sam podejmie działania, np. zmieni domyślne ustawienia aplikacji.
Podsumowując, RODO wprowadza szereg ewolucyjnych zmian, które dla niektórych operatorów będą jednak rewolucyjne. Ryzyko grożących kar wymusi zapewne zrewidowanie dotychczasowej polityki przetwarzania danych w firmie czy wprowadzenie rozwiązań i dokumentów obecnie nie stosowanych. Czasu jest niewiele, bo 25 maja zbliża się wielkimi krokami. Pozostaje wierzyć, że przygotowane dla KIKE, iNET i E-Południe opracowanie będzie pomocne przy wdrażaniu RODO w przedsiębiorstwie telekomunikacyjnym.