10 kroków, które pomogą dostosować system IT do RODO

Na fali popu­lar­no­ści tema­ty­ki jaką jest ochro­na danych oso­bo­wych, chciał­bym dzi­siaj podzie­lić się z czy­tel­ni­ka­mi kil­ko­ma uwa­ga­mi na temat tego jak w prak­ty­ce radzić sobie z sys­te­ma­mi infor­ma­tycz­ny­mi prze­twa­rza­ją­cy­mi dane oso­bo­we. Dosta­ję dość czę­ste pyta­nia pokro­ju „jak zabrać się za RODO w sys­te­mach IT”. Jak wie­cie napi­sa­łem arty­kuł nauko­wy na ten temat, ale nauka to nauka, a prak­ty­ka to prak­ty­ka 😃. Tema­ty­ka jest nie­zwy­kle waż­ka, bo prze­cież RODO jak i inne regu­la­cje doty­czą­ce ochro­ny danych nie powsta­ły­by gdy­by nie roz­wój sys­te­mów IT. Nie trze­ba być tak­że szcze­gól­nie bły­sko­tli­wym, by zorien­to­wać się, iż spo­sób podej­ścia do reali­za­cji wymo­gów RODO przez sys­te­my IT nie został w jed­no­znacz­nie przez RODO spre­cy­zo­wa­ny. Jeśli coś wyni­ka z tych prze­pi­sów, to jedy­nie fakt, iż powin­ny być one neu­tral­ne tech­no­lo­gicz­nie. W prak­ty­ce zaś sys­te­my do wymo­gów RODO dosto­so­wać bez­względ­nie trze­ba. Dziś więc krót­ki, nie­co zajaw­ko­wy arty­kuł na temat sekwen­cji dzia­łań, któ­rą naj­czę­ściej reali­zu­ję dora­dza­jąc moim Klien­tom.Zanim jed­nak przej­dzie­my do meri­tum trze­ba wyja­śnić sobie jed­ną kwe­stię – co to ozna­cza sys­tem IT w rozu­mie­niu RODO – przy­naj­mniej na potrze­by tego wpi­su. Odpo­wiedź jest dość pro­sta – to zestaw narzę­dzi, któ­re są wyko­rzy­sty­wa­ne do reali­za­cji sze­re­gu ope­ra­cji na danych nie tyl­ko oso­bo­wych, mają­cych w swo­im zasto­so­wa­niu słu­żyć prze­twa­rza­niu danych oso­bo­wych w okre­ślo­ny spo­sób. Sys­te­mem zatem na te potrze­by będą rów­nież bar­dziej zło­żo­ne apli­ka­cje, pokro­ju tych wyko­rzy­sty­wa­nych np. do zarzą­dza­nia flo­tą pojaz­dów czy ewi­den­cjo­no­wa­nia ilo­ści godzin pra­cy dla dane­go klien­ta reali­zo­wa­nej przez poszcze­gól­nych pra­cow­ni­ków. Oso­by o nie­co orto­dok­syj­nym podej­ściu do spra­wy być może będą mieć zastrze­że­nia do powyż­szej defi­ni­cji, ale jej przy­ję­cie w tej for­mie jest nie­zbęd­ne by spraw­nie radzić sobie w praktyce.

W dru­giej kolej­no­ści nale­ży wska­zać, że pod­cho­dząc do pro­ble­mu „zgod­no­ści sys­te­mu z wymo­ga­mi RODO” zawsze pamię­taj i miej na uwa­dze spe­cy­fi­kę kon­kret­ne­go sys­te­mu IT. Być może nie będziesz musiał prze­cho­dzić przez wszyst­kie ele­men­ty wska­za­ne w tym arty­ku­le, by ze suk­ce­sem zakoń­czyć swo­ją misję. Być może Two­je sys­te­my będą wyma­ga­ły reali­za­cji dzia­łań w nie­co innej kolej­no­ści lub reali­za­cji pew­nych dodat­ko­wych kro­ków. Jeśli masz wąt­pli­wo­ści – napisz do mnie maila. Teraz już jed­nak przejdź­my do rze­czy i powiedz­my sobie jak nale­ża­ło­by (w mia­rę uni­wer­sal­nie) zapla­no­wać sekwen­cję działań:

1. ziden­ty­fi­kuj pro­ce­sy prze­twa­rza­nia, któ­re zacho­dzą w oprogramowaniu
2. znasz już pro­ce­sy? to teraz ska­te­go­ry­zuj dane oso­bo­we prze­twa­rza­ne w każ­dym z tych procesów
3. zasta­nów się ile masz czyn­no­ści prze­twa­rza­nia danych – to pozwo­li Tobie zwe­ry­fi­ko­wać ile razy będziesz musiał (naj­praw­do­po­dob­niej) przejść przez obo­wiąz­ki wyni­ka­ją­ce z tzw. podej­ścia opar­te­go na ryzy­ku (ang. risk based appro­ach)
4. roz­strzy­gnij czy Two­je opro­gra­mo­wa­nie pro­fi­lu­je użyt­kow­ni­ków czy też nie (pamię­taj, że pro­fi­lo­wa­nie może mieć dwie posta­ci – tzw. mięk­ką i twardą)
5. ustal kto odpo­wia­da za „dostar­cza­nie” instan­cji pro­duk­cyj­nej sys­te­mu – w szcze­gól­no­ści czy zacho­dzi powie­rze­nie prze­twa­rza­nia (czy­je są serwery?)
   → jeśli tak, potrzeb­na będzie umo­wa powie­rze­nia zgod­na z RODO
   → jeśli nie masz pew­no­ści – cza­sem obec­ność pod­mio­tów trze­cich nie musi ozna­czać powie­rze­nia przetwarzania
6. zre­ali­zuj te wymo­gi, któ­re w RODO się zmie­nia­ją wzglę­dem dotych­cza­so­wych wymo­gów pra­wa ochro­ny danych albo poja­wia­ją na nowo – na tym eta­pie posta­raj się o te, któ­re w mia­rę szyb­ko się da zre­ali­zo­wać (odpo­wied­ni UX pre­zen­tu­ją­cy nowy obo­wią­zek infor­ma­cyj­ny czy pobie­ra­ją­cy zgo­dę etc.)
7. zre­ali­zuj pre­ewa­lu­ację ryzy­ka doku­men­tu­jąc ją w odpo­wied­ni spo­sób (dla każ­dej czynności)
8. zre­ali­zuj oce­nę skut­ków dla ochro­ny danych – jeśli oka­że się wyma­ga­na (jeśli sys­tem nie jest dosto­so­wa­ny do wymo­gów RODO raczej tego kro­ku nie omi­niesz – bądź dokład­ny, nie pomi­jaj poszcze­gól­nych procesów)
9. jeśli skut­ki wycho­dzą wyso­ko – wdra­żasz nowe środ­ki tech­nicz­ne lub orga­ni­za­cyj­ne i pona­wiasz punk­ty 7 i 8
   → przy­stę­puj do dosto­so­wy­wa­nia się do kolej­nych, trud­niej­szych funk­cjo­nal­no­ści nie­zbęd­nych w Two­im sys­te­mie z per­spek­ty­wy RODO, np. zwią­za­nych z reten­cją danych
   → określ listę tego co jest do zro­bie­nia – to będą Two­je „kamie­nie milowe”
   → każ­de­mu zda­niu przy­pisz prio­ry­tet wg. poten­cjal­nych szkód, któ­re brak speł­nie­nia tego wyma­ga­nia może wyrzą­dzić lub też wg. tego cze­go mogą ocze­ki­wać od Cie­bie Klien­ci – jeśli Twój sys­tem jest eks­plo­ato­wa­ny dalej (co jest zagro­że­niem, mogą­cym Cię zablo­ko­wać biz­ne­so­wo? na tym eta­pie nie przej­muj się sank­cja­mi z RODO)
10. po zre­ali­zo­wa­niu każ­de­go „kamie­nia milo­we­go” z punk­tu 9, powta­rzaj punk­ty 7–9 (RODO wyma­ga cią­gło­ści działania)

I w zasa­dzie jeśli cho­dzi o mecha­ni­kę pra­cy to tyle. Dla mnie ta pro­ce­du­ra spraw­dza się nie­za­leż­nie od wiel­ko­ści pro­jek­tu – ale tak jak wska­zy­wa­łem – nie­kie­dy wyma­ga drob­nych mody­fi­ka­cji. Jeśli masz pyta­nia – zachę­cam do komentowania 🙂