Rewolucja w ochronie danych, konieczność dostosowania systemów IT do wymogów ogólnego rozporządzenia o ochronie danych potocznie nazywanego RODO czy wreszcie strach przed potencjalna możliwością nałożenia sankcji w postaci kar finansowych mogących wynieść do 4% ogólnego światowego obrotu czy 20 mln €. Te i nie tylko te nagłówki prasowe napędzają dotychczas niszowy rynek usług prawnych oraz konsultingowych dotyczących usług z zakresu ochrony danych osobowych. Można spotkać się z wieloma opracowaniami (lub będąc nieco bardziej krytycznym: nie do końca udolnymi próbami stworzenia takich opracowań) dotyczących tego jak RODO przekłada się na wymogi stawiane systemom IT. Dzisiejszy wpis zostanie poświęcony właśnie temu zagadnieniu.
Dotychczasowa regulacja…
W funkcjonującym od 1997 roku reżimie prawa ochrony danych kwestia wymogów względem systemów IT została określona dość precyzyjnie. Na mocy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych kwestia ta została dość precyzyjnie ustalona. Z jednej strony moglibyśmy powiedzieć, że to bardzo korzystna sytuacja – wiemy w jaki sposób konstruować systemy IT, w jakie funkcjonalności je wyposażać, aby były zgodne z prawem ochrony danych. Z drugiej strony… przyjęta w 2004 roku regulacja nie została zmieniona przez ostatnie 14 lat ani razu. Zmieniła się natomiast rzeczywistość w której żyjemy (korzystanie z systemów IT spowszedniało i trudno znaleźć przedsiębiorcę niewykorzystującego choćby poczty e‑mail). Zmieniły się też systemy. Przetwarzamy w nich niewyobrażalne dla realiów z 2004 roku rodzaje i ilości danych. Eksploatujemy te dane sposobami, które w 2004 r. można było uważać za fantastykę – inteligentne pompy insulinowe czy rozruszniki serca. Miniaturowe urządzenia wyposażone w mikrosystemy operacyjne zarządzające ich pracą oraz synchronizujące się z większymi systemami e‑zdrowia. To codzienność nie tylko w zaawansowanych placówkach medycznych, ale także i w przeciętnych szpitalach powiatowych.
…i jej problemy
Spoglądając na wyżej opisaną sytuację normatywną nieco krytycznie możemy stwierdzić, że polski ustawodawca jakby zapomniał dostosować wymogi stawiane przez prawo ochrony danych systemom IT. Funkcjonujące w 2018 r. obowiązki zamiany hasła co 30 dni nijak mają się do rzeczywistości, w której wymiana danych czy uwierzytelnianie odbywa się po API lub specjalnych tokenach utworzonych w tych celach. W rozwiązaniach tych po prostu nie ma żadnych loginów i haseł. A zatem paradoksalnie – choć rozwiązania te są dużo bardziej technicznie bezpieczne i dopracowane to jednocześnie… nie mogą spełnić podstawowych wymogów rozporządzenia z 2004 roku! Sytuacja formalnej zgodności z prawem powoduje zatem jednocześnie sytuację kształtowania praw podmiotów danych w sposób niezgody z przepisami prawa ochrony danych osobowych.
Co na to wszystko RODO?
W toku prac nad ogólnym rozporządzeniem o ochronie danych dostrzeżono wyżej opisane problemy. Nie występują on tylko w Polsce, ale także w innych państwach członkowskich, które harmonizowały swoje prawo ochrony danych w oparciu o dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Dyrektywa ta to oczywiście akt, który jest uchylany przez samo RODO (wynika to nawet z tytułu RODO).
Twórcy RODO formułując pewne myśli przewodnie swoich prac kierowali się kilkoma założeniami naczelnymi. Jednym z takich założeń było stworzenie neutralnego technologicznie prawa. Neutralność technologiczna w zamyśle twórców RODO ma oznaczać dążenie do sytuacji, w której tworząc prawo ochrony danych ustawodawcy będą korzystali z pewnej naczelnej reguły – tworzone przez nich prawo nie będzie w żaden sposób określało konkretnych rozwiązań technologicznych mających stać na straży danych osobowych. Przekładając to na język RODO – nie będzie wskazywało na żadne konkretne środki organizacyjne i techniczne.
Znaczenie neutralności technologicznej dla praktyki
Przechodząc do odpowiedzi na najważniejsze pytanie – jak zatem w świetle zasady neutralności technologicznej zbudować system IT zgodny z RODO? Odpowiadając w skrócie: RODO nie wymaga aby systemy IT były z RODO zgodne. Co więcej – wspomniana zasada neutralności technologicznej zabrania przyjmowania przepisów, na podstawie których moglibyśmy próbować stwierdzić czy dany zestaw narzędzi IT jest zgody z RODO. Slogan w postaci „systemu zgodnego z RODO” – tak ochoczo wykorzystywany przez marketing rozmija się zatem zupełnie z podstawowym założeniem przyświecającym RODO – neutralności technologicznej. RODO wymaga od twórców i użytkowników systemów IT czegoś innego – aby systemy te potrafiły spełniać konkretne funkcjonalności przez RODO wskazane. Oraz by potrafiły działać w określony przez RODO sposób. To w jaki konkretnie techniczny sposób uda im się osiągnąć ten cel nie jest już w żaden sposób przez RODO precyzowane. Sam zaś sposób sformułowania tego, co powinny dane systemy móc realizować też nie jest do końca jednoznaczny. Przyczyną takiego sposobu sformułowania przepisów jest także wspomniana już zasada neutralności technologicznej. Cel? Aby przepisy RODO pozostały aktualne przez więcej niż kilka lat w obliczu galopującego rozwoju technologii. Czy się uda? Niewątpliwie, prędzej czy później przekonamy się o tym.