RODO w branży IT po roku

rodo1aOchrona prawna danych osobowych i prywatności w sieciach teleinformatycznych zawsze stanowiła istotny element prowadzenia działalności przez podmioty z sektora teleinformatycznego. Regulacje te bezpośrednio wpływają bowiem na architekturę tworzonych aplikacji i systemów, jak również realizowane procesy biznesowe przez firmy z tego sektora. Wejście w życie RODO uświadomiło jeszcze bardziej potrzebę znajomości przepisów prawnych z tego zakresu – wynika z raportu Polskiej Izby Informatyki i Telekomunikacji.

W raporcie Izba przedstawiła cały ekosystem prawny, który kryje się za wdrożeniem RODO w Polsce. Według autorów opracowania cechą rozporządzenia jest konieczność uzupełnienia jego zapisów poprzez odpowiednie prawodawstwo krajowe. Dla branży ICT szczególne znaczenie mają przepisy prawa telekomunikacyjnego oraz ustawy o świadczeniu usług drogą elektroniczną. Istotne znaczenie ma również tzw. ustawa policyjna, która określa zasady przetwarzania danych osobowych na potrzeby czynności śledczych. Nowe prawo zostało w raporcie przeanalizowane pod kątem wpływu na branżę ICT.

– Dlatego w rok od wejścia w życie rozporządzenia postanowiliśmy sprawdzić, jak wygląda stosowanie RODO w branży teleinformatycznej. Z jakimi problemami spotykają się przedsiębiorcy w tym zakresie, jak rozporządzenie wpisało się w stosowane w naszym kraju od ponad 20 lat sektorowe i ogólne przepisy dotyczące ochrony danych osobowych, a także jakie mamy doświadczenia i wyzwania w tym zakresie – stwierdził Xawery Konarski, wiceprezes PIIT.

Odpowiedzialność za chmurę

Raport szczegółowo omawia wpływ nowej dyrektywy na przodujące technologie takie jak: blockchain, sztuczna inteligencja czy internet rzeczy. Wskazane są również obowiązki, jakich dopełnić muszą spółki technologiczne w zależności od swojej działalności.

Jedną z najważniejszych zmian jest wprowadzona w nowym prawie odpowiedzialność zlecającego przetwarzanie danych osobowych za niedopatrzenia podmiotów, którym dane zostały powierzone.

– W praktyce to prawo zdecydowanie zniechęca do korzystania z niesprawdzonych podmiotów oraz prób obejścia wymogów RODO poprzez migrację zasobów danych osobowych – zauważył Xawery Konarski.

Jego zdaniem firmy będą znacznie mniej chętne korzystać z usługodawców, wobec których mają wątpliwości dotyczące zapewnienia standardów bezpieczeństwa. Ryzyko jest za duże.

– W latach 2013-2014 wyciekło ponad miliard rekordów z bazy danych klientów Yahoo. Firma starała się zamieść temat pod dywan i nie informowała poszkodowanych, nawet gdy pracownicy już wiedzieli, że dane zostały ukradzione – dodał Mariusz Busiło z PIIT. – Gdyby obowiązywało RODO firma, oprócz już teraz sięgających milionów odszkodowań, musiałaby zapłacić również gigantyczne kary.

Sztuczna Inteligencja bez danych osobowych

Zmiany odczuje również sektor sztucznej inteligencji, gdzie dane, przed przetwarzaniem, często powinny zostać pozbawione wszelkich oznaczeń, które umożliwią zidentyfikowanie poszczególnych użytkowników.

– Jeśli firma przygotowuje model przetwarzający dane klientów własnym sumptem, sprawa jest znacznie prostsza. Jednak anonimizacja oznacza zubożenie danych, co z perspektywy uczenia maszynowego jest niekorzystne – oceniła Barbara Sawina z PIIT. –Warto wspomnieć, że ochronie podlegają nie tylko dane klientów, ale również pracowników. Według niektórych z interpretacji kandydat może poprosić o pokazanie notatek robionych na jego CV podczas rozmowy kwalifikacyjnej, gdyż jest to bezpośrednia ingerencja w nośnik z jego danymi osobowymi, a on ma prawo do wglądu i modyfikacji tych informacji. Co więcej, firmy technologiczne intensywnie rekrutują i często wracają z propozycjami pracy do wcześniej zatrudnionych kandydatów. W praktyce każdego z nich trzeba spytać o zgodę na dalsze trzymanie i przetwarzanie jego danych.

Podobnie nieoczywiste wyzwania wiążą się z technologią Blockchain. – Jednym z podstawowych wymagań narzucanych przez RODO jest możliwość modyfikacji i usunięcia swoich danych osobowych z bazy danych firmy. W tradycyjnych systemach nie jest to problemem, jednak fundamentem technologii blockchain jest brak możliwości modyfikacji starych zapisów – stwierdziła Barbara Sawina. – Dzięki temu znacznie trudniej jest przeprowadzić lub ukryć oszustwo. Jednak każda informacja, która wpadnie w rozproszoną bazę danych, zostaje tam na zawsze. W najbardziej ortodoksyjnej interpretacji przepisów RODO całkowicie delegalizuje technologię blockchain na terenie Unii Europejskiej.

Spośród nowych, innowacyjnych technologii, Blockchain (tzw. łańcuch bloków) niewątpliwie stanowi największe wyzwanie z punktu widzenia zapewnienia zgodności z wymogami RODO. Jego istotą jest bowiem zdecentralizowany charakter, co szczególnie w przypadku tzw. Blockchaina publicznego, w którym każdy może wziąć bierny lub czynny udział w budowie tej sieci, utrudnia dokonanie rozliczalności przetwarzania danych i przypisanie roli administratora (współadministratora) danych. To samo dotyczy realizacji praw podmiotów danych. W sieciach zdecentralizowanych nie ma bowiem konkretnego podmiotu przechowującego dane i sprawującego kontrolę nad nim, w tym m.in. w zakresie ich usuwania (np. w ramach realizacji żądania prawa do bycia zapomnianym).

Dura lex, sed lex

– Część przedsiębiorców podeszła do Rozporządzenia o Ochronie Danych Osobowych jak do kolejnego martwego przepisu. Pierwsi już mieli okazję się zdziwić – zauważył Xawery Konarski. W marcu br. jedna z polskich spółek została ukarana grzywną w wysokości 943 tys. zł za brak realizacji obowiązku informacyjnego. – RODO to jeden z najważniejszych aktów prawnych dla branży teleinformatycznej. To, czy jest bardziej szansą, czy zagrożeniem zależy wyłącznie od przedsiębiorców i powagi, z jaką podejdą do bezpieczeństwa danych w swojej firmie.

Przyjęta w RODO nowa filozofia nie narzuca jednego standardu postępowania. Określa ogólne zasady, jakich trzeba przestrzegać i wskazuje, by administratorzy podchodzili do ochrony danych jak do ciągłego procesu, w którym nieustannie trzeba czuwać, testować rozwiązania i dostosowywać je do zmieniającej się rzeczywistości technologicznej, pewnych zjawisk i zagrożeń.

Na całość systemu przepisów RODO składają się nie tylko przepisy rozporządzenia, ale również wydanych w związku z nim ustaw krajowych. Ma to istotne znaczenie prawne, ponieważ naruszeniem przepisów rozporządzenia, skutkującym m.in. możliwością nałożenia przez Prezesa Urzędu Ochrony Danych Osobowych wysokich kar pieniężnych jako sankcji administracyjnych będzie również naruszenie przepisów ustaw krajowych, doprecyzowujących RODO.

– Poprzednie prawo było już przestarzałe. W realiach informatyki regulacja unijna z 1995 r. jest równie przystająca do obecnych warunków, jak kodeks Hammurabiego – stwierdził Xawery Konarski. Podkreślił jednocześnie, że podobnego problemu nie będzie z nowym rozporządzeniem. – RODO bywa nazywane „inteligentnym aktem prawnym”, gdyż jego zapisy nie są zależne od nowej technologii. W akcie prawnym, inaczej niż poprzednio, nie ma np. wymagań dotyczących długości haseł czy kluczy szyfrujących. Zamiast tego są jasno opisane wymagania formalne.

Co więcej, jego zdaniem, kwestie interpretacyjne RODO nie powinny być elementem rynkowej przewagi konkurencyjnej. Podkreślił też, że koszty wprowadzenia regulacji RODO to kilka procent więcej kosztów działalności dla firm z sektora nowych technologii.

– W ciągu ostatnich lat branże zaawansowane cyfrowo miały tempo wzrostu prawie 3 razy większe niż inne branże na polskim rynku. Sektor teleinformatyczny stanowi łącznie ok. 8 proc. polskiego PKB. Pracuje w nim 430 tys. osób, a liczba pracowników rośnie o ok. 6 proc. rocznie. Sektor teleinformatyczny w Polsce odnotowuje największy wzrost obrotów w Europie, który wynosi ok. 9 proc. rocznie – dodał Andrzej Dulka, prezes PIIT.

Polska Izba Informatyki i Telekomunikacji (PIIT) działa jako platforma do współtworzenia fundamentów cyfrowego rozwoju Polski. Każda z ponad 130 firm zrzeszonych w PIIT dostosowała się do wymogów rozporządzenia RODO, które weszło w życie 25 maja 2018 r.