W maju 2018 roku zacznie obowiązywać RODO, unijne regulacje dotyczące ochrony danych osobowych. Czy jest się czego bać?

Katarzyna Szymielewicz: RODO nie wprowadza żadnej rewolucji jeśli chodzi o zasady przetwarzania danych. Jeśli ktoś – czy to firma, czy organizacja społeczna, czy administracja publiczna – już wcześniej miał do czynienia z ochroną danych osobowych i traktował ją poważnie, nie musi się obawiać głębszych zmian. W mojej ocenie to raczej ewolucja pewnych standardów, które są już dobrze znane. W Europie – w zasadzie od dwudziestu lat.

Ale pewien ″popłoch″ wśród przedsiębiorców dało się zauważyć.

To, z jednej strony efekt niedoinformowania – bo wiedza na temat tego, co RODO zmienia, jeszcze nie jest powszechna; z drugiej – sprowadzenia sensu i znaczenia tej regulacji do wysokich kar. Rzeczywiście, wejście w życie RODO oznacza dla wszystkich, którzy dane przetwarzają niezgodnie z prawem, poważne ryzyko finansowe. A wizja milionowych kar budzi popłoch. Mam nadzieję, że do maja 2018 r. jest jeszcze dość czasu, żeby te negatywną energię przekuć w dobre praktyki, które będą korzystne i dla firm, i dla ich klientów. Do tej pory wiele firm uważało ochronę danych osobowych za miękką regulację, którą nie muszą się przejmować. Teraz to się zmieni, a więc przestrzeganie zasad ochrony danych nagle staje się tematem nie tylko dla prawników, ale też dla zarządzających. I bardzo dobrze!

20 mln euro lub 4 proc. światowego obrotu to sporo.

Trzeba pamiętać, że to maksymalna wysokość ewentualnej kary. Organ egzekwujący RODO wcale nie musi jej wymierzyć – bo to jednak ostateczność – a jeśli nawet wymierzy, jej wysokość dopasuje do sytuacji i obrotów konkretnego przedsiębiorstwa. Z drugiej strony firmy, które zwlekały aż do tego momentu, żeby zainteresować się ochroną danych, zapracowały sobie na ten stres. Nie myślę tu o startupach, tylko o firmach, które od lat funkcjonują na polskim lub europejskim rynku i do tej pory korzystały na nieefektywnej, słabo egzekwowanej regulacji. Trudno dziwić się europejskiemu regulatorowi, że wreszcie poszedł po rozum do głowy i doszedł do wniosku, że prawo, które ma duże znaczenie dla obywateli i interesu publicznego, musi być obwarowane sankcjami. W ten sposób zwiększa presję na biznes, żeby traktował to prawo poważnie, ale – tak jak podkreślam – nie zmienia ani filozofii ochrony danych, ani podstawowych reguł gry.

Czyli co, rewolucji nie będzie?

Być może w podejściu firm tak, ale nie w literze prawa. To, co ostatecznie zostało wypracowane w Brukseli to dość zdrowy kompromis między interesami administratorów danych i osób fizycznych. W wielu spornych punktach – np. dopuszczalności profilowania czy zakresu tzw. uzasadnionego interesu administratora – nowe przepisy mają wyraźnie probiznesowy wydźwięk. W RODO właściwie nie pojawiają się kategoryczne zakazy: nie jest tak, że pewne operacje na danych nagle staną się nielegalne. RODO opiera się na tej samej filozofii, która dotąd obowiązywała, czyli ważenia interesów i wartości. Na przykład: jeśli przetwarzanie danych nie narusza praw i wolności osób, których dotyczy, a jednocześnie realizuje uzasadniony interes administratora, było i pozostanie legalne.

Dodatkowo, z myślą o różnych modelach biznesowych i potrzebach firm, RODO wprowadza duży obszar elastyczności. Nikt inny, tylko właśnie sam administrator będzie oceniał, jak wysokie ryzyko wiąże się z przetwarzaniem danych i co powinien w związku z tym zrobić: ograniczyć zbierane dane, wdrożyć określone polityki i zabezpieczenia w firmie, czy może poprosić organ nadzorczy o konsultację. To wyraźne odejście od dotychczasowego, formalistycznego podejścia do ochrony danych. Dotąd trzeba było zgłosić zbiór do GIODO, wypełnić formularz, stworzyć standardową dokumentację. To były kosztowne i nie zawsze sensowne procedury. RODO w miejsce tych sztywnych wymogów wprowadza elastyczny proces oceny ryzyka, który jest przeprowadzany wewnątrz firmy. Jego wyniki ostatecznie przełożą się na konkretne procedury – w relacji z osobami, których dane są przetwarzane, pracownikami, kontrahentami – ale ich kształt może być inny w każdej firmie. Nie ma jednego standardu, dobrego dla wszystkich. RODO nie wymaga też zgłaszania się do organu nadzorczego, chyba że sam administrator dojdzie do wniosku, że przetwarzanie przez niego danych wiąże się z wysokim ryzykiem dla osób, których to dotyczy i że on sam nie potrafi temu zaradzić.

Czyli wszystko wolno?

Nie, nadal trzeba dane przetwarzać zgodnie z prawem. Ale to prawo rzeczywiście jest dość elastyczne i rozsądne w nakładaniu obciążeń. Im mniejsze ryzyko związane z przetwarzaniem danych, tym mniejsze obciążenia dla administratora. Obowiązki wynikające z RODO nie są pustymi formalnościami – to raczej procesy, które można tak zaprojektować, żeby miały sens dla obu stron. Najlepszym tego przykładem jest sama ocena ryzyka. To nic innego jak standardowy proces w zarządzaniu firmą czy organizacją. Każdy, kto kiedykolwiek oceniał ryzyko biznesowe – związane z nową inwestycją czy produktem – powinien wiedzieć jak to ugryźć. Oczywiście, można go przeprowadzić w zgodzie z własnymi potrzebami i własną filozofią, RODO nie narzuca jednej metody, daje tylko ogólne wytyczne. Największą zmianą, zdecydowanie na lepsze, jest to, że ochrona danych przestaje być specjalistycznym zadaniem dla prawników i informatyków, a staje się kluczowym i stałym procesem w zarządzaniu.

RODO wymusza zmianę kultury biznesowej. Bez tabelek, bez sztywnych uregulowań to ma po prostu działać. Jeśli ktoś dotąd stosował dobre praktyki, to może nie ma się czego obawiać?

Dokładnie tak. Firmy, które już wcześniej przestrzegały zasad ochrony danych odczują skutki tej reformy raczej jako ulgę, zmianę w kierunku spójnym z tym, jak same działają. RODO oznacza mniej procedur specyficznych dla ochrony danych, a więcej takich, które mają sens z perspektywy zarządzania. Może się więc okazać, że firma przetwarza dane zgodnie z nowym prawem tylko dlatego, że działa w sposób odpowiedzialny, tworząc spójną strategię, rzetelnie oceniając ryzyko, szkoląc ludzi, utrzymując dobre relacje ze swoimi klientami. I to jest właśnie scenariusz, w którym korzystają wszyscy: regulator, klienci i biznes.

Ale my sprzedajemy buty, a nie zajmujemy się danymi...

Właśnie to myślenie będzie musiało przejść do lamusa. Nie może być tak, że prowadzimy biznes, sprzedajemy buty i na marginesie tej działalności zajmujemy się ochroną danych przez pięć minut, a potem jak najszybciej wracamy do naszych butów. Te dwie sfery działalności muszą być ze sobą zintegrowane. Dzisiaj większość modeli biznesowych zakłada zarządzanie danymi o ludziach: pracownikach, klientach, odbiorcach komunikatów marketingowych. Czy sprzedajemy buty, zapałki, czy usługi finansowe, czy projektujemy portale społecznościowe, mamy do czynienia z danymi. Już jest ich bardzo dużo, a będzie coraz więcej. Dlatego RODO wymaga oceny ryzyka od każdego, kto dotyka danych osobowych, a to jest dziś każda organizacja, firma i każdy podmiot publiczny. Z tych samych powodów proces oceny ryzyka musi mieć stały charakter. W Fundacji Panoptykon proponujemy, żeby była ona spięta z tworzeniem ogólnej strategii biznesowej organizacji. Jeśli spojrzeć na RODO bez lęku i uprzedzeń, to jest właśnie instrument, który może przynieść firmom najwięcej korzyści. Z jednej strony zmniejsza obciążenie sztywnymi obowiązkami, których w RODO w zasadzie nie ma, z drugiej – daje szansę na wykrycie problemów i ryzyk, które ostatecznie kosztują pieniądze lub generują problemy reputacyjne.

Na stronie internetowej Panoptykonu zamieściliście poradnik dotyczący wdrażania RODO Jeden z rozdziałów poświęcony jest właśnie temu, jak dzięki nowym regulacjom zyskać przewagę konkurencyjną.

Tak, bo wierzymy, że sensownie wdrożone obowiązki związane z RODO mogą przełożyć się na oszczędności, większą efektywność przetwarzania danych, lepsze relacje z klientami i zaufanie. Jesteśmy gotowi wspierać firmy zainteresowane takim podejściem swoją wiedzą i pomysłami. Opracowaliśmy prostą metodykę oceny ryzyka, opartą o międzynarodowe standardy. To nie będzie nowość dla zarządzających, bo poruszamy się w dobrze im znanej siatce pojęciowej. Ale do maja 2018 r. trzeba ten proces zaplanować i przeprowadzić, mimo wewnętrznego oporu. Są firmy, w których jest – nie przesadzam – kilkadziesiąt systemów, robiących to samo. Czasem nikt już nie pamięta, dlaczego zostały wdrożone. Wystarczy, że na przestrzeni lat firma zatrudniała wielu informatyków i każdy coś po sobie zostawił. Takie informatyczne bizancjum kosztuje, generuje większe ryzyko wycieku danych i utrudnia analizę czy integrację informacji. Przy okazji wdrażania RODO warto na swoje systemy zarządzania danymi spojrzeć świeżym okiem i je uporządkować, zaczynając oczywiście od celów i oceny legalności.

Może właśnie tego boją się przedsiębiorcy?

Od tego nie ma ucieczki. Każdy, kto przetwarza dane osobowe, będzie musiał przejść przez proces, który opisujemy w poradniku. Pierwszy krok to mapowanie tego, co dzieje się z danymi w naszej firmie czy organizacji, w drugim sprawdzamy, czy one są niezbędne, w jakim celu je przetwarzamy i czy nie możemy tego samego celu zrealizować, przetwarzając mniej danych. W kolejnych krokach modelujemy ryzyko, czyli wyobrażamy sobie negatywne scenariusze i oceniamy czynniki od których zależy, czy one się zrealizują. I na te ryzyka odpowiadamy, projektując odpowiednie procedury i środki zaradcze. Wreszcie dokumentujemy ten proces i wdrażamy stałe procedury monitorowania, czy to wszystko co wypracowaliśmy w poprzednich krokach, rzeczywiście się dzieje. W efekcie powstaje optymalny model zarządzania danymi. Taki model z jednej strony ogranicza ryzyka prawne, bo jego podstawą jest zweryfikowanie, czy przetwarzamy tylko te dane, których naprawdę potrzebujemy i czy robimy to w zgodzie z RODO; z drugiej strony analiza ryzyka przynosi korzyści biznesowe. Przetwarzanie da nich mniej nas kosztuje i generuje mniejsze ryzyko wycieku; wreszcie budujemy lepsze relacje z klientami, którzy zaczynają rozumieć, co i dlaczego robimy z ich danymi. Tu otwiera się pole do zdobywania przewagi konkurencyjnej.

Na tym można budować przewagę?

Zdecydowanie. W świecie wszechobecnego marketingu i usług, które muszą być spersonalizowane, konkurencja toczy się nie tylko o naszą uwagę, ale też o zaufanie. Otwarta komunikacja z klientem, której wymaga RODO, to szansa dla firmy, by powiedzieć: my traktujemy was i wasze dane poważnie. Mówimy do was językiem, który rozumiecie. Dzięki temu lepiej rozumiecie nasze cele i możecie wejść z nami w dialog. To podstawa zaufania i lojalności.

Firmy marketingowe twierdzą, że RODO to dla nich szczególnie ryzykowna regulacja, bo wymusza pytanie odbiorców reklam o zgodę na śledzenie przez pośredników reklamowych. Ja tej obawy nie rozumiem. Jeśli wychodzimy z założenia, że reklama jest dla człowieka i ma mu pomagać a nie przeszkadzać, to dlaczego zakładamy, że klient który rzeczywiście ma konkretną potrzebę konsumpcyjną – szuka samochodu, laptopa czy butów – nie ujawni tej potrzeby firmie, do której ma zaufanie. W tym scenariuszu pośrednik reklamowy, nawiązując dialog z klientem, dostaje w zamian cenne informacje. Dowiaduje się, czego faktycznie szukam i jaka reklama jest mi potrzebna.

RODO skupia się więc na kliencie.

I tak, i nie. Viviane Reding, która była twarzą tej regulacji, w każdym zdaniu przypominała, że RODO ma też służyć biznesowi. Ma uprościć procedury, stworzyć jednolite środowisko regulacyjne w całej Unii Europejskiej, zlikwidować dotychczasową przewagę firm spoza UE, które nie musiały przestrzegać naszych standardów. Wraz z RODO kończy się regulacyjny patchwork, który mieliśmy w Unii Europejskiej; znikają też formalistyczne, irytujące procedury, takie jak rejestracja zbiorów danych. Z czasem powinniśmy też pożegnać prawniczy język, który do tej pory obowiązywał w klauzulach informacyjnych i długie, niezrozumiałe regulaminy. To były także obciążenia dla biznesu.

Więc kto zyska na wejściu RODO w życie?

Wygrają najmądrzejsi. Wygrają te firmy, które potrafią połączyć swój interes z interesem konsumenta.

Jednocześnie konsumenci też coś zyskają.

Dokładnie tak to jest pomyślane. Konsumenci mogą oczekiwać bardziej zrozumiałych informacji oraz nowych, przyjaznych procedur. Z perspektywy użytkownika usług internetowych kluczową zmianą będzie wprowadzenie privacy by default – maksymalnej ochrony prywatności w ustawieniach domyślnych. To oznacza, że każda firma, każdy producent sprzętu czy dostawca aplikacji będzie musiał zadbać o to, by jej produkt nie przetwarzał więcej danych niż to niezbędne i nie zawierał innych „luk”, przez które mogą wyciekać dane (w tym do innych firm – np. w celach marketingowych). Dla użytkowników to duża wygoda i komfort: nawet jeśli nic w tej sprawie nie zrobię, nigdzie nie wejdę, nic w swoich ustawieniach nie przestawię, moja prywatność będzie chroniona. Zważywszy na obecne standardy na rynku usług i urządzeń podłączonych do sieci – do tej pory ustalane raczej przez firmy spoza UE – to akurat będzie pewna rewolucja. Od maja 2018 r. ten sam standard będzie obowiązywał wszystkich dostawców, bez względu na ich siedzibę czy lokalizację serwerów. Realną zmianą będzie też sposób komunikowania w relacji administrator – osoba, której dane dotyczą. Prawnicze klauzule i regulaminy ma zastąpić ludzki język. Komisja Europejska próbuje też wypracować modelowe ikony graficzne, z których będzie można dodatkowo skorzystać.

To, jak komunikować, jest szczegółowo opisane w RODO. Może tu jest jakiś problem?

W tym kontekście również wierzę w siłę marketingu. Skoro firmy są w stanie robić skuteczne kampanie reklamowe, to mogą też robić lepszą robotę, jeśli chodzi o przekazywanie ważnych, merytorycznych komunikatów. Można na to spojrzeć jak na kolejne, ciekawe pole do innowacji. Myślę, że i na tym rynku idei znajdą się liderzy, z których będą brać przykład inne firmy. Co więcej, są takie organizacje jak Fundacja Panoptykon, które zapraszają biznes do współpracy w tworzeniu dobrych praktyk. Od prawie roku zachęcam izby gospodarcze i firmy technologiczne, żebyśmy o tym rozmawiali i najtrudniejsze rzeczy wypracowywali wspólnie. Uważam, że to świetny czas na wspólne projekty, także finansowane ze środków publicznych, by rozwijać takie dobre praktyki w modelu międzysektorowym. Czasu jest coraz mniej, ale my taką pracę chętnie podejmiemy.

Zobacz także: poradnik Fundacji Panoptykon "Nowa filozofia w ochronie danych osobowych: od oceny ryzyka do spójnej strategii w organizacji"