W maju 2018 r. świat informatyki zmienił się bezpowrotnie, ponieważ w życie weszło ogólne rozporządzenie o ochronie danych, powszechnie znane jako rodo. Wprawdzie ma ono zastosowanie, także kiedy przetwarzamy dane osobowe zapisane na glinianych tabliczkach, ale…

Musimy zacząć od ważnego przypomnienia. Rodo jest aktem prawnym, zgodnie z którym administrator samodzielnie ma ocenić ryzyko podczas przetwarzania oraz zastosować odpowiednie i proporcjonalne procedury i zabezpieczenia. Nigdzie w przepisach nie jest napisane, że jeśli zastosujesz XYZ, to dołożyłeś należytej staranności. Będzie to wiadomo, kiedy wydarzy się naruszenie albo regulator uzna, że to, co robiłeś, było nieadekwatne do ryzyka

.
Pierwszy etap rozpoczął się jeszcze przed datą wejścia i skoncentrował się przede wszystkim na stworzeniu „obowiązku informacyjnego”. Nikt nie wiedział, jaki ten obowiązek ma być, a żeby nie został uznany za nieadekwatny, pojawiły się wielostronicowe dokumenty przygotowane przez najbardziej renomowane kancelarie. Podobny proces miał miejsce, kiedy zaczęły powstawać umowy powierzenia, a najbardziej zachwycające były spotkania pomiędzy wielkimi firmami, podczas których każda przychodziła ze swoją wersją dokumentu i głębokim przekonaniem, że nie wolno ustąpić ani o krok. Ostatecznie nasza kancelaria bierze 400 euro za godzinę pracy, a ich tylko 350 euro, więc nasza umowa jest lepsza. No i jest tam wyraźnie zapisane, że my nigdy nie ponosimy żadnej odpowiedzialności, a oni zawsze.

Kiedy ten pył już opadł i wszystkie formalne kwity zostały przygotowane, zaś zarządy z ulgą odetchnęły, można było zająć się tym, co jest fundamentem rodo, czyli ochroną danych osobowych. Ja wiem, że ta kolejność może budzić wątpliwości, ale każdy z nas doskonale rozumie, że w przypadku kontroli to informatyczny proces może być dyskutowany, a brak umowy powierzenia już nie. Jak się wozi węgiel z Węgorzewskiej, to strach jest zawsze, ale zasadniczo trzeba mieć kwit. Samo życie.

W drugim etapie rodo dotarło do IT. Pojawiło się wiele interesujących dyskusji nieznanych w humanistycznie nastawionym środowisku prawników. Na przykład czy po usunięciu na żądanie wszystkich danych osoby, której dane dotyczą, w rejestrze powinna zostać informacja, że dane tej osoby zostały usunięte. Gdyby została, to jednak nie wszystkie dane zostaną usunięte, a jeśli nie zostaje, to skąd wiadomo, że usunęliśmy. Każdy kiedyś napisał kod z pętlą, która się nie chciała zamknąć. Idee privacy by design oraz privacy by default rozpracowywano do poziomu pojedynczej linii kodu. Ocena skutków dla ochrony danych niekiedy była programem, niekiedy arkuszem do wypełnienia. Rejestr czynności przetwarzania nakazywał rozważyć, czym jest rejestr, a także jakie czynności przetwarzania należy rejestrować, jak przechowywać, jak usuwać i jakie do tego będą najlepsze narzędzia. Rozmów i rozważań było mnóstwo, bo – jak jeszcze raz warto przypomnieć – o tym, że nie zastosowaliśmy adekwatnej ochrony, dowiadujemy się z decyzji Prezesa UODO.

W marcu 2019 r. pojawiły się pierwsze kary. Zazwyczaj dotyczyły dosyć oczywistych przewin, ale wielu informatyków już wie, że warto stosować MFA nie tylko dlatego, że to bezpieczne, ale również dlatego, że brak 2FA był powodem nałożenia najwyższej kary w Polsce. Lipiec 2020 r. przyniósł anulowanie Tarczy Prywatności przez TSUE, a wówczas najważniejszym tematem stała się lokalizacja danych oraz przemożna obawa, że jakiekolwiek dane mogą wyjść poza EOG. Pytań było wiele, rozważań teoretycznych jeszcze więcej. Praktyka zwyciężała, bo jak pamiętamy, rodo bazuje na ocenie ryzyka, a regulatorzy europejscy wcale nie byli chętni do stawiania wymagań, które na samym końcu mogły obniżyć bezpieczeństwo danych. Patrzyli więc na zasadniczy cel stosowania rozporządzenia.

Cztery barwne lata z rodo i liczba różnych zadań, jakie się w tym czasie pojawiły, pokazały, jak bardzo regulacje wkroczyły do świata IT. Prócz rodo pojawiły się regulacje sektorowe (np. sektory finansowy, publiczny) czy wybranych zagadnień (np. ustawa o krajowym systemie cyberbezpieczeństwa). Wymaganie zgodności z regulacjami stało się coraz poważniejszą częścią procesu wdrożenia systemu informatycznego. Niestety także kosztowną i angażującą coraz więcej zasobów. Rodo to tylko pierwsza lekcja, pierwszy kot za płotem. Przed nami kolejne regulacje dotyczące stosowania sztucznej inteligencji (AI Act), dzielenia się danymi (DGA), cyberbezpieczeństwa (NIS2) czy Data Act często nazywany „rodo dla danych przemysłowych”. To nie koniec listy, to prawdziwe legislacyjne tsunami. Wszystkie będą w mocy w ciągu 24–48 miesięcy. Informatyko, bądź gotowa, idziemy po ciebie!

Michał Jaworski – autor od niepamiętnych czasów związany z polskim oddziałem firmy Microsoft.