RODO jako akt prawny wskazujący… nie, nie będę tak pisał, ponieważ nie jestem prawnikiem, a ramy RODO wyznaczają tylko konkretne zakresy ochrony. Niczego nie narzucają co do formy, sposobów, czy metod. W niektórych miejscach jest bardziej precyzyjne, w innych bardzo ogólne. To na administratorze spoczywa obowiązek pogodzenia wymagań prawnych ze swoim biznesem. Jak zresztą we wszystkich obszarach regulowanych.
Innymi słowy – biznes jest fundamentem i kluczowe są jego procesy. A przetwarzanie danych zachodzi w procesach biznesowych. Nigdy odwrotnie. Takie podejście pozwoli na zrozumienie, jak stosować przepisy prawa. Stosować – to znaczy nie tylko je interpretować i opisywać rzeczywistość, ale aby ta rzeczywistość była rzeczywistością, a nie pustymi deklaracjami i zobowiązaniami wyrażonymi na papierze.
Cele przetwarzania
Zacznijmy od celów przetwarzania danych osobowych. W art. 5 RODO wskazane są zasady fundamentalne, a jedną z nich jest cel czy cele przetwarzania. Przewijają się w niemalże wszystkich zasadach fundamentalnych opisanych w art. 5.1 RODO.I tu pojawia się pierwszy, wręcz fundamentalny problem ze zrozumieniem RODO. Zrozumienie wymaga nieco posługiwania się językiem angielskim i sięgnięcia do wydania właśnie anglojęzycznego czyli GDPR.
Cele – dzieląc na cele strategiczne, taktyczne i operacyjne są nadal celami. Określanymi jednym słowem – cel. A więc:
- Cel strategiczny – ogólny, mniej precyzyjny, wskazujący kierunek jest celem.
- Cel taktyczny i operacyjny – bardziej precyzyjne, ze wskazaniem efektów, które wskażą, że zostały zrealizowane. Mierzalne, zamknięte w konkretnych terminach. To też cel czy cele.
W języku angielskim jest nieco inaczej.
- Purpose – cel o charakterze ogólnym, strategicznym. Wyznacza ogólny kierunek.
- Objective – cel wyraźniejszy, możliwy do opisania przez wyniki.
- Goal – cel bardzo konkretny, z miernikami i czasem.
W art. 5 mowa jest o “purpose”, czyli celu ogólnym. Analogicznie do norm ISO zawierających wymagania (ISO 27001, ISO 22301, ISO 9001 i innych), wszędzie tam są cele o charakterze strategicznym czyli purpose. Cele dla ochrony danych wynikają z celów działania organizacji, tych na najwyższym poziomie, zawartych w misji i wizji organizacji oraz polityce deklaratywnej. To jest fundament i rama dla wszystkich wdrożeń systemów ochrony danych, które mają być zgodne z RODO (wszystkich systemów nie tylko RODO).
Z tych celów, kaskadowo (czy jak czasem niektórzy mówią – warstwowo) pojawiają się cele związane z procesami, które są realizowane (zachodzą) w organizacjach. Procesy nie są zawieszone w próżni. Ich przebieg, wymagania, efekty mają dostarczy celu głównego organizacji.
Są to procesy:
- Główne – związane bezpośrednio z celem funkcjonowania organizacji, a więc te tworzą produkty lub usługi, które dostarcza organizacja. Podobnie jest w administracji publicznej, gdzie “organizacje” mają określone cele na podstawie przepisów prawa, czy organy na podstawie ustawy o działach w administracji rządowej.
- Zarządcze – to takie procesy, w których dochodzi do decyzji o sposobie działania organizacji zarówno na poziomie strategicznym, jak i na poziomach konkretnych działów, komórek organizacyjnych i stanowisk.
- Pomocnicze – to procesy, które wspierają realizację procesów głównych i zarządczych.
Klasyfikacja procesów oraz poprawnie wykonane mapy procesów są bardzo pomocne z punktu widzenia zgodności z RODO. Procesy główne, można przyjąć, że wskazują PO CO dane osobowe są w organizacji przetwarzane. Odpowiedź jest prosta – realizować jej cel powstania (purpose). Same procesy główne pozwalają już na to, aby zidentyfikować te cele bardziej precyzyjnie. Procesy zarządcze i pomocnicze są w organizacji po to, aby można było realizować procesy główne. I tylko po to. Mam nadzieję, że już powoli zaczyna czytelnikowi klarować się spójność zasady z art 5.1.b nazywaną ograniczeniem celu.
Dla przykładu organizacja zajmująca się produkcją komponentów i części na zlecenie innych firm. Nazwijmy ją firmą A. Marketing tej organizacji polega na tym, że tworzy ona możliwości produkcji swojego wyrobu i wyszukuje klienta korporacyjnego, który zleci produkcję masową. Klient, firma B określa parametry produktu, często przekazując swoją dokumentację.
Dane osobowe w firmie A, niezbędne do dostarczenia swojego produktu (wcześniej wytworzenia) są związane z celem istnienia organizacji, a więc (tylko kilka przykładów):
Dane osobowe pracowników, w tym produkcji. W zakresie nie tylko takim, jak jest określony w katalogu w Kodeksie Pracy, ale również te, które dotyczą konkretnej technologii stosowanej w firmie A.
Dane marketingowe w zakresie kontaktów z przedstawicielami firmy B i do niej podobnych.
Jaki zakres danych będzie zbyt szeroki? Również kilka przykładów:
Dane marketingowe o funkcjonalności komponentu, a więc np. opinie i dane osób, które je wyrażają. Jako, że bezpośrednim klientem firmy jest firma B, nie indywidualne osoby, w tym przypadku (modelowo) dane będą zbierane jako nadmiarowe. W wielu przypadkach również postępowanie reklamacyjne polegać będzie tylko na ocenie komponentu i jego parametrów jakościowych, korespondencję prowadzi firma B. A więc i korespondencja w tym przypadku będzie nadmiarowa.
Podsumowanie
Przykładów można mnożyć wiele, wiele jest również organizacji i ich powiązań, których nie da się ułożyć w schematy. RODO jest przepisem bardzo elastycznym i możliwym do zrealizowania w sposób niemalże niezauważalny dla biznesu. Aby to jednak zrealizować należy poznać biznes i od niego zacząć, nie zaczynać od pojedynczych, wyrwanych często z kontekstu obowiązków typu “klauzule informacyjne” czy rejestr czynności przetwarzania danych. Oba te dokumenty (i wiele innych) “zrobią się same”, gdy zrozumiemy biznes, jego cel główny.
Kończąc dzisiejszy krótki artykuł, argument, którego używałem w rozmowach z wieloma zarządami, w sytuacji gdy chciano zbierać dane “na wszelki wypadek”. Tam, gdzie kończyła się już argumentacja, że “w waszym biznesie te dane nie są potrzebne” zadawałem pytanie:
Czy surowca i maszyn, komputerów i samochodóœ też macie w nadmiarze? Bo nie widziałem na hali ani w magazynach, ani w biurze czy na parkingach.
