Szczegoly

Reguły rządzące prywatnością danych szybko ulegają przedawnieniu. W burzliwym 2020 roku, obejmującym liczne wyzwania związane z jednoczesnym dostosowaniem prawa do pracy zdalnej, przeciwdziałaniem zagrożeniom dla ochrony danych wobec Covid-19 i wprowadzaniem nowym przepisów, specjaliści ds. ochrony danych musieli uporać się z wieloma problemami.

Zbieżność pojawiania się nowych i zmieniających się zagrożeń dla prywatności danych rozciąga się również na cały 2021 rok, który prawdopodobnie będzie rokiem wyjątkowo trudnym, jak poprzedni. Wśród wielu niewiadomych jedno jest pewne: pandemia zmieniła profil profesji związanych z ochroną danych i prywatnością. W ostatnim raporcie IAPP¹ (ang. International Association of Privacy Professionals) na temat zarządzania prywatności danych ponad 40% respondentów stwierdziło, że prywatność stała się ważniejsza dla ich organizacji w następstwie Covid-19, a tylko 5% stwierdziło, że stała się mniej ważna.

Eksperci i specjaliści ds. ochrony danych, prywatności i pracownicy działów IT na całym świecie stają przed niezliczonymi pytaniami dotyczącymi przyszłości ich ról, obowiązków regulacyjnych, postępu technologicznego i kwestii, które powinni traktować priorytetowo.

Jakie są najbardziej krytyczne problemy związane z prywatnością danych, które pojawiły się w wyniku Covid-19?

Na początku pandemii organizacje zaczęły badać, jakie dane osobowe mogą gromadzić pracodawcy i jak mogą wykorzystywać informacje o stanie zdrowia pracowników w ramach swoich wysiłków na rzecz zapewnienia bezpieczeństwa miejsc pracy. Liczne badania wskazują, że ponad połowa organizacji zbiera obecnie dane zdrowotne i inne wrażliwe informacje o swoich pracownikach, aby przeciwdziałać rozsiewaniu koronawirusa SARS-CoV-2. Stwarza to poważne wyzwania dla prywatności danych, ponieważ wobec zaistniałej sytuacji pracodawcy zobligowani są do zarządzania dodatkową ilością danych i zapewnienia ich odpowiedniej ochrony.

Kolejną kluczową kwestią jest wzrost wykorzystania narzędzi opartych na tzw. "chmurze" i narzędzi do kontaktów on-line, które zapewniają ciągłość biznesową pracownikom pracującym zdalnie. Wzmocnienie procedur i zasad ochrony danych w tych narzędziach i środowisku rozproszonym stało się poważnym wyzwaniem dla działów prawnych i specjalistów ds. bezpieczeństwa. Wiele osób nadal pracuje nad najlepszymi praktykami, aby chronić swoje organizacje w nowej pandemicznej rzeczywistości.

Jakie zagrożenia są związane z gromadzeniem i przetwarzaniem danych o stanie zdrowia pracowników?

Badanie IAPP wykazało, że około połowa organizacji, które zbierają dane dotyczące zdrowia pracowników, nie przeprowadziło oceny wpływu na prywatność danych w celu określenia zagrożeń związanych z gromadzeniem, przechowywaniem i wykorzystywaniem tych informacji. Organizacje powinny przeprowadzić taką ocenę, aby uniknąć nieproporcjonalnego gromadzenia danych i zapewnić silną ochronę wszelkich poufnych informacji, które pozyskują od pracowników lub innych osób. Powinny również zapewnić ochronę tych danych przez cały cykl życia i finalnie zadbać o bezpieczne ich usunięcie, gdy już nie będą potrzebne. W idealnej sytuacji kwestie te powinny zostać ustalone, zanim nastąpi gromadzenie i przetwarzanie danych.

Jak zmienią się priorytety w zakresie prywatności danych w nadchodzącym roku?

Jak ujawniono w raporcie IAPP, RODO nadal zajmuje czołowe miejsce pod względem priorytetów prywatności. I chociaż RODO nadal determinuje nadrzędnie kwestie związane z ochroną danych, wiele firm żongluje obecnie wieloma międzynarodowymi regulacjami prawnymi. Rozszerzenie programów ochrony prywatności poza ich wymagane jurysdykcje, wiele organizacji traktuje jako sposób na wzmocnienie zaufania konsumentów i pracowników.

W jakim stopniu bezpieczeństwo danych wpłynie na zakres obowiązków IOD?

Rosnąca liczba naruszeń danych, związanych z danymi dotyczącymi zdrowia, podobnie jak inne zagrożenia cybernetyczne, stanowi wyzwanie dla inspektorów ochrony danych osobowych, którzy muszą stale je monitorować, aby mieć pewność, że rozumieją ryzyko i sposób, w jaki organizacja na nie reaguje.

Co należy wziąć pod uwagę w odniesieniu do działań związanych z transgranicznym transferem danych?

Niejednoznaczność prawa w zakresie międzynarodowego transferu danych stworzyła wiele problemów dla organizacji międzynarodowych. Możliwość przesyłania danych to kwestia ciągłości biznesowej i chociaż wiele organizacji w dobie pandemii Covid-19 wstrzymało lub znacznie ograniczyło międzynarodowe transfery danych to problem ten w perspektywie długofalowej musi zostać rozwiązany. Bez dodatkowych wskazówek ze strony władz będzie to niezwykle trudne przedsięwzięcie.

Jaka powinna być idealna struktura raportowania dla IOD, aby skutecznie chronić dane w coraz bardziej złożonym środowisku?

Kluczowe znaczenie w ochronie danych osobowych ma struktura raportowania, która wzmacnia odpowiedzialność i zaangażowanie na wszystkich szczeblach przedsiębiorstwa. Stawka w kwestii silnej prywatności danych jest teraz wyższa niż kiedykolwiek i ważne jest, aby wspierać ochronę danych w całej organizacji. Najlepszym sposobem, aby to osiągnąć są bezpośrednie konsultacje z ekspertami ds. prywatności, którzy ściśle współpracują z zarządem i kierownictwem przedsiębiorstwa.

Chociaż bariery w uzyskaniu zgodności z przepisami dotyczącymi prywatności i ochrony danych są coraz większe i liczniejsze, to nie wszystko widziane jest w odcieniach szarości. Prywatność dotyka niektórych z najważniejszych problemów społecznych naszych czasów, a organizacje mają szansę dokonać realnej zmiany. To, co dzieje się z poufnymi informacjami i silna postawa w zakresie prywatności danych mogą sprawić, że przedsiębiorstwo będzie jednocześnie przestrzegać przepisów i osiągnie większą wartość biznesową. Dzięki proaktywnemu podejściu do nadchodzących zmian można opracować politykę i struktury prywatności danych, które będą stanowić filary lepszej, bardziej odpornej na zagrożenia organizacji.

¹ IAPP-FTI Consulting Privacy Governance Report 2020
https://iapp.org/media/pdf/resource_center/IAPP_FTIConsulting_2020PrivacyGovernanceReport.pdf