Piotr Ślusarczyk
Już wiesz, że kluczowe znaczenie ma niepodważalna zgoda od osoby, której dane dotyczą i oprogramowanie, które zapewni nie tylko rozliczalność i bezpieczeństwo danych, ale także wspomoże w realizacji nowych obowiązków. W procesie konwalidacji oprogramowanie staje się również niezbędnym środowiskiem, które zapewni że uzdrawianie danych będzie procesem ciągłym i będzie miało sens.
Może to nie do końca bezpośrednia analogia, ale tak jak nam ludziom trudno wyzdrowieć, kiedy przebywamy w nieprzyjaznym środowisku, tak w przypadku danych osobowych niemożliwe jest ich uzdrowienie bez przetwarzania ich w odpowiednim środowisku. Środowisko danych musi zapewniać wymianę informacji z osobami, których dane są przetwarzane oraz monitorować ten proces zapewniając rozliczalność danych. Wprawdzie kluczowa jest zgoda na przetwarzanie danych, ale trzeba zapewnić możliwość jej wycofania i sprostać szeregowi obowiązków informacyjnych, których nie da się zrealizować dysponując zwykłą pocztą elektroniczną i arkuszem kalkulacyjnym. A już na pewno nie będzie to wykonalne kiedy z danymi pracuje w tej formie więcej niż jedna osoba.
Dlatego chcemy przybliżyć zagadnienie przyjaznego środowiska dla danych. Pokażemy na co zwrócić uwagę przy wyborze oprogramowania przed rozpoczęciem procesu konwalidacji danych i podpowiemy jak tę konwalidację wykonać. Opisujemy problemy przed jakimi staniesz i dajemy rady jak je rozwiązać wykorzystując funkcjonalności oprogramowania.
1. Dostęp do danych - kto może przetwarzać dane?
Od zawsze wiadomo, że najsłabszym elementem bezpieczeństwa systemów informatycznych jest człowiek. Dlatego system do zarządzania kontaktami medialnymi zgodny z wymogami RODO, powinien umożliwić definiowania polityki haseł w systemach informatycznych dla użytkowników w firmie. Coraz cześciej polityka haseł firm wymaga uwierzytelniania wieloetapowego (MFA) podczas logowania. To nie tylko bezpieczne, ale i wygodne rozwiązanie dla użytkowników bo hasło jednorazowe generuje aplikacja na telefonie komórkowym.
Ogromne znaczenie ma również system nadawania uprawnień do systemu. Nie każde konto dostępowe do systemu zaprojektowanego do komunikacji powinno oznaczać dostęp do danych osobowych i wszystkich operacji na danych. Dobrze aby producent oprogramowania przewidział dodatkowe uprawnienie opiekuna danych osobowych.
Porady:
1.) Zapewnij dostęp do danych osobowych tylko osobom, które rzeczywiście go potrzebują i które wcześniej zapoznały się z niezbędnymi procedurami wymaganymi w tym celu. Pamiętaj, że niedopuszczalne jest aby na jedno konto użytkownika logowało się więcej osób. To poważane naruszenie nie tylko nowego rozporządzenia o ochronie danych osobowych.
2.) Naruszeniem, stwarzającym duże zagrożenie sankcjami jest również przypadkowe ujawnienie danych odbiorców w przypadku wysyłki maila, przez omyłkowe wstawienie wielu adresów w pole DW/CC w kliencie poczty. Dlatego oprogramowanie do komunikacji firmy powinno systemowo eliminować takie zagrożenie (zapobieganie wyciekowi danych)
3.) Dostęp do danych osobowych będzie obwarowany koniecznością zapoznania się pracowników z szeregiem procedur i podpisania stosownych oświadczeń. Najlepiej wybrać rozwiązanie, w którym uruchomienie wysyłki nie zawsze będzie wymagało konieczności dostępu do danych. Możliwość wysyłki informacji przez automat w kilka minut po publikacji, czy uruchomienie procedury wysyłki bez konieczności pracy z danymi to cecha która sprawdzi się w codziennej pracy oraz zapobiegnie ewentualnemu wyciekowi danych z powodu przypadkowego lub celowego działania pracownika.
2. Zarządzania kontaktami - porządkowanie bazy, ratowanie kontaktów, usuwanie rekordów
Oprogramowanie do komunikacji firmy, które spełnia wymogi RODO to nie tylko baza kontaktów, ale narzędzie komunikacji, które musi uwzględniać różne "układanki" i modele współpracy firma - agencja public relations. Agencja public relations będzie administratorem danych osobowych przetwarzającym je w różnych celach związanych z realizowanymi projektami. Ta sama agencja public relations może wystąpić również w roli podmiotu przetwarzającego dane w imieniu administratora, którym będzie firma klienta. Taki zbiór danych będzie musiał mieć również przypisany cel przetwarzania.
(zrzut ekranu pochodzi z oprogramowania netPR.pl, która wkrótce zostanie udostępniona wszystkim użytkownikom)
Baza kontaktów do systemu komunikacji firmy powinna mieć rozbudowane możliwości operowania na celach przetwarzania danych. Agencja public relations będzie zapewnie chciała zbudować bazę kontaktów z uniwersalnym celem, który umożliwi jej wykorzystanie do komunikację dla wszystkich realizowanych projektów i różnych firm dla których pracuje. Ale będą przypadki kiedy nowy projekt będzie wymagał zdefiniowania nowego celu, lub modyfikacji istniejącego celu przetwarzania. Innym firmom będzie łatwiej ale celów przetwarzania będzie również więcej niż jeden i będą zmieniały się w czasie. Oprogramowanie powinno takie procesy umożliwić i monitorować.
(zrzut ekranu pochodzi z oprogramowania netPR.pl, która wkrótce zostanie udostępniona wszystkim użytkownikom)
W rozwiązaniu w którym do jednego kontaktu będzie mogło być przywiązanych wiele celów kluczowe znaczenie dla przydatności oprogramowania będzie miało zarządzanie danymi w oparciu o cele oraz system przydzielania uprawnień i dostępów do danych dla użytkowników.
Porady:
1.) Jeżeli zgoda na przetwarzanie danych została uzyskana przez rejestrację w biurze prasowym na stronie internetowej lub przez rejestrację w newsletterach firmowych, wystarczy że określisz cele przetwarzania danych z uwzględnieniem wymogów nowych regulacji i przypiszesz je odpowiednim kontaktom. Może się zdarzyć tak, że do jednego kontaktu będzie przypisanych więcej celów przetwarzania - np. ten sam kontakt dziennikarza może w wyniku zapisania się do newslettera dla inwestorów funkcjonować z celem jakim będzie komunikacja z mediami jak i komunikacja z inwestorami.
2.) Zwróć uwagę, że specjaliści od ochrony danych osobowych nie muszą znać specyfiki komunikacji z mediami. Dlatego zachowaj czujność przy definiowaniu celów przetwarzania (definiowanie celów będziemy poruszali w następnych wpisach), bo w ramach konwalidacji danych mogą domagać się usunięcia ich zdaniem nadmiarowych danych, które są jednak niezbędne w codziennej pracy. Wynika to z wymogu minimalizacji gromadzonych danych.
3.) W przypadku powierzenia zbioru danych agencji public relations oprogramowanie musi zapewnić jego oznaczenie i zapewnienie dostępu tylko dla upoważnionych osób. Operacje na tym zbiorze danych nie powinny mieć wpływu na zbiór danych własnych agencji. Ona w przypadku tego zbioru danych nie jest administratorem tylko podmiotem przetwarzającym.
4.) Jeżeli twojej bazie są osoby, które wyraziły zgodę na komunikację, ale nie udokumentowałeś tego, a jedynie pamiętasz okoliczności w jakich pozyskałeś do nich kontakty, lub po prostu regularnie czytują twoją korespondencje, odpisują na wiadomości i/lub przyjmują zaproszenia na konferencje - możesz podjąć próbę konwalidacji takich kontaktów.
Jak to zrobić?
Wskazany jest kontakt z taką osobą nawiązujący do wypracowanych relacji lub okoliczności, aby upewnić się, że na pewno te osoby chciałyby zostać w gronie odbiorców informacji i materiałów prasowych, wyrażając na to jednoznaczną i niepodważalną zgodę poprzez wypełnienie formularza rejestracji w biurze prasowym. Dziennikarze i media potrzebują dobrych materiałów prasowych i dlatego z pewnością będzie łatwiej uzyskać ich zgodę, tym bardziej że rozporządzenie zapewnia im również mechanizmy obrony przed zalewem niechcianych informacji.
Ta metodę można również użyć do adresów mailowych redakcji, choć to zwykle dane dostępne publicznie, które można gromadzić i przetwarzać przy zachowaniu pewnych zasad. Dyskusyjne jest jednak to czy można wykorzystywać je do wysyłania informacji. W przypadku blogów i małych redakcji adres redakcyjny może być również interpretpwany jako dana osobowa.
5.) Jeżeli nie znasz pochodzenia danych będzie bezpiecznej jeżeli je usuniesz. Wysłanie prośby o wyrażenie zgody na przetwarzanie, jeśli nie pochodzą one z publicznie dostępnych źródeł, będzie naruszeniem aktualnego ustawodawstwa i narażać Cię będzie na sankcje administracyjne - wkrótce znaczące. W przypadku danych, pozyskanych ze źródeł publicznie dostępnych, nie ma przeszkód dla ich przetwarzania, jeśli dopełniony będzie obowiązek informacyjny, jednak nadal samo dopełnienie obowiązku informacyjnego nie stanowi przesłanki do wykorzystywania takich danych do wysyłania jakichkolwiek materiałów marketingowych.
Wykorzystaj dobrze czas do 25 maja 2018 roku. Zapraszaj dziennikarzy w codziennych kontaktach, konferencjach i informuj o konieczności rejestracji w biurze prasowym firmy. Informuj, że od 25 maja bez tego nie będzie możliwy kontakt i dostarczanie materiałów prasowych.
3. Minimalizacja danych - tylko tyle danych ile potrzebujesz
Minimalizacja zakresu przetwarzanych danych to ograniczenie gromadzonych danych tylko do tych niezbędnych wymaganych do realizacji określonego celu w określonym czasie. Dlatego w przypadku funkcjonowania biur prasowych/newsroomów, dużym wyzwaniem będzie sensowne opracowanie celów przetwarzania danych. Na pewno warto wymagać od oprogramowania takich funkcjonalności jak:
• możliwości tworzenia zbiorów danych z uwzględnieniem wymaganych danych oraz minimalizacji zakresu przetwarzania
• blokowanie zbierania danych bez określonych celów i treści klauzul informacyjnych oraz zgód na podstawie których przetwarzane są dane
• funkcjonalność - jeden formularz wiele zbiorów i celów - wycofanie zgody usunie tylko dane powiązane z jednym celem przetwarzania a nie wszystkie dane
Porada:
Jeżeli celem przetwarzania będzie "wysyłanie materiałów prasowych" w ramach konwalidacji danych będziesz musiał ograniczyć swoje dane tylko do adresu e-mail. Cele muszą być konkretne i jasno sprecyzowane dlatego, chcąc poprosić o numer telefonu, imię i nazwisko czy nazwę redakcji cel musi być inaczej sprecyzowany lub tych celów przetwarzana powinno być więcej.
4. Rozliczalność, raportowanie i realizacja obowiązków wynikających z rozporządzenia
Bardzo istotnymi funkcjami, które powinno zapewnić oprogramowanie jest ułatwienie procesów dokumentowania i raportowania. Wgląd w operacje na danych osobowych dostarczanie informacji co się z nimi dzieje w czasie i w praktyce umożliwia wywiązywanie się z obowiązków i reagowanie na zgłoszone żądania, a także naruszenia.
Ważną funkcjonalnością dla raportowania będzie możliwość opisywania działań na danych celami przetwarzania czy automatyczne informowanie osób, których dane są przetwarzane, o celach przetwarzania oraz zarządzanie żądaniami dostępu do danych, ich poprawiania, sprzeciwu lub ich usunięcia (także prawa do bycia zapomnianym).
Porada:
Przygotuj się do realizacji prawa sprzeciwu i prawa do bycia zapomnianym. Prawidłowe wykonane tych praw będzie możliwe w agencji PR tylko w przypadku korzystania z centralnego systemu do zarządzania bazą kontaktów medialnych. Wyobraź sobie sytuację, że dany dziennikarz żąda usunięcia z bazy - chce zostać zapomnianym lub wyraża sprzeciw wobec przetwarzania swoich danych w danym celu. Jeżeli 30 konsultantów posiada ten sam kontakt w oddzielnych plikach i na kilku urządzeniach - nie będzie można nad tym zapanować. Co więcej gdy kontakt zażąda odpięcia jedynie jednego z kilku celów? To niemożliwe przy tradycyjnych metodach pracy.
5. Bezpieczeństwo danych - pseudoanonimizacja i bezpieczeństwo na etapie projektowania
Zapewnienie bezpieczeństwa danym to standardowy wymów, który wg. rozporządzenia RODO powinno być zapewnione jako cecha domyślna już na etapie projektowania programowania. Chodzi o to aby zapobiegać a nie reagować na nieprawidłowości po ich zaistnieniu. Dlatego przechowywane dane powinny być pseudoanonimizowane, uprawnienia do eksportu danych domyślnie zablokowane, a w przypadku gdy do eksportu dojdzie - zabezpieczone hasłami.
Porada:
Nie przechowuj danych osobowych w niezaszyfrowanych arkuszach kalkulacyjnych, w wielu lokalizacjach i na urządzeniach niezabezpieczonych hasłami dostępu - nie zapanujesz nad ich bezpieczeństwem. Wybierz oprogramowanie do zarządzania kontaktami, który zapewni bezpieczeństwo i pomoże wywiązać się z obowiązków rozporządzenia.
Konwalidacja oraz przetwarzanie danych nie jest możliwe bez oprogramowania
Tworzenie własnych systemów do zarządzania bazą kontaktów i prowadzenia komunikacji firmy, zaprojektowanych do wymogów RODO będzie zbyt długotrwałe i kosztowne. Wymogi stawiane przez rozporządzenie są na tyle wysokie, że nawet mniejsi dostawcy rozwiązań w chmurze mogą nie podołać zadaniu, jeśli przygotowania rozpoczęli zbyt późno lub podeszli do tematu płytko.
W momencie pisania tego tekstu nie ma na rynku podmiotu, który oferuje oprogramowanie dedykowane komunikacji, które pozwoliłoby efektywnie spełnić wymogi RODO. Rozwiazanie nad którym pracuje od ponad roku netPR.pl pojawi się juz wkrótce i zostanie uruchomione na kontach wszystkich klientów. Wszystkie funkcjonalności związane z RODO określone na stronie https://rodo.netpr.pl oprogramowanie zyska do 24 maja 2018 roku.
W kolejnych częściach naszego cyklu "Konwalidacja baz danych w czasach RODO" postaramy się podpowiedzieć jak poprawnie gromadzić nowe kontakty medialne oraz przybliżymy kweste definiowania celów przetwarzania.
Powyższy tekst nie jest poradą prawną.