RODO i ochrona danych w projektach RPA
W kontekście robotyzacji największe emocje budzą zawsze dwa tematy – potencjalne zagrożenie dla miejsc pracy i ochrona danych w projektach RPA.
O pierwszej sprawie wielokrotnie pisaliśmy m.in. w artykule „Czy roboty to zagrożenie czy nowe możliwości dla rynku pracy?” i opowiadaliśmy m.in. podczas wykładów na Uniwersytecie Robotycznym. Przyszedł więc czas, żeby zmierzyć się z drugim zagadnieniem. Szczególnie, że robotyzacja jest doskonałą odpowiedzią na wyzwania związane z szeroko pojętą ochroną danych.
Dlaczego ochrona danych w projektach RPA jest taka ważna?
Przede wszystkim zagrożenia są realne i wielokrotnie o nich pisano. Jak podaje ZFODO w raporcie „Incydenty Ochrony Danych Osobowych 2021” do branż najbardziej narażonych na ryzyko naruszeń ochrony danych osobowych możemy zaliczyć:
- handel,
- e-commerce,
- zdrowie,
- przemysł
- oraz ubezpieczenia.
Raport ten, przeprowadzony na niemal 400 firmach, wykazał, że blisko 70% incydentów dotyczących naruszeń danych, nie zostało zgłoszonych do Regulatora. Najczęstszą przyczyną naruszenia ochrony danych jest ujawnienie danych osobowych niewłaściwemu odbiorcy.
Liczba i powaga incydentów rośnie w coraz większym tempie. Cyfrowa transformacja poza wielkimi korzyściami, które przynosi firmom, ma też swoje ciemniejsze oblicze związane z wszechobecnością danych, które trzeba chronić.
RODO jako uniwersalny drogowskaz
W Unii Europejskiej najlepszym punktem odniesienia jest tzw. RODO, czyli bardzo formalnie – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Jakkolwiek RODO obowiązuje tylko na terenie UE, to reguły i zasady, które z niego wynikają są uznawane za doskonały zestaw dobrych praktyk związanych z przetwarzaniem i ochroną danych osobowych w ogóle.
Zasady i prawa wynikające z RODO
Z RODO wynika kilka podstawowych zasad:
- Zasada legalizmu – przetwarzanie danych osobowych musi odbywać się zgodnie z prawem, a więc z poszanowaniem nakazów i zakazów umieszczonych przez ustawodawcę w aktach normatywnych.
- Zasada rzetelności i przejrzystości – obowiązek nałożony na administratora danych o konieczności udzielania jasnej i precyzyjnej informacji we wszystkich sprawach dotyczących przynależnych do osoby danych.
- Zasada celowości – cel, w jakim podmiot zbiera dane osobowe musi być wyrażony w sposób konkretny, wyraźny i prawnie uzasadniony.
- Zasada adekwatności – dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
- Zasada prawidłowości – przetwarzane dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane.
- Zasada retencji – obowiązek ograniczenia czasowego przetwarzania danych osobowych.
- Zasada integralności i poufności oraz rozliczalności – dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo.
Zasady RODO a ochrona danych w projektach RPA
Zasada legalizmu
Zasada legalizmu jest bardzo ogólna. W największym skrócie – nasze roboty powinny przetwarzać dane zgodnie z prawem. Bardzo trudno tutaj o jakieś szczególnie praktyczne wskazówki. Na pewno warto zadbać, aby wszelkie umowy i kontrakty na dostawę i utrzymanie robotów uwzględniały zapisy dotyczące przetwarzania danych. Należy wprost napisać, w jaki sposób będziemy z tych danych korzystać. Powinniśmy zaznaczyć kto będzie miał do tego prawo i na jakich zasadach. Często takie dokumenty zawierają także podział odpowiedzialności za dane pomiędzy zaangażowane strony.
Zasada rzetelności i przejrzystości
Zasada rzetelności i przejrzystości nałożona na administratora jest intuicyjnie zrozumiała. Musimy wiedzieć gdzie i w jakim celu gromadzimy i przetwarzamy dane. Zwykle takie informacje powinny być częścią dokumentacji systemów informatycznych lub opisów procesów. W każdej organizacji są osoby odpowiedzialne za poszczególne procesy. Osoby te – najczęściej zwane właścicielami procesów – powinny dysponować szczegółowymi informacjami na temat zadań. W rzeczywistości zdarza się dość często, że dokumentacja nie istnieje lub jest niekompletna. Wówczas na pomoc mogą przyjść roboty. Popularne platformy oferują najczęściej narzędzia, które od ręki mogą wygenerować schemat procesu, który jest jednocześnie najlepszą, bo realnie działającą i aktualną dokumentacją procesu.
Zasada celowości i adekwatności
Zasady celowości i adekwatności zwykle nie dotyczą robotów. Powód, dla którego gromadzimy dane jest niezależny od konkretnych rozwiązań informatycznych. Może się jednak zdarzyć sytuacja, w której roboty tworzą dodatkowe zbiory danych niezbędne do prawidłowego wykonania procesu. Wówczas zasada celowości i adekwatności obowiązuje i musimy mieć absolutną jasność, dlaczego takie dane tworzymy i przetwarzamy.
Zasada prawidłowości
Zasada prawidłowości jest szczególnie ważna w kontekście robotów. Przede wszystkim błędy w danych, a w szczególności w danych osobowych pojawiają się bardzo często na skutek ludzkiej pomyłki. Zastosowanie robotów praktycznie eliminuje ten problem i powoduje, że wzrasta jakość danych. Dodatkowo roboty idealnie nadają się do monotonnych procesów monitoringu i weryfikacji poprawności danych. W przypadku zespołów ludzkich praktycznie niemożliwa jest weryfikacja poprawności i spójności danych na dużą skalę. Roboty bez wysiłku, każdego dnia mogą przeglądać wybrane fragmenty lub nawet całe bazy danych pod kątem rozbieżności, a nawet automatycznie je weryfikować.
Zasada retencji
Zasada retencji wprost nie dotyczy robotów, bo zwykle dane przechowuje się w bazach danych aplikacji. Może się jednak zdarzyć, że roboty na potrzeby wykonywania procesu będą zapisywały dane osobowe w swoich wewnętrznych rejestrach lub logach systemowych. Wówczas takie dane powinniśmy usuwać tak szybko, jak tylko nie są już niezbędne go prawidłowej pracy robota. Jeśli nie jest to absolutnie konieczne należy jednak w ogóle unikać takich sytuacji.
Zasada integralności i poufności oraz rozliczalności
O ile wszystkie omówione dotąd zasady dotyczyły głównie kwestii proceduralnych, to zasada integralności i poufności oraz rozliczalności ma największe praktyczne konsekwencje. Ochrona danych w projektach RPA wynika z codziennej pracy systemów. Dlatego trzeba o niej pamiętać cały czas i na bieżąco monitorować wszelkie awarie, błędy, czy próby ataku. Podobnie jak w przypadku zasady prawidłowości również tutaj roboty zdecydowanie przyczyniają się do podniesienia bezpieczeństwa i jakości danych. Z jednej strony eliminują błędy ludzkie, które mogłyby naruszyć integralność danych. Z drugiej strony poprzez ograniczenie dostępu wielu osób do danych znacznie zwiększają ich poufność. Jeśli rutynowe czynności związane z aktualizacją i synchronizacją danych powierzymy robotom, to znacznie mniej ludzi będzie miało okazję, aby takie dane wykorzystać niezgodnie z ich przeznaczeniem. Dodatkowo roboty można w 100% rozliczyć z każdego dostępu do danych. Możemy na poziomie projektu robota narzucić nawet najbardziej restrykcyjne zasady raportowania dostępu do danych. W przypadku jakichkolwiek wątpliwości można precyzyjnie udowodnić w jakich okolicznościach, kiedy, jak długo i do jakiego celu robot używał danych.
W jaki sposób roboty (RPA) strzegą naszych praw?
RODO to nie tylko opisane wyżej zasady. Przede wszystkim z RODO wynikają prawa jakie przysługują osobom, których dane przetwarzamy. Warto znać je wszystkie, mimo że większość nie dotyczy robotów bezpośrednio. Jakie więc są te prawa?
- Prawo do szczegółowej informacji dot. przetwarzania danych osobowych
- Prawo do sprostowania i uzupełnienia danych osobowych
- Prawo do bycia zapomnianym
- Prawo do ograniczenia przetwarzania
- Prawo do przenoszenia danych
- Prawo sprzeciwu na przetwarzanie danych osobowych
- Prawo do zarządzania oświadczeniami
- Prawo do bycia poinformowanym o incydencie naruszenia ochrony danych osobowych
- Prawo do kontaktu z Inspektorem Danych Osobowych
Z punktu widzenia robotyzacji najważniejszym punktem jest prawo do sprzeciwu na przetwarzanie danych osobowych. Obejmuje ono zakaz całkowicie zautomatyzowanego podejmowania decyzji, które wywołują istotne skutki prawne. W praktyce oznacza to, że musimy mieć jawną zgodę klientów na roboty, które przejmują od pracowników procesy decyzyjne i w całości wyłączają z nich ludzką interwencję. Nie jest to częsty przypadek, dlatego warto o nim pamiętać. Najczęściej w takiej sytuacji, aby uniknąć naruszenia praw klienta, roboty wykonują wyłącznie czynności przygotowawcze do podjęcia decyzji, która ostatecznie trafia do człowieka.
Roboty mogą nam bardzo pomóc w zapewnieniu klientom pozostałych praw. Przede wszystkim procesy sprostowania i uzupełnienia danych zwykle są powtarzalne, a ich efektem musi być dokładne odwzorowanie intencji klientów. Trudno sobie wyobrazić lepsze zajęcie dla robotów. Prawo do bycia zapomnianym może wymagać żmudnego przeszukania dużych zbiorów danych, aby zamienić je na inne lub zanonimizować. Podobnie z przenoszeniem danych – roboty efektywnie przygotują kompletne zestawienie wszystkich informacji na każde żądanie.
Podsumowanie
Roboty bardzo efektywnie chronią dane przed wyciekiem lub błędnym użyciem. Eliminują całkowicie ryzyko ludzkiej pomyłki w dostępie do danych lub ich ujawnieniu niewłaściwym osobom. Nigdy nie wpiszą danych w niewłaściwe miejsca, ani nie pobiorą ich z nieautoryzowanych źródeł. Istnieje oczywiście możliwość popełnienia błędu w kodzie robota. Jednak takie pomyłki należy eliminować w procesie testów. Przy zachowaniu najlepszych prawideł sztuki inżynierskiej są one dużo rzadsze niż systematyczne pomyłki ludzkie.
Dzięki wdrożeniu robotów zyskujemy pełny audyt wszelkich czynności dotyczących danych, a w większości również pełny automatyczny monitoring danych. Pozwala to w znacznym stopniu zminimalizować ryzyka operacyjne nie tylko w kontekście przepisów takich jak RODO, ale przede wszystkim realnie chronić dane przed niepowołanym dostępem i użyciem.
Roboty są sprzymierzeńcami każdego Inspektora Danych Osobowych.