Firmy z sektora MŚP będą potrzebować każdej możliwej pomocy, by wdrożyć rozwiązania zgodne z ogólnym rozporządzeniem o ochronie danych osobowych. Finansowany ze środków UE projekt BPR4GDPR odgrywa w tym istotną rolę, dostarczając nowych narzędzi i metodologii, dzięki którym firmy zainteresowane tym tematem mogą zautomatyzować adaptację nowych środków i jednocześnie rozwiązać główne problemy z ochroną danych.

Gospodarka cyfrowa

Co wspólnego mają ze sobą usługodawcy przetwarzający dane związane ze zdrowiem i zabezpieczeniami społecznymi, działy dealerów samochodowych odpowiedzialne za kontakt z klientem czy agencje nieruchomości korzystające z usług w chmurze? Od maja 2018 roku – ogólne rozporządzenie o ochronie danych osobowych (RODO), czy raczej mówiąc dokładniej, dodatkowe obciążenie związane z zaadaptowaniem do swojej działalności nowych procesów zgodnych z RODO. Problem ten jest dobrze opisany, ale nadal pozostaje bez rozwiązania. Osiągnięcie zgodności z RODO nie jest proste, szczególnie w sektorze MŚP, którego podmioty dysponują ograniczonymi zasobami i wiedzą w tym zakresie. Każdego dnia firmy z tego sektora stają przed pytaniami związanymi z interpretacją zapisów RODO i wymogów tego rozporządzenia, z ich adaptacją do swojej działalności, oraz podjęciem decyzji o wdrożeniu odpowiednich środków technicznych. Podobnie nigdy wcześniej kwestia relacji z osobami, których dotyczą dane, egzekucja ich praw, kwestia odpowiedzialności i zarządzania dowodami zgodności nie były aż tak istotne. To właśnie w tym kontekście powstały narzędzia projektu BPR4GDPR (Business Process Re-engineering and functional toolkit for GDPR compliance). Spiros Alexakis, członek zarządu firmy CAS Software oraz koordynator projektu, wyjaśnia: „Przygotowaliśmy narzędzia, które jako pierwsze uwzględniają większość aspektów zgodności z RODO na wszystkich etapach cyklu życia procesu w firmie. Narzędzia te pozwalają automatycznie zaadaptować i przekształcić te procesy tak, by zapewnić ich zgodność z politykami prywatności, zarówno na poziomie projektowania, jak i późniejszego wykonania”. Narzędzia BPR4GDPR w znacznym stopniu uwalniają pracowników firmy od stresu związanego z RODO, niezależnie od dotychczasowego poziomu wdrożenia zapisów rozporządzenia w firmie. Na poziomie projektowym narzędzia i rozwiązania proponowane w ramach projektu pomogą firmom zrozumieć, w których przypadkach wstępnie zdefiniowane zachowania i zasady nie są z nimi zgodne, oraz jak tę zgodność zapewnić. Na poziomie działania zapewnią rozwiązania, które będą wspierać polityki prywatności lub egzekwować ich stosowanie. Wreszcie, post factum, ułatwią badanie i analizę okoliczności, w których doszło do niezgodności.

Rozliczne możliwości

Jak wskazuje Alexakis, w ramach projektu udało się osiągnąć cztery zasadnicze cele. „Po pierwsze udało się przygotować ontologię zgodności, kompleksowe ramy kontroli dostępu i użytkowania uwzględniające prywatność, które regulują ogólne działanie systemu. Poza tym dysponujemy narzędziami pozwalającymi przygotować dla przedsiębiorstwa nowy zestaw procesów, które będą uwzględniać kwestie prywatności i automatycznie zapewnią większą zgodność modeli procesów z RODO. Trzecim ze zrealizowanych celów są założenia koncepcyjne pozwalające identyfikować odstępstwa w zakresie zgodności, a czwartym – »zestaw narzędzi zgodności« działających w czasie wykonywania. Zawiera on wszystkie funkcje niezbędne do wdrożenia środków wymaganych przez RODO, na przykład narzędzi do szyfrowania, anonimizacji i zarządzania danymi. Zestaw ten zapewnia egzekwowanie praw osób, których dotyczą dane”. Zespół projektu przeprowadził próby działania zaproponowanych rozwiązań w trzech testach pilotażowych, w trakcie których skupiono się odpowiednio na danych wrażliwych w sektorach zdrowia i zabezpieczeń społecznych, zgodności jako usłudze w zakresie usług CRM oferowanych przez dealerów samochodowych oraz na usługach w chmurze, z których korzystają agencje nieruchomości. „Te trzy programy pilotażowe łączy trzon wspólnych potrzeb, ale poza tym odzwierciedlają one różne wymagania w zakresie zgodności. Pierwsza runda dostarczyła nam cennych informacji w zakresie funkcjonalności, wydajności oraz użyteczności, co z powodzeniem wykorzystaliśmy w drugiej fazie implementacji. Obecnie przeprowadzamy ostatnią rundę, w której mamy zamiar dokładnie przetestować wdrożone rozwiązania, wprowadzić niezbędne poprawki i stworzyć możliwości dla wykorzystania wyników po zakończeniu projektu”, wyjaśnia George Lioudakis, współzałożyciel ICT Abovo i lider prac nad ramami polityki BPR4GDPR. Renata Medeiros de Carvalho, profesor nadzwyczajna na Uniwersytecie Technicznym w Eindhoven, która koordynuje działania naukowe w ramach projektu BPR4GDPR oraz rozprzestrzenianie ich wyników, optymistycznie zapatruje się na wyniki dla partnerów. „Wszyscy mamy inne potrzeby. Duże firmy informatyczne spodziewają się wzrostu dochodów, czy to przez oferowanie zgodności jako usługi, czy przez wbudowywanie odpowiednich do jej zapewnienia narzędzi w swoje produkty. Jednocześnie MŚP operujące w branży technologicznej i doradztwie oczekują elastycznych i względnie tanich rozwiązań, które pozwoliłyby im wprowadzić zapewnienie zgodności do swojej oferty. Z kolei podmioty prawne uczestniczące w projekcie zyskują nowe narzędzie doradcze w zakresie legalizacji kodyfikacji, oceny zgodności i jej wdrażania. Wreszcie organizacje prowadzące programy pilotażowe mogą teraz przeprowadzić weryfikację swojego podejścia do tematu zgodności”. Do końca projektu pozostało już tylko kilka miesięcy, więc zespół, zgodnie ze słowami Alexakisa, skoncentruje się teraz na tworzeniu wpływu. Pod tym pojęciem kryje się rozpowszechnianie wyników projektu, nawiązywanie kontaktów z innymi podmiotami oraz szukanie komercyjnych i niekomercyjnych sposobów na wykorzystanie wyników projektu.

Słowa kluczowe

BPR4GDPR, RODO, zgodność, automatyzacja, MŚP, ochrona danych