Rola regulacji prawnych w pracy Chief Data Officera

Wprowadzenie

W nowoczesnych organizacjach zapewnienie zgodności z przepisami należy do zadań wielu jednostek, m.in. działu prawnego i compliance. Mimo to Chief Data Officer powinien orientować się w regulacjach prawnych, które dotyczą zarządzania danymi. Nie tylko po to, aby zapewnić przestrzeganie przepisów, ale także żeby wspierać proaktywne działania, które ułatwiają znajdowanie w regulacjach okazji biznesowych i wykorzystywanie ich.

Gdy mówimy o regulacjach dotyczących danych, często pierwszym skojarzeniem jest RODO. Ochrona danych osobowych to jednak tylko niewielki – choć istotny – wycinek tego obszaru. Coraz częściej regulacje prawne mają na celu również efektywne zarządzanie informacją, przeciwdziałanie barierom utrudniającym rozwój innowacyjnej gospodarki czy zapewnienie bezpieczeństwa infrastruktury IT.

Cele te w dużej mierze opisuje „Europejska Strategia w zakresie danych” z 2020 roku. Przewiduje ona podejmowanie działań, które ułatwią dostęp do informacji wysokiej jakości i ich ponownego wykorzystania, m.in. poprzez poprawę interoperacyjności danych, tworzenie wspólnych przestrzeni danych w kluczowych sektorach (np. w obszarze ochrony zdrowia czy przemysłu). Wśród najważniejszych regulacji należy wymienić przyjęty Data Governance Act (akt w sprawie zarządzania danymi), który będzie stosowany już od 24 września 2023 r. oraz Data Act (akt w sprawie danych), który jeszcze jest w trakcie prac legislacyjnych. Obydwie regulacje mają służyć innowacjom oraz ułatwiać lepsze wykorzystanie potencjału danych w UE.

Najważniejsze regulacje dla CDO

Dane stanowią ważne aktywo nie tylko w wymiarze pojedynczego przedsiębiorstwa, ale także w skali całej gospodarki. Z tego powodu coraz więcej jest regulacji prawnych dotyczących danych. W zależności od ich wpływu na obszar zarządzania danymi w organizacji, możemy je podzielić na cztery kategorie.

Pierwszą kategorię stanowią regulacje mające na celu ochronę informacji przed ich niepożądanym wykorzystaniem. Istotną rolę w tym zakresie odgrywają przepisy o ochronie danych osobowych. Do tej kategorii można tez zaliczyć przepisy chroniące najbardziej wartościowe dane przedsiębiorstwa – takie jak prawa własności intelektualnej i know-how. Z perspektywy CDO szczególną uwagę warto poświęcić przepisom o tajemnicy przedsiębiorstwa i ochronie baz danych.

Drugą kategorię stanowią przepisy, których celem nie jest ograniczanie dostępu do informacji, ale wręcz przeciwnie – otwieranie danych w celu ich ponownego wykorzystania. Przykładem może być dyrektywa PSD2, która ustanowiła prawne ramy dla otwartej bankowości (open banking) w Unii Europejskiej. Daje ona jednak ogromne możliwości także organizacjom spoza sektora finansowego. Dane pozyskane przez przedsiębiorstwo z rachunku klienta ułatwią dopasowanie oferty do jego indywidualnych potrzeb, a obroty na rachunku kontrahenta mogą potwierdzić jego wiarygodność. Obecnie trwają prace nad projektem nowelizacji dyrektywy PSD2, w ramach których Komisja Europejska rozważa podobne uregulowania również dla innych sektorów, m.in. ubezpieczeniowego czy rynku kapitałowego (otwarte finanse – open finance). Dla części podmiotów spoza rynku finansowego podobną rolę może odegrać projektowany Data Act, który ma na celu ułatwienie użytkownikom dzielenie się swoimi danymi z zewnętrznymi dostawcami usług. Nowa regulacja ma objąć m.in. producentów urządzeń IoT i dostawców usług związanych z tymi produktami.

Do trzeciej kategorii możemy zaliczyć przepisy, które działają w przeciwnym kierunku – sprawiają, że decyzje podejmowane w obszarze zarządzania danymi wpływają na prawa i obowiązki przedsiębiorcy w innym aspekcie. Przykładem takiej regulacji jest dyrektywa Omnibus. Co do zasady jej przepisy stosuje się do odpłatnych umów z konsumentami, ale obejmuje ona również model biznesowy tzw. "zapłaty danymi za usługę". Oznacza to, że przyjęty model wykorzystania danych może wpływać na konieczność zapewnienia zgodności z dodatkowymi regulacjami prawnymi, często niezwiązanymi bezpośrednio z samym przetwarzaniem danych (np. prawo użytkownika do odstąpienia od umowy zawartej w Internecie).

Ostatnia kategoria obejmuje regulacje dotyczące cyberbezpieczeństwa. W tym zakresie kluczowe znaczenie mają dwie regulacje unijne, przyjęte pod koniec 2022 roku – dyrektywa NIS 2 oraz rozporządzenie DORA. Dyrektywa wymaga zmiany polskich przepisów o krajowym systemie cyberbezpieczeństwa, m.in. znacznie rozszerzając zakres przedsiębiorców objętych obowiązkami w tym zakresie. Z kolei DORA to właściwie kodeks cyberbezpieczeństwa dla instytucji finansowych. Częściowo będzie miał zastosowanie również do zewnętrznych dostawców usług ICT dla sektora finansowego.

Oczywiście poza wspomnianymi kategoriami należy tez pamiętać o regulacjach sektorowych, charakterystycznych dla poszczególnych branż. Wprowadzają one często specyficzne rozwiązania lub ograniczenia, o których każdy CDO musi pamiętać – warto dla przykładu wspomnieć o ograniczeniach wynikających z tajemnic zawodowych, sektorowych regulacjach outsourcingu czy obowiązkach w zakresie KYC, które wymagają ustalenia i potwierdzenia niektórych danych klienta.

Kompetencje regulacyjne CDO

Otoczenie regulacyjne obszaru zarządzania danymi jest coraz bardziej złożone. Z tego względu rolą CDO nie jest podręcznikowa znajomość przepisów prawa, ale raczej nabycie pewnych umiejętności, które – na wzór pojęcia kompetencji cyfrowych – możemy nazwać kompetencjami regulacyjnymi. Orientacja w obowiązujących regulacjach, bieżące śledzenie kluczowych zmian i zrozumienie istoty poszczególnych regulacji znacznie ułatwia Chief Data Officerom zdobywanie tych kompetencji.

Najważniejsza z nich to umiejętność proaktywnego podejścia do regulacji i znajdowania w nich okazji do zdobycia przewagi konkurencyjnej. Nie mniej ważna jest także umiejętność wczesnego dostrzegania ryzyk prawnych. Obydwie umiejętności ułatwiają CDO nawigowanie w zmiennym otoczeniu prawnym i zarządzanie projektami z uwzględnieniem aktualnych i przyszłych regulacji.

W ostatnim czasie umiejętności te są szczególnie ważne dla prowadzenia projektów z obszaru sztucznej inteligencji. Nadchodzące regulacje prawne nałożą szereg obowiązków na przedsiębiorców korzystających z AI, w tym dotyczących jakości danych treningowych. Zbiór danych wykorzystywanych do uczenia modeli powinien być m.in. adekwatny, reprezentatywny oraz wolny od błędów – chociaż AI Act jeszcze nie obowiązuje, to niedochowanie tych standardów dzisiaj może rodzić istotne ryzyko prawne dla korzystania z systemu AI w przyszłości.

Warto też dodać, że już choćby ogólna znajomość regulacji prawnych u CDO znacznie ułatwia komunikację i podnosi efektywność współpracy – zarówno z innymi jednostkami wewnętrznymi (takimi jak dział prawny, compliance, komórka kontroli wewnętrznej czy inspektor ochrony danych), jak i z zewnętrznymi doradcami prawnymi, biznesowymi lub technologicznymi. Dzięki temu CDO jest w stanie wspierać procesy biznesowe tak, aby lepiej adresować potrzeby klientów.
 

Jak pomagamy w Deloitte?

W ramach zespołu doradztwa regulacyjnego Deloitte Legal wspieramy osoby i jednostki odpowiedzialne za obszar zarządzania danych w organizacji. Doradzamy w przełomowych projektach i wdrożeniach, zapewniamy bieżące wsparcie regulacyjne oraz pomagamy podnosić kompetencje personelu. Zapewniamy pomoc przy procesach wdrożenia i rozwoju Data Governance w organizacjach, a przez to ułatwiamy rozwój biznesu i tworzenie unikalnych rozwiązań technologicznych.

Podsumowanie

Czy zatem CDO powinien być prawnikiem? Z pewnością nie, chociaż w ostatnich kilku latach nowe przepisy prawa polskiego i unijnego mają istotne znaczenie dla kształtowania obszaru Data Governance w nowoczesnych przedsiębiorstwach. Z tego względu CDO w zakresie swoich obowiązków na pewno będzie miał do czynienia z regulacjami. Odpowiednie kompetencje z pewnością ułatwią mu nawigowanie w zmiennym otoczeniu prawnym i podniosą efektywność realizacji zadań Chief Data Officera.

Jeśli zainteresował Cię ten artykuł, zapraszamy to zapoznania się z pozostałymi publikacjami cyklu

„Wzywania Chief Data Officerów"