Rozporządzenie RODO

 

Unijne rozporządzenie RODO zastąpi obecnie obowiązującą ustawę o ochronie danych osobowych, wprowadzając tym samym nowe regulacje. Zostało ono przyjęte przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 roku, a zawarte w nim przepisy będą egzekwowane od 25 maja 2018 roku. Zakończy się wtedy dwuletni okres wdrożeniowy mający na celu przygotowanie się do nadchodzących zmian. Od tego momentu wszystkie firmy działające na terenie Unii Europejskiej będą miały obowiązek przestrzegania nowych wytycznych dotyczących przepływu i przetwarzania danych osobowych osób fizycznych.

Powinności przedsiębiorców wobec RODO

 

 

Całościowa dbałość o ochronę danych osobowych

 

Przedsiębiorstwa nie będą już musiały rejestrować w GIODO swoich baz danych. Będą natomiast miały obowiązek zbudowania systemu ochrony danych osobowych zgodny z wymogami RODO. Rozporządzenie nie określa sposobu budowania, system musi jednak uwzględniać trzy ważne zasady:

 

Privacy by design and by default

 

Przedsiębiorcy zobowiązani są zapewnić całościową ochronę danych osobowych, którą nazwano „prywatnością domyślną” i „prywatnością od podstaw” (privacy by design and by default). Oznacza to, że ochrona danych ma być wbudowywana w usługę lub produkt już na etapie ich projektowania (by design) i ma być aktywna domyślnie (by default), bez konieczności podejmowania działań przez osoby, których dane dotyczą.

 

 

Privacy impact assessment

 

Z dwoma powyższymi zasadami wiąże się trzecia – privacy impact assessment – nakładająca na administratora obowiązek dokonania oceny skutków operacji przetwarzania dla ochrony danych osobowych. Ocena powinna uwzględniać takie czynniki, jak: charakter, zakres, kontekst i cele operacji przetwarzania oraz zastosowana technologia. Dokonanie rzetelnej oceny ma szczególne znaczenie w przypadku stosowania mechanizmów profilowania.

 

 

Przegląd danych – konieczny jest audyt wewnętrzny

 

Zanim wybije godzina zero, w pierwszej kolejności należy zrobić porządek w danych osobowych będących w posiadaniu firmy. Analizie należy poddać dwie grupy danych:

 

Od czego zacząć?

 

Audyt warto rozpocząć od danych niestrukturalnych, ponieważ eksperci szacują, że stanowią one blisko 60% danych osobowych będących w posiadaniu firm. Należy więc przeanalizować dane przechowywane na nośnikach: od komputerów pracowników, po skany dokumentów zapisywane na pendrive’ach. Na tym etapie przydatne są narzędzia, które przeczesują infrastrukturę informatyczną, poszukując określonych sygnatur.

Przegląd danych strukturalnych, choć teoretycznie powinien być prosty, może wykazać nieprawidłowości. Firmy korzystają z tego rodzaju danych w codziennej pracy, a pracownicy powinni wiedzieć, co i gdzie się znajduje w używanych przez nich bazach. Bywa jednak, że zostają one wielokrotnie skopiowane i zamiast w jednym, mieszczą się w wielu różnych miejscach (bazach, systemach, plikach itd.). Taka sytuacja jest niedopuszczalna.

 

 

Co powinno się zrobić?

 

W pierwszej kolejności należy zweryfikować obecne systemy zabezpieczeń. Wiele z dotychczas stosowanych rozwiązań może wspierać być zgodnych z RODO. Istotne jest zabezpieczanie danych przed zagrożeniami różnego rodzaju – zewnętrznymi (kradzież danych, nieautoryzowany dostęp) oraz wewnętrznymi.

 

Dla zapewnienia ochrony danych zgodnej z RODO firmy zainwestują przede wszystkim w:

Z pewnością zaistnieje też potrzeba dostosowania systemów IT do nowych wymogów prawnych, m.in. w zakresie bezpowrotnego usuwania danych osobowych z baz danych, kopii zapasowych i archiwów. Jak pokazuje badanie przeprowadzone przez miesięcznik „Computerworld” na konieczność dostosowania systemów IT do nowych przepisów wskazuje niemal połowa (49%) firm.