Zakres przygotowań do RODO – jak być „RODO ready”?
Rozporządzenie RODO
Unijne rozporządzenie RODO zastąpi obecnie obowiązującą ustawę o ochronie danych osobowych, wprowadzając tym samym nowe regulacje. Zostało ono przyjęte przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 roku, a zawarte w nim przepisy będą egzekwowane od 25 maja 2018 roku. Zakończy się wtedy dwuletni okres wdrożeniowy mający na celu przygotowanie się do nadchodzących zmian. Od tego momentu wszystkie firmy działające na terenie Unii Europejskiej będą miały obowiązek przestrzegania nowych wytycznych dotyczących przepływu i przetwarzania danych osobowych osób fizycznych.
Powinności przedsiębiorców wobec RODO
Całościowa dbałość o ochronę danych osobowych
Przedsiębiorstwa nie będą już musiały rejestrować w GIODO swoich baz danych. Będą natomiast miały obowiązek zbudowania systemu ochrony danych osobowych zgodny z wymogami RODO. Rozporządzenie nie określa sposobu budowania, system musi jednak uwzględniać trzy ważne zasady:
- privacy by design,
- privacy by default,
- privacy impact assessment.
Privacy by design and by default
Przedsiębiorcy zobowiązani są zapewnić całościową ochronę danych osobowych, którą nazwano „prywatnością domyślną” i „prywatnością od podstaw” (privacy by design and by default). Oznacza to, że ochrona danych ma być wbudowywana w usługę lub produkt już na etapie ich projektowania (by design) i ma być aktywna domyślnie (by default), bez konieczności podejmowania działań przez osoby, których dane dotyczą.
Privacy impact assessment
Z dwoma powyższymi zasadami wiąże się trzecia – privacy impact assessment – nakładająca na administratora obowiązek dokonania oceny skutków operacji przetwarzania dla ochrony danych osobowych. Ocena powinna uwzględniać takie czynniki, jak: charakter, zakres, kontekst i cele operacji przetwarzania oraz zastosowana technologia. Dokonanie rzetelnej oceny ma szczególne znaczenie w przypadku stosowania mechanizmów profilowania.
Przegląd danych – konieczny jest audyt wewnętrzny
Zanim wybije godzina zero, w pierwszej kolejności należy zrobić porządek w danych osobowych będących w posiadaniu firmy. Analizie należy poddać dwie grupy danych:
- dane strukturalne, czyli mieszczące się w różnego rodzaju bazach,
- dane niestrukturalne gromadzone na wszelkiego rodzaju nośnikach (dyskach przenośnych, pendrive'ach, smartfonach). W świetle Rozporządzenia przechowywanie danych w taki sposób stwarza niebezpieczeństwo naruszeń – podmioty najczęściej nie w pełni wiedzą, gdzie są przechowywane dane niestrukturalne, jakie są to dane, ile ich jest. Nad wieloma danymi przedsiębiorstwa nie mają dostatecznej kontroli.
Od czego zacząć?
Audyt warto rozpocząć od danych niestrukturalnych, ponieważ eksperci szacują, że stanowią one blisko 60% danych osobowych będących w posiadaniu firm. Należy więc przeanalizować dane przechowywane na nośnikach: od komputerów pracowników, po skany dokumentów zapisywane na pendrive’ach. Na tym etapie przydatne są narzędzia, które przeczesują infrastrukturę informatyczną, poszukując określonych sygnatur.
Przegląd danych strukturalnych, choć teoretycznie powinien być prosty, może wykazać nieprawidłowości. Firmy korzystają z tego rodzaju danych w codziennej pracy, a pracownicy powinni wiedzieć, co i gdzie się znajduje w używanych przez nich bazach. Bywa jednak, że zostają one wielokrotnie skopiowane i zamiast w jednym, mieszczą się w wielu różnych miejscach (bazach, systemach, plikach itd.). Taka sytuacja jest niedopuszczalna.
Co powinno się zrobić?
W pierwszej kolejności należy zweryfikować obecne systemy zabezpieczeń. Wiele z dotychczas stosowanych rozwiązań może wspierać być zgodnych z RODO. Istotne jest zabezpieczanie danych przed zagrożeniami różnego rodzaju – zewnętrznymi (kradzież danych, nieautoryzowany dostęp) oraz wewnętrznymi.
Dla zapewnienia ochrony danych zgodnej z RODO firmy zainwestują przede wszystkim w:
- rozwiązania do pseudonimizacji, szyfrowania i anonimizacji danych osobowych,
- rozwiązania do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie naruszenia,
- rozwiązania do przeprowadzania testów, pomiaru i oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,
- stworzenie spójnej infrastruktury informatycznej opierającej się na sprawdzonych serwerach i systemach służących do przetwarzania danych osobowych.
Z pewnością zaistnieje też potrzeba dostosowania systemów IT do nowych wymogów prawnych, m.in. w zakresie bezpowrotnego usuwania danych osobowych z baz danych, kopii zapasowych i archiwów. Jak pokazuje badanie przeprowadzone przez miesięcznik „Computerworld” na konieczność dostosowania systemów IT do nowych przepisów wskazuje niemal połowa (49%) firm.
powrót