Bezpieczni w RODO

11.04.2018

Jednym z istotniejszych wątków dotyczących wymagań stawianych przez rozporządzenie o ochronie danych osobowych jest bezpieczeństwo przetwarzanych danych.

Niezależnie od tego w jaki sposób przechowywane są dane osobowe, czy to w postaci papierowej czy elektronicznej, zgodnie z zapisami rozporządzenia powinny być właściwie chronione. Największy problem stojący przed przedsiębiorcami i administratorami to odpowiedź na pytanie: właściwie, to znaczy jak?

Art. 32

W zapisach rozporządzenia nie znajdziemy bowiem zapisów, które wprost określają jakie czynności należy wykonać aby taki stan osiągnąć. Zgodnie z art. 32 rozporządzania wymagane jest wdrożenie środków bezpieczeństwa uwzględniające charakter, zakres, kontekst i cele przetwarzania danych osobowych.

W tym celu administrator danych osobowych powinien wdrożyć odpowiednie środki techniczne oraz organizacyjne mające zapewnić bezpieczeństwo przetwarzania.

Te środki to m.in.

  • pseudonimizacja i szyfrowanie danych osobowych,
  • zdolność do zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępność do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych.

Należy pamiętać, że każde przygotowanie trzeba rozpocząć analizą stanu obecnego. Warto zadać sobie kilka podstawowych pytań: dlaczego gromadzimy dane osobowe? Od kogo je pozyskujemy? Jakie to rodzaje danych? Jak je przetwarzamy? Jakie narzędzia do tego wykorzystujemy? Jaką mają wartość? Dla kogo je przetwarzamy? Czy przekazujemy je innym podmiotom?

To odpowiedzi na te pytania powinny pomóc nam w przygotowaniu naszej organizacji do RODO. Niezależnie bowiem od tego z jaką skalą biznesu mamy do czynienia, każdy przedsiębiorca musi spełnić wymagania rozporządzenia czyniąc w tym celu mniejsze lub większe kroki, dostosowane do warunków w jakich funkcjonuje, a potem udowodnić np. w przypadku kontroli, że wywiązuje się należycie z zapisów RODO. Właściwe zaprojektowanie, wdrożenie, monitorowanie i doskonalenie procedur bezpieczeństwa to gwarancja ochrony danych osobowych.

Systemy informatyczne

Systemy informatyczne, wykorzystywane do przetwarzania danych osobowych to niewątpliwe jedno z narzędzi, które przedsiębiorca musi uwzględnić w procesie przygotowania organizacji do wymagań RODO. Każdemu przedsiębiorcy zależy na tym aby dane jego pracowników czy klientów były chronione w jak największym stopniu. Dlatego warto przeanalizować stosowane w firmie systemy, takie jak ERP czy CRM m.in. pod kątem:

  • Wykonywania regularnie testów penetracyjnych pod kątem wykrycia podatności
  • Możliwości wykonywania kopii bezpieczeństwa baz danych utworzonych w systemie
  • Mechanizmów dotyczących systemu nadawanych praw dostępu i polityki stosowanych haseł
  • Informacji o możliwości monitorowania czynności wykonywanych na danych osobowych

Jeśli nie znamy odpowiedzi na te pytania, warto skontaktować się ze swoim dostawcą oprogramowania.

Podsumowanie

Rozporządzenie wymaga więc od przedsiębiorców zweryfikowania aktualnie stosowanych metod przechowywania i zabezpieczania swoich baz danych. Warto jednak pamiętać również o pozytywnych tego aspektach. Afery takie jak wyciek danych użytkowników Facebooka pokazują, jak ważne jest właściwe zabezpieczenie danych osobowych i wbrew pozorom nie dotyczy to tylko wielkich korporacji, ale również małych czy średnich przedsiębiorców. Rozporządzanie mówi o użyciu środków adekwatnych do poziomy zagrożenia. To więc sami przedsiębiorcy decydują o tym jakie dane posiadają, jak wysokie jest ryzyko wycieku danych oraz jakie środki zabezpieczające należy wprowadzić.

Autor: Konrad Spryńca - związany z branżą IT od ponad 4 lat. Początkowo jako wdrożeniowiec systemów informatycznych w jednostkach samorządu terytorialnego (obsługa systemów elektronicznego obiegu dokumentów). Obecnie pracuje w firmie tworzącej oprogramowanie ERP w której odpowiada za projekty związane z rozwojem systemu. Na co dzień współpracuje z siecią partnerską oraz klientami, zbierając i analizując poziom zadowolenia z oferowanego produktu. Obecnie uczestniczy w pracach nad przygotowaniem systemu enova365 do wymagań związanych z rozporządzeniem o ochronie danych osobowych (RODO).