Wdrożenie z dniem 25 maja 2018 roku zasad unijnego rozporządzenia RODO stało się dużym wyzwaniem pod względem prawnym i organizacyjnym. Firmy musiały zweryfikować rzeczywistość z wymogami dyrektywy. Nie do końca zdawali sobie jednak sprawę z tego, jak podejść do RODO z punktu widzenia IT. Co zatem należy wiedzieć, by uniknąć przykrych niespodzianek i kosztownych kar?
RODO w praktyce
Celem unijnego rozporządzenia RODO jest ujednolicenie przepisów dotyczących ochrony danych osobowych we wszystkich krajach członkowskich Unii Europejskiej, ale nie tylko. Ponieważ RODO swoim zasięgiem obejmować będzie również firmy spoza Europy, które przetwarzają lub będą przetwarzać dane osobowe obywateli UE. Z uwagi na to, że RODO opiera się na analizie ryzyka danych osobowych, może okazać się rewolucyjną zmianą dla niektórych przedsiębiorców.
Jakie wyzwania staną przed IT?
Według ekspertów jednym z kluczowych kwestii, a jednocześnie dużym wyzwaniem wprowadzonym przez RODO dla IT, będzie określenie miejsca, w którym położony jest serwer, mający wpływ na międzynarodowe przetwarzanie danych osobowych. Szczególnie wtedy, gdy przedsiębiorstwo korzysta z usług chmurowych. Zgodnie z RODO najważniejszy jest wysoki poziom bezpieczeństwa przetwarzanych danych osobowych. Dlatego też firmy korzystające z systemów informatycznych powinny zadbać o odpowiednie zabezpieczenie przechowywanych danych, zwłaszcza w dobie Internetu i wzmożonych ataków cyberprzestępców.
RODO w firmie
IT jest szybko rozwijającą się branżą, gdzie co chwila pojawiają się nowe, ulepszone rozwiązania systemowe, a co za tym idzie również zagrożenia. RODO ma być jednak niezależne od rozwoju nowych technologii i z tego właśnie powodu nie zawiera konkretnych wytycznych mówiących o ochronie danych osobowych. Stawia jedynie nacisk na szyfrowanie, pseudonimizację danych osobowych oraz zapewnienie ciągłości działania. Po stronie firm leży natomiast dostosowanie zabezpieczeń do charakteru działalności. Poza tym przystosowanie infrastruktury IT do nowych rozporządzeń musi opierać się audycie przeprowadzonym przez specjalistę w dziedzinie ochrony danych osobowych. Rzetelnie przeprowadzony audyt powinien ocenić funkcjonowanie obecnego systemu ochrony. Ponadto wskazać, które jego elementy wymagają modernizacji i dostosowania do wymogów nowego rozporządzenia. W gestii specjalistów leży również przygotowanie odpowiedniej dokumentacji, w tym także polityki prywatności, co zapewni tzw. rozliczalność RODO.
Po dokonaniu analizy i oceny ochrony danych osobowych przez specjalistów warto podjąć współpracę z firmą IT. Będzie ona bowiem w stanie solidnie podejść do tematu modernizacji infrastruktury systemów informatycznych firmy oraz zająć się wdrożeniem procedur zgodnie z wytycznymi unijnego rozporządzenia. Ważne jest, aby przy dokonaniu wybory partnera w tych działaniach podstępować ostrożnie. Firma, która podejmie się projektu adaptacji oprogramowania pod RODO, powinna uprzednio dokonać analizy systemu danych osobowych, przeprowadzić konsultacje i audyt. Brak tych czynności powinien wzbudzić nasze podejrzenia. Z kolei po wdrożeniu zmian niezwykle ważne jest zweryfikowanie wprowadzonych modyfikacji i ponownie dokonać analizy systemu danych osobowych. Równie istotne jest regularne kontrolowanie funkcjonalności systemu i utrzymaniu go w zgodności z RODO. Aby uniknąć wszelkich nieprawidłowości nad utrzymaniem systemu ochrony danych osobowych, powinni czuwać przeszkoleni w tym kierunku specjaliści.