Od momentu obowiązywania RODO minął już ponad miesiąc, ale temat wdrożenia odpowiednich procedur wciąż jest jednym z najpopularniejszych w przedsiębiorstwach. Nadal brakuje jednoznacznych odpowiedzi na wiele pytań, a część rozwiązań jest dopiero wypracowywana m.in. przez powołaną przy Ministerstwie Cyfryzacji Grupę Roboczą ds. RODO. Większość zainteresowanych tematyką skupia się jednak na rozwiązaniach prawnych – przygotowaniu odpowiednich formułek i zgód dla klientów. Tymczasem większość danych przetwarzana jest dziś głównie w systemach informatycznych i to od nich powinniśmy zacząć przygotowanie do wdrożenia RODO w każdej firmie.
RODO rewolucja?
Można tam znaleźć bardzo praktyczne informacje i zalecenia dla ochrony systemów informatycznych. Chociaż RODO w oczywisty sposób zmienia kilka poprzednich regulacji, jak np.: zniesienie konieczność zgłaszania zbiorów danych osobowych do UODO, to jednak bez zmian pozostają fundamenty działania systemów informatycznych: poufność, integralność, dostępność oraz rozliczalność. Choć publikacja pochodzi z 2007 roku to jednak jasno wskazuje jakie są rekomendacje urzędu w wielu podstawowych aspektach, jak np.: złożoność haseł czy czas ich wygasania. W podstawowych kwestiach technicznych związanych z IT, RODO nie wprowadza rewolucji. Wiele przedsiębiorstw, które miały już wdrożone odpowiednie procedury, musi po wejściu w życie Rozporządzenia, dokonać korekty w swojej dokumentacji, ale absolutnie nie musi jej tworzyć od początku.
Nowe systemy, a zasady prywatności
Prawo do bycia zapomnianym
Należy jednak pamiętać o tym, że nigdy nie znikniemy od razu ze wszystkich systemów. Inne przepisy prawa pozwalają lub wręcz nakazują przechowywać nasze dane nawet przez kilka czy kilkanaście lat. Na przykład ustawa o podatku od towarów i usług, nakłada konieczność przechowywania dokumentów na potrzeby kontroli przez okres 5 lat. Takie przepisy zapewniają przedsiębiorcom przesłankę legalizującą zbieranie danych i pozwalają przetwarzać je tak długo, jak wynika to z odrębnych regulacji
– podkreśla Krzysztof Podolski, z kancelarii RK Legal
Zmiany w systemach informatycznych po wejściu w życie RODO
-
pseudonimizację, szyfrowanie oraz anonimizację danych osobowych
-
zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania
-
możliwość szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
-
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organi-zacyjnych mających zapewnić bezpieczeństwo przetwarzania
Pomimo dużego poziomu ogólności jakie występują w Rozporządzeniu, kluczowa zmiana polega na wprowadzeniu wprost zapisów o procesie ciągłej aktualizacji posiadanych procedur i dostosowania ich do zmieniających się wyzwań i zagrożeń bezpieczeństwa
– podkreśla Krzysztof Podolski, z kancelarii RK Legal
Instrukcja przetwarzania danych w systemach informatycznych
- Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności
-
Opis stosowanych metod i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
-
Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
-
Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi pro-gramowych służących do ich przetwarzania
-
Sposobu, miejsca oraz okresu przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych
-
Sposobów zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania oraz dostępu do sieci Internet
-
Sposobu odnotowywania informacji przez systemy informatyczne o operacjach przeprowadzanych przez użytkownika na danych osobowych
-
Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych
-
Procedurę zarządzania incydentami w systemach informatycznych
-
Procedury dotyczące bezpieczeństwa fizycznego oraz systemów monitoringu
Należy jednak pamiętać, że wdrożenie polityki bezpieczeństwa danych osobowych i instrukcji zarządzania danymi w systemach informatycznych to dopiero początek drogi dla każdej organizacji. Wszelkie dokumenty i procedury muszą być regularnie sprawdzane i aktualizowane, gdyż w każdej organizacji wraz z upływem czasu następują zmiany w procesach biznesowych. Aktualizacja zmian powinna odbywać się przynajmniej raz w roku przy okazji rekomendowanych przeglądów rocznych całości dokumentacji dotyczących bezpieczeństwa danych osobowych przetwarzanych w przedsiębiorstwie
– dodaje Podolski.