BLOG

RODO: wymagania dla IT. Sprawdź, czy dostosowałeś firmę do nowych wymagań!

Kilka dni temu, 25 maja 2018 roku, weszło w życie nowe rozporządzenie unijne dotyczące ochrony danych osobowych. General Data Protection Regulation (GDPR) czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO) zostało przyjęte przez Parlament Europejski po czterech latach dyskusji trwającej od  kwietnia 2016. Zmiany miały być pomyślane tak, by nadążały za szybko zmieniającymi się technologiami i były aktualne niezależnie od kanału informacji czy rodzaju mediów. Nowe prawo ujednoliło przepisy dotyczące ochrony danych osobowych we wszystkich państwach członkowskich Unii Europejskiej. Zapisy dotyczą niemal wszystkich firm: od wielkich korporacji po małe rodzinne biznesy. Jak nie zagubić się w gąszczu regulacji prawnych i co tak naprawdę RODO oznacza dla Twojej firmy?

RODO: wymagania dla IT w praktyce

Przepisy nie tłumaczą punkt po puncie, jakie działania należy podjąć, by dostosować się do nowego prawa. Każdy przedsiębiorca musi samodzielnie przeanalizować, jakie dane przetwarza w ramach swojej działalności. Po co to robi i w jaki sposób, a tym samym, jakie ryzyko jest z tym związane?
 – Każdy przedsiębiorca działa inaczej. Inaczej zabezpiecza się dane w sektorze ubezpieczeniowym, inaczej w bankowym, a jeszcze inaczej w handlu internetowym. W związku z tym nie ma jednego szablonu, tylko każdy dostanie obowiązek stworzenia go sobie samemu. Przechodzimy z zamkniętego do otwartego modelu ochrony danych. Można powiedzieć, że to taka ochrona danych 2.0 – powiedział dr Maciej Kawecki, doradca w Ministerstwie Cyfryzacji.
Osoba prowadząca firmę jest więc zobowiązana do analizy i samodzielnego dostosowania działalności firmy do wymagań RODO. W systemach informatycznych, reklamach, materiałach marketingowych i umowach należy uwzględnić sześć najważniejszych zasad dotyczących danych osobowych:
  1. Zgodność z prawem, rzetelność i przejrzystość;
  2. Podanie celu zbierania danych;
  3. Zminimalizowanie ilości danych, które są przechowywane w firmie;
  4. Prawidłowość danych;
  5. Ograniczenie czasu przechowywania do minimum, np. tylko na czas wykonania usługi, jeśli zgoda nie została wyrażona na dłużej. Po tym czasie dane powinny zostać usunięte;
  6. Integralność i poufność danych, które obejmują prawidłowe zabezpieczenie danych przechowywanych w firmach, w tym m.in. szyfrowanie.
Jak zmiany związane z RODO zastosować w systemach informatycznych?

Jakie są wymagania RODO dla systemów informatycznych?

Biorąc pod uwagę powyższe nie bez znaczenia jest relacja RODO a systemy informatyczne. Co oznacza RODO w praktyce?
  • Zarządzenie sposobem przechowywania danych

W wielu przypadkach sposób przechowywania danych musi zostać zmieniony. Należy zadbać o bezpieczeństwo danych poprzez odpowiednie zaprojektowanie systemów informatycznych w firmie lub ich przebudowanie.

  • Dokumentowanie sposobu pozyskiwania danych

Należy stworzyć dobrze udokumentowany szablon, który umożliwi szybkie sprawdzenie pochodzenia danych. Zgody klientów bądź innych osób na przechowywanie ich danych powinny być udokumentowane i przechowywane w bezpiecznym miejscu.

  • Możliwość “bycia zapomnianym”

RODO w IT oznacza również wprowadzenie takich rozwiązań, które umożliwią natychmiastowe wykasowanie danych lub ich części po wycofaniu zgody na ich przetwarzanie albo po tym, gdy zniknie cel przetwarzania danych. Dobrym przykładem może być zgoda na przetwarzanie danych osobowych tylko podczas pobytu w hotelu. Po wymeldowaniu z pokoju, nasze dane powinny zniknąć również z systemów informatycznych. Chyba, że poproszono nas o dodatkowe zgody dotyczące czasu przechowywania tych informacji np. w celach marketongowych.

Bezpieczeństwo systemów informatycznych: RODO

W zakresie bezpieczeństwa systemów informatycznych RODO wymusza daleko idące zmiany. Ich charakter zależy głównie od tego, jakiego rodzaju firmę prowadzimy i jak dużo danych zbieramy. Zupełnie innych zgód potrzebuje bowiem sieć fitness przetwarzająca dane zdrowotne klienta, a innych sala zabaw organizująca półkolonie dla dzieci. Ilość nowych zabezpieczeń zależy też od tego, jakie systemy były uprzednio stosowane w firmie. Dobrym przykładem mogą być banki, które w trosce o bezpieczeństwo klientów jeszcze przed wprowadzeniem RODO zadbały by ich system informatyczny był odporny na ataki hakerów i kradzież danych.

RODO w praktyce: czy jest się czego bać?

Od kilku miesięcy RODO jest na ustach wszystkich. Doczekało się memów, gifów, ale też spędziło sen z powiek niejednemu przedsiębiorcy. Czy słusznie? Czy aby powszechna panika na pewno jest uzasadniona?

W przypadku IT RODO oznacza jedynie konieczność oceny ryzyka oraz dobrania takich rozwiązań, które zapobiegną wyciekowi danych. Przepisy nie narzucają konkretnych wytycznych, dzięki czemu mamy dużą swobodę działania. Co należy zrobić krok po kroku, by oswoić RODO i bezproblemowo wprowadzić je w swojej firmie?

1. Przygotowanie analizy ryzyka

Zacznijmy od wypisania wszystkich procesów zachodzących w naszej firmie. Następnie zastanówmy się, jakie systemy informatyczne są używane w każdym z tych procesów i jakie może wiązać się z tym ryzyko wycieku danych.

Warto wziąć pod uwagę wszystkie procesy w firmie – mówi Marek Nadstawny z Kompanii Informatycznej – Jako przykład możemy podać sytuację, gdy podajemy dane z umów o pracę naszym klientom. To już jest proces. Ryzyko dla niego będzie takie, że zawartość maila może zostać przechwycona przez osoby trzecie. Gdy już to wiemy, pozostaje nam zabezpieczenie się przed taką możliwością.

2. Rekomendacja do wdrożenia

Gdy znamy już procesy i ryzyko z nimi związane, musimy znaleźć rozwiązanie zapewniające nam bezpieczeństwo. W przypadku danych przesyłanych mailowo, wystarczy szyfrować wiadomości e-mail. I w tym momencie przyda nam się pomoc specjalisty, który zastosuje odpowiednie rozwiązania.

W przygotowaniu analizy, audycie środowiska oraz rekomendacjach zabezpieczeń pomaga Kompania Informatyczna, która może także pomóc wdrożyć wszystkie zabezpieczenia. Bo to właśnie zabezpieczenia i rozwiązania bezpieczeństwa są naszą największą pasją. – mówi Marek Nadstawny.

A Wasze systemy informatyczne są już gotowe na RODO?

Sprawdź: Jak zabezpieczyć się przed utratą danych?

ul. Czereśniowa 98 lok. 230
02-456 Warszawa

Biuro: 22 3507809

Opiekun techniczny: 509-416-760

Umowy/oferty: 504-174-014