RODO – cztery litery, a potrafią sparaliżować niejednego przedsiębiorcę. Czym tak naprawdę jest RODO? Czy jest się czego bać? Jak przygotować firmę pod kątem IT?
Co to jest RODO?
RODO czyli Rozporządzenie o Ochronie Danych Osobowych to przepisy mówiące o tym, do czego mamy prawo w zakresie przetwarzania i udostępniania informacji prywatnych. I choć przepisy obowiązują już od 25 maja 2018 roku, czyli niemal 1,5 roku, skrót RODO nadal przyprawia wielu przedsiębiorców o gęsią skórkę. Czy jest się czego bać? Oczywiście, że nie! O ile odpowiedni przygotujesz swoją firmę… A przygotowanie od strony działu IT jest tu kluczowe.
Przepisy nakładają na firmy przetwarzające dane osobowe obowiązki, których celem jest ochrona praw osób, które te dane firmom powierzyły. Rozporządzenie dotyczące RODO to szereg obowiązków związanych z analizą ryzyka, zabezpieczaniem informacji oraz przejrzystością prowadzonych działań. Najważniejsze z nich to:
- obowiązek dokumentacji przetwarzania danych – przedsiębiorstwo powinno prowadzić rejestr tego, w jakim celu dane są zbierane i przetwarzane.
- prawo dostępu do danych – zgodnie z którym musimy udzielić konsumentowi informacji, jakie jego dane są przez nas zbierane i przetwarzane
- prawo do przenoszenia danych – na życzenie konsumenta dane mają być przekazane innemu, wskazanemu przez niego podmiotowi
- prawo do poprawiania danych – to możliwość poprawiania swoich danych
- prawo do bycia zapomnianym – wymuszające konieczność usunięcia danych osobowych na wniosek konsumenta
- obowiązek informowania o wycieku danych – przedsiębiorstwo ma 72 godziny na ujawnienie informacji o wycieku danych
- obowiązek powołania Inspektora Ochrony Danych w firmach, w których przetwarzanie danych osobowych jest podstawą działalności
Rozporządzenie RODO a dział IT
W dzisiejszych czasach niemal nikt nie przechowuje danych firmowych na papierze. Przepastne archiwa i teczki pełne dokumentów w większości zostały umieszczone na mniejszych lub większych serwerach, a część z nich jest przechowywana w chmurze. Co więcej dane osobowe pojawiają się w niemal każdym przedsiębiorstwie. Zbierają je hotele, siłownie, lekarze, ale też kosmetyczki czy masażyści. Niewiele jest profesji, które tych danych nie potrzebują. Oczywistym jest więc, że ochrona danych osobowych to w dużej mierze sposób zabezpieczenia tych zasobów. I tu niezbędna okazuje się pomoc działu IT.
Dobrze zabezpieczony komputer
Firmowe komputery i komórki są skarbnicą wiedzy na temat nie tylko tajemnic przedsiębiorstwa, ale również jego klientów. Zamieszczone na nich bazy stanowią ciekawy łup dla hakerów i przestępców komputerowych, którzy mogą wykorzystać je na różne sposoby. Dlatego zabezpieczenie komputerów i infrastruktury IT to podstawa. Z jednej strony należy zadbać o odpowiednie programy antywirusowe, ale z drugiej nie można zapomnieć o szkoleniu pracowników. To oni często zostawiają uchylone drzwi, przez które przeciskają się niechciane programy lub wirusy. Co jest ważne z punktu widzenia ochrony danych osobowych?
Ochrona przed wyłudzeniem danych
Phishing to zjawisko niemal tak stare jak internet. Co łączy go z łowieniem ryb? Podobnie jak wędkarz, również przestępca komputerowy zarzuca przynętę, np. tworząc stronę łudząco podobną do strony banku. I raz na jakiś czas jedna z rybek (Twoich pracowników) się na to łapie. Przechodzi na stronę przestępcy i podaje dane do logowania albo klika w rzekomą fakturę instalując jednocześnie na swoim komputerze programy śledzące. Gdy po czasie okazuje się, że ktoś popełnił błąd, najczęściej dane zdąrzyły wyciec już z firmy. Zadaniem działu IT jest więc zminimalizowanie ryzyka wystąpienia tego typu incydentów.
Słabe hasła i zabezpieczenia
Czy wiesz, że hasło składające się z samych jedynek albo kolejno następujących po sobie cyfr jest jednym z najczęściej wybieranych przez użytkowników. A może hasła do firmowego WIFI wiszą w Twojej firmie w widocznym miejscu? Na ochronę danych osobowych składają się również takie drobiazgi, jak silne hasła oraz nieudostępnianie ich osobom niepowołanym. Czy w Twojej firmie występują tego typu nieprawidłowości? O tym powie Ci audyt IT!
Kopia danych
Nawet najlepiej zabezpieczone komputery od czasu do czasu padają ofiarą przestępców. Co więcej mogą nam się przydarzyć tak nieprzewidywalne sytuacje jak pożar czy zalanie firmy, w wyniku których ucierpi nasza infrastruktura IT. Dlatego dobry informatyk wie, że kopia zapasowa danych to coś, co powinno posiadać każde przedsiębiorstwo. Niezależnie od swojej wielkości. Dzięki niej po awarii lub ataku hakera będziemy mogli bardzo szybko przywrócić system do stanu sprzed incydentu.
Jak wygląda RODO w praktyce?
Jak już wiesz zgodnie z RODO Twoim obowiązkiem jako przedsiębiorcy jest zadbanie o to, by dane były przechowywane i przetwarzane w bezpieczny sposób. Co ważne: przepisy nie wprowadzają precyzyjnych wytycznych, a jedynie zalecenia, co warto wziąć pod uwagę w ramach ochrony przedsiębiorstwa. Ogólnie rzecz ujmując, by ochrona danych była pełna i możliwa należy zadbać o kilka elementów:
- wspomnianą już ochronę komputerów, laptopów i telefonów komórkowych, na którą składa się instalacja aktualnych programów antywirusowych, korzystanie z legalnego i aktualnego systemu operacyjnego oraz stosowanie bezpiecznych haseł;
- szyfrowanie danych i zapobieganie ich wyciekom poprzez zastosowanie profesjonalnego oprogramowania i rozwiązań sprzętowych;
- nadzór nad uprawnieniami pracowników;
- bieżąca dokumentacja i prowadzenie rejestrów działań związanych z bazą danych;
- zabezpieczenie zużytego sprzętu, który przed wyrzuceniem należy trwale oczyścić ze wszystkich znajdujących się na nim danych.
Jeśli Twój dział IT wprowadził to wszystko, naprawdę nie masz się czego obawiać!