Przetwarzasz dane osobowe w systemie IT? Dostosuj go do RODO
25 maja bieżącego roku w życie weszło Rozporządzenie Ogólne o Ochronie Danych Osobowych, szerzej znane jako RODO. To dla przedsiębiorców duża zmiana. Jak powinny do niej przygotować się te firmy, które dane osobowe swoich klientów przetwarzają w systemie IT? Czego należy wymagać od swojego partnera IT w tym zakresie? [rozmowa z Marią Zagożdżon, CEO Programy™]
RODO to obecnie temat nr 1 w polskim biznesie. Jedni mówią o rewolucji w ochronie danych osobowych, inni, że nowe prawo wnosi niewiele zmian, a media straszą karami. Jak patrzy na to branża IT?
Debacie o RODO przyglądam się od dłuższego czasu. Media najczęściej traktują temat zmian w prawie przez pryzmat wielomilionowych kar - bo to działa na wyobraźnię. Myślę, że ustawodawcy chodziło raczej o to, by obie strony relacji - biznes i klient - czuły się w niej bezpiecznie i by była ona oparta na uczciwości. By biznes, także IT, rzetelnie podchodził do ochrony prywatności.
Rzetelnie, to znaczy jak?
Odniosę rzetelność do bliskiego mi “podwórka”, skupiając się na współpracy z dostawcami rozwiązań IT. Bardzo ważne, żeby dysponowali oni wiedzą odnośnie zmian, jakie wprowadza RODO i by wdrożyli odpowiednie procedury wewnątrz organizacji. Tylko wtedy będą w stanie dostosować systemy swoich klientów do nowych regulacji.
Mogę postawić śmiałą tezę, że w pewnym zakresie od stopnia przygotowania dostawcy IT do RODO zależy bezpieczeństwo biznesu ich klientów.
Jak sprawdzić, czy partner IT, z którym współpracuję, podchodzi do tematu RODO poważnie?
RODO nie jest listą konkretnych wytycznych, które należy po kolei odhaczać, by w pełni dostosować się do nowych wymogów. Definiuje jednak ramy, w których przedsiębiorcy powinni się poruszać.
W kontekście firm tworzących oprogramowanie wydzieliłabym dwa główne obszary do weryfikacji. Z jednej strony sprawdziłabym, czy i jak dostawca IT “wewnętrznie” przygotował się do RODO, a z drugiej przeanalizowałabym dokładnie, jakie ma kompetencje w dostosowywaniu systemów do nowych regulacji i jak może mi w tym pomóc.
Zatem o co pytać?
Jak dba o to, komu powierza dane osobowe z mojego systemu. Jakie stosuje zabezpieczenia i procedury w przypadku np. wycieku danych. Jak korzysta ze sprzętu zarówno stacjonarnego, jak i mobilnego, który służy do pracy nad moim systemem.
Lepiej dmuchać na zimne niż w nerwach gasić pożar.
Czy dostawca te informacje powinien mieć spisane w oficjalnym dokumencie?
Dotychczas firmy były zobligowane do posiadania Polityki Bezpieczeństwa. Aktualnie nie jest to dokument obowiązkowy, natomiast opisanie sposobu zabezpieczenia danych w formie przyjętej polityki to bardzo dobra praktyka.
Co do zasady Polityka Bezpieczeństwa zawiera informacje odnośnie sposobu przetwarzania danych osobowych, a także środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. W Programie standardem jest dokument w formie pisemnej, z którym zapoznają się i podpisują wszyscy pracownicy. Wymagają tego od nas nasi klienci.
Czyli Polityka Bezpieczeństwa jest wystarczającym dokumentem gwarantującym, że partner IT należycie dba o ochronę danych osobowych?
Nie do końca. Ochrona danych osobowych to proces ciągły, nie sprowadza się do jednokrotnego wykonania określonych czynności, na zasadzie “spisałem Politykę Bezpieczeństwa w 2012 roku i to wystarczy”. Ustawodawca dąży także do tego, by przedsiębiorcy do ochrony danych osobowych podchodzili kompleksowo.
U nas wygląda to tak: w każdym projekcie wyznaczamy osobę odpowiedzialną za ochronę danych osobowych, wprowadzamy również odpowiednie zabezpieczenia danych i wdrażamy procedury związane z ich ochroną. Absolutna podstawa to regularne szkolenia zespołu w zakresie ochrony danych osobowych. Co ważne, uwzględniamy ochronę danych już w fazie projektowania systemów IT.
A sam system - jak powinniśmy go dostosować do RODO?
To zależy - przede wszystkim od zakresu przetwarzania danych w systemie. System systemowi nierówny i każde rozwiązanie wymaga indywidualnego podejścia.
Najlepiej wybrać jedną z dwóch dróg - samemu spisać, jakie dokładnie czynności przetwarzania danych zachodzą w systemie i przeanalizować, jakie w tym zakresie ma wytyczne ustawodawca albo zlecić doświadczonemu dostawcy IT audyt i wdrożenie niezbędnych zmian.
Wprawdzie zadbanie o zgodność systemu z nowymi regulacjami to obowiązek przedsiębiorcy, ale byłoby fantastycznie, gdyby inicjatywa zmian wyszła także od Twojego dostawcy IT, który zna Twój system od podszewki.
Wiedzieliśmy, że RODO wielu naszym klientom spędza sen z powiek, więc zawczasu wyodrębniliśmy zespół inżynierów dedykowany analizie zgodności ich systemów z nowymi regulacjami. Dzięki temu stworzyliśmy koncepcje rozwoju systemów, które - zgodnie z wiedzą naszą i naszych prawników - wpisują się w oczekiwania ustawodawcy i wspierają klientów w bezpiecznym prowadzeniu biznesu. Wiele z tych propozycji jest już na etapie wdrożenia.
Wygląda na to, że sukces dostosowania systemu IT do RODO w dużej mierzy zależy od partnera IT.
Jeśli przetwarzasz dane osobowe w systemie IT, to rzeczywiście na dostawcy rozwiązań informatycznych spoczywa duża odpowiedzialność związana z zapewnieniem ochrony danych osobowych, od których zależy bezpieczeństwo Twojego biznesu.
Zatem w Twoim interesie jest weryfikacja stopnia przygotowania partnera IT do regulacji RODO, a także dostosowanie systemu informatycznego do nowych przepisów.
…
[Dalszą część rozmowy, w której omawiane są case study związane z zapewnieniem bezpieczeństwa danych wrażliwych i pseudonimizacją znajdziecie w kolejnych artykułach z serii #RODO]
Z Marią Zagożdżon, CEO Programy, rozmawiała Patrycja Matuszak-Jastak.
-> Potrzebujesz wsparcia w dostosowaniu Twojego systemu IT do wymogów RODO? Napisz krótki mail na hello@programa.pl lub zadzwoń +48 577 196 681 - poznaj nas i daj się poznać!