25 maja bieżącego roku w życie weszło Rozporządzenie Ogólne o Ochronie Danych Osobowych, szerzej znane jako RODO. To dla przedsiębiorców duża zmiana. Jak powinny do niej przygotować się te firmy, które dane osobowe swoich klientów przetwarzają w systemie IT? Czego należy wymagać od swojego partnera IT w tym zakresie? [rozmowa z Marią Zagożdżon, CEO Programy™]
Debacie o RODO przyglądam się od dłuższego czasu. Media najczęściej traktują temat zmian w prawie przez pryzmat wielomilionowych kar - bo to działa na wyobraźnię. Myślę, że ustawodawcy chodziło raczej o to, by obie strony relacji - biznes i klient - czuły się w niej bezpiecznie i by była ona oparta na uczciwości. By biznes, także IT, rzetelnie podchodził do ochrony prywatności.
Odniosę rzetelność do bliskiego mi “podwórka”, skupiając się na współpracy z dostawcami rozwiązań IT. Bardzo ważne, żeby dysponowali oni wiedzą odnośnie zmian, jakie wprowadza RODO i by wdrożyli odpowiednie procedury wewnątrz organizacji. Tylko wtedy będą w stanie dostosować systemy swoich klientów do nowych regulacji.
Mogę postawić śmiałą tezę, że w pewnym zakresie od stopnia przygotowania dostawcy IT do RODO zależy bezpieczeństwo biznesu ich klientów.
RODO nie jest listą konkretnych wytycznych, które należy po kolei odhaczać, by w pełni dostosować się do nowych wymogów. Definiuje jednak ramy, w których przedsiębiorcy powinni się poruszać.
W kontekście firm tworzących oprogramowanie wydzieliłabym dwa główne obszary do weryfikacji. Z jednej strony sprawdziłabym, czy i jak dostawca IT “wewnętrznie” przygotował się do RODO, a z drugiej przeanalizowałabym dokładnie, jakie ma kompetencje w dostosowywaniu systemów do nowych regulacji i jak może mi w tym pomóc.
Jak dba o to, komu powierza dane osobowe z mojego systemu. Jakie stosuje zabezpieczenia i procedury w przypadku np. wycieku danych. Jak korzysta ze sprzętu zarówno stacjonarnego, jak i mobilnego, który służy do pracy nad moim systemem.
Lepiej dmuchać na zimne niż w nerwach gasić pożar.
Dotychczas firmy były zobligowane do posiadania Polityki Bezpieczeństwa. Aktualnie nie jest to dokument obowiązkowy, natomiast opisanie sposobu zabezpieczenia danych w formie przyjętej polityki to bardzo dobra praktyka.
Co do zasady Polityka Bezpieczeństwa zawiera informacje odnośnie sposobu przetwarzania danych osobowych, a także środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. W Programie standardem jest dokument w formie pisemnej, z którym zapoznają się i podpisują wszyscy pracownicy. Wymagają tego od nas nasi klienci.
Nie do końca. Ochrona danych osobowych to proces ciągły, nie sprowadza się do jednokrotnego wykonania określonych czynności, na zasadzie “spisałem Politykę Bezpieczeństwa w 2012 roku i to wystarczy”. Ustawodawca dąży także do tego, by przedsiębiorcy do ochrony danych osobowych podchodzili kompleksowo.
U nas wygląda to tak: w każdym projekcie wyznaczamy osobę odpowiedzialną za ochronę danych osobowych, wprowadzamy również odpowiednie zabezpieczenia danych i wdrażamy procedury związane z ich ochroną. Absolutna podstawa to regularne szkolenia zespołu w zakresie ochrony danych osobowych. Co ważne, uwzględniamy ochronę danych już w fazie projektowania systemów IT.
To zależy - przede wszystkim od zakresu przetwarzania danych w systemie. System systemowi nierówny i każde rozwiązanie wymaga indywidualnego podejścia.
Najlepiej wybrać jedną z dwóch dróg - samemu spisać, jakie dokładnie czynności przetwarzania danych zachodzą w systemie i przeanalizować, jakie w tym zakresie ma wytyczne ustawodawca albo zlecić doświadczonemu dostawcy IT audyt i wdrożenie niezbędnych zmian.
Wprawdzie zadbanie o zgodność systemu z nowymi regulacjami to obowiązek przedsiębiorcy, ale byłoby fantastycznie, gdyby inicjatywa zmian wyszła także od Twojego dostawcy IT, który zna Twój system od podszewki.
Wiedzieliśmy, że RODO wielu naszym klientom spędza sen z powiek, więc zawczasu wyodrębniliśmy zespół inżynierów dedykowany analizie zgodności ich systemów z nowymi regulacjami. Dzięki temu stworzyliśmy koncepcje rozwoju systemów, które - zgodnie z wiedzą naszą i naszych prawników - wpisują się w oczekiwania ustawodawcy i wspierają klientów w bezpiecznym prowadzeniu biznesu. Wiele z tych propozycji jest już na etapie wdrożenia.
Jeśli przetwarzasz dane osobowe w systemie IT, to rzeczywiście na dostawcy rozwiązań informatycznych spoczywa duża odpowiedzialność związana z zapewnieniem ochrony danych osobowych, od których zależy bezpieczeństwo Twojego biznesu.
Zatem w Twoim interesie jest weryfikacja stopnia przygotowania partnera IT do regulacji RODO, a także dostosowanie systemu informatycznego do nowych przepisów.
…
[Dalszą część rozmowy, w której omawiane są case study związane z zapewnieniem bezpieczeństwa danych wrażliwych i pseudonimizacją znajdziecie w kolejnych artykułach z serii #RODO]
Z Marią Zagożdżon, CEO Programy, rozmawiała Patrycja Matuszak-Jastak.