zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

Każdego roku ustawodawca przygotowuje ponad

25 000 stron aktów prawnych

Podpowiemy Ci, jak poradzić sobie w gąszczu tak często zmieniających się przepisów. 

Zapisz się na Newsletter Prawny Sage

08 stycznia 2018

Zakres przygotowań do RODO – jak być „RODO ready”?

Powinności przedsiębiorców wobec RODO

baner_rodo_sage_academy_intersitial

Całościowa dbałość o ochronę danych osobowych

Przedsiębiorstwa nie będą już musiały rejestrować w GIODO swoich baz danych. Będą natomiast miały obowiązek zbudowania systemu ochrony danych osobowych zgodny z wymogami RODO. Rozporządzenie nie określa sposobu budowania, system musi jednak uwzględniać trzy ważne zasady:

  • privacy by design,
  • privacy by default,
  • privacy impact assessment.


Privacy by design and by default

Przedsiębiorcy zobowiązani są zapewnić całościową ochronę danych osobowych, którą nazwano „prywatnością domyślną” i „prywatnością od podstaw” (privacy by design and by default). Oznacza to, że ochrona danych ma być wbudowywana w usługę lub produkt już na etapie ich projektowania (by design) i ma być aktywna domyślnie (by default), bez konieczności podejmowania działań przez osoby, których dane dotyczą.


Privacy impact assessment

Z dwoma powyższymi zasadami wiąże się trzecia – privacy impact assessment – nakładająca na administratora obowiązek dokonania oceny skutków operacji przetwarzania dla ochrony danych osobowych. Ocena powinna uwzględniać takie czynniki, jak: charakter, zakres, kontekst i cele operacji przetwarzania oraz zastosowana technologia. Dokonanie rzetelnej oceny ma szczególne znaczenie w przypadku stosowania mechanizmów profilowania.


Przegląd danych – konieczny jest audyt wewnętrzny

Zanim wybije godzina zero, w pierwszej kolejności należy zrobić porządek w danych osobowych będących w posiadaniu firmy. Analizie należy poddać dwie grupy danych:

  • dane strukturalne, czyli mieszczące się w różnego rodzaju bazach,
  • dane niestrukturalne gromadzone na wszelkiego rodzaju nośnikach (dyskach przenośnych, pendrive'ach, smartfonach). W świetle Rozporządzenia przechowywanie danych w taki sposób stwarza niebezpieczeństwo naruszeń – podmioty najczęściej nie w pełni wiedzą, gdzie są przechowywane dane niestrukturalne, jakie są to dane, ile ich jest. Nad wieloma danymi przedsiębiorstwa nie mają dostatecznej kontroli.


Od czego zacząć?

Audyt warto rozpocząć od danych niestrukturalnych, ponieważ eksperci szacują, że stanowią one blisko 60% danych osobowych będących w posiadaniu firm. Należy więc przeanalizować dane przechowywane na nośnikach: od komputerów pracowników, po skany dokumentów zapisywane na pendrive’ach. Na tym etapie przydatne są narzędzia, które przeczesują infrastrukturę informatyczną, poszukując określonych sygnatur.

Newsletter_2

Przegląd danych strukturalnych, choć teoretycznie powinien być prosty, może wykazać nieprawidłowości. Firmy korzystają z tego rodzaju danych w codziennej pracy, a pracownicy powinni wiedzieć, co i gdzie się znajduje w używanych przez nich bazach. Bywa jednak, że zostają one wielokrotnie skopiowane i zamiast w jednym, mieszczą się w wielu różnych miejscach (bazach, systemach, plikach itd.). Taka sytuacja jest niedopuszczalna.


Co powinno się zrobić?

W pierwszej kolejności należy zweryfikować obecne systemy zabezpieczeń. Wiele z dotychczas stosowanych rozwiązań może wspierać być zgodnych z RODO. Istotne jest zabezpieczanie danych przed zagrożeniami różnego rodzaju – zewnętrznymi (kradzież danych, nieautoryzowany dostęp) oraz wewnętrznymi.

Dla zapewnienia ochrony danych zgodnej z RODO firmy zainwestują przede wszystkim w:

  • rozwiązania do pseudonimizacji, szyfrowania i anonimizacji danych osobowych,
  • rozwiązania do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie naruszenia,
  • rozwiązania do przeprowadzania testów, pomiaru i oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,
  • stworzenie spójnej infrastruktury informatycznej opierającej się na sprawdzonych serwerach i systemach służących do przetwarzania danych osobowych.

Z pewnością zaistnieje też potrzeba dostosowania systemów IT do nowych wymogów prawnych, m.in. w zakresie bezpowrotnego usuwania danych osobowych z baz danych, kopii zapasowych i archiwów. Jak pokazuje badanie przeprowadzone przez miesięcznik „Computerworld” na konieczność dostosowania systemów IT do nowych przepisów wskazuje niemal połowa (49%) firm.

Aby uzyskać więcej informacji, odwiedź stronę: Sage.com.pl/RODO