Wymagania wobec IT

IT pełni funkcję służebną wobec całej organizacji. Nawet gdyby systemy komputerowe były sercem organizacji i gdyby IT brało udział w tworzeniu strategii biznesowej, nie zmieni to faktu, że określanie, jakie biznesowe funkcje mają pełnić systemy komputerowe, należy do wszystkich działów firmy. Z tego samego powodu dostosowanie IT do przepisów RODO wymaga współpracy całej organizacji i nie można tego zadania pozostawić tylko informatykom. Przygotowując systemy do zgodności z nowymi przepisami, szefowie IT samodzielnie, bez konsultacji będą decydować o niewielu rzeczach. Bardzo ważne jest, aby współpracowali z działem prawnym i inspektorem ochrony danych osobowych (w dzisiejszym stanie prawnym z administratorem bezpieczeństwa informacji), którzy znając doskonale przepisy o ochronie danych osobowych, będą definiować wymagania wspólnie z pozostałymi działami organizacji.

Mimo że trudno mówić o konkretnych wymaganiach RODO wobec IT, można przynajmniej nakreślić obszary, w których dział IT będzie miał do wykonania sporo zadań w związku z wejściem w życie przepisów RODO:

  • ustalenie, gdzie i jakie dane się znajdują,
  • ustalenie, jak długo dane będą przetwarzane,
  • zmiana firmowych formularzy do zbierania danych,
  • zmiana raportów dla klientów o tym, jakie ich dane są przetwarzane,
  • ograniczenie ilości i zakresu danych w wybranych systemach,
  • zastosowanie pseudonimizacji/tokenizacji,
  • dostosowanie aplikacji tak, aby przechowywały dodatkowe atrybuty z rekordami osób,
  • umożliwienie wycofania zgody tak samo łatwo, jak jej udzielenie,
  • zmiana domyślnych ustawień aplikacji,
  • wdrożenie mechanizmów usuwania danych osobowych, które „wygasły”,
  • zmiany w zapasowych kopiach danych,
  • zapewnienie prawa do przenoszenia danych,
  • zastosowanie zabezpieczeń odpowiednich do ryzyka,
  • wykrywanie i raportowanie naruszeń bezpieczeństwa,
  • zapewnienie, że dostawcy IT będą zgodni z przepisami w terminie,
  • ocena dostawców IT,
  • neksowanie umów z dostawcami IT,
  • uzupełnienie dokumentacji zabezpieczeń.

 

Zapewnienie zgodności z RODO oznacza ogrom pracy dla działów IT, dlatego konieczne będzie ustalenie priorytetów tak, aby zacząć od tego, co najważniejsze, a mniej ryzykowne zadania zostawić na koniec.

 

Ustalając wymagania, należy współpracować z całą organizacją, ale rola inspektora ochrony danych przy zapewnianiu zgodności z RODO przez IT będzie szczególnie ważna.

 

Do zadań inspektora należy m.in. (art. 39):

  • informować tych, którzy dane przetwarzają, o spoczywających na nich obowiązkach,
  • monitorować przestrzeganie przepisów o ochronie danych osobowych,
  • udzielać zaleceń do oceny skutków dla ochrony danych i monitorować jej wykonanie.
     

Inspektor ochrony danych będzie więc dla działu IT bardzo ważnym partnerem doradzającym, co i jak należy zrobić,
aby zapewnić zgodność z RODO.

 

Przygotowując się do wdrożenia RODO, zadania w zakresie informatyki należy podzielić na kilka obszarów:

  • infrastruktura – urządzenia sieciowe i komputerowe, sieć, systemy operacyjne, serwery baz danych itd.,
  • aplikacje – oprogramowanie wykorzystywane przez użytkowników do pracy z danymi osobowymi,
  • zarządzanie (ang. governance) – polityki, procedury i procesy.