Jak przygotować infrastrukturę IT na RODO?

,

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych wchodzi w życie już 25 maja 2018 roku. Rozporządzenie to dotyczy wszystkich danych osobowych, jakie gromadzi i przechowuje firma we wszystkich miejscach, począwszy od poczty elektronicznej, poprzez serwery, na urządzeniach mobilnych i pendrive’ach kończąc. Do wymogów RODO należy więc przygotować nie tylko sam użytkowany system, ale całą infrastrukturę IT.

Jakie zmiany niesie ze sobą RODO?

Firmy, przetwarzające dane osobowe zobowiązane są na mocy RODO do umożliwienia osobom, których dane są przechowywane i przetwarzane w ich zbiorach m.in. skorzystania z prawa do bycia zapomnianym (czyli usunięcia na żądanie wszelkich danych na swój temat z bazy danych), prawa do zmiany informacji lub ich przeniesienia do innego administratora na ujednoliconym nośniku, umożliwiającym ich bezproblemowy odczyt.

RODO wprowadza także zasadę minimalizacji przetwarzania danych osobowych. Oznacza to, że firmy zobowiązane będą do gromadzenia przechowywania i posługiwania się jedynie tymi danymi, które są niezbędne do prowadzenia ich działalności. Kolejne zmiany związane są z procesem przetwarzania danych, z koniecznością wdrożenia rozwiązań zabezpieczających i szyfrujących dane, przygotowaniem odpowiednich procedur reagowania w sytuacjach naruszenia bezpieczeństwa danych osobowych, czy obowiązkiem rejestrowania czynności przetwarzania danych osobowych.

Jak przygotować system informatyczny do wymagań RODO?

Wobec szeregu zmian i wymagań związanych z RODO koniecznym staje się przystosowanie całej infrastruktury IT, w której przechowuje się i przetwarza dane osobowe. W myśl rozporządzenia, dane osobowe należy chronić poprzez:

  • pseudonimizację, szyfrowanie oraz anonimizację danych osobowych,
  • zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • możliwość szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Aby zabezpieczyć zarówno dane, przechowywane w systemie, jak i całą infrastrukturę IT, należy podjąć niezbędne kroki. Przede wszystkim trzeba zabezpieczyć dostęp zarówno do sieci, jak i samego systemu poprzez weryfikację dostępów (uwierzytelnianie, autoryzację, logowanie) oraz możliwość sprawdzenia, kto, jak, gdzie i kiedy przeglądał/pobierał/drukował jakie dane. Warto w tym miejscu zaznaczyć, iż przechowywanie danych w chmurze nie gwarantuje 100% bezpieczeństwa ich przechowywania.

Konieczne jest również wprowadzenie zmian konfiguracyjnych w już użytkowanym systemie tak, aby ustawienia domyśle systemu przypisane miały ochronę danych osobowych. Jeśli dany rodzaj przetwarzania danych osobowych (szczególnie w związku z wykorzystywaniem nowych technologii) wiąże się zaś z dużym ryzykiem naruszenia praw lub wolności osób fizycznych, administrator tych danych musi dokonać oceny skutków tychże operacji.

W systemie powinny również być przechowywane wszelkie niezbędne informacje na temat udzielonych upoważnień dostępu do danych osobowych, udzielonych przez administratora tych danych. Oprogramowanie powinno więc przechowywać skany odpowiednich dokumentów, listę osób upoważnionych, jak również zakres i ramy czasowe upoważnienia, oddzielnie dla każdej upoważnionej osoby.

Nowy system – zmiany na etapie projektowania

RODO implikuje wprowadzenie modyfikacji nie tylko w już istniejących technologiach, ale również w tych dopiero tworzonych.

Już teraz konieczne jest wdrażanie odpowiednich środków technicznych na etapie projektowania oraz tworzenia systemu informatycznego. Producent oprogramowania powinien zadbać o to, by system dawał możliwość pseudonimizacji oraz minimalizacji danych, jak również odpowiedniego zabezpieczenia zgromadzonych danych.

Na co jeszcze zwrócić uwagę?

Należy zadbać ponadto o bezpieczeństwo tworzonych kopii zapasowych, zabezpieczyć stacje robocze oraz uszczelnić dostępu do Internetu (w tym również wi-fi, udostępniane klientom).

 

Szukasz systemu gotowego na RODO? Napisz do nas! office@esnc.pl