Komentarze ekspertów

RODO w systemach IT – co warto wiedzieć?

Łukasz Wróbel | WEBCON
RODO w systemach IT – co warto wiedzieć?
Fot. WEBCON
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Po tym, jak od 25 maja w Polsce zaczęła obowiązywać dyrektywa RODO, część firm obudziła się w swoistej nowej rzeczywistości. Niedostosowanie się do nowych przepisów może zakończyć się karą w maksymalnej wysokości 20 milionów euro. Nic więc dziwnego, że przedsiębiorcy, wraz z zespołami prawników, dokładają najwyższych starań, aby dostosować się do nowych regulacji. Na szczęście, są rozwiązania, które umożliwiają nie tylko sprawne dostosowanie się do wymagań, ale również i późniejsze, codzienne funkcjonowanie zgodnie z nimi.

RODO nakłada na organizacje i działy IT zupełnie nowe obowiązki w zakresie przetwarzania danych osobowych, a zwłaszcza: wymóg szczegółowej dokumentacji źródeł danych oraz sposobu i celu ich przetwarzania, konieczność kontroli przepływu danych, płynną obsługę wniosków o anonimizację lub usunięcie, czy sprawną obsługę incydentu wycieku danych – mówi Łukasz Wróbel, Chief Business Development Officer w firmie WEBCON.

Działy IT stają przed sporym wyzwaniem. Z jednej strony potrzebne jest dostosowanie istniejących systemów informatycznych tak, by odpowiadały założeniom privacy by default i privacy by design, oraz wprowadzenie mechanizmów pozwalających na praktyczną realizację prawa do bycia zapomnianym – dodaje Łukasz Wróbel. Z drugiej strony, opracowanie i wdrożenie zupełnie nowych procedur przetwarzania w związku z RODO to niemal automatycznie konieczność uruchomienia rozwiązań, które zapewnią ich faktyczne przestrzeganie, czyli w pewien sposób wymuszą ich funkcjonowanie w praktyce, umożliwią monitorowanie procesów przetwarzania i zminimalizują ryzyko niedopatrzeń czy błędów ludzkich w tym obszarze.

W takiej sytuacji przydatne mogą się okazać narzędzia oparte o mechanizmy workflow, pozwalające usprawnić obieg dokumentów, zadań i informacji. Przede wszystkim, pozwalają one zapanować nad sposobem i zakresem zbierania informacji – zarówno przy wprowadzaniu danych osobowych, jak i w przypadku zgłoszenia incydentu czy konieczności zarejestrowania wniosku o np. anonimizację. Dzięki temu można mieć pewność, że wymagane przez RODO parametry zostaną zarejestrowane i pozostaną dostępne dla ewentualnego audytu. Rolą narzędzi tego typu jest również upewnienie się, że obowiązki wynikające z ustawy będą realizowane sprawnie i w zgodzie z reżimem czasowym wyznaczonym przez RODO.

Dobrym przykładem jak taki obieg powinien zadziałać w praktyce, może być realizacja prawa do bycia zapomnianym. W takiej sytuacji konieczna będzie weryfikacja zakresu i sposobu wykorzystania danych, oraz tego, czy nie zostały one udostępnione podmiotom trzecim, np. partnerom biznesowym czy firmie serwisującej systemy informatyczne. Wszyscy zaangażowani powinni zostać poinformowani o wniosku, a informacje znajdujące się w poszczególnych zbiorach danych zanonimizowane lub usunięte. Proces powinien zostać zrealizowany szybko i sprawnie, a wykonanie zadań udokumentowane, tak by w przypadku audytu można było wykazać, że jako firma działamy w zgodzie z RODO. Bez narzędzi informatycznych trudno będzie zapanować nad tym czy zadania związane z przetwarzaniem danych osobowych są realizowane w terminie, oraz kto i w jakim zakresie ponosi za nie odpowiedzialność – podsumowuje Łukasz Wróbel.