Rozporządzenie Parlamentu Europejskiego o ochronie danych osobowych wchodzi w życie już 28 maja 2018 roku. O tym, że nowe przepisy zaczną obowiązywać od tej daty wiadomo było już od dawna. Wciąż jednak budzą one bardzo wiele emocji. Wraz z wejściem w życie w RODO w ochronie danych osobowych zmieni się bowiem bardzo wiele. Wiele firm dostrzegło konieczność wprowadzenia wielu zmian w stosowanych przez nie systemach informatycznych.
Jakie systemy zabezpieczeń koniecznie trzeba wprowadzić w systemach informatycznych?
Zmiany, które wprowadza RODO mają na celu zmniejszenie ryzyka, że dane osobowe, które gromadzą i przetwarzają bardzo różne podmioty naruszą prawa lub wolności osób prywatnych. Stąd też obowiązek takiego dostosowania systemu informatycznego lub sieci, aby zapobiec wyciekowi danych osobowych. Wszelkie dane muszą być poufne i autentyczne. Ochronie będą musiały podlegać nie tylko same dane osobowe, ale także infrastruktura informatyczna, która umożliwia dostęp do tychże danych. Systemy i serwery, na których dane osobowe będą przechowywane muszą być przede wszystkim bardzo spójne. Wskazane jest, aby oparte one były na systemie AAA. Oparty jest on na trzech filarach:
uwierzytelniania. Administrator danych osobowych będzie zobowiązany do nadania odpowiednich uprawnień osobie, która będzie zajmować się przetwarzaniem danych osobowych.
autoryzacji;
logowaniu.
Systemy informatyczne muszą być także zdolne do szybkiego przywrócenia dostępu do danych osobowych na skutek awarii bądź próby ich przejęcia przez osoby do tego nieuprawnione.
Jakie wymogi musi spełniać oprogramowanie po wejściu w życie RODO?
Zgodnie z zapisami RODO systemy informatyczne, które będą wykorzystywane do przechowywania danych osobowych powinny:
umożliwić wycofanie zgody udzielonej na przetwarzanie danych osobowych;
umożliwić sprostowanie danych przez osobę, której one dotyczą;
dać możliwość dostępu do nich osobie, której dotyczą.
Systemy informatyczne powinny więc dawać możliwość znakowania, edytowania lub usuwania danych osobowych. Konieczne jest także sprawdzenie, czy system działa tak, że nie będzie możliwe dłuższe przechowywanie danych osobowych niż zakładają to przepisy RODO.
Warunki jakie muszą spełniać systemy informatyczne
RODO nie wskazuje konkretnych środków bezpieczeństwa, które musi wybrać administrator danych osobowych. Nakłada na niego jednak pewne obowiązki. Najważniejsze z nich to wybranie hasła, które będzie składało się z konkretnej, z góry ustalonej liczby znaków. Koniecznie też należy uczulić osoby, które będą zajmować się przetwarzaniem danych osobowych, że hasła nie mogą dzielić się z innymi osobami, nawet ze swoimi najbliższymi współpracownikami. W celu lepszego zabezpieczenia przesyłanych plików, które będą zawierały dany osobowe konieczne będzie ich szyfrowanie. Hasło do zabezpieczonych dokumentów nie będzie mogło być przesyłane pocztą elektroniczną. Wszelkie dokumenty z danymi osobowymi nie będą mogły być przesyłane z prywatnych komputerów i prywatnych skrzynek e-mail, a jedynie ze służbowych. Na komputerze koniecznie musi zostać zainstalowany program antywirusowy. RODO nie wymaga tworzenia kopi zapasowych. Backup jest jedynie zalecany. Mimo to warto wykonywać kopie zapasowe na innych serwerach lub dyskach wymiennych. Na administratorze danych osobowych ciążyć będzie obowiązek opracowania zasad tworzenie kopii zapasowych. Kopie zapasowe należy usuwać, gdy upłynie okres przewidziany do przechowywania danych.
Bezpieczeństwo przechowywanych danych osobowych to jednak nie tylko zabezpieczenia systemów informatycznych. Równie ważne jest wiedza na ten temat jaką posiadają poszczególni pracownicy zatrudnieni w danej firmie przy przetwarzaniu danych osobowych. Najlepsze zabezpieczenia systemów informatycznych nie spełnią swojej roli, gdy pracownicy nie będą przestrzegać zasad związanych z bezpieczeństwem przechowywania danych osobowych. RODO wchodzi w życie 25 maja, to ostatni dzwonek, aby przygotować się na zmiany w przepisach o ochronie danych osobowych.
Andrzej Nowak (Informatyk)