ochrona-danych-osobowych Przedsiębiorca
15 maja 2018

Jaki wpływ mają wymagania RODO na systemy IT?

RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady, które weszło w życie 25 maja 2018 roku, narobiło sporo zamieszania w praktycznie każdej firmie i instytucji, która jakkolwiek przetwarza informacje o swoich klientach, usługobiorcach i interesantach. Jak te zmiany w prawie odbiły się na systemach IT? Do czego RODO zobowiązuje ich administratorów? Poznaj RODO w kontekście systemów IT.

Czym jest RODO i co ono zmienia?

RODO (ogólne rozporządzenie o ochronie danych), określa zasady przetwarzania danych osobowych. Najważniejsze zmiany, jakie wprowadza, to:

  • Ułatwienie dostępu do danych – osoba, której dotyczą, ma większy wgląd w to, jakie dane, w jaki sposób, w jakim celu i przez kogo są przetwarzane.
  • Łatwiejsze przenoszenie danych między dostawcami usług.
  • „Prawo do bycia zapomnianym”, czyli do całkowitego usunięcia swoich danych osobowych z baz podmiotów, które je przetwarzają – w prosty sposób.
  • Obowiązek niezwłocznego informowania osób, których dane są gromadzone, że przeprowadzony został atak hakerski, który mógłby stanowić zagrożenia dla bezpieczeństwa tych danych osobowych.
  • Pseudonimizacja, czyli szyfrowanie danych osobowych, którymi administruje podmiot, tak aby nie dało się ich powiązać z konkretną osobą.

Tak to wygląda z perspektywy osoby, której dane są przetwarzane. RODO ma chronić bezpieczeństwo danych osobowych w sieci. Dostosowanie się do wymogów rozporządzenia wymaga jednak wprowadzenia zmian w systemach informatycznych. Wobec jakich wyzwań stoją ich administratorzy?

Nowe wymagania dla systemów IT według RODO

RODO nie daje gotowych rozwiązań w zakresie dostosowania systemów IT. Zamiast podsuwać listę wymogów, które nie do każdego systemu przystają, RODO obliguje podmioty przetwarzające dane osobowe do analizy ryzyka, a następnie wdrożenia rozwiązań, które to ryzyko usuną. Można to powierzyć np. firmie Audytel.

Kluczową czynnością jest więc audyt systemu, który pozwoli znaleźć luki i opracować środki zaradcze. Pomocną usługą, która pozwoli dostosować system IT do nowego rozporządzenia, jest też tzw. audyt zgodności RODO. Jego celem jest określenie tego, czy system realizuje wszystkie założenia rozporządzenia.

RODO nie jest jednak zupełnie pozbawione wskazówek. Określa ono m.in. to, jak powinny wyglądać formularze, w których użytkownicy wprowadzają dane osobowe, a także jakich pozwoleń powinni oni udzielić, zanim te informacje będą mogły być przetwarzane.

Według RODO systemy IT muszą umożliwiać użytkownikowi: ograniczenie okresu przetwarzania danych osobowych, wycofanie zgody, dostęp do swoich danych osobowych, wniesienie sprostowania, bycie zapomnianym, ograniczenie przetwarzania danych, wniesienie sprzeciwu. Ponadto osoba, której dane są przetwarzane, może nie wyrazić zgody na zautomatyzowane podejmowanie decyzji, czyli np. profilowanie w celu wyświetlania spersonalizowanych reklam.