RODO Dzięki rozległej specjalistycznej wiedzy w zakresie ochrony danych, ochrony prywatności i przestrzegania złożonych przepisów prawnych rozwiązania informatyczne firmy Microsoft już teraz są zgodne z założeniami RODO. Chmura dla firm i przedsiębiorstw – Existo
qloud
qloud
Chmura dla firm i przedsiębiorstw – Existo
  • Dostosuj zasady ochrony informacji – pozwoli to na wprowadzenie w firmie klasyfikacji danych poufnych oraz ich kontroli
  • Zwiększ bezpieczeństwo oraz prywatność w swoich systemach – dostosuj systemy do wymogów związanych z rozporządzeniem UE w zakresie RODO
  • Reaguj w momencie zagrożenia – kontroluj zawartość urządzeń mobilnych na odległość i szyfruj dane wtedy kiedy tego potrzebujesz
  • Kontroluj i śledź dane – sprawdzaj kto i w jaki sposób ma dostęp do danych, kontroluj ich wymianę i reaguj w przypadku złamania zasad
  • Korzystaj z najpopularniejszych, najbardziej rozbudowanych i zapewniających największą elastyczność wdrożeniową powszechnych narzędzi biurowych takich jak Office 365, Dynamics 365, Azure oraz innych

Rozwiązania Microsoft a wymagania RODO

Dzięki kompatybilności systemów IT oraz oprogramowania, biura korzystające z rozwiązań Microsoft działają szybciej i sprawniej, ale także są zabezpieczone na wiele sposobów, które mogą być niewidoczne dla przeciętnego użytkownika. Wdrożenie RODO jest obowiązkowe dla wszystkich organizacji gromadzących, hostingujących lub analizujących dane osobowe mieszkańców UE, dlatego już teraz działaj zgodnie z założeniami rozporządzenia. Co istotne, w aktualnie obowiązującym rozporządzeniu wskazuje się na konieczność stosowania zabezpieczeń adekwatnych do zidentyfikowanych zagrożeń. Brak natomiast konkretnej listy określonych metod ochronnych.

Najistotniejsze założenia RODO

Firma spełniająca wszystkie wyszczególnione kryteria zazwyczaj cieszy się uznaniem i zaufaniem wśród swoich klientów oraz kontrahentów.
  • Zapewnienie odpowiedniego bezpieczeństwa danych
  • Obowiązek niezwłocznego informowania GIODO o naruszeniu danych
  • Obowiązek zawiadomienia poszkodowanych o naruszeniu danych
  • Wysokie kary pieniężne za brak odpowiednich zabezpieczeń
  • Wgląd do własnych danych
  • Prawo do poprawiania własnych danych
  • Prawo do bycia zapomnianym
  • Odmowa przetwarzania własnych danych
  • Informacja o okresie, przez który dane osobowe mają być przetwarzane
  • Informacja o prawie do cofnięcia zgody na przetwarzanie danych
  • Informacja o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej
  • Informacja o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej

Zgodność systemów IT z RODO w praktyce

W obowiązującym rozporządzeniu brakuje listy precyzyjnych wymagań IT odnośnie do zgodności systemów informatycznych Microsoft z RODO. Mimo wszystko można jednak wyszczególnić pewne przesłanki świadczące o tym, że wdrożenie określonych rozwiązań prawnych dotyczących kwestii ochrony danych osobowych zakończyło się sukcesem. W tym aspekcie w firmie Existo z Suwałk zwraca się uwagę przede wszystkim na takie zagadnienia, jak interfejsy systemowe użytkowników końcowych, a także funkcjonalność programów przeznaczonych do backupu i przetwarzania oraz zabezpieczania pozyskanych informacji przed przejęciem przez nieuprawnione do tego podmioty. Warto przyjrzeć się bliżej wymienionym zagadnieniom.

Interfejs użytkownika

Regulacje prawne odnoszące się do wdrożenia i funkcjonowania RODO w systemach informatycznych Microsoft swym zasięgiem obejmują m.in. wymagania IT związane z przygotowywaniem oraz udostępnianiem formularzy internetowych wypełnianych przez konsumentów w określonym celu (np. zakupu danego produktu). Takie kwestionariusze zgodnie z określonymi rozwiązaniami prawnymi powinny spełniać określone zobowiązania informacyjne.

Ich zadaniem jest również uzyskanie stosownego zezwolenia danego użytkownika na przetwarzanie przekazanych danych osobowych. Weryfikację treści wspomnianych dokumentów przeprowadza się przede wszystkim pod kątem prawidłowości klauzul oraz przejrzystości i rozdzielności zgód. Trzeba przy tym zwrócić uwagę na określone wymagania formalno-prawne w kwestii wdrożenia RODO, którym podlegają m. in. takie systemy informatyczne, jak serwisy webowe.

Backup i archiwizacja danych

Jak już wspomnieliśmy, wśród podstawowych założeń zastosowanych rozwiązań prawnych w dziedzinie ochrony danych osobowych wymienia się prawo do bycia zapomnianym, a także możliwość zweryfikowania okresu przetwarzania informacji zgromadzonych w bazach IT. Zgodnie z aktualnymi regulacjami do bezpowrotnego usuwania konkretnych wiadomości z kopii archiwalnych należy wykorzystywać tzw. backup.

Jest to szczególnie istotne w przypadku administratorów będących w posiadaniu ogromnych zbiorów danych. W tej sytuacji nie wystarczy wykorzystywanie standardowych systemów informatycznych Microsoft. Muszą oni zastosować określone rozwiązania IT zgodne z RODO, w razie konieczności podejmując także decyzję o wdrożeniu innowacyjnego oprogramowania zapewniającego najwyższy poziom bezpieczeństwa danym przeznaczonym do wykreślenia z bazy.

Funkcjonalność oprogramowania

Wytyczne odnoszące się do funkcjonalności oprogramowania związane są przede wszystkim z praktyczną realizacją obowiązków administratorów danych osobowych przy jednoczesnym przestrzeganiu praw przysługujących osobom, których dotyczą wspomniane informacje. Wymagania RODO dla systemów informatycznych Microsoft służących do przetwarzania określonych wiadomości wskazują na konieczność prawidłowego zarządzania nimi w określonych aspektach.

Warto mieć świadomość, że czas przechowywania danych osobowych w bazach IT zwykle jest ograniczony. Ponadto ich właściciel ma możliwość wycofania udzielonej zgody w dowolnym momencie, bez podania przyczyny skorzystania z tego rozwiązania zgodnie z obowiązującymi regulacjami. Przy praktycznym wdrażaniu przepisów prawnych odnoszących się do ochrony poufnych informacji ich administratorzy muszą także położyć szczególny nacisk na realizację określonych praw osób, których tyczą się te wiadomości.

Trzeba zatem zapewnić tym ludziom swobodny dostęp do danych osobowych, a także ich uzupełniania, prostowania oraz ograniczenia przetwarzania. Zgodnie z obowiązującymi wymaganiami RODO informacje zgromadzone w systemach informatycznych Microsoft mogą być także dowolnie przenoszone przez ich właścicieli do ustrukturyzowanego, powszechnie stosowanego formatu nadającego się do maszynowego odczytu, np. CSV albo XML. Na wdrożenie tego rozwiązania decyduje się wielu użytkowników baz IT.

Bezpieczeństwo danych osobowych w praktyce

Od administratorów danych osobowych oczekuje się zapewnienia przechowywanym informacjom bezpieczeństwa na najwyższym poziomie. Jest to możliwe wówczas, gdy zostaną zastosowane konkretne środki techniczne i organizacyjne. Za szczególnie istotne w tym względzie należy uznać wdrożenie takich rozwiązań, jak:

  • pseudonimizacja i szyfrowanie danych osobowych;
  • szczególna dbałość o ciągłą dostępność, integralność, poufność oraz odporność systemów i usług przetwarzania informacji przechowywanych w systemach informatycznych Microsoft;
  • zdolność do szybkiego przywrócenia możliwości wglądu do zgromadzonych w bazach IT danych po nastąpieniu określonego incydentu technicznego lub fizycznego;
  • przeprowadzanie systematycznych testów służących ocenie skuteczności zastosowanych środków bezpieczeństwa.

Zgodnie z wymaganiami zawartymi w RODO przy ocenie efektywności ochrony danych osobowych należy poddać szczegółowej weryfikacji stopień ryzyka związanego z bezprawnym zniszczeniem, modyfikacją, ujawnieniem lub udostępnieniem poufnych informacji nieupoważnionym do tego podmiotom.

Instrukcje zarządzania systemem informatycznym a RODO

W obowiązujących przepisach prawnych brak jest konkretnych wytycznych co do wyglądu oraz sposobu uzupełniania dokumentacji odnoszącej się do przetwarzania danych osobowych w bazach IT. W praktyce oznacza to, że najważniejsze decyzje dotyczące formy i treści akt podejmują administratorzy. Co ważne, w wymaganiach RODO odnoszących się do systemów informatycznych Microsoft nie ma żadnych wytycznych wskazujących na konieczność opatrzenia dokumentów konkretną nazwą. Zgodnie z zawartymi w unijnym rozporządzeniu wskazówkami, trzeba jednak wykazać możność praktycznej realizacji rozwiązań służących ochronie poufnych informacji, jak również zbieżność tych środków z przyjętymi regulacjami.

Wśród przydatnych elementów instrukcji można wymienić:

  • ogólne wiadomości o wdrożonym systemie informatycznym i przetwarzanych przez niego informacjach;
  • reguły nadawania uprawnień do zarządzania danymi;
  • wymagania co do haseł, loginów itp.;
  • opis procedur rozpoczęcia oraz zakończenia pracy danego programu, a także procesu tworzenia kopii zapasowych;
  • sposoby zabezpieczenia oprogramowania IT przed wirusami komputerowymi.

Ogólne wytyczne RODO w IT wskazują na konieczność wdrożenia w systemach informatycznych Microsoft odpowiednio dobranych środków technicznych i organizacyjnych umożliwiających prawidłowe przetwarzanie danych osobowych. Zastosowane metody w razie potrzeby można poddać szczegółowej weryfikacji oraz modyfikacji. Opisane w instrukcji procedury powinny zostać udostępnione wyłącznie osobom, których one dotyczą.