Artykuły eksperckie

Branża IT jest sektorem szczególnie narażonym na naruszenia ochrony danych osobowych. Wynika to częściowo ze stosowania niewystarczająco silnych zabezpieczeń informatycznych, po części zaś z braku świadomości managerów i pracowników co do wagi zagrożeń dla gromadzonych zasobów. Przeczytaj, na co zwrócić uwagę i jak skutecznie działać, aby chronić dane osobowe w firmach IT. Dlaczego profesjonalne wdrożenia RODO i szkolenia z zakresu RODO to nie zbędny koszt, ale inwestycja, która się opłaca?

Czego dowiesz się z tego artykułu:

• Firmy z branży IT są szczególnie narażone na naruszenia przepisów regulujących ochronę danych osobowych.
• Przeciwdziałanie naruszeniom RODO polega na połączeniu ze sobą wielu różnych działań informatycznych i organizacyjnych.
• Monitorowanie i wdrożenie RODO warto traktować jako inwestycję.

W jaki sposób firmy IT powinny dbać o RODO?

Ochrona danych osobowych w branży IT powinna uwzględniać specyficzne zagrożenia, charakterystyczne dla sektora technologicznego. W szczególności istotną rolę odgrywa opracowanie procesów, które pozwolą na zachowanie bezpieczeństwa pomimo elastyczności. Warto zwrócić uwagę na popularną w IT pracę zdalną, korzystanie z narzędzi SaaS, a także specyfikę tworzenia oprogramowania Agile, gdzie założenia i cele często zmieniają się dynamicznie w trakcie realizacji projektu.

Kolejną kwestią jest rosnąca popularność środowisk chmurowych. Choć wyróżniają się one tą niezaprzeczalną zaletą, że pozwalają na współpracę osób na całym świecie, stwarzają też realne zagrożenia dla danych osobowych. Wyzwania regulacyjne związane z cloud computingiem obejmują przede wszystkim:

• transfer danych do państw trzecich – zasadniczo jest on ograniczony, wyjąwszy sytuacje, kiedy w stosunku do danego państwa została wydana decyzja o zgodności reżimu z RODO, zastosowano standaryzowane klauzule umowne lub wiążące reguły korporacyjne,
• konieczność odpowiedniego uregulowania zakresu praw i obowiązków między administratorem danych a procesorem, czyli dostawcą usługi chmurowej – zwykle cel ten osiąga się poprzez odpowiednio szczegółowe umowy Service Level Agreement i Data Processing Agreement,
• opracowanie protokołów działania na wypadek incydentu,
• zarządzanie dostępem do systemów,
• stosowanie anonimizacji lub pseudonimizacji danych.

Niezależnie od korzystania z cloud computingu konieczne staje się odpowiednie zabezpieczenie danych od strony informatycznej. W tym celu można wdrożyć np. silne algorytmy szyfrowania, uwierzytelnianie wieloskładnikowe, czy oprogramowanie antywirusowe lub klasy IDP/IPS.

RODO na etapie projektowania aplikacji

O RODO można zadbać już na etapie tworzenia oprogramowania. Kluczowe staje się realizowanie filozofii privacy by design i privacy by default. Pierwsza z nich polega na zaimplementowaniu mechanizmów ochrony danych już na etapie projektowania aplikacji, druga zaś na zastosowaniu środków bezpieczeństwa tak, aby realizacja uprawnień osób, których dane dotyczą wymagała jak najmniejszych nakładów starań.

W tym celu dobrze jest zaangażować Inspektora ochrony danych osobowych już na etapie designu. Kluczowe znaczenie ma też zapewnienie zgodności z RODO infrastruktury wykorzystywanej przez software developera. Trzeba przy tym pamiętać, że software house’y często sięgają po mechanizmy wirtualizacji, czy sandboxingu i tam RODO również trzeba uwzględnić.

Dlaczego profesjonalne wdrożenie RODO w organizacji to inwestycja?

Decydując się na wdrożenie RODO przez zespół doświadczonych prawników specjalizujących się w kwestiach związanych z ochroną danych osobowych wiele zyskujesz. Możesz spojrzeć na takie działania, jak na klasyczną inwestycję wraz ze wskaźnikiem ROI (ang. Return on Investment). Nawet jeśli zwrot z inwestycji trudno będzie wyliczyć, korzyści zdecydowanie należy zaliczyć do wymiernych.

Przede wszystkim aktualne i skuteczne procedury ochrony danych osobowych minimalizują ryzyka kar finansowych, a te na gruncie RODO są naprawdę wysokie. Mogą sięgnąć nawet 20 milionów euro lub 4% całkowitego obrotu firmy z poprzedniego roku. Tymczasem wystarczy wdrożyć RODO prawidłowo, aby w razie incydentu móc odwołać się do zasady rozliczalności i zwolnić się z odpowiedzialności lub przynajmniej obniżyć wysokość sankcji.

Zaprojektowanie efektywnych procedur RODO to także sprawna obsługa żądań osób, których dane dotyczą oraz wydajna współpraca z procesorami i organem nadzorczym. Dla administratora oznacza to mnie skarg, postępowań wyjaśniających i krótsze kontrole, a co za tym idzie – możliwość skupienia się na rozwoju bieżącej działalności gospodarczej.

Nie można też zapominać, że RODO może stanowić przewagę konkurencyjną. Nadal wiele firm nie aktualizuje swoich procedur, narażając tym samym klientów na naruszenie ich uprawnień lub danych osobowych. Audytowane mechanizmy RODO zawsze będą realizowały swój cel. Spójrz na RODO, jak na Unique Selling Proposition Twoich usług.

Dając coś, czego nie dają inni, stajesz się wyjątkowy, a to wartościowy wyróżnik na rynku. Zwróć uwagę, że wielu producentów oprogramowania księgowego, CRM lub RDP reklamuje swoje portfolio jako GDPR Compliant. Warto iść za ich przykładem!

Outsourcing funkcji IOD czy prawnik RODO in-house?

W poszukiwaniu oszczędności firmy często preferują utworzenie wewnętrznego działu compliance, który będzie monitorował zgodność wewnętrznych procesów z RODO. W praktyce oszczędność z reguły okazuje się pozorna, a korzystanie z własnych pracowników rodzi wiele potencjalnych ryzyk. Zewnętrzni specjaliści są w stanie przeprowadzić audyt obecnego stanu wdrożenia i stosowania RODO w sposób obiektywny. Dostęp do wszystkich danych w organizacji i analiza zakresu kompetencji stanowisk każdego szczebla, od szeregowego po C-Level pozwala przeprowadzić drobiazgową ewaluację poszczególnych procesów.

Spojrzenie na funkcjonowanie organizacji w ujęciu horyzontalnym to także możliwość dostrzeżenia potencjalnych uchybień w poszczególnych jej ogniwach. Wczesne wykrycie takich podatności jest niezbędne, aby zabezpieczyć firmę przed konsekwencjami naruszeń RODO.

Utworzenie działu RODO z własnych pracowników rzadko kiedy prowadzi też do zwiększenia świadomości pozostałych pracowników. Wynika to z faktu, że osoba zatrudniona na etacie z reguły chce po prostu wywiązać się ze swoich obowiązków i nic ponadto. Outsourcing zewnętrznych specjalistów może obejmować także regularne prowadzenie szkoleń wśród pracowników i kadry zarządzającej.

Dodatkową korzyścią obsługi RODO przez wyspecjalizowaną kancelarię prawną jest dostęp do najnowszej wiedzy, wytycznych i doświadczenia praktyków, podczas gdy wewnętrzne działy compliance często tworzy się z osób, które ukończyły zaledwie kilka podstawowych kursów (nierzadko nawet online).

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

Kancelaria After Legal – audyty, wdrożenia i szkolenia z zakresu RODO

Jeśli chcesz mieć pewność, że Twoja organizacja w wystarczającym stopniu chroni dane osobowe, zapraszamy do kontaktu. Prawnicy z Kancelarii After Legal od ponad 10 lat wspierają podmioty działające w branży IT. Specjalizujemy się we wdrożeniach i audytach RODO, łącząc doskonałą znajomość przepisów prawa, wytycznych i praktyk organu nadzorczego ze zrozumieniem procesów leżących u podstaw nowych technologii. Działając dla naszych klientów:

• przeprowadzamy audyty RODO,
• projektujemy procesy zapewniające ochronę danych osobowych na niezbędnym poziomie i nadzorujemy ich wdrożenie,
• zapewniamy reprezentację w postępowaniach prowadzonych przez Prezesa Urzędu Ochrony Danych Osobowych oraz sporach przed sądami powszechnymi,
• przeprowadzamy szkolenia z zakresu RODO wśród pracowników i kadry kierowniczej C-Level.