Dostosowanie przepisów do zachodzących zmian

Obecne przepisy dezaktualizują się ze względu na zmiany w technologiach komunikacyjnych i możliwościach zapisu danych, których nie było w latach 90-tych. Również rozwój internetu rzeczy (Internet of Things) wpływa na coraz bardziej niekontrolowane przetwarzanie danych użytkowników. Unijne rozporządzenie ma zapobiec potrzebie ciągłego uaktualniania prawa w zakresie bezpieczeństwa bazy danych klientów, dlatego jest sformułowane tak uniwersalnie, chociaż niektórzy narzekają, że wręcz ogólnikowo. Czytając poszczególne paragrafy można poczuć się zagubionym. Z jednej strony odpowiedzialność firm w treści RODO w obszarze ochrony danych osobowych rośnie, z drugiej - nie łatwo zinterpretować, co musi zrobić przedsiębiorca, aby odpowiednio chronić zbiory danych, które przetwarza, by móc tę odpowiedzialność przyjąć.

System ochrony baz danych osobowych

Niestety wdrożenie RODO będzie oznaczało przede wszystkim wzrost kosztów w zakresie bezpieczeństwa bazy danych klientów. Chociaż nowe prawo pozostawia dużo swobody w zakresie wyboru rozwiązań, każda z firm będzie musiała stworzyć swoją politykę przechowywania danych i rozwiązania informatyczne, które ją wspierają i są przy okazji zgodne z zapisami prawnymi. Oczywiście znajdziemy już na rynku wiele dedykowanych rozwiązań do zabezpieczania bazy danych klientów, jednak nie są one uniwersalne i ze względu na dość ogólne zapisy w RODO - znajdziemy tam jedynie informacje o szyfrowaniu i pseudonimizacji - nie możemy być pewni, że spełnią one nasze wymagania.

Przetwarzanie danych i rejestr

Kolejny obowiązek w zakresie bezpieczeństwa bazy danych klientów to szacowanie ryzyka przetwarzania danych już na etapie planowania projektu, w którym będą wykorzystane. Każdy administrator będzie musiał sam ocenić, czy wybrane przez niego środki bezpieczeństwa są wystarczające. Czy system ochrony danych osobowych jest stabilny technologicznie - czy jest odpowiednio zahasłowany, czy tylko wybrane osoby mają do niego dostęp. Każdy klient, którego dane są przetwarzane, może zażądać od nas ich udostępnienia lub przekazania innej instytucji w sposób bezpieczny.

Obowiązek skarżenia

Większość przypadków, w których mogło dojść do wycieku lub stracenia danych, będziemy musieli zgłosić, również osobom, których te dane dotyczą. Będzie to również oznaczało dla nas wypracowanie odpowiedniej strategii i procedury działań na wypadek takich wydarzeń.

Jak sprawdzić, czy baza klientów jest bezpieczna?

Ze względu na duży margines do interpretacji, jaki pozostawia RODO, żeby mieć pewność, że dobrze realizujemy swoje obowiązki w zakresie bezpieczeństwa baz danych klientów, powinniśmy przeprowadzić audyt z firmą zewnętrzną, specjalizującą się w szkoleniach w zakresie bezpieczeństwa informacji i RODO. Specjaliści sprawdzą, czy mamy jakieś luki we wdrożonych procedurach.

Należy pamiętać, że najsłabszym elementem naszych strategii zawsze będą ludzie, którzy dla nas pracują. Powinniśmy również wdrożyć szkolenia dla Administratorów Bezpieczeństwa Informacji, jak również określić poziom odpowiedzialności dla każdej z osób, które mają dostęp do baz danych.