Jak dostosować system informatyczny w firmie do wymogów RODO?

Niezależnie od profilu działalności każda firma i instytucja jest zobligowania do przestrzegania zapisów dotyczących ochrony i przetwarzania danych osobowych. W dobie wszechobecnej cyfryzacji ma to ogromne znaczenie, a także rodzi potrzebę właściwego przystosowania wykorzystywanych systemów informatycznych. Brak dbałości o tę kwestię może skutkować bowiem nałożeniem wysokiej kary grzywny.

Jakie wymogi narzuca RODO?

Po wejściu w życie ponad dwa lata temu Rozporządzenia o Ochronie Danych Osobowych, nazywanej w skrócie RODO wiele instytucji zastanawiało się, jakie wymagania muszą spełniać stosowane przez nie systemy informatyczne. Samo Rozporządzenie nic nie mówiło na ten temat wprost. Niemniej jednak dało się wywnioskować z ogólnych przesłanek, jak również Artykułu 32 RODO, na co należy zwrócić szczególną uwagę w zakresie bezpieczeństwa przetwarzanych danych osobowych. Administrator systemów informatycznych powinien bowiem zadbać o:

• ich właściwe, ciągłe szyfrowanie;
• sprawne ich przywrócenie w razie incydentu technicznego bądź fizycznego;
• ciągłą kontrolę poziomu zabezpieczeń;
• nieprzerwaną poufność, dostępność i integralność systemów, zajmujących się ich przetwarzaniem.

W co zaopatrzyć system?

W związku z powyższą listą konieczne jest przystosowanie interfejsu użytkownika. Mowa o zaopatrzeniu wszystkich elektronicznych formularzy w aktualną klauzulę informacyjną i zgodę na przetwarzanie danych. Ponadto osoba wypełniająca go musi mieć możliwość edycji wprowadzonych informacji, ich usuwania oraz znakowania, czyli zezwalania na przetwarzania wyłącznie w określonych celach. System informatyczny powinien również mieć funkcję przechowywania danych jedynie w określonym czasie, a następnie ich automatycznego usuwania. W tym celu przyda się wdrożenie sprawnego systemu backup oraz archiwizacji. W odpowiednim przystosowaniu infrastruktury IT w firmie może pomóc między innymi specjalista z Centrum Zarządzania Bezpieczeństwem Informacji, znajdującego się w Sztumie.

Jak kontrolować bezpieczeństwo?

Nieodłączną częścią dostosowania systemu informatycznego do RODO jest także nieustanna weryfikacja skuteczności elementów ochrony przetwarzanych danych osobowych. W tym zakresie ważną rolę odgrywa konfiguracja zapory internetowej, czyli tzw. firewall. Nie można zapomnieć o kontroli przesyłania danych poprzez pocztę elektroniczną oraz strony www, a także zabezpieczeniu komunikacji wychodzącej. Zarządzanie uprawnieniami nadawanymi konkretnym osobom w firmie, jak również sesjami zdalnymi powinno mieć charakter scentralizowany. Dopilnowanie tych kwestii jest niezwykle istotne nie tylko ze względu na bezpieczeństwo danych, ale również wysokie kary finansowe w przypadku Urzędu Ochrony Danych Osobowych (UODO) bądź audytu wewnętrznego.