Niejednoznaczna, pozbawiona katalogu niezbędnych zadań do wykonania formuła RODO sprawia, że ciągle będą się pojawiać pytania, wątpliwości i niejasności dotyczące zastosowania odpowiednich środków i rozwiązań. W ostateczności każdy będzie musiał radzić sobie z tymi zagadnieniami na własną rękę, biorąc za dokonywane wybory bezpośrednio odpowiedzialność. Nawet jeśli będzie już dostatecznie dużo orzeczeń, interpretacji, kodeksów dobrych praktyk i rekomendacji. Zawsze bowiem można mieć do czynienia z sytuacjami, które nie zostały dotąd uwzględnione, a mogą mieć znaczące skutki dla zapewnienia bezpieczeństwa danych osobowych.

Taka jest konstrukcja RODO, że cały ciężar decyzji o wyborze odpowiednich zabezpieczeń spoczywa na tym, kto przetwarza dane osobowe. Przy odpowiednim podejściu może to być jednak szansa na znalezienie rozwiązania dopasowanego dokładnie do potrzeb i specyfiki konkretnej firmy – jak również szansa dla integratorów na nowe kontrakty dzięki indywidualnemu traktowaniu każdego klienta i zaproponowaniu mu rozwiązań zgodnych z faktycznym zapotrzebowaniem, uwzględniających rzeczywiste uwarunkowania jego działalności oraz aktualne możliwości.

 

Trzy pytania do…
Michała Jobskiego, dyrektora ds. systemów korporacyjnych w Budimexie

Przed wejściem w życie RODO pojawiały się głosy, że zapewnienie zgodności z tym rozporządzeniem będzie wymagało rewolucyjnych zmian w podejściu do bezpieczeństwa informacji. Jak było w Państwa przypadku?

RODO rzeczywiście wprowadziło podejście bazujące na analizie ryzyka. Czy to była jednak rewolucja? Dla nas na pewno nie. Związane z tym wdrożenie wymagało od nas dużego wysiłku i zaangażowania, ale nie wiązało się z koniecznością dokonywania rewolucyjnych zmian. To była raczej reorganizacja w zakresie już funkcjonującego systemu zarządzania bezpieczeństwem informacji. Od lat stosujemy standardy ISO, które bazują właśnie na zarządzaniu ryzykiem, wymagają systematyczności i ciągłości działania. RODO zmieniło natomiast z pewnością postrzeganie wagi ochrony danych osobowych, zarówno wśród naszych pracowników, jak i w otoczeniu zewnętrznym. Wzrosła społeczna świadomość rangi działań ukierunkowanych na bezpieczeństwo informacji i ochronę prywatności.

Czy problemu nie stanowi przypadkiem rozbieżność celów między ochroną firmowych zasobów informacji a koniecznością zapewnienia bezpieczeństwa danych osób indywidualnych?

Chronimy informacje firmowe i dane osobowe w taki sam sposób. Tu nie ma żadnych różnic. W obu przypadkach są stosowane podobne rozwiązania, ich rozwój idzie w tym samym kierunku. Podstawą jest analiza ryzyka, która pokazuje, na jakie zagrożenia mogą być narażone poszczególne klasy czy rodzaje informacji. Trzeba tylko trochę inaczej zdefiniować kryteria analizy. W zależności od jej wyników dobieramy odpowiednie środki zabezpieczające. Z drugiej strony wzrost świadomości wśród ludzi przekłada się też na wzrost bezpieczeństwa całego przedsiębiorstwa. Staramy się uwrażliwiać naszych pracowników, że jeśli nie będą dbać o swoje dane, to będą stwarzać zagrożenie nie tylko dla siebie, ale także dla swoich kolegów, jak również dla kontrahentów oraz współpracowników firmy.

Co będzie miało kluczowe znaczenie dla zapewnienia zgodności z RODO w przyszłości?

Potrzebne jest przede wszystkim podejście systemowe oraz konieczność stałego uczenia się. Musimy obserwować trendy oraz sprawdzać skuteczność tego, co robimy. Cały czas analizujemy, jak zmienia się technologia, jakie pojawiają się zagrożenia, i dostosowujemy własne rozwiązania do zidentyfikowanych ryzyk. Obserwujemy również orzecznictwo i zmiany prawa, nie tylko u nas, ale także w innych krajach europejskich, bo przecież RODO jest rozporządzeniem unijnym. Potrzebna jest stała aktualizacja podejmowanych działań. Przy takim podejściu do RODO bardzo dobrze sprawdza się standard ISO. Na nim od wielu lat bazuje nasz system bezpieczeństwa informacji. Strategia budowania zgodności z RODO polegała na dostosowaniu systemu do nowych wymogów. Analiza ryzyka nie była dla nas niczym nowym i będzie nadal podstawą skutecznego działania w przyszłości.