Dostosowanie przedsiębiorstwa do wymogów RODO to nie jednorazowy projekt, lecz proces. W gruncie rzeczy to ciągłe, systematyczne działanie, które trzeba wpisać na stałe w podstawową działalność firmy czy instytucji. Nie ma też jednego uniwersalnego systemu IT, którego wdrożenie rozwiązałoby kompleksowo problem zgodności z RODO (musiałby być w zasadzie napisany w całości od nowa).

Z drugiej strony to właśnie informatyka dysponuje narzędziami, które mogą wydatnie pomóc w spełnieniu wymogów wynikających z rozporządzenia. Najważniejszym wyzwaniem staje się dobór odpowiednich rozwiązań. Muszą przede wszystkim zapewniać możliwość realizacji zidentyfikowanych w przedsiębiorstwie zadań i zaspokajać potrzeby wynikające z analizy skutków przetwarzania danych. A te dla każdej firmy mogą być inne.

Zastosowane rozwiązania powinny funkcjonować tak, aby gwarantować wywiązywanie się z obowiązków regulacyjnych na każdym etapie i we wszystkich obszarach funkcjonowania konkretnego przedsiębiorstwa. Bez względu na to, czy są to rozwiązania nowe, wdrożone na okoliczność dostosowania firmy do wymogów RODO, czy też tradycyjne, biznesowe systemy informatyczne wykorzystywane w przedsiębiorstwie od dawna. Wszystkie muszą działać zgodnie z zasadami określonymi w rozporządzeniu i tym samym umożliwiać całej firmie wywiązywanie się z nałożonych prawem zobowiązań.

Przed przystąpieniem do wyboru konkretnego narzędzia lub wdrożeniem nowej funkcji trzeba przede wszystkim zadać sobie pytanie: jakie cele i zadania w kontekście wymogów RODO ma określona firma realizować? I jaką rolę ma w tym do odegrania informatyka? Jakie systemy i w jaki sposób mogą pomóc klientowi w spełnieniu nowych obowiązków, a jakie i w jakim zakresie powinien do nowych wyzwań dostosować?

Co zrobić z kopią zapasową

Zgodnie z wymogami RODO system IT powinien zapewniać zdolność do usuwania danych osobowych na życzenie osoby, której one dotyczą (prawo do bycia zapomnianym). Tu pojawia się problem, który stawia pod znakiem zapytania przystawalność rozwiązań prawnych do możliwości technicznych. Nie usuniemy danych z kopii zapasowej, jeżeli ma ona rzeczywiście spełniać swoje funkcje. Musi być kompletna, żeby można było na jej podstawie przywrócić funkcjonowanie systemu. Jak sobie z tym poradzić, skoro RODO wymaga usunięcia danych ze wszystkich miejsc, również z kopii zapasowych?

Kwestia ta czeka jeszcze na właściwe rozwiązanie. Pojawiają się na przykład propozycje, by każdorazowo po uruchomieniu kopii bezpieczeństwa następowało obligatoryjne, automatyczne sprawdzanie,

czy nie zostały cofnięte zgody na przetwarzanie danych osobowych. Innym pomysłem jest zastosowanie cząstkowych backupów. Nikt na razie nie jest jednak w stanie powiedzieć, jak opisany problem zostanie rzeczywiście rozwiązany. Innym, mniej nagłośnionym, ale równie ważnym wyzwaniem okazuje się znalezienie sposobu na usuwanie danych osobowych z zasobów informacji nieustrukturyzowanych i kopii rozproszonych. To również będzie wymagało wypracowania odpowiednich rozwiązań systemowych.