Mnogość i różnorodność – tak najkrócej można scharakteryzować stan regulacji prawnych dotyczących przetwarzania i ochrony danych w naszym kraju. I mimo że jest kilka podstawowych aktów prawnych, które określają zasady postępowania w wybranych, przekrojowych obszarach (takich jak ochrona danych osobowych, prowadzenie dokumentacji finansowo-księgowej), poznanie szczegółowych wymagań odnośnie do – na przykład – czasu przechowywania dokumentów, wymaga zapoznania się z wieloma różnymi, zazwyczaj branżowymi lub dziedzinowymi, przepisami. Nie można wskazać jednej ustawy lub jednego rozporządzenia, w którym byłyby określone kompleksowe, uniwersalne zasady przechowywania i ochrony danych dla wszystkich obszarów funkcjonowania firm i instytucji.

Obecnie dyskusja o prawnych aspektach ochrony danych jest oczywiście zdominowana przez tematy związane z RODO. Nowe, unijne rozporządzenie o ochronie danych osobowych zacznie obowiązywać od maja przyszłego roku. Jego zapisy wywołują jednak wiele pytań i wątpliwości, a nawet kontrowersji. Firmy, które chcą się przygotować do spełnienia przyszłych wymagań muszą już dzisiaj podejmować konkretne działania. A nie jest to wcale proste.

W RODO nie ma bowiem jednoznacznych, ścisłych wytycznych i wymagań dotyczących systemów przetwarzania danych osobowych i ich zabezpieczania. Nie ma też konkretnych ustaleń co do sposobu przechowywania i przetwarzania gromadzonych informacji. Użyte do ochrony narzędzia i systemy mają być po prostu adekwatne do zdiagnozowanych wcześniej ryzyk i zagrożeń. Każde przedsiębiorstwo musi więc przeprowadzić analizę i ocenić, na ile wykorzystywane przez nie rozwiązania odpowiadają aktualnym wyzwaniom i wymogom bezpieczeństwa.

W zamyśle ustawodawcy taki sposób regulacji ma zapewnić uniwersalność przepisów i ich „odporność” na zmiany technologiczne. W praktyce jednak brak jasno sprecyzowanych wymagań oznacza spore wyzwanie zarówno dla dużych, jak i dla małych podmiotów. Każda firma i instytucja musi samodzielnie określić, jakie techniki i poziomy zabezpieczeń są właściwe dla prowadzonego przez nią rodzaju działalności, charakteru posiadanych zbiorów danych osobowych, sposobów ich wykorzystania oraz sytuacji na rynku. Musi również wprowadzić odpowiednie mechanizmy i procedury postępowania z danymi.

Z punktu widzenia firm świadczących usługi przetwarzania danych (tzw. procesorów) ważne jest, że muszą zagwarantować administratorom danych (czyli zlecającym ich przetwarzanie podmiotom) należyty poziom zabezpieczeń przetwarzania danych w swoich systemach. Oznacza to, że muszą przystosować do wymogów RODO nie tylko wewnętrzne systemy i procesy ochrony danych osobowych, lecz również infrastrukturę i rozwiązania służące do wykonywania usług przetwarzania danych osobowych. I znowu: przepisy nie mówią, jakie dokładnie wymogi mają spełnić te systemy. Nakazują tylko, by gwarantowały właściwy poziom bezpieczeństwa przetwarzanych informacji.