Wokół RODO, czyli Rozporządzania o Ochronie Danych Osobowych, w krótkim czasie narosło wiele mitów. Niektórzy straszą przedsiębiorców drakońskimi karami liczonymi w milionach złotych. Inni przekonują, że tak naprawdę dużo się nie zmieni, a rozporządzenie to tylko kolejny pomysł brukselskich eurourzędników. Jak to zwykle bywa, prawda leży gdzieś pośrodku. Co nie zmienia faktu, że RODO trzeba potraktować z należytą powagą. Przepisy wchodzą w życie już w maju przyszłego roku i obejmą wszystkie kraje Unii Europejskiej.

 

Nowe wymagania, nowe możliwości

Rozporządzenie zastępuje archaiczne regulacje i zasady w obszarze ochrony danych osobowych obowiązujące już od dwóch dekad. Poza wysokimi karami dla firm naruszających bezpieczeństwo informacji przepisy wprowadzają szereg obowiązków dotyczących ochrony danych. Rozporządzenie wymaga od wszystkich organizacji wdrożenia procesów i polityk zapewniających osobom prywatnym większą kontrolę nad własnymi danymi. Żeby sprostać temu wyzwaniu, przedsiębiorcy muszą dostosować swoje systemy IT do unijnych wymagań, a także uruchomić nowe procedury i przeszkolić pracowników zajmujących się przetwarzaniem danych osobowych. Lista zadań jest dość długa, a czasu pozostało naprawdę niewiele.

Najwięcej pracy czeka działy IT w dużych firmach korzystających z rozmaitych, złożonych narzędzi informatycznych, które wymagają dostosowania do nowych uwarunkowań. Niełatwym przedsięwzięciem będzie kontrola nad danymi nieustrukturyzowanymi, takimi jak dokumenty, maile, pliki graficzne itd. Poważny problem stanowi też zapewnienie bezpieczeństwa danych powstałych na urządzeniach końcowych: komputerach, tabletach czy smartfonach. Niestety, wiele przedsiębiorstw wciąż posiada jedynie znikomą wiedzę na temat RODO, co potwierdzają wyniki badań przeprowadzonych w ostatnich miesiącach. Według danych IDC aż 25 proc. europejskich firm w ogóle nie zdaje sobie sprawy, że rozporządzenie dotyczy również ich działalności. Rodzimi przedstawiciele branży IT wskazują, że w Polsce sytuacja wcale nie wygląda lepiej.

– Z naszych doświadczeń wynika, że około 70 proc. firm nie ma żadnej wiedzy na temat nowego rozporządzenia. Około 25 proc. stanowią przedsiębiorstwa, które są świadome zbliżających się zmian, ale nie spieszą się z pogłębianiem wiedzy i przygotowaniami do nich. Pozostałe 5 proc. firm podchodzi do tego zagadnienia poważnie i z należytym zaangażowaniem, z wyprzedzeniem planując lub wdrażając konkretne rozwiązania – mówi Rafał Kosuń, pełnomocnik zarządu ds. zarządzania informacją w S4E.

 

W podobnym tonie wypowiada się Przemysław Mazurkiewicz, EMEA EAST System Engineering Director w firmie Commvault.

– Świadomość konieczności wdrożenia postanowień rozporządzenia jest niewystarczająca wśród polskich przedsiębiorców i instytucji państwowych. Część firm zwleka z uruchomieniem projektów RODO, zakładając błędnie, że problem ich nie dotyczy. Niestety, tak naprawdę rozporządzenie będzie obejmować wszystkich. W pierwszej kolejności przedsiębiorstwa muszą więc zająć się obszarem prawnym związanym z RODO – przekonuje.

 

RODO ze wsparciem dystrybutora

Dostosowywanie firmy do wymogów RODO to operacja pracochłonna, najeżona różnego rodzaju przeszkodami natury prawnej i technicznej. Część menedżerów i dyrektorów IT, którzy już rozpoczęli działania dostosowawcze, przyznaje, że proces przebiega powoli i z komplikacjami. Co istotne, nie ma uniwersalnej recepty, podobnie jak pojedynczego systemu informatycznego, który pozwalałby wywiązać się z obowiązków wynikających z nowych regulacji. Zresztą to właśnie brak jednoznacznych wytycznych dla systemów informatycznych stanowi jedną z największych barier w spełnianiu wymogów RODO.

– Rozporządzenie rzeczywiście nie daje wyraźnych wskazań odnośnie do technologii. To, co zapisano w poszczególnych artykułach, ma jednak wyraźny wpływ na systemy informatyczne. W obszarze zarządzania danymi można jasno wywnioskować, że niezbędna jest ochrona danych już na etapie projektowania systemu, jak również limitowanie czasu przechowywania danych osobowych, możliwość wyszukiwania informacji o poszczególnych klientach czy też raporty audytowe. W efekcie, aby zrealizować wszystkie postanowienia RODO, potrzebne są różne aplikacje, przede wszystkim z kategorii zarządzania danymi i bezpieczeństwa – podkreśla Rafał Kosuń.

Integratorzy mają zatem duże pole do popisu w zakresie implementacji i doboru odpowiednich rozwiązań, choć potrzebują jednocześnie odpowiedniego wsparcia ze strony producentów sprzętu i oprogramowania oraz dystrybutorów. Pomocną dłoń wyciąga do nich m.in. S4E. Spółka współpracuje z wiodącymi partnerami w całym procesie przygotowawczym, wdrożeniowym oraz utrzymania zgodności z RODO. Dystrybutor oferuje też profesjonalne szkolenia, pozwalające na uzyskanie certyfikatu wewnętrznego DPO (Data Protection Officer), wcześniej określanego jako ABI. S4E wspiera integratorów również w zakresie przygotowań całej firmy, przeprowadzając szczegółowy audyt zakończony obszernym raportem, będącym jednocześnie planem wdrożenia rozwiązań w obszarach związanych z przetwarzaniem danych osobowych w przedsiębiorstwach.

Przemysław Mazurkiewicz

EMEA EAST System Engineering Director, Commvault

RODO stanowi duże wyzwanie dla dostawców IT, a jednocześnie daje niespotykaną okazję do realizacji nowych projektów. Z jednej strony systemy IT, nowe czy już wdrożone, muszą być dostosowane do najnowszych regulacji. Może to rodzić konieczność uzyskania potwierdzenia, że oferowane przez dostawcę rozwiązanie jest zgodne z poszczególnymi artykułami rozporządzenia. Z drugiej strony firmy i instytucje państwowe będą musiały dostosować nie tylko swoje procesy i procedury, lecz także systemy informatyczne do RODO. Niezbędne będą wdrożenia lub zmiany rozwiązań do zarządzania danymi i różnych aplikacji z zakresu bezpieczeństwa.

 

Dokument zawiera analizę prawną i technologiczną, wskazuje miejsca występowania danych osobowych, a także szeroki zakres zgód, polityk bezpieczeństwa, klauzul, procesów biznesowych oraz wymagań technologicznych. Co istotne, S4E oferuje swoim partnerom również prawnicze usługi konsultacyjne związane z RODO.

 

Platforma ułatwi wdrożenie

Spośród produktów znajdujących się w portfolio S4E dużą część wymogów RODO pozwala spełnić platforma firmy Commvault. Rozwiązanie amerykańskiego producenta oferuje m.in.: backup, archiwizację, wyszukiwanie, rozbudowane raporty i wizualizację.

– Nasi partnerzy zyskują możliwość wsparcia klientów w spełnieniu wymagań rozporządzenia. Otwiera się przed nimi duża szansa na realizację wielu projektów w tym zakresie. Ich usługi będą niezbędne zarówno w czasie przedwdrożeniowej analizy wymagań danego klienta, jak i w procesie implementacji – wyjaśnia Przemysław Mazurkiewicz.

Platforma Commvault stanowi spójny system do zarządzania danymi i ich ochrony, pokrywający strategiczne obszary zabezpieczania danych: środowiska fizyczne, wirtualne oraz chmurowe, środowiska bazodanowe i aplikacyjne, systemy plików, komputery i laptopy, pocztę, obrazy medyczne oraz wiele innych. W rezultacie zabezpieczane dane składowane są w jednym wspólnym wirtualnym repozytorium. Dzięki funkcji Compliance Search mogą być przeszukiwane kontekstowo na podstawie słów kluczowych lub fraz, a także zawartości pliku m.in. przez działy bezpieczeństwa w danej firmie, np. w związku z respektowaniem prawa do bycia zapomnianym.

Rafał Kosuń

pełnomocnik zarządu ds. zarządzania informacją w S4E

Wiele spraw związanych z RODO jest już uregulowanych. Niemniej dostosowanie się do wytycznych stanowi spore wyzwanie organizacyjne, wymagające dużego nakładu pracy i czasu. Pojawia się też wiele niejasności dotyczących np. uniwersalnego formatu plików obowiązującego podczas respektowania prawa do przenoszenia danych osobowych pomiędzy podmiotami. Otrzymanie wytycznych w dniu, w którym rozporządzenie zacznie obowiązywać, spowoduje znaczne opóźnienie w dostosowaniu systemów w tym zakresie. Jednak znając sposób rozstrzygania niejasności przez Unię Europejską, należy spodziewać się, że te dotyczące RODO zostaną rozstrzygnięte z uwzględnieniem potrzeb biznesowych rynku. Pracująca przy UE Grupa Art. 29, a także nasze rodzime GIODO wydają wiele przydatnych interpretacji i dokumentów, wskazujących właściwy sposób postępowania. Należy być z nimi na bieżąco, a zespół przygotowujący firmę do RODO utrzymywać w stałej „gotowości bojowej”.

Więcej informacji:

Rafał Kosuń, pełnomocnik zarządu ds. zarządzania informacją w S4E, rafal.kosun@s4e.pl

Grzegorz Szostak, Commvault, Nutanix, Quantum presales, grzegorz.szostak@s4e.pl

www.s4e.pl