CRN Wracając do potrzeb użytkowników. Czego firmy oczekują w pierwszej kolejności od branży IT w kontekście RODO?

Anna Zawadzka Narzędzi, ale również doświadczenia. Liczy się szybkość implementacji, intuicyjność narzędzia, ale też wiedza na temat procesów biznesowych: jak zorganizować przepływy danych, żeby klient wiedział, gdzie ma poszczególne dane. Bo klient często nie wie, gdzie ma dane, które powinien chronić. Trzeba pomóc mu je znaleźć. Do tego potrzeba zaangażowania wielu różnych działów w przedsiębiorstwie, a nie tylko działu IT. Dopiero wzięcie do projektu ludzi z działów prawnych, z HR-u, z marketingu, z działów operacyjnych daje gwarancję sukcesu. W przeciwnym wypadku możemy mieć do czynienia z ruchami pozorowanymi.

Radomir Bordon RODO przyczyni się do podniesienia rangi wielu wewnętrznych departamentów w firmie, nie tylko działu IT i pionu bezpieczeństwa. Jedna z osób pełniących funkcję Chief Data Officer w dużym banku mówiła mi, że dzięki RODO wzrósł znacznie status osób odpowiedzialnych za zarządzanie modelem danych w firmie. Nie ma w tym nic dziwnego, gdyż duży bank korzysta średnio z dwustu, a nawet trzystu systemów informatycznych. A w nich są olbrzymie ilości danych. To bardzo skomplikowany ekosystem, zwany potocznie systemem systemów. Określenie ze stuprocentową pewnością, jakie dane są przechowywane i przetwarzane w konkretnym systemie, często bywa praktycznie niemożliwe. Naszym celem jest zatem pomóc takim przedsiębiorstwom w zbudowaniu nowego modelu danych czy też w zidentyfikowaniu, gdzie poszczególne dane się faktycznie znajdują, a także jaki będzie wpływ wycieku danych z konkretnego systemu na ryzyko naruszenia bezpieczeństwa danych osobowych.

 

CRN Jeśli nie wiadomo, gdzie są dane, to nie będzie można przestrzegać mocno restrykcyjnego prawa do bycia zapomnianym…

Radomir Bordon To jest najbardziej rewolucyjny wymóg w rozporządzeniu. Co ważne, jest on największym wyzwaniem również dla firm technologicznych.

Anna Zawadzka Nie można potraktować usunięcia danych wybiórczo, tylko z niektórych baz danych czy systemów. Nawet jednak, gdy już ustalimy, co należy usunąć i gdzie te dane się znajdują, to nagle może się okazać, że danych jest tak dużo, że nie wiadomo, czy wszystkie są rzeczywiście realne i czy warto angażować siły i środki w ich usuwanie. Mamy więc kolejny problem: jak odróżnić prawdziwe dane od tzw. fejkowych. Wypadałoby zacząć od czyszczenia wszystkich baz danych, weryfikacji danych, oddzielenia tych wartościowych od fikcyjnych. Dopiero potem przejść do implementacji rozwiązań służących do ochrony zasobów informacji.

Radomir Bordon Bardzo duże znaczenie ma tu dbałość o zapewnienie jakości danych, tzw. data quality. Tu jednak pojawia się pytanie, co tak naprawdę jest „daną osobową”.

Wojciech Dziomdziora W kontekście definicji danych warto zwrócić uwagę, że będziemy mieli do czynienia nie tylko z rozporządzeniem o ochronie danych osobowych. Gotowy jest również projekt rozporządzenia e-Privacy. Będzie ono regulowało ochronę wszystkich innych danych, które nie są danymi osobowymi. Na przykład dane z geolokalizacji czy numer IP będą, w myśl e-Privacy, metadanymi, które będą musiały podlegać takiej samej ochronie jak dane osobowe. Komisja Europejska chce, aby oba rozporządzenia weszły w życie w tym samym czasie, czyli w maju 2018 r.

Mariusz Kochański Mówimy tutaj o prawie materialnym, administracyjnym, przed którym nie ma ucieczki i wszystkie firmy, również największe korporacje, będą musiały się mu podporządkować. Tymczasem większość mniejszych przedsiębiorstw obraca się w dużej mierze w obszarze prawa zwyczajowego. Przykładowo w zakresie warunków higienicznych każda pizzeria musi spełnić wymogi Sanepidu dotyczące bezpieczeństwa żywności. Z naszego punktu widzenia jako klientów często ważniejsze jest jednak ogólne wrażenie, jakie mamy po wejściu do lokalu. Jeśli widzimy, że jest czysto i schludnie, to zostajemy, jeśli nie – wychodzimy.