CRN Za jedną z poważnych przeszkód we wdrażaniu wymogów RODO uznawany jest brak jednoznacznych wytycznych dla systemów informatycznych. Czy przedsiębiorcy mogą liczyć na wskazówki ze strony organów odpowiedzialnych za ochronę danych osobowych? Na czymś trzeba przecież oprzeć kontrolę wywiązywania się z wprowadzonych regulacji…

Maciej Kawecki Prezes planowanego Urzędu Ochrony Danych Osobowych, który zastąpi GIODO, będzie miał obowiązek przygotowywania listy dobrych praktyk. Nie będą one wiążące dla podmiotów przetwarzających dane osobowe, ale mogą stanowić dobry punkt odniesienia dla podejmowanych działań. Będą opracowywane we współpracy z izbami gospodarczymi i cyklicznie aktualizowane.

 

CRN A co z kodeksami postępowań przygotowanymi przez organizacje branżowe?

Maciej Kawecki Jeżeli zostaną zatwierdzone przez prezesa nowego urzędu, to będzie oznaczało, że zawarte w nich zasady postępowania są zgodne z RODO. Cenną wskazówką mogą też być dla wszystkich wytyczne opracowywane sukcesywnie przez europejskich inspektorów ochrony danych osobowych zrzeszonych w Grupie Roboczej Artykułu 29.

 

CRN Które z postanowień RODO mają szczególne znaczenie dla dalszego funkcjonowania systemów informatycznych i będą w znaczący sposób wpływały na ich kształt?

Maciej Kawecki Prawo do swobodnego przenoszenia danych będzie wymagało zapewnienia kompatybilności systemów informatycznych między różnymi firmami. Każda osoba będzie mogła zażądać przekazania danych bezpośrednio jej samej, na przykład na wybranym nośniku, bądź przekazania z jednej firmy czy organizacji do drugiej. Firmowe systemy IT muszą zostać przygotowane na wysyłanie i przyjmowanie danych w zgodnych formatach.

 

CRN Wyzwaniem dla IT będzie też zapewnienie prawa do bycia zapomnianym…

Maciej Kawecki Dotyczy ono wszystkich danych, również tych znajdujących się na kopiach bezpieczeństwa. Dzisiaj usunięcie danych z kopii zapasowych nie jest możliwe, ale prawo tego wymaga, więc trzeba będzie znaleźć na to skuteczny sposób. Odpowiedniego przygotowania systemów informatycznych będzie wymagał również obowiązek pseudonimizacji danych.

 

CRN Co będzie ostatecznie decydować o zgodności narzędzi IT z wymogami rozporządzenia? W wyborze odpowiednich rozwiązań pomógłby z pewnością system certyfikacji.

Maciej Kawecki Planujemy wprowadzenie certyfikacji. Będą o nie mogli ubiegać się zarówno administratorzy danych osobowych, jak i podmioty je przetwarzające oraz producenci oprogramowania. Akredytacją podmiotów certyfikacyjnych, które będą podmiotami prywatnymi, zajmie się Urząd Ochrony Danych Osobowych. Certyfikat będzie oznaczał zgodność określonego rozwiązania IT z wymogami RODO. Posiadanie certyfikatu będzie brane pod uwagę przy kontrolach prowadzonych przez organ nadzorczy. Certyfikaty będą przyznawane tylko firmom prywatnym. Sektor publiczny będzie z procesu certyfikowania wyłączony.

 

CRN Co przedsiębiorcy powinni szczególnie brać pod uwagę przed podjęciem decyzji o wyborze dostawcy i rozwiązania?

Maciej Kawecki Każdy przedsiębiorca będzie musiał zadać sobie pytanie: czy użyte przeze mnie środki gwarantują należytą ochronę danych? Żeby tak było, muszą to być środki powszechnie dostępne, ogólnie uznane za skuteczne i za stabilne technologicznie. Wtedy można przyjąć, że są odpowiednie dla zapewnienia zgodności z wymogami RODO.