Co trzeba zmienić w IT, żeby spełnić wymogi RODO

Działy IT muszą się przygotować na wdrożenie Ogólnego rozporządzenia o ochronie danych osobowych (RODO). To jednak prawnicy, wraz z finansowymi decydentami, właśnie we współpracy z działem IT, powinni zająć się dostosowaniem przedsiębiorstwa do nowych przepisów, których zignorowanie grozi karą nawet do 20 mln euro. W razie kontroli i wykazania uchybień, nie będzie można zrzucać wszystkiego na barki informatyków – ostrzegają eksperci z firmy Averbit oraz IBM w serwisie internetowym https://poznajrodo.pl. Radzą również, jak się przygotować i podpowiadają, co zrobić by uniknąć wielkich wydatków na infrastrukturę, choć nie każdej firmie się to uda. A zegar tyka. Przepisy będę egzekwowane już od maja 2018 roku.

Od 25 maja 2018 roku nowe przepisy będą egzekwowane na terenie całej Unii Europejskiej. RODO, czyli Rozporządzenie o ochronie danych osobowych (lub równie popularny skrót GDPR – General Data Protection Regulation), zmienia obecne zasady ochrony danych osobowych i musi dostosować się do niego niemal każdy przedsiębiorca. Każdy powinien mieć kontrolę nad ich przetwarzaniem, i to na każdym etapie działalności.

Jedną z istotnych zmian, która może być dotkliwa dla firm, jest nieuchronność kary w przypadku stwierdzenia nieprawidłowości. Dotychczas istniała możliwość odstąpienia od jej wymierzenia, teraz będą obligatoryjne – podkreśla Andrzej Gładysz, dyrektor handlowy oraz wiceprezes zarządu spółki Averbit. - Pytanie tylko, w jakiej wysokości.

W najlepszej sytuacji są dziś firmy z sektora finansowego, które muszą stosować się do zaleceń Komisji Nadzoru Finansowego. Ta od zawsze wymusza należytą ochronę danych osobowych zarówno od strony technicznej – informatycznej – przed zagrożeniami płynącymi z zewnątrz, jak i zasad przetwarzania ich wewnątrz organizacji.

Nowa regulacja dotyczy firm, które przetwarzają dane osobowe niezależnie od ich wielkości i profilu działalności. Oznacza to, że praktycznie wszystkich przedsiębiorców, bo nie znam firmy, która nie miałaby danych osobowych chociażby w mailach, które zawierają imiona, nazwiska i często dużo więcej danych wrażliwych – przestrzega w poradniku dostępnym w serwisie poznajrodo.pl Andrzej Gładysz z firmy Averbit, która wdraża infrastrukturę IT w oparciu o rozwiązania dostarczane przez IBM.

Ochronie podlegają dane osób fizycznych. Z ich perspektywy – jak ocenia to ekspert firmy Averbit – taka regulacja może się okazać bardzo pożyteczna. Wprowadzane są zasady zmierzające do uporządkowania tego, kto i po co tego typu dane przetwarza oraz gdzie one się znajdują.

Nowością jest to, że regulator musi się dowiedzieć o wycieku danych w przeciągu 72 godzin.

Z jednej strony to krótki czasu ale termin 72 godzin liczony jest nie od wystąpienia incydentu, ale od momentu, w którym firma się o tym dowiedziała.

Ze statystyk wynika, że od zdarzenia do przyjęcia informacji o nim, statystycznie mija ponad 200 dni! Przez ten – trzeba przyznać długi – czas ani przedsiębiorstwo, ani jego klienci, nie wiedzą, że ktoś nieuprawniony dysponuje danymi osobowymi – konstatuje Arkadiusz Lewicki, dyrektor ds. klientów strategicznych w Averbit Sp. z o.o.

Przegląd rozwiązań IBM pod kątem RODO, oferowanych przez Averbit

RODO, a narzędzia pomocne w zarządzaniu politykami, regułami oraz w analizie procesów
Nazwa Opis Związek z regulacjami RODO
Atlas Zarządzanie procedurami i regułami przechowywania
  • Zarządzanie przechowywaniem oraz strategiami i regułami usuwania
  • Punkt dostępu dla pracowników działu prawnego i pracowników odpowiedzialnych za zarządzanie zbiorami danych
Information Governance Catalogue Tworzenie dobrze udokumentowanego, kompleksowego szablonu informacji. Umożliwia sprawdzenie pochodzenia danych i zarządzanie nim w celu utworzenia zbioru zaufanych informacji, które ułatwiają zarządzanie danymi i zachowanie zgodności.
  • Zarządzanie strategią i metadanymi
  • Punkt dostępu i kontroli dla osób wykonujących zadania związane z administrowaniem danymi
  • Punkt dostępu zapewniający widoczność pochodzenia danych
  • Przechowywanie informacji o zidentyfikowanych danych w postaci metadanych
Case Manager Ułatwia możliwości w zakresie rejestrowania i analizowania rozwiązanych problemów w celu szybkiego uzyskania wyników dochodzenia, które można zastosować w praktyce. Umożliwia przeprowadzanie dochodzeń w sposób efektywny i terminowy, zgodnie z zasadami obowiązującymi w przedsiębiorstwie, przepisami prawnymi.
  • Koordynacja i monitorowanie procesów związanych z prawami osób, których dane dotyczą, oraz zarządzanie tymi procesami

RODO, a narzędzia do zarządzania danymi
Nazwa Opis Związek z regulacjami RODO
Information Analyzer Umożliwia ocenę i monitorowanie jakości danych oraz projektowanie i analizowanie reguł dotyczących danych. Skalowalna platforma współpracy pozwala na współużytkowanie informacji i wyników analiz w całym przedsiębiorstwie. Obsługa danych heterogenicznych pozwala na ocenę informacji pochodzących z wielu systemów i źródeł danych.
  • Zarządzanie strategią i metadanymi
  • Punkt dostępu i kontroli dla osób wykonujących zadania związane z administrowaniem danymi
  • Punkt dostępu zapewniający widoczność pochodzenia danych
  • Identyfikacja danych osobowych w bazach danych razem z relacjami
StoredIQ Identyfikacja i klasyfikowanie informacji przedsiębiorstwa oraz zarządzanie nimi w celu zmniejszenia ryzyka i kosztów; umożliwia przedsiębiorstwom całościową analizę danych nieustrukturyzowanych pod kątem wymagań biznesowych i prawnych, zachowania zgodności z przepisami, przechowywania danych oraz odpowiadania na wnioski dotyczące audytu.
  • Automatyczne wykrywanie i klasyfikacja nieustrukturyzowanych treści.
  • Identyfikacja danych osobowych podlegających kontroli zgodnie z rozporządzeniem GDPR (audyt np. na stacjach roboczych, SharePoint, Exchange, Filenet)
Optim Zarządzanie wzrostem woluminu danych aplikacji i hurtowni danych w celu usprawnienia kontroli danych i obniżenia kosztów ich przechowywania. Usprawnienie zarządzania cyklem życia danych w celu zwiększenia efektywności procesów związanych z przechowywaniem danych. Maskowanie danych poufnych na żądanie w aplikacjach, bazach danych i raportach w celu ochrony danych.
  • Archiwizowanie / usuwanie danych osobowych zgodnie z procesami GDPR
  • Anonimizacja danych zgodnie z procesami GDPR
  • Tokenizacja danych w bazach nieprodukcyjnych
  • Tokenizacja i zarządzanie procesem tworzenia środowisk nieprodukcyjnych dla baz danych

RODO, a narzędzia do zapewnienia bezpieczeństwa danych
Nazwa Opis Związek z regulacjami RODO
Guardium Data Activity Monitor Pomaga w zapewnieniu bezpieczeństwa, prywatności i integralności informacji. Używane w środowiskach heterogenicznych obejmujących bazy danych, hurtownie danych, udostępnione zasoby plikowe i systemy oparte na technologii Hadoop, z aplikacjami niestandardowymi i komercyjnymi.
  • Monitorowanie i kontrolowanie dostępu do danych osobowych
  • Wykrywanie przypadków dostępu niezgodnego z uprawnieniami
  • Generowanie alertów
IBM QRadar SIEM Konsolidacje dane z dzienników i dane o przepływach sieciowych pochodzące z tysięcy urządzeń, punktów końcowych i aplikacji rozproszonych w sieci. Normalizuje i koreluje surowe dane, by wykrywać naruszenia zabezpieczeń. Wyznacza wzorce zachowań typowych, wykrywa anomalie, ujawnia zaawansowane zagrożenia i eliminuje fałszywe alarmy.
  • Monitorowanie systemów zaangażowanych w przetwarzanie danych osobowych w celu szybkiego wykrywania ataków i potencjalnych przypadków naruszenia ochrony danych

Dowiedz się więcej: https://poznajrodo.pl/e-book/