GDPR: za co odpowiada klient, a za co dostawca

25 maja 2018 roku wejdą w życie nowe przepisy dotyczące ochrony danych osobowych. Czasu na zmiany pozostało niewiele, a dostawcy rozwiązań i ich klienci nadal mają wiele wątpliwości, jaka będzie wykładnia prawa. Paneliści dyskutujący na poświęconej GDPR (RODO) debacie podczas premiery raportu Computerworld TOP200 zastanawiali się m.in., czy zaszyfrowane dane przestają być danymi osobowymi, czy dostawcy IT powinni dostosowywać oferowane przez siebie systemy w ramach umów utrzymaniowych, oraz czy prawo do zapomnienia oznacza konieczność usunięcia danych również z kopii zapasowych.

Choć przedstawiciele administracji publicznej twierdzą, że do czasu wejścia w życie GDPR będą gotowi i pomogą wszystkim zainteresowanym, to podczas debaty paneliści podjęli bardzo wiele kwestii, których interpretacja pozostaje wciąż niejasna. Podejmowane przez uczestników dyskusji tematy prezentujemy w formie spisanych zagadnień; pełny zapis debaty znajdą Państwo na kanale YouTube Computerworlda (IDG TV) - tutaj.

„Gotowość na RODO”

W wielu ofertach sprzedażowych z zakresu bezpieczeństwa systemów oraz bezpieczeństwa danych pojawia się wyraźny marketingowy przekaz: „rozwiązanie gotowe na RODO”. Ale co to właściwie oznacza? Kiedy dane rozwiązanie może zostać uznane gotowe, albo inaczej zgodne z rozporządzeniem o ochronie danych osobowych?

Zobacz również:

  • Polski UODO rozpatruje skargę dotyczącą działania bota ChatGPT
  • Amerykański stan Montana o krok od zbanowania TikToka

„ GDPR Ready” to hasło mające stanowić jasny przekaz dla klientów, że oferowane rozwiązania pomogą w spełnieniu wymagań wynikających z nowych uregulowań prawnych. Dostawcy rozwiązań IT zgodni są jednak co do tego, że samo narzędzie informatyczne nie rozwiąże wszystkich problemów w tym obszarze. „Co to znaczy ‘rozwiązanie gotowe na RODO’? W mojej opinii jest to zestaw funkcjonalności, które prawidłowo zaimplementowane w organizacji pozwolą sprostać ustawie. Poza narzędziem informatycznym potrzebna jest jednak współpraca między użytkownikami oraz określenie polityki organizacji w zakresie ochrony danych osobowych” – mówi Michał Baranowski z Proget.

Wtóruje mu Przemysław Mazurkiewicz z Commvault: „Z perspektywy dostawcy nie ma jednego narzędzia, które zaadresuje wszystkie obszary związane z RODO. Wiele zależy od integratora, który powinien zaoferować klientowi spójne rozwiązanie dostosowane do wymagań prawnych konkretnej instytucji czy firmy. W pewnym sensie mowa jest więc tutaj o rozwiązaniach szytych na miarę danego klienta”.

Piotr Jabłoński z VMware zwraca uwagę na jeszcze inny aspekt tej sprawy: „Myślę, że na rynku nie ma rozwiązania, które byłby dzisiaj zgodne z RODO. Jak można być zgodnym, skoro nie wiadomo jeszcze dokładnie, jaka będzie wykładnia prawa?” GDPR dotyczy co prawda wszystkich państw UE, ale każdy kraj samodzielnie stworzy do rozporządzenia zapisy końcowe. W rezultacie „dzisiaj nie możemy powiedzieć o żadnym rozwiązaniu, że gwarantuje spełnienie zapisów RODO. Co najwyżej możemy stwierdzić, że w pewnym przybliżeniu zapisy te będą spełniane”.

Operatorzy chmurowi zrzeszeni w ramach Cloud Infrastructure Service Provider in Europe (CISPE) deklarują dostarczanie usług zgodnie z zapisami rozporządzenia GDPR. Problem w tym, że mamy tutaj do czynienia jedynie z deklaracją zgodności, która nie jest weryfikowana przez żadne instancje nadrzędne czy kontrolne. Na tę kwestię zwraca uwagę Piotr Jabłoński: „Ufamy, że tak jest, ale w umowie z dostawcą chmurowym musimy de facto mieć odrębne zapisy związane z ochroną danych osobowych. […] Czy dostawca powiadomi nas i GIODO o wycieku danych? Deklaracja to jedno. Drugie zaś to faktyczna egzekucja prawa” – dodaje Jabłoński.

Co więcej, na rynku nie ma dzisiaj programu certyfikacji, który mógłby potwierdzić zgodność rozwiązania informatycznego z zapisami RODO. „Standard ISO 27018 dostosowywany jest pod kątem usług chmurowych, i tutaj faktycznie można oczekiwać, że system ten będzie weryfikować takie rozwiązania pod kątem zgodności z regulacjami prawnymi. ISO 27018 będzie przyznawane i aktualizowane tylko dla rozwiązań, które spełnią tego typu zapisy” – mówi Piotr Jabłoński. W przypadku standardowych produktów i rozwiązań IT innych niż chmurowe, takich certyfikacji nie razie ma.

W dyskusji dotyczącej GDPR podczas premiery raportu Computerworld TOP200 udział wzięli sprawdzeni specjaliści z dziedziny ochrony danych osobowych, przedstawiciele administracji publicznej oraz dostawcy IT.

  • mec. Marcin Maruta – partner w Kancelarii Radców Prawnych Maruta Wachta – moderator debaty
  • Piotr Drobek – Z-ca dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodowej w Biurze GIODO
  • dr Maciej Kawecki – Zastępca Dyrektora Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji
  • Michał Baranowski – Product Manager w Proget,
  • Piotr Jabłoński – Senior Systems Engineer w Vmware
  • Przemysław Mazurkiewicz – Dyrektor Działu System Engineering w Regionie EMEA East w Commvault

Wykładnia prawa

W trakcie debaty dostawcy rozwiązań zwrócili uwagę na brak ostatecznych regulacji prawa oraz wykładni, która pomogłaby dostosować oferowane produkty do zapewnienia zgodności z RODO. „Technologia musi ustosunkować się do prawa, ale jak ma to zrobić, jeśli wykładnia prawa jest niejasna?” – zastanawia się Piotr Jabłoński z VMware. „Możemy zaszyfrować dane, możemy zaszyfrować pamięć masową, na której składowane są te dane, ale czy tym samym rozwiążemy wszystkie problemy prawne, związane z ochroną danych osobowych? Mamy technologie, które możemy użyć, ale czy one faktycznie rozwiązują problemy prawne w tym obszarze?

Przemysław Mazurkiewicz z Commvault liczy na opinie GIODO oraz wytyczne nadchodzące z Unii Europejskiej, które pomogą osiągnąć rozsądny kompromis między uwarunkowaniami prawnymi, a tym, co dzisiaj można osiągnąć przy użyciu technologii. „Cały czas czekamy na ostateczne wytyczne i sugestie, wykładnie i akty wykonawcze, również na poziomie poszczególnych krajów, które pomogą nam dostosować nasze produkty do obowiązującego prawa” – mówi Mazurkiewicz. „Podobnie jak inne firmy technologiczne jesteśmy w stanie bardzo dużo zrobić, żeby do tych wykładni się dostosować”.

W przypadku RODO czy GDPR nie gonimy Europy. Wszystkie kraje członkowskie stoją przed tym samym problemem” – dodaje Michał Baranowski z Proget. Dzisiaj trudno powiedzieć, że którakolwiek z firm świadczy usługi w pełni adresujące wymogi RODO. Przedstawiciele administracji publicznej zgodni są natomiast co do tego, że dostawcy nie powinni czekać na działania ustawodawców. „Podstawowe obowiązki w rozporządzeniu już są, a przepisy krajowe z perspektywy obowiązków, jakie ciążą na przedsiębiorcach, nie będą miały kluczowego znaczenia” – przekonuje Piotr Drobek. Wtóruje mu dr Maciej Kawecki z Ministerstwa Cyfryzacji, resortu projektującego przepisy o ochronie danych. „Nie czekajcie Państwo na nasze działania, bowiem 80% regulacji znajduje się w ogólnym rozporządzeniu, a krajowa ustawa o ochronie danych osobowych nie może w tym obszarze nakładać żadnych dodatkowych, rewolucyjnych obowiązków dla biznesu”.

Można więc przyjąć, że ani ustawa o ochronie danych osobowych czy np. wykorzystanie procedur certyfikacji, nie przyniosą w tym zakresie dla biznesu żadnych istotnych nowości. Z jednym wyjątkiem: przepisów sektorowych.

W pakiecie z ustawą instytucje będą zobowiązane do stosowania przepisów branżowych. W rezultacie wybrane sektory gospodarki może czekać mała rewolucja. Przykład? „Rozluźnienie rygoru formy poprzez wprowadzenie zgody wyraźnej (ale nie pisemnej) otwiera drogę dla digitalizacji sektora ubezpieczeniowego w Polsce, który na tle innych krajów Unii Europejskiej w tym obszarze dopiero raczkuje” – mówi Maciej Kawecki.

Nowe podejście do prawa

Piotr Drobek zwraca uwagę, że choć przez wiele osób RODO traktowane jest jako rewolucja w świecie ochrony danych osobowych, „zasady przetwarzania danych osobowych budowane są na dorobku rozwijanym na świecie przez ostatnie 40 lat. Dotychczas ustawodawca określał wymogi techniczne i organizacyjne. Na gruncie RODO nie będzie już aktów wykonawczych, które byłyby odpowiednikami tego, co mamy dotychczas w Polsce” – wyjaśnia. „Nowe regulacje dają większą elastyczność ich stosowania, dlatego instytucje powinny bardziej dokładnie ocenić ryzyka i zastosować odpowiednie środki”.

Doskonałym przykładem ilustrującym zmianę tego podejścia może być sposób tworzenia haseł wykorzystywanych do logowania. Polskie prawo wymaga, aby hasło miało określoną składnię i co najmniej 8 znaków. Dla instytucji międzynarodowych wytyczne te mogą być niezrozumiałe i trudne w implementacji. Wraz z wejściem RODO w życie tego typu jawne wymagania zostaną zniesione. Rozporządzenie budowane jest na nieco innym mechanizmie, niż dotychczas; zamiast klasycznego podejścia, zgodnie z którym precyzyjnie opisany obowiązek należy spełnić, a jeśli tego nie zrobimy, czeka nas sankcja, RODO wprowadza większą elastyczność w kształtowaniu tego, jak ma w praktyce wyglądać ochrona danych osobowych. Wiąże się to jednak z większą odpowiedzialnością podmiotów zobligowanych do stosowania tych przepisów.

W teorii regulacyjnej rozporządzenie to moglibyśmy nazwać inteligentnym. Nie jest to do końca prawda, ale z całą pewnością daje ono narzędzia, żeby zapewnić zgodność z przepisami” – mówi Piotr Drobek. Mamy tutaj do czynienia z dwoma grupami tych narzędzi. Pierwsza to mechanizmy samoregulacyjne, albo bardziej precyzyjnie – koregulacyjne. „To coś, czego dotąd w zasadzie nie było w polskim prawie ochrony danych osobowych” – wyjaśnia Drobek. „Mowa tu o kodeksach postępowania, kodeksach branżowych, również jeśli chodzi o dostawców chmury, którzy na poziomie europejskim nad takimi wytycznymi pracują”. Drugim narzędziem będą mechanizmy certyfikacji dotyczące danych osobowych. Oba te instrumenty będą potencjalnie miały istotne znaczenie również dla dostawców usług, którzy będą mogli w ten sposób udowodnić zgodność z przepisami prawa. Niestety, ani kodeksy, ani mechanizmy certyfikacji jeszcze nie powstały.

Rozwiązania szyte na miarę RODO

Czasu na zmiany i dostosowanie do RODO pozostało niewiele – rozporządzenie wchodzi w życie 25 maja. Dr Maciej Kawecki używa analogii: „Co robimy, gdy zamierzamy pójść na wytworną imprezę?” – pyta retorycznie, po czym odpowiada: „Potrzebny będzie garnitur. Tu do wyboru mamy dwie opcje: możemy zmodyfikować, odświeżyć czy też dopasować posiadany garnitur, lub kupić nowy, skrojony na miarę aktualnych potrzeb. W mojej ocenie, jeśli organizacja chce dostosować swoją działalność do ogólnego rozporządzenia, powinna kupić nowy garnitur uszyty na miarę. Dlaczego? W chwili obecnej bardzo duża część obowiązków wynikających z rozporządzenia jest pusta normatywnie. Oznacza to, że jego prawdziwa treść normatywna determinowana jest stanem faktycznym”.

Podejście to wynika to z niejednolitej oceny ryzyka, sposobu zabezpieczania danych osobowych czy różnych sektorów, w jakich działają podmioty na rynku. Inne zabezpieczenia stosowane są w sektorze bankowym, jeszcze inne w branży ubezpieczeniowej czy telekomunikacji. „Bez dokonania oceny ryzyka w każdym konkretnym stanie faktycznym nie jesteśmy w stanie kupić uniwersalnych zabezpieczeń” – twierdzi Kawecki. Przykładem może być jeden z dużych banków, który tworzy platformę zbierającą powiadomienia o naruszeniach (notyfikacje) ze wszystkich swoich jednostek, a następnie agregującą je w jednym centralnym systemie służącym do podejmowania decyzji. Po 25 maja 2018 roku to właśnie na poziomie centralnym podejmowane będą decyzje, czy zarejestrowane powiadomienia o naruszeniach mają być przekazywane organowi nadzorczemu, czy nie. „W wielu przypadkach konieczne będzie wydzielenie jednostki, która będzie odpowiadała wyłącznie za ocenę tych notyfikacji. W korporacjach liczba notyfikacji może sięgnąć ponad 200 tysięcy rocznie” – sugeruje dr Kawecki.

Wiele podmiotów będzie próbowało zautomatyzować te procesy. Inne mogą wykazać chęć zarządzania notyfikacjami oraz oceną skutków naruszeń w formie bardziej tradycyjnej, jako element pewnej procedury. W związku z tym niemożliwe jest dostarczenie jednego uniwersalnego rozwiązania, które pozwoli zapewnić zgodność z RODO w każdej sytuacji i dla każdej organizacji. Nieco mniej kategorycznie do sprawy podchodzi Piotr Drobek. „Na dostosowanie się do nowych regulacji mamy niecały rok. W procesie inwestycyjnym to niewiele czasu, zarówno gdy dostosowujemy posiadane systemu jak i planujemy większe inwestycje. Osobiście nie wykluczam żadnej z tych opcji, gdyż wszystko zależy od okoliczności funkcjonowania danego podmiotu” – komentuje przedstawiciel GIODO.

GDPR w perspektywie umów utrzymaniowych

Dostawcy IT twierdzą, że na obecną chwilę klienci nie wymagają, by w umowach wdrożeniowych czy utrzymaniowych zapewniona została zgodność rozwiązania z wymogami RODO. „Nie spotkaliśmy się z takimi żądaniami. Nasze umowy z klientami opierają się na ustandaryzowanych warunkach wsparcia. Zarówno w naszych umowach, jak i umowach innych dostawców, zdefiniowana jest siła wyższa, do której zaliczamy również zmiany prawne” – mówi Przemysław Mazurkiewicz z Commvault. „Mimo to, w Commvault usilnie pracujemy, aby zapewnić klientom narzędzia do zapewnienia zgodności w zakresie zarządzania danymi i aby pomóc firmom i instytucjom państwowym być zgodnym w tym zakresie z GDPR”.

Nie spotkaliśmy się z sytuacją, aby klienci wymagali od nas wprost spełnienia wymagań nadchodzących regulacji dotyczących ochrony danych. Mimo to wielu klientów pyta o te kwestie i ma świadomość, że już za chwilę trzeba być gotowym na nowe przepisy” – komentuje Michał Baranowski z Proget. „Rynek przygląda się wydarzeniom, czeka na pierwszy precedens, który pokaże jak RODO działa w rzeczywistości”.

Czy można żądać od dostawcy, aby już dzisiaj dostarczył nam system zgodny z RODO? Nie, bowiem obowiązek wykazania zgodności z Rozporządzeniem na nikim jeszcze nie ciąży. Ponadto, w okresie przejściowym, a więc przez dwa lata od maja 2016, zarówno dostawcy, jak i klienci, mają czas, aby dostosować się do nowych regulacji. Sprawa okazuje się być jednak bardziej skomplikowana, niż może się wydawać. Przykładem może być umowa powierzenia danych osobowych. „Błędem popełnianym w umowach powierzenia danych może być wymóg spełnienia obowiązków, których jeszcze nie ma” – twierdzi Piotr Drobek z Biura GIODO. Zmian będzie wiele. Obecny Administrator bezpieczeństwa informacji (ABI), a w przyszłości Inspektor ochrony danych, będzie miał dużo większą rolę w kontaktach ze światem zewnętrznym, np. w zakresie informowania organu nadzorczego, niż dotychczas. W rezultacie umowa musi mapować takie zmiany, jawnie określać kiedy zostaną wdrożone i jak ten proces zmian zostanie przeprowadzony w praktyce.

Szyfrowanie danych

Jedną z kwestii, która przy okazji dyskusji nad zapisami RODO jest intensywnie analizowana, jest pytanie, czy zaszyfrowane dane przestają być danymi osobowymi. I choć paneliści podnosili, że potwierdzające takie podejście opinie słyszeli bezpośrednio od prawników zajmujących się problematyką ochrony danych, to „dane osobowe będą danymi nawet wtedy, gdy są zakodowane” – wyjaśnia z pełną stanowczością Piotr Drobek z Biura GIODO. „Szyfrowanie jest jedną z metod zabezpieczenia danych. Szyfrowanie danych nie wyłącza stosowania przepisów o ochronie danych osobowych, co ma znaczenie szczególne znaczenie kiedy te dane transferowane są za granicę, czy przetwarzane w ramach usług chmurowych”. Co więcej, RODO wprowadza nową kategorię danych osobowych – tzw. dane pseudonimowe. „Pojęcie to zostało wprowadzone, aby pokazać istnienie pewnych kategorii danych osobowych, które mają szczególny charakter, wynikający chociażby z tego, że zostały zaszyfrowane” – wyjaśnia przedstawiciel GIODO.

Dane zaszyfrowane pozostają danymi osobowymi, co definitywnie ucina wszelkie spekulacje na ten temat prowadzone przez prawników, dostawców IT i innych podmiotów. „Dane zaszyfrowane są danymi osobowymi, i jest to stanowisko wszystkich organów ochrony danych osobowych w Europie” – potwierdza Piotr Drobek.

Prawo do zapomnienia z zastrzeżeniami

Prawo do zapomnienia oznacza definitywne wykasowanie danych z nośników danych oraz kopii zapasowych. Dla dostawców systemów spełnienie tego wymagania może być trudne technologicznie – nie brak uwag wskazujących, że konieczne będą bardziej szczegółowe wytyczne, jak w praktyce powinno być realizowane usuwanie danych osobowych z zasobów organizacji. „Mimo skasowania danych z dysków magnetycznych bity informacji nadal pozostają na nich zapisane i można je odzyskać. Czy trzeba fizycznie skasować nośnik aby uznać, że dane zostały usunięte? A może wystarczy nie używać dłużej tych danych, aby stwierdzić, że prawo do zapomnienia zostało zrealizowane?” – pyta Piotr Jabłoński z VMware. „W rozporządzeniu słowo kopia zapasowa zostało wykorzystane literalnie” – informuje dr Kawecki. Jeżeli dana osoba zażąda usunięcia swoich danych osobowych, stosowna operacja powinna obejmować również kopie zapasowe.

Dużą rolę odgrywa sposób zdefiniowania polityk kopii zapasowych oraz budowy archiwów. W tym obszarze na pewno uda się znaleźć rozwiązanie, w jaki sposób zapewnić prawo do usunięcia danych osobowych. Przy dobrej analizie i klasyfikacji danych oraz zmianie procesów backupowych np. w obszarze retencji danych, można co najmniej zbliżyć się do osiągnięcia tego celu” – mówi Przemysław Mazurkiewicz.

Prawo do bycia więcej obiecuje, niż daje. Jeśli weźmiemy pod uwagę, kiedy prawo do bycia zapomnianym może być zrealizowane, okazuje się że 80% osób można spod tego prawa wyłączyć, bowiem istnieje jakaś inna przesłanka do przetwarzania danych osobowych, choćby prawnie uzasadniony interes. Jeśli jednak osoba będzie miała prawo żądać usunięcia danych, to wtedy z punktu widzenia GDPR powinno ono również obejmować usunięcie tych danych z kopii zapasowych” – dodaje dr Maciej Kawecki. Wdrożenie mechanizmów trwałego (nieodwracalnego) usuwania wybiórczych danych z nośników pamięci oraz kopii zapasowych wymagać będzie natomiast zmian technologicznych oraz poniesienia istotnych kosztów na ich wdrożenie w środowisku produkcyjnym.

W Ministerstwie Cyfryzacji również borykamy się z tym problemem, bowiem poza funkcją ustawodawcy, sami jesteśmy administratorami baz danych. Nie tylko projektujemy przepisy, ale i koordynujemy zmianę w kierunku zgodności z GDPR wszystkich systemów informatycznych w kraju administrowanych przez Ministra Cyfryzacji. Nasi informatycy szukają technologii, która pozwoli skutecznie usunąć wskazane dane z baz danych. W przypadku baz danych musi to być możliwość usunięcia konkretnego rekordu np. techniką nadpisywania, aby niemożliwe było jego przywrócenie w przyszłości” – dodaje Kawecki.

Blockchain, niezaprzeczalność i ochrona danych

Blockchain na nowo definiuje sposób zawierania, rozliczania i zapisywania transakcji. Mechanizm ten ma zaimplementowanych kilka właściwości, w tym nieusuwalność i szyfrowanie danych, które wydają się być trudne do pogodzenia z wymaganiami RODO. Czy z tej perspektywy technologia blockchain może być zgodna z RODO?

Istota Blockchaina tkwi w niezaprzeczalności łańcucha transakcji. W momencie pozbawienia łańcucha choćby jednego ogniwa, przestaje on być łańcuchem i traci swoją podstawową właściwość, czyli niezaprzeczalność. To właśnie niezaprzeczalność wydaje się być bardzo trudna do pogodzenia np. z prawem do bycia zapomnianym, a więc prawem do żądania usunięcia swoich danych wynikającym bezpośrednio z RODO. „W działaniu każdej organizacji następuje etap, kiedy przestaje ona mieć podstawę prawną do przetwarzania danych osobowych. Każdy obywatel może bowiem zażądać usunięcia swoich danych korzystając z prawa do bycia zapomnianym” – informuje dr Maciej Kawecki z Ministerstwa Cyfryzacji.

Problem w tym, że w przypadku łańcucha bloków będzie to bardzo trudne do zrealizowania. Sposobem obejścia problemu mogłoby być wyłączenie prawa do usunięcia danych osobowych w tym konkretnym przypadku. Dr Maciej Kawecki zwraca uwagę na bardzo ważny aspekt tej sprawy: „Wyłączenie prawa do usunięcia danych pozbawi obywateli, czyli osoby których te dane dotyczą, jednego z podstawowych praw wynikających z regulacji o ochronie danych osobowych. W Ministerstwie Cyfryzacji gromadzimy specjalistów od Blockchaina. Dyskutujemy i spieramy się, jak pogodzić tę technologię z ogólnym rozporządzeniem o ochronie danych osobowych. To także istotny temat dla Generalnego Inspektora Ochrony Danych Osobowych i Grupy Roboczej Artykułu 29”.

Czy niezaprzeczalność nie stoi zatem w sprzeczności z istotą GDPR i jednym z jego podstawowych założeń, jakim jest prawo do bycia zapomnianym? Piotr Drobek z GIODO zwraca uwagę, że w kontekście Blockchaina konieczne będzie zidentyfikowanie tych elementów, które mogą wywoływać wątpliwości lub być niezgodne z rozporządzeniem. Blockchain nie jest pierwszą technologią na rynku, która zauważalnie wpływa na prywatność i ochronę danych osobowych. Ważne jednak, aby na zjawisko to spojrzeć nie tyle na poziomie ogólnym, co na płaszczyźnie jej zastosowań.

Klienci zyskają, dostawcy zarobią?

W ocenie firmy Microsoft, koszt dostosowania wszystkich systemów do nadchodzących zmian w prawie o ochronie danych osobowych wyniesie 5 mld dolarów. W trakcie debaty dostawcy rozwiązań technologicznych okazali się być zgodni co do tego, że nowe przepisy pozytywnie wpłyną na ich biznes, zaś klientom pozwolą przeprowadzić zmiany organizacyjne i dostosować systemy do aktualnych trendów.

Przemysław Mazurkiewicz twierdzi, że duże instytucje finansowe już dzisiaj bliskie są osiągnięcia zgodności z nowymi przepisami, ponieważ od dłuższego czasu pracowały nad wprowadzeniem zmian w oparciu o wytyczne poprzedniej dyrektywy. Według Mazurkiewicza, w temacie ochrony danych najwięcej do zrobienia mają małe firmy, i to jego zdaniem bardzo perspektywiczni klienci.

Z kolei Piotr Jabłoński z VMware szansę dla małych przedsiębiorców dostrzega w chmurze publicznej. Firmy nadal pozostaną administratorami danych osobowych, natomiast za platformę technologiczną odpowiedzialny będzie dostawca chmury. „To technologiczna szansa dla chmury publicznej, która może napędzić biznes w naszym regionie. Mówię tutaj nie tylko o globalnych dostawcach, ale również wielu istniejących w Polsce centrach danych, które mogą lepiej dostosować się do lokalnych, czy też sektorowych uwarunkowań w obszarze ochrony danych” – twierdzi Jaboński.

Michał Baranowski z Proget zwraca z kolei uwagę na kwestie bezpieczeństwa mobilnego. „W małych i średnich przedsiębiorstwach konieczność ochrony urządzeń mobilnych pozostaje niezauważana” – podkreśla.

RODO to większe bezpieczeństwo dla obywateli i klientów

Obowiązki wynikające z RODO dotkną wkrótce większość podmiotów gospodarczych bez względu na to, w jakim zakresie przetwarzają one dane osobowe. Spełnienie wymagań stawianych przez Rozporządzenie będzie z pewnością poprzedzone wieloma problemami technologicznymi i organizacyjnymi. Nowe przepisy są jednak bardziej elastyczne oraz adekwatne do aktualnych zagrożeń, aniżeli dotychczas obowiązujące regulacje. Wiąże się to z większą odpowiedzialnością dostawców, którzy będą mogli teraz wspomagać się np. regulacjami branżowymi, które mogą okazać się pomocne w zapewnieniu pełnej zgodności z wytycznymi RODO.

Piotr Drobek z Biura GIODO oczekuje, że dostawcy IT wykażą bardziej proaktywne podejście do sposobu implementacji wytycznych RODO w praktyce. „Małe i średnie podmioty nie zawsze mogą zapewnić sobie obsługę prawną, która wskaże im punkty, które należy zmienić. W tym przypadku standardy wyznaczają dostawcy rozwiązań. Dotyczy to zarówno dostawców globalnych i lokalnych” – mówi Drobek.

Dr Maciej Kawecki z Ministerstwa Cyfryzacji przekonuje, że reforma ochrony danych jest wyzwaniem nie tylko dla przedsiębiorców, ale również ustawodawcy oraz administracji publicznej, która musi stworzyć odpowiednie przepisy prawne i wdrożyć je w życie. Kawecki dostrzega również ogromną rolę organu nadzorczego, który musi wspierać instytucje, edukować użytkowników a w przyszłości sprawnie egzekwować założenia GDPR.

W GIODO zajmujemy się RODO od 2012 roku, a więc od momentu, gdy nie było jeszcze wiadomo, jaki będzie efekt ostateczny rozporządzenia. W rezultacie jesteśmy coraz lepiej przygotowani” – komentuje Piotr Drobek. „Wszyscy musimy zgodzić się co do tego, że wraz z wejściem rozporządzenia w życie statystyczny Europejczyk będzie mógł się poczuć bezpieczniej, jeśli chodzi o ochronę danych osobowych” – puentuje dyskusję Michał Baranowski z Proget.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200