Zamknij

Dostosowując się do RODO, firmy korzystają z pomocy przedsiębiorstw IT

Olga Papiernik
07.02.2018 17:14
Dostosowując się do RODO, firmy korzystają z pomocy przedsiębiorstw IT
fot. rawpixel.com on Unsplash

Aż 9 na 10 przedstawicieli sektora finansowego biorących udział w badaniu Linux Polska przyznało, że reprezentowane przez nich instytucje planują wdrożyć dodatkowe rozwiązania z obszaru IT w związku z RODO. W dodatku, w związku z nowymi przepisami, co trzecia firma zwiększyła lub planuje w znacznym stopniu zwiększyć wydatki na cyberbezpieczeństwo. Unijna regulacja dot. ochrony danych osobowych zacznie obowiązywać już za kilkanaście tygodni, przedsiębiorstwom pozostaje więc niewiele czasu na dostosowanie się do nowych zasad. Może być to jeden z powodów, dla którego blisko połowa z nich skorzysta z pomocy firmy zewnętrznej, aby przygotować obecnie stosowaną infrastrukturę informatyczną na wymogi stawiane przez prawo, które zacznie obowiązywać w maju.

Przygotowywany projekt nowej ustawy o ochronie danych osobowych wiąże się z przyjętym w maju 2016 r. przez Unię Europejską ogólnym rozporządzeniem o ochronie danych osobowych (RODO). Kraje członkowskie muszą zastosować przepisy rozporządzenia do 25 maja 2018 r.

Nowe unijne regulacje są bez wątpienia potrzebne, bo prawo nie nadąża dzisiaj za rozwojem technologii. Jednak zmiany wprowadzone przez KE są na tyle fundamentalne, że dostosowanie się do nich to trudny i czasochłonny proces. Trudno się do niego przygotować w krótkim czasie opierając się wyłącznie na własnych zasobach. Widać, że spora część firm szuka w tej chwili wsparcia. RODO jest z jednej strony polem do popisu dla firm doradczych i kancelarii prawnych, z drugiej technologicznych.

Jak pokazują wyniki badania Linux Polska, chociaż prace przygotowawcze zostały w pełni zakończone tylko w co 10 firmie, to aż blisko 75 proc. ankietowanych ocenia stan przygotowania swojej instytucji na moment obowiązywania RODO jako dobry lub bardzo dobry. Skąd ten optymizm? Według badanych, aż 9 na 10 firm z sektora bankowego wdroży dodatkowe rozwiązania IT z obszaru bezpieczeństwa danych osobowych klientów, które będą zgodne z wymogami stawianymi przez nową regulację. Osoby biorące udział w badaniu zostały zapytane również o to, kto w instytucjach, które reprezentują jest odpowiedzialny za wprowadzenie zmian dotyczących gromadzenia i przetwarzania danych osobowych nałożonych przez RODO?

W blisko jednej trzeciej przypadków rola ta przypadnie zespołom IT, co świadczy o tym, że firmy w kompleksowy sposób podchodzą do wprowadzenia nowych zasad i co więcej, są świadome trudności technologicznych związanych ze spełnieniem wymogów stawianych przez RODO. To wyjaśnia, dlaczego prawie połowa instytucji korzysta lub planuje skorzystać z pomocy firmy zewnętrznej, aby przygotować obecnie stosowaną infrastrukturę IT na obowiązywanie unijnej regulacji – zaznacza Tomasz Dziedzic, Chief Technology Officer w Linux Polska.

Co może stanowić największe wyzwanie dla firm po wejściu w życie RODO?

RODO - największe wyzwania_GRAFIKA

Dla ponad 33% firm, największym wyzwaniem będzie ograniczenie przechowywania danych, a dla prawie 28% - ograniczenie celu wykorzystania danych.

Jedna z zasad wprowadzonych przez RODO, czyli ograniczenie przechowywania danych, mająca na celu graniczenie do minimum czasu ich gromadzenia, w praktyce ma się sprowadzać do trwałego usunięcia danych po ustaniu celu ich przetwarzania lub na prośbę podmiotu udostępniającego te informacje np. bankowi. Zapis ten wymaga szczegółowej interpretacji, ponieważ takie skrajne podejście do kwestii ograniczenia przechowywania danych dla wielu instytucji pod względem technicznym będzie trudne w realizacji. Z kolei ograniczenie celu wykorzystania danych zostało wprowadzone, by sankcjonować użycie danych do innych celów, niż te, na które wyraził zgodę użytkownik w momencie ich przekazania. Respektowanie tego wymogu wymusza na firmach, z jednej strony – zmianę wielu formularzy i odpowiednich struktur danych, z drugiej – może mieć wpływ na przepływ danych w systemach CRM, hurtowaniach danych, które zbierają je z systemów głównych i często używają tych informacji do efektywniejszej analizy potencjału nabywczego klienta – wyjaśnia Tomasz Dziedzic, Linux Polska.

Zdaniem eksperta Linux Polska jest zaskakujące, że „tylko” ponad co piąty ankietowany wymienił obowiązek powiadamiania konsumentów o naruszaniu bezpieczeństwa danych osobowych w ciągu 72 godzin od wykrycia takiego zdarzenia.

Gdy nowe regulacje weszły w życie, firmy z sektora finansowego najgłośniej mówiły o tym, jak gigantyczne kary pieniężne mogą zapłacić banki, jeżeli nie spełnią obowiązku dotyczącego powiadamiania w ciągu 72 godzin o naruszenia czy wycieku danych osobowych. Natomiast wyniki ankiety mogą sugerować, że ten wymóg został niedoceniony przez respondentów. Ten fakt zdumiewa tym bardziej, że wskazany czas, czyli trzy doby, musi wystarczyć na analizę przyczyny, zakresu i konsekwencji naruszenia danych oraz na powiadomienie o tym fakcie klienta. Jeżeli dana instytucja chce się odpowiednio przygotować do tego zadania, powinna liczyć się z tym, że takie działanie będzie wymagać wdrożenia we właściwym czasie niezbędnych rozwiązań informatycznych – dodaje Tomasz Dziedzic, Linux Polska.

Nieodpowiednia infrastruktura IT mniejszym problemem niż niejasności przepisów

Jak zauważa Marek Najmajer, przedstawiciele sektora bankowego biorący udział w badaniu również nie zwrócili szczególnej uwagi na kwestie techniczne związane z bezpieczeństwem systemów informatycznych stosowanych przez banki oraz przygotowanie ich na wymogi stawiane przez RODO. Ich zdaniem niejasności dotyczące ostatecznego kształtu przepisów czy duże nakłady finansowe potrzebne do przygotowania się firmy na obowiązywanie nowych regulacji (odpowiednio 54 i 27 proc. ankietowanych) stanowią dla banków większe przeszkody niż nieodpowiednia infrastruktura IT wewnątrz reprezentowanej instytucji (13,5 proc.).

Przed takimi instytucjami jak banki, RODO w pierwszej kolejności stawia obowiązek wdrożenia niezbędnych rozwiązań, które jeszcze w efektywniejszy sposób niż dotychczas będą pomagały dbać o bezpieczeństwo danych osobowych klientów. Chodzi przede wszystkim o weryfikowaniei usprawnienie istniejących systemów informatycznych stosowanych przez banki, które odpowiadają za bezpieczeństwo danych osobowych. Inwestowanie w rozwiązania IT, które będą zgodne z wymogami stawianymi przez nowe regulacje, to dopiero kolejny etap – komentuje Marek Najmajer, ekspert Linux Polska.

Zasugerowane podejście nie oznacza całkowitej wymiany oprogramowania dbającego o bezpieczeństwo danych, a raczej wsparcie go nowymi rozwiązaniami zgodnymi z wymogami stawianymi przez RODO i zadbanie o jak najszybsze obniżenie poziomu ryzyka związanego z naruszeniem danych. To podejście powinno eliminować obawy banków o przeznaczenie znacznych środków na dostosowanie się do unijnej regulacji.

Zobacz także

 MarketNews24/OP