Dostosowanie do RODO pełne trudności

  • Marek Mejssner
opublikowano: 27-03-2018, 22:00

Jednym z największych problemów dla firm będą zmiany dotyczące elektronicznego obiegu dokumentów. Niektóre spółki będą musiały wybrać nowy system

Z badania IDC wynika, że 25 proc. przedsiębiorców uważa, że nie musi dostosowywać się do RODO, bowiem „dotyczy ono tylko wielkich firm”. Tymczasem obowiązek ten obejmuje wszystkie typy spółek — od osób prowadzących samodzielnie działalność gospodarczą przez małe firmy po korporacje. Jednym z najważniejszych problemów będzie dostosowanie do nowych regulacji elektronicznego obiegu dokumentów (EOD) w firmie. W niektórych przypadkach trzeba będzie zmienić w nim wszystko, a nawet wprowadzić nowy system.

Wydatki związane z unijnym rozporządzeniem firmy będą ponosiły nie tylko w tym roku. To proces rozciągnięty w czasie, bo większość rozwiązań zgodnych z RODO musi być stale monitorowana — zwraca uwagę dr Marek Porzeżynski, prawnik i ekspert od elektronicznego obiegu dokumentów.
Zobacz więcej

TO BĘDZIE KOSZ- TOWNE:

Wydatki związane z unijnym rozporządzeniem firmy będą ponosiły nie tylko w tym roku. To proces rozciągnięty w czasie, bo większość rozwiązań zgodnych z RODO musi być stale monitorowana — zwraca uwagę dr Marek Porzeżynski, prawnik i ekspert od elektronicznego obiegu dokumentów. Fot. ARC

— Do wymagań RODO będzie musiał dostosować się cały rynek. W efekcie na pewno zostanie podwyższony poziom bezpieczeństwa danych osobowych użytkowników, co generalnie wpłynie na poziom bezpieczeństwa wszystkich dokumentów, w których te informacje osobowe sie znajdują. Rozwiązań dostosowujących systemy EOD w przedsiębiorstwach do wymogów RODO już jest wiele. Obecnie wiele dużych, profesjonalnych podmiotów reklamuje swoje produkty jako w 100 proc. zgodne z RODO. Tak jest choćby w przypadku Microsoftu, który stwierdza, że jego wirtualne dyski mają poziom zabezpieczeń zgodny z nowymi regulacjami — mówi dr Marek Porzeżynski, prawnik, ekspert od elektronicznego obiegu dokumentów.

Od czego zacząć

Pierwszym krokiem w wyborze rozwiązania do obiegu dokumentów „pod panowaniem RODO” jest ocena i przeanalizowanie rodzajów ryzyka, jakie występują w branży i w samej firmie. Dopiero wykonanie takiej analizy pozwoli na określenie, jakiego typu rozwiązanie IT może sprostać wymaganiom. Dokonując tego wyboru, warto pamiętać, że na żądanie instytucji i urzędów nadzorujących wykonanie RODO będzie trzeba wykazać, że dane rozwiązanie zostało dobrane pod kątem zgodności z zasadami przetwarzania danych. Następnym etapem jest sprawdzenie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym oraz ich aktualizacja. W ponad jednej trzeciej polskich firm, zwłaszcza z sektora MSP, żadnych polityk bezpieczeństwa nigdy nie było, a nawet jeśli są, nie odpowiadają unijnym standardom. Tymczasem przedsiębiorcy będą musieli wskazać środki bezpieczeństwa i procedury bezpiecznego przetwarzania danych, w tym również działań, jakie muszą być podjęte na wypadek ich wycieku.

— Jeśli chodzi o bezpośrednią działalność firm, to RODO na pewno przełoży się na wzrost kosztów. W przypadku elektronicznego obiegu dokumentów e-mail może być uznany za narzędzie niewystarczająco chroniące dane wrażliwe, jako że jest słabo zabezpieczany. Konieczne może więc stać się korzystanie z dysków z podwójnym poziomem szyfrowania — mówi dr Marek Porzeżynski.

Jego zdaniem, koszty wzrosną, bo trzeba będzie wybierać dostawców, którzy zapewnią poziom zabezpieczeń, jaki odpowiada profilowi działalności firmy.

— RODO nie wskazuje bowiem jednego poziomu, do którego należy równać, jak czyni to obecna ustawa o ochronie danych osobowych. Wymaga natomiast jak najlepszego zabezpieczenia w stosunku do ryzyka naruszeń, jakie występuje w przypadku danej firmy, oraz tego, jaka jest ilość i kategorie przetwarzanych danych osobowych — mówi dr Marek Porzeżynski.

W polityce bezpieczeństwa przygotowanej przez firmę muszą znaleźć się wykazy zabezpieczeń fizycznych i technicznych, określenie, gdzie dokładnie przetwarzane są dane, oraz spis programów, jakie używane są do ich przetwarzania. Drugim elementem jest instrukcja. To praktyczny spis procedur bezpieczeństwa stosowanych w firmie, dotyczący typów nadawanych uprawnień, uwierzytelniania, autoryzacji oraz stosowania i rozwoju narzędzi programistycznych. Oba te dokumenty to podstawa przy wyborze nowego dostawcy systemu elektronicznego obiegu dokumentów — zwłaszcza jeśli taki system ma być rozwiązaniem opracowanym od podstaw przez zewnętrznego dostawcę.

Łatwo nie będzie

Ważne, aby instrukcje postępowania w przypadku zagrożeń, jakimi są wycieki danych czy ataki hakerskie, znajdowały się nie tylko u administratora, ale by zostały rozpowszechnione w całej firmie jako dokumenty wewnętrzne. Wiążą się z tym określone procedury, dotyczące urządzeń BYOD (Bring Your Own Device — przynoszenie do pracy prywatnych urządzeń). W firmie powinny być uregulowane zagadnienia dotyczące tego, w jaki sposób firmowa poczta trafia na prywatne smartfony pracowników, jak prywatne urządzenia są przyłączane do firmowej sieci i jaka jest polityka dotycząca wydruków — aby poufne dokumenty były zabezpieczone, a nie dostępne dla niepowołanych osób. RODO wymaga, aby istniały gotowe rozwiązania tych problemów i były przygotowane scenariusze działań na wypadek sytuacji nieuprawnionego dostępu do danych wrażliwych lub ataku na firmę. Te informacje powinny być ujęte w gotowych procedurach operacyjnych przedsiębiorstwa. Oznacza to również, że powinny wejść w skład poufnej dokumentacji związanej z elektronicznym obiegiem dokumentów.

Trzeba zaznaczyć, że wprowadzenie zmian do firmowego systemu elektronicznego obiegu dokumentów może być bardzo trudne. Obecnie nie ma na rynku systemu EOD na tyle kompleksowego, że umożliwiłby on wywiązanie się od razu ze wszystkich obowiązków dotyczących RODO. Oczywiście możliwe jest skonstruowanie takiego systemu przez firmę zewnętrzną, jednak proces ten może być długotrwały, podobnie jak przystosowanie systemu „z półki”. Co ważne, dystrybutorzy często oferują swoim sprzedawcom i partnerom dostęp do wielu usług z zakresu wsparcia wdrażania RODO, co oznacza, że są one dostępne dla ich klientów. Chodzi o takie usługi, jak profesjonalne szkolenia, pomoc w doborze odpowiednich rozwiązań sprzętowych i programowych oraz komplet materiałów informacyjnych. Jeśli więc przyjdzie moment na wybór odpowiedniego rozwiązania, warto sprawdzić, czym — poza samym systemem EOD — dysponuje dystrybutor i jego partnerzy. Dzięki tej wiedzy proces przechodzenia do wymogów EOD może zostać znacznie ułatwiony. Następnym krokiem po dostosowaniu systemów IT do wymagań unijnych lub wdrożeniu nowego systemu, który spełnia te kryteria — oraz przygotowaniu jednolitej dokumentacji dla EOD — jest przeszkolenie wszystkich pracowników zajmujących się przetwarzaniem danych osobowych. Dotyczy to danych słabo ustrukturyzowanych — a tych może być bardzo dużo, bo chodzi o e-maile, dokumenty, pliki graficzne czy prezentacje. W tym przypadku potrzebny może być kontakt z prawnikiem — bo niezbędne jest stworzenie planu szkoleń opierającego się na określonych regulacjach prawnych. Być może konieczne będzie nawet zwrócenie się do kancelarii prawnej, wyspecjalizowanej w zabezpieczeniu danych wrażliwych. Największe koszty dotyczące wdrożenia RODO firmy poniosą w tym roku.

— Już teraz widać, że obsługa wdrożeń związanych z RODO jest segmentem rynku, który bardzo dynamicznie rośnie. Jednak ten wzrost kosztów będzie rozciągnięty w czasie, bowiem większość rozwiązań zgodnych z RODO musi być stale monitorowana. I tak rozwiązania powiązane z elektronicznym obiegiem dokumentów muszą być obserwowane w celu szacowania ryzyka i ciągłego podwyższania poziomu zabezpieczeń. To oznacza, że opłata za te usługi nie będzie jednorazowa, ale stała — i ponoszona cyklicznie — zwraca uwagę dr Marek Porzeżynski.

Konferencja "RODO po 25 maja 2018 r. - doświadczenia praktyków biznesu", 6-7 czerwca 2018, Warszawa. Sprawdź program wydarzenia >>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Marek Mejssner

Polecane

Inspiracje Pulsu Biznesu

Tematy

Puls Biznesu

Puls Firmy / Dostosowanie do RODO pełne trudności