Zabezpieczenia techniczne już nie wystarczą

IT | Najlepszy sprzęt czy oprogramowanie monitorujące nie wystarczy do właściwego przetwarzania danych, jeżeli sam system jest nieszczelny.

Poziom automatyzacji procesów w działalności firm rośnie z roku na rok. Oznacza to również coraz częstsze wykorzystanie systemów informatycznych w celu przetwarzania danych osobowych – począwszy od danych pracowniczych, po szeroko rozumiane dane dotyczące klientów czy kontrahentów.

W czasie obowiązywania ustawy o ochronie danych osobowych z 1997 r. zasady zabezpieczania takich systemów określało rozporządzenie. RODO nie wprowadziło podobnego rozwiązania, dlatego administratorzy po 25 maja 2018 r. stanęli przed problemem oceny adekwatności zabezpieczeń systemów IT.

Wiem, co mam i jak to działa

RODO jednoznacznie sprecyzowało tylko trzy rodzaje zabezpieczeń, które są związane z ochroną danych osobowych, tj.:

∑ pseudonimizację,

∑ szyfrowanie danych oraz

∑ testy bezpieczeństwa.

Pozostałe zabezpieczenia, które wymieniono w przepisach, są raczej zasadami postępowania niż jasnymi wytycznymi i każdy może je wdrożyć w inny sposób. Skąd zatem wiadomo, jakie działania będą właściwe?

Firmy przede wszystkim powinny wykonać inwentaryzację systemów i określić, jakie dane i w jaki sposób przetwarzają. Zakres przetwarzania określają funkcjonalności systemów – program do fakturowania pozwala na inne przetwarzanie niż system do obsługi reklamacji...