Blog

Czy takie RODO straszne?

2018-01-20

PPNT - informacje o RODO25 maja 2018 wejdzie w życie GDPR (General Data Protection Regulation) w Polsce bliżej znane jako RODO (Rozporządzenie o Ochronie Danych Osobowych). Czy naprawdę taki diabeł straszny, jak go malują?

Wielu przedsiębiorców jest przerażonych perspektywą zmian, które RODO wprowadza, podczas gdy inni się nimi nie przejmują i absolutnie ignorują temat. Na to wszystko nakłada się olbrzymi rynek szkoleń dotyczących nowych regulacji, gdzie ich autorzy straszą przedsiębiorców drakońskimi karami, za niedostosowanie swoich wewnętrznych procedur do zmian prawnych. Którzy z nich mają rację? Czy RODO faktycznie należy się bać? Czy można je ignorować? Jak się do niego przygotować?

Zacznijmy jednak od tego jak kwestie ochrony danych osobowych regulowane są obecnie. Wszystkie wytyczne, dotyczące sposobu zabezpieczenia danych zawarte są w 2 aktach prawnych – „Ustawie o Ochronie Danych Osobowych” z dnia 29 sierpnia 1997 oraz „Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.” Już same daty wydania tych dokumentów mówią nam wprost, że nijak przystają one do dzisiejszych realiów – dwie dekady w świecie zabezpieczeń IT to cała wieczność. Najlepiej świadczy o tym klasyfikacja poziomów bezpieczeństwa zastosowana w rozporządzeniu. Dzieli ono typy stosowanych zabezpieczeń na podstawowy, podwyższony i wysoki. Należy przy tym zauważyć, że poziom wysoki stosuje się w przypadku każdego komputera, który posiada połączenie z siecią publiczną – przekładając to na dzisiejsze realia – absolutnie każdy komputer, w każdej znanej mi firmie (wyjątkiem tutaj jest tylko policja i wojsko) musi mieć wdrożone zabezpieczenia na poziomie wysokim. Ustawodawca nie wprowadził żadnego podziału, w zależności od typu przetwarzanych informacji, ryzyka ich utraty, ewentualnych konsekwencji dla właścicieli danych związanych z utratą czy dla firmy, która je nienależycie zabezpieczyła. Kwestia zabezpieczeń jest potraktowana zero-jedynkowo.

W tym miejscu należy postawić pytanie – czy RODO, którym wszystkie firmy szkoleniowe tak straszą, jest w tym aspekcie bardziej wymagające od obecnych przepisów? Przecież poziom wysoki w obecnie obowiązującym rozporządzeniu wprowadza określoną politykę haseł, mówi o zabezpieczeniach fizycznych dostępu do sprzętu. Naturalnym wydaje się więc, że owo straszne RODO przyciśnie każdego przedsiębiorcę jak tylko się da, aby wydał pieniądze na nowe zabezpieczenia technologiczne, zatrudnił sztab specjalistów i prawników, którzy będą dbać o bezpieczeństwo przetwarzanych przez niego informacji.

Nic bardziej mylnego!

RODO co do zasady mówi nam, że zabezpieczenia powinny być adekwatne. Od 25 maja 2018 roku, nikt nie będzie wymuszał na firmie stosowania określonej polityki haseł, nie będzie mówił, jak należy zabezpieczyć szafę z dokumentami i kto ma prawo wchodzić do jakiego pokoju. Od 25 maja, przedsiębiorca będzie musiał wykazać, że oszacował ryzyko utraty / naruszenia integralności / naruszenia poufności przetwarzanych przez niego danych osobowych a następnie wprowadził adekwatne do stwierdzonych zagrożeń zabezpieczenia. Tylko tyle… i aż tyle. Dzięki temu, zakład fryzjerski, do którego umówiłem się na wizytę, a który ten fakt wraz z moim nazwiskiem i numerem telefonu odnotował w kalendarzu nie będzie musiał już stosować dokładnie takich samych zabezpieczeń tego kalendarza, jak bank przetwarzający mój wyciąg z konta.

Czy dalej drodzy przedsiębiorcy uważacie RODO za takie zło? W następnym wpisie postaram się pokazać przykłady rozwiązań, dzięki którym RODO nie będzie Wam spędzać snu z powiek.

Tomasz Łukaszewicz

Związany z branżą IT od zawsze. Pasjonat rozwiązań Cloud, specjalista w dziedzinie outsourcingu IT, bezpieczeństwa danych, sieci teleinformatycznych. Kierownik DataCenter Poznańskiego Parku Naukowo-Technologicznego. Absolwent Politechniki Poznańskiej, Uniwersytetu Ekonomicznego w Poznaniu oraz Wyższej Szkoły Bankowej. Dyplomowany z zakresu zastosowań informatyki w biznesie i administracji oraz zarządzania projektami IT wg metodologii PMI i metodyk zwinnych.

Współtwórca Zintegrowanego Systemu Zarządzania Usługami IT oraz Bezpieczeństwa Informacji w DataCenter PPNT, certyfikowanego przez TUV Nord. Dzięki jego zaangażowaniu i pracy, Datacenter PPNT, jako jedna z czterech serwerowni w Polsce, uzyskała certyfikat ISO 20000.  Pomyślnie przeprowadził także firmę przez audyt ISO 27001.

Na blogu chce się dzielić swoimi doświadczeniami z zakresu outsourcingu IT.

www.datacenterppnt.pl