Innymi słowy znajdujące się w nim uregulowania już w pełni wejdą w życie
Przedsiębiorcy muszą do tego czasu wypracować system ochrony danych osobowych, a w tym celu przejrzeć, zaudytować, całą swoją wewnętrzną organizację i wyodrębnić procesy przetwarzania danych osobowych tam, gdzie te dane są gromadzone.
− Muszą zwrócić uwagę na rzeczy, które wcześniej były w jakimś stopniu ignorowane- podkreśla Alan Pajek, wiceprezes spółki Ediko.
Chodzi o to jak są przechowywane dane i w którym miejscu mogą "wyciekać". Przedsiębiorcy powinni uświadomić sobie, że to niezamierzone wydostawanie się danych poza ich firmę będzie karane. Takie rozwiązania zawiera RODO.
Nie jest jeszcze do końca znana wysokość kar, ale mówi się o kilku procentach wartości obrotu danego przedsiębiorstwa.
Warto więc w porę zabezpieczyć się przed taką ewentualnością. Dotyczy to oczywiście infrastruktury informatycznej, a więc serwerów, zabezpieczania baz danych i anonimizacji danych newralgicznych.
To ostatnie pojęcie oznacza takie przekształcenie danych osobowych, które później uniemożliwia przyporządkowanie poszczególnych informacji osobistych lub rzeczowych określonej lub możliwej do zidentyfikowania osobie fizycznej. Ewentualnie można to zrobić przy niewspółmiernie dużym nakładzie kosztów.
"Z perspektywy doświadczeń moich i mojej firmy wynika, że największą uwagę trzeba zwrócić na to, co jest związane z dokumentami, które te dane zawierają". Sytuacja jest trudna ponieważ w niedostatecznym stopniu upowszechnione są systemy wydruku podążającego i poufnego w instytucjach publicznych i w biznesie. A są to systemy, które dzięki autoryzacji pozwalają użytkownikowi wydrukować to czego faktycznie potrzebuje i dokładnie wówczas, kiedy taka potrzeba zachodzi. W momencie, w którym użytkownik podejdzie z kartą do drukarki, określony, oczekiwany materiał zostanie uwolniony. Tym samym nie dojdzie do sytuacji, gdy wydruki z danymi poufnymi mogłyby trafić w niepowołane ręce. Doświadczenie uczy, że dotychczas, w kontekście zapewnienia bezpieczeństwa, nie zwraca się zbyt dużej uwagi na te urządzenia. A przecież są to maszyny bardzo zbliżone technologicznie do standardowych laptopów czy komputerów, ponieważ posiadają dyski twarde, które przechowują dane osobowe, a więc te dyski powinny być odpowiednio zabezpieczone. Konkretnie dotyczy to profilaktycznych działań ochronnych, w takich aspektach jak: zatrzymanie możliwości pojawienia się niepożądanych wydruków Systemem Wydruku Podążającego, wdrożenie polityki wydruku dokumentów, zabezpieczenie i wsparcie dostępu do danych dostępnych na drukarce, zabezpieczenie i wspieranie możliwość „zapominania” danych, weryfikowanie polityki stosowania otwartych portów na drukarkach, kontrolowanie sytuacji nietypowych dla środowiska druku, na przykład wzmożonej ilość drukowania i skanowania. Chodzi też o zapobieganie: wyciekom poufnych wydruków i skanów, wtargnięciom do sieci lokalnej firmy oraz o kontrolę możliwości fizycznego dotarcia do urządzeń przez autoryzowany dostęp.
Mowa jest o systemach, które pozwolą wspierać monitoring urządzeń drukujących i identyfikować słabe punkty.
Czy polskie przedsiębiorstwa zdążą zbudować takie systemy zabezpieczeń?
W małych i średnich firmach brakuje kompetencji dotyczących tworzenia takich systemów. Mogą one rozwiązywać problem korzystając z outsourcingu.
Alan Pajek z nadzieją patrzy na postęp w dziedzinie tworzenia prawa krajowego dotyczącego ochrony danych osobowych. Pozytywnie ocenia przyjęcie przez Radę Ministrów projektu ustawy regulującej te zagadnienia. Zawarte tam rozwiązania uściślają kwestię odpowiedzialności osób, które w firmach zarządzają danymi osobowymi. Dotychczas dosyć trudno było ustalić kto odpowiada za ewentualne wycieki tego rodzaju informacji. Teraz, w projektowanych rozwiązaniach przewiduje się, że będzie określona osoba, posiadająca pełną wiedzę, która otrzyma precyzyjne wytyczne w jaki sposób dane powinny być rejestrowane oraz udostępniane w firmie, dzięki czemu poziom bezpieczeństwa zdecydowanie wzrośnie.
Dariusz Kwiatkowski