Ostatni gwizdek

Ostatni gwizdek, żeby przygotować się do RODO

Do rozpoczęcia obowiązywania RODO pozostało już tylko dwa miesiące. Chociaż rozporządzenie weszło w życie dwa lata temu, wiele osób zdaje się o tym zapominać. Chowanie głowy w piasek i udawanie, że RODO nas nie dotyczy, jest najszybszą drogą do doprowadzenia do zaniedbań i – w konsekwencji – kar.

Co możemy zrobić, żeby zdążyć z przygotowaniami w dwa miesiące? Przede wszystkim skupić się na planie minimum.

Przeanalizuj, jakie dane osobowe przetwarzasz

To chyba najważniejszy punkt wyjściowy w każdej analizie RODO. Znajdź wszystkie procesy przetwarzania danych osobowych. Czy zatrudniasz pracowników? Czy na terenie biura znajduje się monitoring? Czy żeby wejść na teren zakładu, trzeba się wpisać do książki? A może prowadzisz sklep wysyłkowy? Czy samochody służbowe są wyposażone w GPS?

Przeprowadź analizę skutków

Jeśli nie masz czasu na przeprowadzenie pełnej analizy ryzyka, zastanów się, jakie prawa i wolności osób będą zagrożone w przypadku, kiedy dane, które przetwarzasz, wyciekną. Czy wiedziałeś o tym, że zdobywając nazwisko, PESEL i numer dowodu ofiary, możesz (oczywiście nielegalnie) stworzyć „pamiątkowy” dokument z własnym zdjęciem, który będzie prawie nie do odróżnienia od prawdziwego? Pisząc o skutkach, zakładaj najgorsze możliwe scenariusze.

Spisz wszystkie środki bezpieczeństwa

Twój serwer ma nowy certyfikat SSL? Zaszyfrowałeś bazę danych lub dysk twardy w laptopie? Być może kupiłeś sejf albo podpisałeś umowę z firmą, która niszczy dyski twarde i dokumenty poufne? Wszystko to powinieneś udokumentować i zapisać, przyporządkowując do odpowiednich scenariuszy.

Określ rzeczywiste ryzyko

Wiesz już, jakie dane przetwarzasz, jakie mogą być skutki ich wycieku oraz co należy zrobić, żeby temu zapobiec. Biorąc pod uwagę wszystkie te czynniki, postaraj się określić rzeczywiste ryzyko, któremu podlegają dane, które masz pod opieką.

Opracuj plan działania

Nieważne, czy jesteś małą, jednoosobową firmą czy wielką korporacją, musisz być przygotowany na najgorsze. Stwórz polityki, których będziesz się trzymał – politykę bezpieczeństwa informacji, instrukcję korzystania z systemów informatycznych, wyboru kontrahentów czy też politykę prywatności. Część z tych dokumentów możesz zamieścić na stronie w widocznym miejscu, żeby każdy wiedział, że masz standardy i się ich trzymasz. Być może kiedyś (oby nie) zdarzy się, że dane, które przetwarzasz, wyciekną. Co wtedy?

Nie panikuj

Prezes Urzędu Ochrony Danych Osobowych nie będzie karał za incydenty, przypadkowe wycieki. Postępowanie będzie miało na celu zbadanie, czy podjąłeś odpowiednie, adekwatne kroki do ochrony danych osobowych. Wypadki się zdarzają, technologia się zmienia, nie wszystko da się przewidzieć. Bardzo ważne jest to, żeby móc powiedzieć: „Zrobiliśmy wszystko, co w naszej mocy”.

 

Autor: Marcin Baranowski, IT Security Expert w firmie Onwelo.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *