Aktualności

RODO – wyzwanie dla systemów informatycznych w firmie

Tylko siedemdziesiąt dni zostało do wejścia w życie unijnego rozporządzenia GDPR (General Data Protection Regulation), w Polsce znanego też pod nazwą RODO (Rozporządzenie o Ochronie Danych Osobowych). Od 25 maja przedsiębiorstwa gromadzące i przetwarzające dane osobowe będą musiały podporządkować się nowym przepisom i obowiązkom.

Wiele z wymogów wynikających z RODO wiąże się z koniecznością wprowadzenia zmian w stosowanych w firmach systemach informatycznych. Zależnie od rodzaju prowadzonej działalności i od zakresu, w jakim przetwarza się dane osobowe, zmiany mogą być mniej lub bardziej skomplikowane. W niektórych firmach konieczne będzie nie tylko przystosowanie systemów informatycznych, ale również procedur korzystania z nich. Należy liczyć się z tym, że tym razem spełnienie unijnych wymagań będzie bardziej pracochłonne, niż tylko dodanie kilku formułek prawnych dla użytkowników, jak było w przypadku cookies.

Jednym z podstawowych praw definiowanych przez RODO jest prawo do informacji. Na jego mocy osoby, których dane podlegają przetwarzaniu, mają prawo otrzymać informację o tym, jakie konkretnie dane są przechowywane, oraz w jaki sposób i w jakim celu są przetwarzane.

Ten wymóg nie powinien być szczególnie trudny do spełnienia w systemach usługowych, w których użytkownicy mają możliwość logowania się do systemu – w tych przypadkach zapewnienie użytkownikowi dostępu do jego własnych danych jest normą. Konieczne może być jednak uzupełnienie takich danych o informacje dotyczące celu i sposobu ich przetwarzania.

Bardziej problematyczne mogą być przypadki, gdy system nie daje możliwości samodzielnego dostępu do danych użytkownikom końcowym. Jednym z możliwych wyjść w takiej sytuacji jest skorzystanie z wbudowanych lub zewnętrznych mechanizmów raportowania, dzięki którym administrator systemu będzie mógł przygotowywać zestawienia dotyczące danych konkretnej osoby na jej wniosek.

Dodatkowe trudności mogą występować też w sytuacjach, kiedy dane osobowe są przechowywane i przetwarzane w kilku osobnych systemach lub w aplikacjach działających w chmurze. Należy wówczas szczególnie zadbać o to, by informacja dotycząca każdego zbioru danych była kompletna i zgodna ze stanem faktycznym.

Kolejnym wymogiem RODO jest respektowanie prawa do sprostowania, mówiącego o tym, że osoba ma prawo żądać poprawienia lub uzupełnienia nieprawidłowych danych. Podobnie jak w przypadku prawa do informacji, spełnienie tego warunku jest łatwiejsze w odniesieniu do systemów umożliwiających użytkownikom logowanie i samodzielną edycję danych. Jeżeli jednak system na to nie pozwala, konieczne może być stosowanie procedur wprowadzania zmian w danych osobowych przez administratora, na przykład przy użyciu narzędzi bazodanowych.

Także w przypadku tego wymogu sytuacja może być bardziej skomplikowana, kiedy mamy do czynienia z przechowywaniem i przetwarzaniem danych przez kilka systemów lub w chmurze, w szczególności, jeśli brakuje mechanizmów synchronizacji danych pomiędzy osobnymi zbiorami.

W zapisach RODO znajduje się też prawo do przeniesienia danych, zgodnie z którym osoba, której dane są przechowywane i przetwarzane, ma prawo żądać dostarczenia zbioru swoich danych w ustrukturyzowanym, używanym powszechnie formacie nadającym się do odczytu maszynowego – takim formatem może być na przykład dokument PDF lub plik CSV. System informatyczny musi zatem pozwalać użytkownikowi na samodzielny eksport danych w takiej postaci lub udostępniać narzędzia, przy użyciu których eksport będzie mógł być wykonany przez administratora (po otrzymaniu wniosku od użytkownika).

Szczególnie pracochłonne może być sprostanie wymogom prawa do bycia zapomnianym, na mocy którego osoba może wnioskować o całkowite usunięcie swoich danych z systemów. Dotyczy to nie tylko baz danych używanych w aplikacjach, lecz także wszelkich innych zbiorów, takich jak dane archiwalne, logi systemowe czy kopie bezpieczeństwa. Trzeba zatem liczyć się nie tylko z koniecznością zastosowania rozwiązań technicznych, lecz też ze zmianami w polityce i procedurach rejestrowania i archiwizowania danych.

Wiele systemów (np. typu ERP), w trosce o integralność danych, nie pozwala na ich faktyczne usuwanie, a jedynie oznaczanie jako niewidoczne. W takich przypadkach konieczne mogą być znaczne modyfikacje działających systemów lub migracja do rozwiązań zapewniających możliwość usuwania.

Poza kilkoma wymienionymi wcześniej prawami, RODO wiąże się z szeregiem innych wymagań, a temat pogodzenia ich z systemami informatycznymi w firmach mógłby być pewnie materiałem na niejedną książkę. Podstawowy wniosek jest taki, że przystosowanie systemów i aplikacji do wymagań RODO musi być przeprowadzone metodycznie i w sposób odpowiadający specyficznym potrzebom firmy.

Choć czasu zostało niewiele, to nadal nie jest za późno na skuteczne przygotowanie się do RODO nawet w dużych przedsiębiorstwach. W wielu przypadkach możliwe jest przeprowadzenie tymczasowych działań i zastosowanie obejść, które będą wystarczające do wypełnienia wymagań, a z czasem będą mogły zostać zastąpione lepszymi, docelowymi rozwiązaniami.

Polecamy usługi naszej firmy w dostosowywaniu systemów informatycznych firmy do wprowadzenia RODO. Jako zespół z szerokim, wieloletnim doświadczeniem w budowie i utrzymywaniu aplikacji i narzędzi informatycznych, przeszkolony w tematyce GDPR/RODO, gwarantujemy kompleksowe i skuteczne rozwiązania.

Zajmujemy się zarówno dostosowywaniem systemów opartych o nasze rdzenne rozwiązanie, czyli system OTRS, jak i innych aplikacji ITSM, CRM/ERP lub e-commerce. Zapraszamy do kontaktu z naszymi specjalistami.

« Powrót do Aktualności