Droga RODO do serca małych i średnich operatorów telekomunikacyjnych wydaje się dłuższa i cięższa niż wędrówka Froda do serca Mordoru. Przekonanie ich, że wdrożenie zasad bezpieczeństwa informacji, w tym ochrony danych osobowych, przyniesie wymierne korzyści dla ich działalności, wydaje się też mniej prawdopodobne niż spotkanie hobbita.
RODO dla Operatorów stało Sauronem z tolkienowskiego uniwersum. Lepiej się do niego nie zbliżać i udawać, że go nie ma, choć czuć z daleka jego złowrogi wpływ. Jednak jako inspektor ochrony danych i audytor bezpieczeństwa wciąż żywię nadzieję, że uda nam się przekonać, choć nielicznych, którzy niczym Drużyna Pierścienia, podejmą wyzwanie, a za nimi pójdą kolejni…
Artykuł piąty dla operatorów w ich firmach małych i średnich
Choć jedną z milszych reakcji na RODO jest wzruszenie ramion i wielu z was w tym momencie uzna, że traci baba czas, to jednak pójdę w zaparte – nadzieja umiera ostatnia. Jak już porzucimy emocje i zaakceptujemy obowiązujący stan prawny, w którym RODO niezaprzeczalnie zajmuje swoje miejsce, warto zwrócić uwagę na art. 5 rozporządzenia.
Jak powszechnie wiadomo, zanim zacznie się grać, trzeba poznać zasady gry. Art. 5 RODO to nic innego jak właśnie zbiór zasad, którymi powinniśmy się kierować przy przetwarzaniu danych, czyli przy wykonywaniu operacji na informacjach, które w sposób bezpośredni lub pośredni wskazują na osobę fizyczną. W związku z tym przepisem dane osobowe muszą być zatem przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
Tuż obok „zgodności z prawem, rzetelności i przejrzystości” stoją kolejne zasady: “ograniczenia celu” i “minimalizacji danych”, które oznaczają dla nas tylko to, że dane muszą być adekwatne do celu, dla którego są zbierane, muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
Szósty i dziewiąty o danych przetwarzaniu
Co to oznacza? Przekładając z polskiego na nasze – prosimy klientów tylko o takie informacje, które są nam potrzebne. Nie wykorzystujemy informacji podanych w jednym konkretnym celu do realizacji innych działań, innych celów. Oczywiście rozumiem, że czasami aż kusi, żeby skubnąć parę danych, np. do kolejnej akcji marketingowej, ale nie należy tego robić. Wszystko też musi opierać się na przepisach prawa, na jednej z przesłanek legalizujących przetwarzanie danych, o których mowa w art. 6 i art. 9 rozporządzenia RODO, być zrozumiałe i jasne dla osoby fizycznej, której dane dotyczą.
Odliczając kolejno, to, co wydaje się naturalne i oczywiste (zasada prawidłowości danych); dane muszą być prawidłowe i aktualne, a kiedy przyjdzie na to czas, zarchiwizowane w sposób umożliwiający identyfikację właściciela danych (zasada ograniczenia przechowywania). I na koniec, niczym wisienka na torcie – zasada integralności i poufności danych, która oznacza tylko i aż tyle, że jesteśmy zobowiązani chronić dane przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. W jaki sposób?
I jeden specjalista by zabezpieczenia dobrać
Poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, które zostały wskazane – najlepiej przez inspektora ochrony danych, audytora bezpieczeństwa, specjalistę – po przeprowadzeniu audytu bezpieczeństwa i opracowaniu analizy ryzyka.
Zapewniam, że wspólnymi siłami i przy wsparciu profesjonalisty można dobrać zabezpieczenia, które nie będą kosztowały milionów, a będą adekwatne do stwierdzonych podatności. I zapytawszy na koniec – jak żyć? – odpowiem: Mając na uwadze powyższe, najrozsądniejszym rozwiązaniem wydaje się skorzystanie z pomocy i wsparcia ludzi, którzy wiedzą, co robią. Oszczędzamy w ten sposób czas, energię i pieniądze.
Przypominam też na koniec, że Grupa MiŚOT już dawno podjęła temat bezpieczeństwa i za pośrednictwem Spółki Projekt MDS służy wsparciem w tym zakresie m.in. zapewniając outsourcing usług inspektora ochrony danych i pełnomocnika ds. bezpieczeństwa oraz proponując wiele innych produktów z obszaru bezpieczeństwa informacji.