Prezes Integrated Solutions: Patrzę na RODO w kontekście ogromu pracy, którą trzeba wykonać oraz szansy dla naszej przedsiębiorczości (SecureTech Congress)

18 października 2017, 10:54
Fot. Integrated Solutions
Reklama

 O przyszłości polskiego biznesu w kontekście RODO, oczekiwaniach względem państwa oraz korzyściach płynących z konferencji SecureTech  mówi w wywiadzie dla cyberdefence24.pl prezes Integrated Solutions Mariusz Chochołek. 

 

 

Doktor Andrzej Kozłowski: Jak rysuje się przyszłość polskiego biznesu w kontekście RODO? Czego możemy się spodziewać po maju 2018?

Mariusz Chochołek: Jestem ostrożnym optymistą. Każda firma, w tym  Integrated Solutions (IS), przygotowuje się na własny sposób, ponieważ  ma inną specyfikę, a tym samym istnieją inne zagrożenia dla ochrony danych. Na pewno łatwiej mogą mieć te przedsiębiorstwa i organizacje, które należycie stosowały się do obecnie obowiązującej Ustawy o Ochronie Danych Osobowych. Jednak wspólnym mianownikiem dla polskiego biznesu w kontekście RODO jest poszanowanie praw i wolności człowieka oraz ochrona danych osobowych m. in. na zasadzie rozliczalności. Celem ma być zwiększenie kontroli osoby fizycznej nad własnymi danymi w dobie cyfrowej ekonomii.  

Fundacja „Wiedza to Bezpieczeństwo” w swoim raporcie pod tytułem „Co wiemy o ochronie danych” podaje, że w ponad połowie firm zmieniono już procedury przetwarzania danych osobowych w związku ze zmianą przepisów. Nie wydaje mi się więc, że maj 2018 roku przyniesie spektakularną katastrofę finansowo-wizerunkową. Raczej zimny prysznic i refleksję: co mogliśmy zrobić lepiej?  Warunkuje nas oczywiście nieuchronność działania prawa: nikt nie może udawać, że RODO nie istnieje, wszyscy musimy się mu poddać. Maksymalna kara 20 milionów euro za wyciek danych po maju 2018 robi poza tym wrażenie na wszystkich.

Warto także zwrócić uwagę na nowopowstałą funkcję inspektora ochrony danych. To nowe kompetencje, ale także nowe obowiązki, które na pewno wpłyną na kształt działalności całej firmy. Dodatkowo: wszystkie znane mi branże sięgają już po nowoczesne narzędzia, chociażby sprzedaży (omnichanelling, e-commerce) – z jednej strony to oczywiście wspaniała oznaka cyfrowej rewolucji, a z drugiej zaś generowanie nowych wyzwań w zakresie ochrony danych.

RODO dotknie nas wszystkich. Jak według Pana można przeorganizować procesy biznesowe w organizacji, aby jak najefektywniej się do niego przygotować?

Przygotowanie do RODO nie jest szybkim, jednorazowym projektem obliczonym na natychmiastowy efekt. To musi być dobrze przemyślany proces, który pozwoli na świadome, długofalowe  zarządzanie środowiskiem posiadanych danych. Aby dobrze przygotować firmę do RODO potrzebne jest zaprzęgnięcie do pracy wielu specjalistów z różnych dziedzin. Ścisła współpraca działów IT i bezpieczeństwa oraz właścicieli biznesowych aplikacji z ABI-im/IOD-em to warunek sukcesu. Zmieni się bowiem coś więcej, niż same procesy – musi zmienić się mentalność  osób odpowiedzialnych za bezpieczeństwo posiadanych zasobów. Ma to swoje zalety, bo może przynieść np. optymalizację działań wewnątrz firmy, np. powierzchni storage, oszczędności, które wynikają ze stosowania się do GDPR. Analiza ryzyka dla ochrony danych oraz praw i wolności człowieka jest jednym z założeń stosowania RODO. Do oceny sytuacji angażujemy pracowników korzystając z ich wiedzy eksperckiej. To jest  podstawowe narzędzie analizy ryzyka. Z praktycznego punktu widzenia może to być np. kwartalny raport właściciela biznesowego aplikacji składany do ABI-iego nt. przetwarzania danych osobowych. 

Integrated Solutions wspiera swoich klientów w przygotowaniu się do RODO – posiadamy pełną ofertę, w ramach której przejdziemy z klientem przez cały proces - od wstępnego audytu przed-wdrożeniowego  do utrzymania firmy zgodności z RODO. Trzeba bowiem pamiętać, że rozporządzenie to zakłada neutralność technologiczną.

Patrzę na RODO w kontekście ogromu pracy, którą trzeba wykonać, oraz szansy dla naszej przedsiębiorczości: szacuje się, że w 2020 roku dane osobowe wszystkich mieszkańców Europy będą warte 1 bln euro. Jest więc co chronić.  Nowe przepisy zapewniają nam elastyczność w doborze i stosowaniu środków technicznych i organizacyjnych i dają możliwość korzystania z wszelkich innowacji cyfrowych. To brzmi dobrze, bo odchodzimy od narzucania przez urzędników konkretnych rozwiązań, które jak wspomniałem na początku wywiadu, powinny być dobrane zgodnie ze specyfiką firmy i czyhających na nią zagrożeń .

Jakie są oczekiwania biznesu wobec instytucji państwowych w kontekście GDPR? Na jakie wsparcie liczycie?

Przede wszystkim jest to wsparcie legislacyjne: państwo musi zniwelować różnice między tym, co w Polsce, a tym co w reszcie Unii Europejskiej. RODO w swoim zamyśle ma unifikować przepisy, a jednak dzisiaj występuje sporo rozbieżności między niektórymi elementami rozporządzenia w poszczególnych krajach UE.

Co więcej -  projekty przepisów krajowych również są niespójne. Cześć projektów ustaw sektorowych dąży do ograniczenia stosowania zasad przetwarzania danych przez instytucje państwowe i do zniesienia odpowiedzialności za ochronę danych przez wybrane instytucje. To jest zaprzeczenie koncepcji harmonizacji prawa dotyczącego ochrony danych w EOG. Dlatego środowisko polskich przedsiębiorców liczy na stanowisko MC, które jest właścicielem tematu reformy systemu ochrony danych osobowych w Polsce.  

Czy można wyróżnić kluczowe wymagania  GDPR i czy są dobre praktyki ich wdrożenia?

Rekomenduję stosować się do całości przepisów dot. ochrony danych. Tylko to daje gwarancję zgodności. Priorytety stosowania RODO są wyznaczane przez ocenę ryzyka dla ochrony danych oraz praw i wolności. Co do najlepszych praktyk, to z pewnością zostaną wypracowane wraz ze stosowaniem GDPR. Dlatego do tego czasu warto odnieść się do norm ISO 29134, 29151 czy 27000 i zamapować je na wymagania RODO.  

Jakie wymagania RODO mogą mieć największy wpływ na systemy informatyczne?

Zasada „Privacy by Design”, Privacy by Default”, wymaganie minimalizacji przetwarzania danych osobowych oraz ograniczenie celu i czasu przetwarzania danych, bo wymaga opracowania szczegółowych polityk retencji i ich konsekwentnego egzekwowania. Biznes musi dać jasną odpowiedź po co przetwarza dane, dlaczego właśnie takie dane i ile czasu chce je przetwarzać zanim ulegną retencji.   

Jak udział w takich konferencjach, jak SecureTech może ułatwić przyjęcie przed polskie firmy GDPR?

Tego typu konferencje branżowe są wielką szansą na wymianę doświadczeń, zapoznanie się z działaniami naszych kolegów z innych przedsiębiorstw – nawet (a może nawet przede wszystkim) z tych konkurencyjnych. Powinniśmy wszyscy zdawać sobie sprawę, że w obliczu bezpieczeństwa naszych danych osobowych nie jesteśmy tylko managerami firm, ale przede wszystkim osobami narażonymi na utratę cennych danych w sensie stricte prywatnym. Pozostawiamy swój ślad w tak wielu miejscach, że w naszym wspólnym interesie jest jak najefektywniejsze go chronienie.

Cyberdefence24
Cyberdefence24
KomentarzeLiczba komentarzy: 0
Anuluj