Z tego wpisu dowiesz się:

• jakie zmiany niesie ustawa dla osób pracujących w branży IT?
• o jakich postanowieniach ustawy powinien wiedzieć każdy pracownik działu IT?

25 maja 2016 weszło w życie Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) – ustawa obejmująca wszystkie organizacje, które gromadzą i przetwarzają dane osobowe mieszkańców UE. Mimo że powszechna uwaga skupiła się na wielkich korporacjach, ustawa ta dotyczy praktycznie wszystkich przedsiębiorców. Nie sposób bowiem wyobrazić sobie firmy, która nie miałaby jakichkolwiek danych zawierających imiona i nazwiska osób fizycznych. Co powinni wiedzieć o niej programiści i osoby pracujące w działach IT? Oto najistotniejsze, naszym zdaniem, regulacje.

Brak z góry określonych wymagań technicznych

Ze względu na szybki rozwój informatyki, RODO nie wskazuje środków technicznych i organizacyjnych, jakie administrator danych powinien zastosować w celu zapewnienia właściwej ochrony przetwarzanym danym. W ustawie nie znajdziemy zaleceń mówiących na przykład o tym, że hasła powinny być zmieniane co miesiąc ani wymogów co do jego brzmienia. RODO stanowi jedynie, że przy ustanawianiu zabezpieczeń należy uwzględnić stan wiedzy technicznej, koszty wdrażania oraz skutki, jakie zaistnienie zidentyfikowanych zagrożeń może spowodować dla osób, których dane są przetwarzane.

Wyciek danych

RODO przynosi także istotne zmiany w kwestii wycieków danych. Kto z osób pracujących w dziale IT nigdy nie skopiował i nie przechowywał firmowych danych (również osobowych) na zewnętrznym, niezaszyfrowanym dysku zewnętrznym lub pendrivie? Ustawa nakłada na pracodawcę obowiązek opracowania procedur korzystania przez pracowników z tego rodzaju nośników. Każdy przypadek zgubienia lub kradzieży musi być zgłoszony organowi nadzorującemu. Ważną zmianą jest również czas, w jakim regulator powinien być powiadomiony o incydencie wycieku danych. Od 25 maja br. jest to 72 godziny od momentu, w którym firma się o tym dowiedziała.

Ochrona adresu IT

Zgodnie z regulacjami wprowadzonymi wraz z RODO, wśród danych, które podlegają ochronie jest IP komputera. Jednak tylko w przypadku, kiedy za jego pomocą da się zidentyfikować konkretną osobę. Dotyczy to sytuacji, w których do urządzenia jest przypisany tylko jeden pracownik. Jednocześnie ochrony przepisami RODO zwolnione są adresy IP urządzeń, z których korzystać może więcej osób.

Blogerzy

Blogi to dziś jeden ze sposobów budowania swojej osobistej marki. Wśród blogerów jest również wielu programistów i specjalistów IT. RODO również w tym obszarze wprowadza nowe regulacje, które dotyczą osób prowadzących blogi na własnym serwerze lub stronie internetowej, świadczą usługi newslettera dla swoich czytelników lub też mają wpływ na dane osobowe (w komentarzach) i je przetwarzają. W takich sytuacjach bloger staje się administratorem danych i tym samym podlega zapisom ustawy. Blogerzy powinni również pamiętać, aby ich strona zawierała SSL (szyfrowanie przy linku do strony), informację o Cookies, regulamin oraz politykę prywatności.

Nieuchronność kary

O konsekwencjach, jakie grożą w przypadku stwierdzenia uchybień w wypełnianiu zapisów ustawy, krążą już legendy. Nieuchronność kar to rzeczywiście jedna z najistotniejszych zmian, jakie niesie ze sobą RODO. Mogą one sięgać nawet 20 mln euro lub 4 procent wartości rocznego światowego przychodu przedsiębiorstwa, w zależności od tego, która z tych kwot jest większa. Pracownicy działów IT powinni jednak pamiętać, że w razie kontroli i wykazania nieprawidłowości, nie będzie można zrzucić całej odpowiedzialności na ich barki.

RODO u wielu osób wywołuje na skórze ciarki. Czy rzeczywiście jest się czego bać? Wydaje się, że nowa regulacja wprowadza standardy, do których, jak do każdych innych, każdy specjalista IT z czasem przywyknie.