Backup a RODO: nie taki diabeł straszny

CRN Czy dla prawników zapisy RODO stanowią taki sam koszmar jak dla administratorów danych osobowych w firmach?

Rafał Kania, Sendero Tax & Legal Nadal jest wiele nieścisłości i z pewnością będą pojawiały się wątpliwości, także wśród prawników. Ale generalnie oceniam pojawienie się tego rozporządzenia jako pozytywną rzecz, bo sytuacja związana z ochroną danych osobowych wymagała unormowania i dostosowania do obecnych realiów. Szacujemy, że około 95 proc. danych osobowych na świecie przechowywanych jest w systemach informatycznych. Chociaż, dla kontrastu, dziś nikt nie myśli o tym, że wiele danych, przeważnie akt osobowych w działach kadr starszych firm, przechowywanych jest głównie w postaci papierowej. A takie archiwum także podlega pod RODO. Siłą rzeczy nie ma do nich tak łatwego dostępu ani takich możliwości przeszukiwania, jak w przypadku postaci elektronicznej, a bez tego nie można spełnić wymogów RODO. Firmy powinny więc myśleć o digitalizacji papierowych danych.

Integrator Część naszych klientów była przygotowana do RODO już wcześniej, bo skrupulatnie spełniali wymagania ustawy o ochronie danych osobowych i stosowali najlepsze praktyki. Ale rzeczywiście, wiele firm potrzebowało doradcy, chociaż często nie zdawało sobie z tego sprawy. My przygotowaliśmy odpowiednie zasoby i daliśmy klientom możliwość skorzystania z konsultacji, ale zainteresowanie nie było zbyt wielkie. Prawdopodobnie znacznie wzrośnie, gdy kontrole wykażą problemy u pierwszych firm, ale w międzyczasie raczej nie widzę powodu, aby skupiać się na rozporządzeniu.

Mirosław Chełmecki, Veracomp Też zauważamy, że firmy mają zbyt małą świadomość dotyczącą praktycznych aspektów związanych z RODO. Każdy przeczytał jakiś dokument czy artykuł w gazecie, ale ludzie nie bardzo wiedzą, co dalej z tym zrobić, szczególnie jeśli nie mają prawników. Dlatego uważam, że integratorzy, którzy będą potrafili przełożyć aspekty biznesowe, prawne i IT na codzienne życie, wejdą w bardzo ciekawą niszę. Dzięki usłudze wdrażania całego procesu zabezpieczania firmowych danych będą w stanie zdobyć wielu klientów.

Krystian Hofman, Arcserve Na etapie przygotowań do RODO zauważyłem, że zaczęło mieć miejsce „docieranie się” między producentami, dystrybutorami i resellerami w różnych kwestiach związanych z obsługą klientów końcowych. To dobrze, bo dzięki temu wzajemne relacje będą bardziej dojrzałe. A jest to ważne, ponieważ RODO w pewnym stopniu zmusza klientów do zabezpieczania ich danych, a ci z kolei często to zadanie będą cedować na współpracujących z nimi resellerów i integratorów.

Rafał Kania, Sendero Tax & Legal Klienci postrzegają RODO wyłącznie jako kulę u nogi. Oni nie chcą jedynie wypełniać papierków ani płacić za doradztwo w kwestii, która nie stymuluje biznesu, a czasem w nim przeszkadza. Generalnie zrozumiałe jest to ich podejście, zgodnie z którym będą spełniali tylko minimalne wymogi.

Jarosław Mikienko, Veritas Cieszy, że partnerzy dostrzegają potencjał rynkowy i bazując na swoich możliwościach technicznych, tworzą narzędzia do rozwiązywania problemów biznesowych firm. Mam jednak wrażenie, że nie w pełni wykorzystujemy szansę, która pojawiła się na rynku w związku z RODO. Dziś trudno przewidzieć wysokość nakładanych kar. To trochę zależy też od tego, jak dobrych prawników będą miały obie strony. Zapewniam, że jako dostawcy oferujemy narzędzia, które pozwalają klientom obniżyć to ryzyko, jednocześnie stanowiąc dla firm z kanału dystrybucyjnego źródło dodatkowego przychodu.

CRN W kontekście RODO ludzie najbardziej boją się wycieków danych, bo grożą za to największe kary. A z historii wiemy, że wiele ataków przypuszczonych zostało na kopie backupowe. To właśnie backup jest najsłabszym ogniwem, bo z reguły w jednym miejscu zgromadzone są wszystkie informacje, ma do nich dostęp jeden administrator, a oprócz tego często przechowywane są na nośnikach zewnętrznych, i to w postaci niezaszyfrowanej – wystarczy taki nośnik po prostu schować do kieszeni i wyjść z firmy… Czy uważacie, że backup może znacznie zwiększać ryzyko, jeśli chodzi o RODO?

Piotr Nogaś, HPE Zdecydowanie tak, stworzenie schematów ochrony danych zgodnych z RODO można rozwiązać na bardzo różne sposoby. Nie da się udzielić jednoznacznej odpowiedzi na pytanie, czy stosowana już procedura backupowa jest zgodna z RODO, bez przeprowadzenia szczegółowej analizy. Natomiast uważam, że możliwe jest, przy współpracy z prawnikami, zaprojektowanie szablonów, ułatwiających podejmowanie świadomych decyzji, zapewniających firmom wykazanie należytej staranności – wymaga to połączenia praktycznej wiedzy z obu dziedzin: IT oraz prawa.

Mirosław Chełmecki, Veracomp Czy jest możliwe stworzenie przez producentów jakiejś checklisty do swoich produktów, która mówiłaby, jaka funkcja umożliwi spełnienie wymogów konkretnych zapisów rozporządzenia?

Piotr Nogaś, HPE Raczej nie, z zasady lista byłaby ogólna i bez powiązania z rzeczywistym modelem przetwarzania danych specyficznym dla każdej firmy. Stworzenie czegoś na wzór checklist, będzie możliwe po pierwszych nałożonych karach lub wydanych interpretacjach/zaleceniach w celu aktualizacji polityk pod kątem bieżącej linii orzecznictwa. Jak ważna jest praktyka ilustruje przykład: dla kopii zapasowych można zastosować art. 11 z RODO, ograniczając zakres dostosowania bieżących procesów i procedur backupu wyłącznie do bezpieczeństwa: praw dostępu, szyfrowania danych, monitorowania zdarzeń. Jest to możliwe w przypadku, jeśli procedury firmy ograniczają przywracanie po awarii wyłącznie do całych środowisk – w takim przypadku nie zachodzi przetwarzanie informacji osobowych. W warstwie aplikacyjnej, jednak należy zapewnić uspójnienie odtworzonych danych ze stanem faktycznym pod kątem RODO, na przykład ze zrealizowanym „żądaniem zapomnienia” nieuwzględnionym w kopii zapasowej. Wymóg ten jest jednak obligatoryjny i zawsze wymusza zmiany procedur przywracania systemów przetwarzania.

Krystian Hofman, Arcserve Kiedyś mówiło się, że najlepszym klientem na system backupowy był ten, który stracił dane. Dziś można powiedzieć, że najlepszym klientem na usługi zabezpieczania danych zgodnie z RODO będzie ten, kto zapłaci karę. Jeśli tylko to przeżyje…

CRN Czy RODO generalnie pomoże, czy zaszkodzi firmom IT?

Tomasz Krajewski, Veeam Pomoże, ale trzeba cały czas uważnie przyglądać się sposobom stosowania tego rozporządzenia. Wszystkie tu obecne firmy także musiały przygotować się do RODO, ponieważ mamy klientów z Unii Europejskiej. My wykorzystaliśmy ten fakt i opracowaliśmy serię dokumentów, w których pokazujemy ten proces na własnym przykładzie.

Krystian Hofman, Arcserve RODO stanowi świetny pretekst, aby wejść do klienta i nakłonić go do rozmowy o sposobach zabezpieczania danych, posiadanych narzędziach i zgodności z rozporządzeniem.

Integrator RODO warto wykorzystać w trakcie rozmów z klientami – wyjść od bezpieczeństwa danych osobowych, a skończyć w ogóle na bezpieczeństwie informacji i środowiska IT. Jeżeli ta komunikacja będzie skuteczna, to rzeczywiście będzie można nakłonić klienta do inwestycji. Ale to my musimy uświadomić mu, czego on potrzebuje. Dobrą rzeczą jest też to, że w kontekście RODO u klienta nie kontaktujemy się tylko z administratorem, ale w kwestii ochrony danych osobowych mamy już doświadczenia z księgową, prawnikiem, szefową zakupów i kadrową…

Tomasz Krajewski, Veeam Integratorzy nieustannie powinni uświadamiać klientom, że zgodność z RODO jest stanem chwilowym, a jej zapewnianie to proces ciągły. Wystarczy, że klient wprowadzi na przykład nową kartę lojalnościową, do obsługi której potrzebna jest kolejna baza danych, i w tym momencie konieczne znów staje się zweryfikowanie całego systemu pod kątem zgodności. Dlatego dla firm IT jest to bardzo duża szansa, aby stać się zaufanym przewodnikiem na tym grząskim gruncie. Można zbudować dobrą relację, dzięki której będą one mogły poprowadzić klienta za rękę, gdy ten będzie miał problem. W ten sposób zwiększamy szansę na realizację u niego kolejnych wdrożeń.

Piotr Nogaś, HPE Z ekonomicznego i jakościowego punktu widzenia strategia, w której klienci we własnym zakresie tworzą skuteczne procesy i procedury zgodne z RODO jest niezasadna. RODO wykreowało obszary nowych usług dla firm integracyjnych, aby rozwiązania, wiedzę i dobrą praktykę dla RODO wykorzystać u wielu klientów. Nawet, jeśli wiedza ta nie będzie pełna, to i tak da lepsze rezultaty niż w przypadku, samodzielnego jej rozwiązania przez każdego klienta. Zgodność z RODO nie jest dana na wieczność, wymaga periodycznego lub ciągłego doskonalenia (aksjomat samouczącej organizacji), dlatego współpraca Integrator-klient jest optymalna dla obu stron.

Jarosław Mikienko, Veritas RODO jest nie tylko szansą dla IT. Może spowodować wyłonienie nowych gałęzi biznesu, jak na przykład usługa ubezpieczenia od ryzyka nałożenia kary. W odpowiedzi na wyzwania RODO, modyfikujemy nasze rozwiązanie do backupu w taki sposób, aby klienci w prosty sposób mogli uzyskać informację o lokalizacji danych osobowych wraz z możliwością ich usunięcia. Nasza dokumentacja w przejrzysty sposób przedstawia narzędzia informatyczne jako odpowiedź na poszczególne artykuły rozporządzenia. Zastosowanie technologii nie zwalnia jednak użytkowników z odpowiedzialności. Przy projektowaniu procesu ochrony danych warto kierować się zdrowym rozsądkiem i właściwą oceną ryzyka.

Zobacz galerię zdjęć z wydarzenia.