Uczestnicy debaty:

• Anna Zawadzka, dyrektor polskiego oddziału Forcepoint

• Radomir Bordon, p.o. dyrektora generalnego Dell EMC

• Mariusz Kochański, członek zarządu, dyrektor Działu Systemów Sieciowych, Veracomp

• Piotr Niedźwiedź, Key Account Group Manager, Avnet

• Robert Sepeta, Business Development Manager – Poland, Kingston

• Wojciech Dziomdziora, Counsel, Kancelaria Prawna Domański Zakrzewski Palinka

 

 

Na początek: krótki film z naszej debaty

 

 

CRN W powszechnej świadomości unijne rozporządzenie o ochronie danych osobowych uchodzi za przełomowe rozwiązanie  prawne. Czy faktycznie  jest w nim coś wyjątkowego?

Wojciech Dziomdziora Dotychczas na poziomie unijnym ochrona danych osobowych była regulowana przez dyrektywę. A dyrektywy mogą być na różne sposoby implementowane przez poszczególne kraje członkowskie. W jednych państwach mieliśmy do czynienia z podejściem bardziej restrykcyjnym, w innych bardziej liberalnym. Dzisiaj, kiedy dane osobowe są przetwarzane w globalnych systemach informatycznych, a więc krążą po całej Europie, a nawet po całym świecie, zróżnicowany poziom regulacji okazał się niekorzystny dla jednolitego rynku. Trzeba było zatem wprowadzić równy poziom ochrony we wszystkich państwach członkowskich. Stąd rozporządzenie, którego postanowienia obowiązują bezpośrednio we wszystkich krajach Unii Europejskiej.

 

CRN Czym RODO różni się od dotychczasowych regulacji?

Wojciech Dziomdziora W mojej ocenie jest to raczej rozwiązanie ewolucyjne, a nie rewolucyjne. Wyrasta ze wszystkich zasad, które były w dyrektywie i tym samym w naszej ustawie o ochronie danych osobowych. Nie burzy tego, co było wczoraj. Odwołuje się do tych samych pojęć i posługuje się tym samym językiem prawnym. To, co jest rewolucyjne, ale tylko z polskiego punktu widzenia, bo już nie z perspektywy legislacyjnej innych państw, to wysokość sankcji za naruszenie zasad ochrony danych osobowych. Polskie sankcje były do tej pory bardzo niskie. W innych krajach mieliśmy już do czynienia z poważnymi karami.

Mariusz Kochański RODO, według mnie, jest rozwiązaniem rewolucyjnym jeszcze pod innymi względami. Pierwszy z nich to obowiązek notyfikacji, czyli zgłaszania wycieku danych. W starym reżimie prawnym można było pewne rzeczy zamieść pod dywan, pod rządami nowego prawa będzie to niemożliwe. To jest również wyzwanie dla nas jako dostawców IT. Będziemy musieli zapewnić rozwiązania, dzięki którym organizacja będzie w ogóle świadoma naruszenia bezpieczeństwa danych.

 

CRN Skala wyzwań w rezultacie znacząco rośnie…

Mariusz Kochański Wymóg ten będzie oczywiście nakładał na administratorów danych dodatkowe obowiązki, ale przecież nie o ich dobre samopoczucie tutaj chodzi. Dyrektor szpitala będzie musiał zmierzyć się z tym problemem, tak jak dzisiaj zmaga się z wyzwaniami dotyczącymi zachowania higieny na oddziałach. W przypadku zakażeń musi się liczyć z procesami wytaczanymi przez pacjentów. Tak samo może być w przypadku wycieku danych. Motywacją do działania stanie się, przynajmniej w pewnym zakresie, aspekt finansowy. Podobnie jak dzisiaj ubezpieczyciel pyta, czy szpital ma wdrożone odpowiednie procedury przeciwdziałania zakażeniom, tak też może zapytać, czy zostały wdrożone odpowiednie mechanizmy ochrony danych osobowych. Ryzyko odpowiedzialności finansowej wymusi na decydentach firm i instytucji alokowanie odpowiednich budżetów.

 

CRN Trzeba im to tylko dobrze uświadomić.

Mariusz Kochański Nas, jako dostawców IT, czeka zadanie, żeby przełożyć twarde regulacje rozporządzenia na konkretną wiedzę dla naszych partnerów i dla klientów końcowych. Będzie potrzebna ewangelizacja, ale nie tylko technologiczna, także w obszarze procesów biznesowych, zarządzania ryzykiem, zabezpieczania się przed ewentualnymi roszczeniami itp. Chodzi o to, aby decydenci patrzyli na inwestycje w zabezpieczenie danych tak, jak dzisiaj patrzą na wydawanie środków na zabezpieczenia przeciwpożarowe. Jako na krytyczny element bezpieczeństwa organizacji, a nie kolejną zabawkę dla administratora.

 

CRN Na co jeszcze powinny zwrócić szczególną uwagę firmy z branży IT?

Radomir Bordon Z technologicznego i biznesowego punktu widzenia rozporządzenie pojawia się w bardzo ciekawym momencie. Mierzymy się z cyfrową transformacją, w ramach której firmy próbują budować swój kapitał i przewagę konkurencyjną w oparciu o nową walutę, jaką jest informacja – w szczególności o klientach. Dlatego też chcemy mieć większą świadomość poczynań naszych klientów, aby jak najlepiej dostosować ofertę do ich potrzeb. W związku z tym gromadzimy, zarówno w dużych, jak i małych firmach, coraz więcej danych o odbiorcach oraz użytkownikach oferowanych produktów i usług. Systemy do gromadzenia i analizy informacji będą ewoluować w stronę rozwiązań zapewniających z założenia skuteczne mechanizmy ochrony danych osobowych zgodnie z wymogami regulatora. Każdy dostawca z pewnością powie, że już dzisiaj stosuje technologie zabezpieczające dostęp do danych osobowych. Mimo tego na tym polu jest jeszcze dużo do zrobienia, a to jest nasze zadanie.

Anna Zawadzka Polskie firmy są dobrze przygotowane do wdrożenia RODO, przynajmniej w sektorze bankowym i ubezpieczeniowym. Bardzo pomocne – zarówno dla dostawców rozwiązań do ochrony informacji, jak i dla użytkowników – okazały się rekomendacje Komisji Nadzoru Finansowego oraz jej dyrektywa D. Obowiązek ich implementacji pozwolił na zdobycie doświadczeń, które teraz będą procentować przy wdrażaniu unijnego rozporządzenia, także w innych sektorach. Dużą rolę odegrała też ewangelizacja z zakresu bezpieczeństwa zasobów informacyjnych prowadzona od lat przez branżę IT. Zanim dyrektywa D została ogłoszona, my już uczulaliśmy użytkowników na konieczność zapewnienia właściwej ochrony danych. A tu podstawą, bez względu na wielkość i charakter firmy oraz rodzaj użytych narzędzi, jest zmiana kultury organizacji.

 

CRN Duże firmy sobie z tym poradzą, ale co z mniejszymi?

Anna Zawadzka Rzeczywiście, bardziej boję się o instytucje użyteczności publicznej i o firmy małe. Naszą rolą w stosunku do nich jest robienie dzisiaj dokładnie tego, co robiliśmy wcześniej w przypadku instytucji finansowych – ewangelizowanie. To nie będzie proste. Potrzebne jest nasze wspólne, szerokie działanie. RODO może być pomocne przy przekonywaniu do zastosowania odpowiednich mechanizmów ochrony danych. Konieczna jest jednak także zmiana podejścia zarządów firm, konieczne są szkolenia i edukacja. A potem dopiero dostarczanie odpowiednich narzędzi. Ich umiejętne wykorzystanie może mieć jednak znaczący wpływ na politykę bezpieczeństwa firmy. Widzimy, że po wdrożeniu systemów do ochrony informacji transformację przechodzi cała organizacja. Zdaniem naszych klientów po latach świadomego używania takich narzędzi w przedsiębiorstwie zmienia się generalnie kultura pracy z informacją.

Robert Sepeta W swojej pracy również mam do czynienia z pewnym rodzajem ewangelizacji. W firmach małych, średnich czy w sektorze użyteczności publicznej, na przykład w szpitalach, mamy jednak do czynienia z problemem, który, mimo naszych najszczerszych chęci do dzielenia się wiedzą i doświadczeniami nie zostanie szybko rozwiązany. Mówię o braku funduszy na odpowiednie zabezpieczenia. Bez dostępu do środków finansowych możliwości działania osób odpowiedzialnych za ochronę informacji są tam mocno ograniczone. A sprawa jest poważna, gdyż na przykład w placówkach opieki zdrowotnej są przetwarzane najbardziej poufne dane osobowe.

Piotr Niedźwiedź W nowym rozporządzeniu istotne jest podejście bazujące na szacowaniu ryzyka. Zgadzam się, że finanse i bankowość są w Polsce nieźle przygotowane do wdrożenia RODO. Przygotowanie to zostało wymuszone przez przepisy branżowe. Działały one jednak trochę na zasadzie odhaczania poszczególnych pozycji w arkuszu kalkulacyjnym: mamy antywirusa, mamy DLP, mamy SIEM itd. Nie do końca było sprawdzane, jak to wszystko jest zaimplementowane i czy jedno z drugim ma szansę efektywnie współpracować. Wystarczyło tak naprawdę spełnić pewne wymogi formalne i… byliśmy jako przedsiębiorstwo po bezpiecznej stronie.

 

CRN Teraz ma być inaczej?

Piotr Niedźwiedź Teraz należy się poważnie zastanowić, jak podejść do kwestii bezpieczeństwa, by dobrać rozwiązania rzeczywiście najbardziej adekwatne do oszacowanego stopnia ryzyka naruszenia danych. Trzeba będzie też te wybrane rozwiązania umiejętnie zaimplementować. Do tego będzie niejednokrotnie potrzebny partner, który będzie potrafił tę implementację odpowiednio przeprowadzić. Nie wystarczy najlepsze, najbardziej wyrafinowane i zaawansowane narzędzie, jeśli nie zostanie właściwie wdrożone i wpisane w cały kontekst funkcjonowania firmy. Sam wybór technologii nie uchroni przedsiębiorstwa przed potencjalnymi karami i roszczeniami ze strony osób, których dane dotyczą.

 

CRN Żeby dobrze przygotować swoje rozwiązania do spełnienia wymogów RODO, analizujecie rynek po stronie użytkowników. Z jakiego rodzaju potrzebami się spotykacie?

Anna Zawadzka Zarówno nam, jako dostawcom, jak i naszym klientom, jako użytkownikom końcowym, bardzo pomogłoby przejrzyste rozpisanie wymagań rozporządzenia na konkretne procedury działania. Tak jak to zostało zrobione już wcześniej, przy okazji dyrektywy, w Anglii, Irlandii, Francji czy Niemczech. To zadanie dla GIODO lub jego następcy. To by bardzo pomogło również nam wszystkim, jako obywatelom.

 

CRN Wracając do potrzeb użytkowników. Czego firmy oczekują w pierwszej kolejności od branży IT w kontekście RODO?

Anna Zawadzka Narzędzi, ale również doświadczenia. Liczy się szybkość implementacji, intuicyjność narzędzia, ale też wiedza na temat procesów biznesowych: jak zorganizować przepływy danych, żeby klient wiedział, gdzie ma poszczególne dane. Bo klient często nie wie, gdzie ma dane, które powinien chronić. Trzeba pomóc mu je znaleźć. Do tego potrzeba zaangażowania wielu różnych działów w przedsiębiorstwie, a nie tylko działu IT. Dopiero wzięcie do projektu ludzi z działów prawnych, z HR-u, z marketingu, z działów operacyjnych daje gwarancję sukcesu. W przeciwnym wypadku możemy mieć do czynienia z ruchami pozorowanymi.

Radomir Bordon RODO przyczyni się do podniesienia rangi wielu wewnętrznych departamentów w firmie, nie tylko działu IT i pionu bezpieczeństwa. Jedna z osób pełniących funkcję Chief Data Officer w dużym banku mówiła mi, że dzięki RODO wzrósł znacznie status osób odpowiedzialnych za zarządzanie modelem danych w firmie. Nie ma w tym nic dziwnego, gdyż duży bank korzysta średnio z dwustu, a nawet trzystu systemów informatycznych. A w nich są olbrzymie ilości danych. To bardzo skomplikowany ekosystem, zwany potocznie systemem systemów. Określenie ze stuprocentową pewnością, jakie dane są przechowywane i przetwarzane w konkretnym systemie, często bywa praktycznie niemożliwe. Naszym celem jest zatem pomóc takim przedsiębiorstwom w zbudowaniu nowego modelu danych czy też w zidentyfikowaniu, gdzie poszczególne dane się faktycznie znajdują, a także jaki będzie wpływ wycieku danych z konkretnego systemu na ryzyko naruszenia bezpieczeństwa danych osobowych.

 

CRN Jeśli nie wiadomo, gdzie są dane, to nie będzie można przestrzegać mocno restrykcyjnego prawa do bycia zapomnianym…

Radomir Bordon To jest najbardziej rewolucyjny wymóg w rozporządzeniu. Co ważne, jest on największym wyzwaniem również dla firm technologicznych.

Anna Zawadzka Nie można potraktować usunięcia danych wybiórczo, tylko z niektórych baz danych czy systemów. Nawet jednak, gdy już ustalimy, co należy usunąć i gdzie te dane się znajdują, to nagle może się okazać, że danych jest tak dużo, że nie wiadomo, czy wszystkie są rzeczywiście realne i czy warto angażować siły i środki w ich usuwanie. Mamy więc kolejny problem: jak odróżnić prawdziwe dane od tzw. fejkowych. Wypadałoby zacząć od czyszczenia wszystkich baz danych, weryfikacji danych, oddzielenia tych wartościowych od fikcyjnych. Dopiero potem przejść do implementacji rozwiązań służących do ochrony zasobów informacji.

Radomir Bordon Bardzo duże znaczenie ma tu dbałość o zapewnienie jakości danych, tzw. data quality. Tu jednak pojawia się pytanie, co tak naprawdę jest „daną osobową”.

Wojciech Dziomdziora W kontekście definicji danych warto zwrócić uwagę, że będziemy mieli do czynienia nie tylko z rozporządzeniem o ochronie danych osobowych. Gotowy jest również projekt rozporządzenia e-Privacy. Będzie ono regulowało ochronę wszystkich innych danych, które nie są danymi osobowymi. Na przykład dane z geolokalizacji czy numer IP będą, w myśl e-Privacy, metadanymi, które będą musiały podlegać takiej samej ochronie jak dane osobowe. Komisja Europejska chce, aby oba rozporządzenia weszły w życie w tym samym czasie, czyli w maju 2018 r.

Mariusz Kochański Mówimy tutaj o prawie materialnym, administracyjnym, przed którym nie ma ucieczki i wszystkie firmy, również największe korporacje, będą musiały się mu podporządkować. Tymczasem większość mniejszych przedsiębiorstw obraca się w dużej mierze w obszarze prawa zwyczajowego. Przykładowo w zakresie warunków higienicznych każda pizzeria musi spełnić wymogi Sanepidu dotyczące bezpieczeństwa żywności. Z naszego punktu widzenia jako klientów często ważniejsze jest jednak ogólne wrażenie, jakie mamy po wejściu do lokalu. Jeśli widzimy, że jest czysto i schludnie, to zostajemy, jeśli nie – wychodzimy.

 

CRN W obszarze danych osobowych prawa zwyczajowego nie mamy…

Mariusz Kochański Głównie dlatego, że jako obywatele, konsumenci, osoby prywatne nie mamy dostatecznej świadomości wagi danych osobowych dla naszego życia. Nie doświadczyliśmy też, jako społeczeństwo, skutków masowego wycieku czy kradzieży danych osobowych, na przykład ze szpitali czy banków. Owszem, zdarzają się (nagłoś-
nione przez media) przypadki wyłudzenia kredytu na czyjś dowód osobisty, ale to są przypadki jednostkowe i to zwykle jest sprawa kogoś innego, nie nasza.

 

CRN Brak dostatecznej świadomości ryzyka i zagrożeń związanych z nieuprawnionym dostępem do danych osobowych dotyczy także przedsiębiorców i urzędników.

Mariusz Kochański Otóż to. Gdy rozmawiamy z przedstawicielami zarządów o rozwiązaniach do zabezpieczenia systemów informatycznych, słyszymy często: nie, my tego nie potrzebujemy, to nie jest nasz problem. Dopiero jak coś się stanie, jak dojdzie do ataku, to wszyscy zaczynają się zastanawiać, jak ochronić swoje systemy. I wtedy zazwyczaj znajdują się pieniądze na niezbędne inwestycje.

 

CRN Jeżeli jest tak mała świadomość zagrożeń, to jak firmy poradzą sobie z szacowaniem poziomu ryzyka, co według RODO ma stanowić podstawę wszelkich działań w zakresie ochrony danych osobowych?

Mariusz Kochański Są odpowiednie algorytmy, są dobre praktyki, mamy know-how z innych krajów. Ważne jest jednak, abyśmy jako obywatele zaczęli postrzegać ochronę danych osobowych jako nasze prawo. Takie samo jak prawo do bycia bezpiecznym na ulicy. Nie zdajemy sobie sprawy, w ilu miejscach są dzisiaj nasze dane. Nie tylko w banku czy zakładzie energetycznym, ale też u dentysty, w warsztacie samochodowym, u dostawcy pizzy. Powinniśmy oczekiwać, że wszędzie będą one jednakowo dobrze chronione.

Robert Sepeta W małych przedsiębiorstwach nie ma jeszcze świadomości obowiązków wynikających z ochrony danych osobowych. Gdy robię prezentacje dla sektora MŚP, to wiele osób szeroko otwiera oczy, że ich zapisy RODO również będą dotyczyć. Część przedsiębiorców nie wie nawet, że pojawiło się takie rozporządzenie.

 

CRN Przy czym nawet pełna tego świadomość to jeszcze daleka droga do sukcesu, zwłaszcza dla małych podmiotów.

Robert Sepeta No właśnie. Mówimy tutaj o zaawansowanych, profesjonalnych narzędziach, ale pamiętajmy, że mnóstwo małych i średnich przedsiębiorstw bazuje na oprogramowaniu darmowym bądź opensource’owym. Nie wiadomo, czy w jego kodzie nie ma zaszytych złośliwych opcji lub dziur w zabezpieczeniach. Dostępne za grosze systemy do fakturowania czy CRM-y mogą być podatne na ataki, a ich użytkownicy nawet nie będą tego świadomi.

Radomir Bordon Dużym zagrożeniem są dzisiaj ataki typu ransomware. To niebywałe, jak szybko dotarły one do Polski i jak wielu małych firm dotykają. Z drugiej strony widzimy, że w sektorze MŚP rośnie świadomość zagrożeń i zainteresowanie technologiami pozwalającymi na zabezpieczenie zasobów. Wiele przedsiębiorstw odczuło na własnej skórze skutki ataków i szuka skutecznych sposobów ochrony. Jako branża IT powinniśmy wyjść do tego sektora ze specjalną, dopasowaną do jego potrzeb ofertą.

Anna Zawadzka Wzrost zainteresowania mogą wywoływać też negatywne przykłady. Niestety, tak to często działa, że dopiero kary nałożone bezpośrednio na firmę bądź na inne przedsiębiorstwa z branży, ewentualnie procesy wytoczone przez klientów, których dobra osobiste zostały naruszone, skutkują wzrostem popytu na systemy bezpieczeństwa.

 

CRN A jaką rolę w procesie wdrażania wymogów RODO widzicie dla resellerów i integratorów? To oni są zazwyczaj najbliżej klientów i ich potrzeb.

Robert Sepeta Moim zdaniem kluczową rolę mają do odegrania producenci, którzy przekazują informację niżej. To jest piramida komunikacyjna.

Mariusz Kochański Wszyscy jesteśmy w jednym ekosystemie. W pewnych sytuacjach, gdy producent nastawia się na dwudziestu, trzydziestu klientów w Polsce, może do nich dotrzeć bezpośrednio. Jeżeli natomiast potencjalnych klientów ma być trzystu, ośmiuset, dziesięć tysięcy, to nie ma innej możliwości niż współpraca z partnerami. Często nasi partnerzy zabierają nas do swoich klientów i wspólnie próbujemy przekonywać ich do pewnych rozwiązań. Bo nawet jeśli dzisiaj nie ma na to pieniędzy, mogą pojawić się chwilę później, na przykład wraz z pulą środków unijnych.

 

CRN Jakie perspektywy biznesowe rysują się dla partnerów w związku z wdrażaniem w życie postanowień nowego rozporządzenia?

Mariusz Kochański Jesteśmy w stanie razem z naszymi partnerami przeprowadzić rewolucję technologiczną wynikającą z RODO. Musimy się jednak wspólnie zastanowić nad wyborem odpowiednich modeli biznesowych. To nie mogą być modele zaczerpnięte z Niemiec, Hiszpanii czy Stanów Zjednoczonych. Mogą się wprawdzie opierać na wiedzy stamtąd, ale muszą być dopasowane do polskiej specyfiki. Musimy razem z partnerami te optymalne rozwiązania wymyślić. Tu jest też wielka szansa dla naszych partnerów. Chodzi o to, żeby zidentyfikować model biznesowy potencjalnego klienta końcowego i dopasować do niego odpowiednie zabezpieczenia. Dla jednych najlepsze będą rozwiązania z górnej półki, innym wystarczą prostsze, ale równie skuteczne z punktu widzenia ich potrzeb narzędzia.

Piotr Niedźwiedź Wyzwania związane z RODO mogą być dla nas różne w zależności od tego, z jakimi klientami będą rozmawiać partnerzy. Przykładowo dla mniejszych klientów interesującym rozwiązaniem może być wejście w usługi chmurowe. Ono pozwala skorzystać z infrastruktury firm, które są mocne w zabezpieczaniu danych. Duzi mogą zaś chcieć skorzystać z ofert przeznaczonych tylko dla nich.

 

CRN Czy chmura to „lek na całe zło”?

Piotr Niedźwiedź Wejście w chmurę rozwiąże na początku szereg problemów, ale potem, przy próbie przejścia do innego dostawcy, mogą pojawić się trudności, związane przykładowo z przenoszeniem danych czy uzyskaniem od konsumentów zgód na przetwarzanie danych. To wyzwanie dla administratora danych osobowych, ale też szansa dla firmy zajmującej się ich przetwarzaniem. Jeżeli integratorowi uda się przekonać klienta, żeby skorzystał z konkretnego rozwiązania, to niewykluczone, że trudno będzie później takiemu klientowi przejść do innego dostawcy.

 

CRN Kolejna rzecz to naruszenie bezpieczeństwa danych. Będziemy z nim mieli do czynienia nie tylko w przypadku włamania do naszego systemu i pobrania z niego danych osobowych.

Piotr Niedźwiedź Nastąpi ono również w momencie nieuprawionego posłużenia się danymi osobowymi przez pracowników firmy, którzy nie będą mieli prawa z nich skorzystać. To będzie wymagało wprowadzenia jasnych reguł dostępu do zasobów informacyjnych przedsiębiorstwa. Może to być trudne w przypadku systemów, których nie da się prosto przeorganizować ze względu na to, że producent zaprzestał wsparcia dla poszczególnych aplikacji czy modułów. To stwarza szansę dla partnerów, którzy będą mogli zaproponować własne rozwiązania.

 

CRN A czy istnieje jedno „wymarzone” rozwiązanie, które załatwi za jednym zamachem wszystkie kwestie wynikające z nowych regulacji?

Piotr Niedźwiedź Użytkownicy tak właśnie by chcieli. Pytanie, czy generalne dostosowanie się do wymogów RODO jest w ogóle możliwe. Być może w jednym konkretnym momencie, gdy partner oddaje system, to tak. Natomiast już za tydzień, za miesiąc sytuacja w przedsiębiorstwie może się zmienić na tyle, na przykład za sprawą połączenia firm, że system, który miał zapewniać zgodność z wymogami RODO, przestanie tę funkcję spełniać. Wszyscy musimy być przygotowani na stały proces zmian i transformacji. To również szansa dla partnerów.

 

CRN Dla zapewnienia skutecznej ochrony danych osobowych ważne jest też umiejętne zarządzanie informacją, data governance. Jak przy wdrażaniu wymagań RODO będą się układały relacje między działaniami na rzecz cyberbezpieczeństwa a inicjatywami z zakresu zarządzania informacją?

Radomir Bordon To zależy głównie od skali przedsiębiorstwa. Od jego wielkości, od liczby systemów oraz tego, jak pokaźnymi zasobami danych na temat użytkowników dysponuje. W grę wchodzą różne podejścia i rozwiązania. I tu jest też miejsce dla partnerów, którzy mogą w tym złożonym infosystemie znaleźć miejsce dla siebie. Nie znam firmy, która byłaby zdolna za pomocą jednego rozwiązania obsłużyć całe spektrum zagadnień związanych z RODO. Stąd też pojawia się ogromny obszar do zagospodarowania przez partnerów – doradztwa, analizy, przygotowania procesów i narzędzi, dostosowania krok po kroku zarówno systemów, jak i organizacji do spełnienia wymagań wynikających z RODO. Tutaj rodzi się właściwie nowa specjalizacja, która będzie wymagała nie tylko specyficznej wiedzy technologicznej, ale także doświadczenia biznesowego. Chodzi o kompetencje, które zapewnią firmom zachowanie kontroli nad miejscami, gdzie przechowywane są dane. Podstawowym wyzwaniem, szczególnie w przedsiębiorstwach przetwarzających duże ilości danych w wielu systemach, będzie zapewnienie mechanizmów spójności danych. Do tego będą potrzebne specjalne umiejętności. Finalnie firmy IT, które je zdobędą, mogą odnieść duży sukces biznesowy.

Anna Zawadzka Największym problemem, który ja dzisiaj widzę, jest brak możliwości selektywnego usuwania na żądanie konsumenta danych ze zarchiwizowanej bazy. A prawo do zapomnienia teoretycznie takich działań wymaga.

 

CRN A jak branża IT poradzi sobie z wyzwaniem wynikającym z ogólnego charakteru rozporządzenia? Nie ma w nim bezpośrednich wymogów pod adresem systemów informatycznych, jest tylko ogólna zasada działania polegająca na dopasowaniu rozwiązań do oszacowanego poziomu ryzyka…

Wojciech Dziomdziora Pomocą będą z pewnością branżowe kodeksy postępowania, innymi słowy kodeksy dobrych praktyk. Będą one miały charakter koregulacji, czyli będą zatwierdzane przez GIODO i w sposób szczegółowy będą regulowały kwestie, które każda branża uzna za istotne. W Polskiej Izbie Informatyki i Telekomunikacji pod moim kierunkiem trwają prace nad kodeksem postępowania dla branży teleinformatycznej. Powstaje on we współpracy z GIODO. Będzie w sposób bardziej szczegółowy niż RODO regulował kwestie ważne dla branży ICT. Stanie się tak naprawdę częścią polskiego porządku prawnego. Podobne kodeksy postępowania powstają też dla innych branż.