Jak RODO zmieniło pracę programistów

W dniu 25 maja 2018 roku weszła w życie ustawa RODO, która całkowicie zmienia podejście do ochrony danych osobowych. Regulacja obejmuje wszystkie firmy, które przetwarzają dane osobowe. Większość z nich faktycznie to robi, dlatego RODO dotyczy ogromnej ilości przedsiębiorstw w Europie, które muszą sprostać nowym wymaganiom.

Jak RODO zmieniło pracę programistów

W wielu przypadkach dopełnienie obowiązków wynikających bezpośrednio z RODO wymaga zaangażowania programistów. W dzisiejszym artykule opiszemy, w jaki sposób powinna wyglądać praca specjalistów IT, a także jakie obowiązki na nich spoczywają w związku z ostatnimi regulacjami dotyczącymi ochrony danych osobowych.

RODO nie wymaga konkretnych rozwiązań, jednak sugeruje zastosowanie odpowiednich środków

W związku z dynamicznym rozwojem różnorodnych rozwiązań technologicznych, a także uzasadnionych przyczyn, RODO nie wskazuje bezpośrednio, jakie środki muszą zostać zastosowane w celu zwiększenia bezpieczeństwa ochrony danych osobowych. Nie oznacza to jednak, że takiego obowiązku nie ma. Firmy muszą zadbać o należyte bezpieczeństwo danych osobowych w oparciu o stan wiedzy technicznej, koszty oraz możliwe skutki wynikające z wycieku danych dla poszkodowanych.

Adekwatnymi czynnościami, które wpływają na zwiększenie bezpieczeństwa danych osobowych, a tym samym spełniają obowiązki zastosowania odpowiednich środków są np. odpowiednie szkolenia pracownicze, tworzenie strategii bezpieczeństwa, czy przeprowadzanie kontroli systemów pod kątem bezpieczeństwa.

Ocena skutków dla ochrony danych

Kolejnym ważnym podpunktem RODO jest tzw. PIA (Protection Impact Assessment), czyli ocena skutków dla ochrony danych. W celu wypełnienia tego obowiązku należy sporządzić odpowiednią dokumentację procesów, które służą ochronie danych osobowych, z którą powinni zapoznać się wszyscy członkowie zespołu – w tym programiści. Dokument powinien być aktualizowany i dostosowywany do kolejnych projektów oraz często zmieniającego się charakteru działań firmy.

Nadzór nad danymi osobowymi

Ważnym aspektem wdrażania strategii ochrony danych osobowych jest przede wszystkim świadomość Administratora o tym, jakie dokładnie dane przetwarzane są przez firmę, oraz w jakim celu to następuje. Musi także dokładnie wiedzieć, kto posiada dostęp do danych. Sprostanie obowiązkom wynikającym z Regulacji Ochrony Danych Osobowych dotyczy także określenia dokładnego przepływu danych wewnątrz firmy lub na zewnątrz. Powstanie dodatkowych kopii czy usunięcie pewnych danych, mogą być sygnałem o zaistniałym zagrożeniu. W przypadku wystąpienia wycieku danych należy powiadomić regulatora w ciągu 72h godzin od incydentu.

Gromadzenie zgód

Firmy wykorzystują dane osobowe w różnych celach. O ich przeznaczeniu muszą wiedzieć przede wszystkim osoby, które decydują się na przekazanie swoich danych osobowych. Powszechną praktyką, szczególnie w działaniach e-marketingowych, jest profilowanie użytkowników na podstawie określonych zachowań, czy zainteresowań. Osoby przekazujące dane służące do realizacji tych celów muszą wyrazić na to jasną zgodę. Zadaniem programisty jest zatem bardzo często stworzenie odpowiedniego mechanizmu realizującego ten obowiązek. RODO mówi również o tym, że każdy użytkownik powinien mieć możliwość zarządzania swoimi zgodami nawet po ich udzieleniu. Dodatkowo użytkownik może zażądać usunięcia danych osobowych lub otrzymania w ich w odpowiedniej formie.

Co jeszcze warto wiedzieć?

RODO bardzo mocno wpłynęło na podejście do ochrony danych osobowych. Z tego powodu szkolenie się w tym zakresie jest bardzo polecane programistom, którzy bardzo często pracują z takimi informacjami. Warto skorzystać również z pomocy wyspecjalizowanych firm, które zajmują się audytami RODO, a także wdrożeniem odpowiednich środków w zewnętrznych podmiotach.

Źródło: TeamQuest – praca IT