3. Incydenty z pechowym dostawcą
RODO dla firm to przede wszystkim zmiany. Jedna z największych dotyczy sposobu zarządzania zewnętrznymi dostawcami i partnerami. Nowe prawo odpowiedzialnością za ewentualne naruszenia obarcza zarówno podmiot kontrolujący dane, jak i odpowiedzialny za ich przechowywanie. Innymi słowy, w razie problemu, gromy posypią się jednocześnie na dostawcę chmury obliczeniowej i firmę z niej korzystającą, a to tylko wierzchołek góry lodowej. Łańcuchy dostaw we współczesnych organizacjach są złożonymi sieciami współzależności. Zmapowanie ich i zabezpieczenie to często arcytrudne zadanie. Co zrobić, by zabezpieczyć się przed konsekwencjami płynącymi z uchybień po stronie dostawcy? Zdaniem Piotra Rojka z DSR, firmy dostarczającej zaawansowane rozwiązania IT dla przemysłu, rozwiązanie jest dość proste, a zarazem wymagające od przedsiębiorstw wprowadzenia radykalnych i kosztownych zmian.- Rozwój chmury obliczeniowej sprawił, że oprogramowanie w modelu SaaS cieszy się dziś ogromną popularnością. Dotychczas głównymi kryteriami doboru dostawcy były cena i bezpieczeństwo. Dla rozwiązań przetwarzających dane klientów, w tym m.in. systemów CRM, takie wytyczne są już niewystarczające. By uniknąć problemów należy dopilnować, by zewnętrzna infrastruktura, z której korzysta oprogramowanie, nie znajdowała się w kraju będącym poza Unią Europejską, gdzie prawo ochrony danych jest znacznie lżejsze. Powinniśmy dążyć do tego, by nasi kontrahenci i dostawcy podlegali tym samym regulacjom - wyjaśnia Rojek.
4. Niebezpieczeństwo półprawdy
Nick Ismail, dziennikarz portalu Information Aga, zwraca uwagę, że pomimo wysokich kar oraz widma utraty reputacji i płynności w świadczeniu usług, nie wszystkie firmy zdecydują się na pełną synchronizację z nowymi przepisami. Niektóre dołożą wszelkich starań, by ukryć to, że świadomie łamią prawo. Na taki stan rzeczy może mieć wpływ zdefiniowana przez przepisy rola DPO (Data Protection Officer), niezależnego eksperta ds. zgodności działającego wewnątrz organizacji. To prosta droga do powstania kultury „my kontra oni”, będącej doskonałym środowiskiem do tuszowania wykroczeń. Na dłuższą metę prowadzenie takiej polityki z pewnością ściągnie na firmę tragiczne konsekwencje. Z drugiej strony, możemy spodziewać się sytuacji, w których przedsiębiorstwa nie będą przedstawiać całej prawdy o incydentach i to nie z powodu złej woli, lecz braku wystarczających informacji i narzędzi stanowiących kontrolę nad przetwarzanymi danymi osobowymi. Dlatego monitoring sieci, zaawansowane narzędzia do wykrywania naruszeń oraz plany reagowania na sytuacje kryzysowe są niezbędne do właściwego funkcjonowania organizacji w dobie RODO. Warto tu dodać, że według regulacji unijnej, gdy dojdzie do kradzieży danych, podmiot nimi zarządzający ma 72 godziny na zgłoszenie incydentu odpowiednim organom. Większy wgląd w przepływ danych jest więc koniecznością.- Problem w tym, że z racji na ogrom rozlokowanych w różnych źródłach cyfrowych informacji będących w posiadaniu firm i organizacji, ręczny nadzór nad danymi i filtrowanie ich pod kątem tego czy zawierają dane personalne czy nie jest niemal niemożliwy. Oczywiście można podjąć się jego próby, ale z pewnością będzie ona bardzo kosztowna i wymagająca zaangażowania dużych zasobów ludzkich.