By skutecznie realizować wszystkie prawa, jakie zyskają konsumenci względem swoich danych, najpierw trzeba je jednak zlokalizować, a dopiero potem odpowiednio zabezpieczyć. I wbrew pozorom już pierwszy etap nie jest łatwym zadaniem.

– Danych jest mnóstwo i są różne. O ile dane ustrukturyzowane znajdują się w bazach danych, czyli dedykowanych rozwiązaniach, które z założenia technologia pozwala odpowiednio zabezpieczać, o tyle jest mnóstwo danych, które niejako wychodzą na zewnątrz. Firma wykorzystuje je na przykład w umowach. A te trafiają przecież do prawników, potem do wykonawców, którzy mają swoich podwykonawców, którzy mają innych podwykonawców. Na koniec okazuje się więc, że dostęp do danych, które mamy chronić, ma cały łańcuch osobnych organizacji. W myśl nowych zasad musimy ze wszystkimi podpisać umowy, najlepiej w formie papierowej.

RODO nakłada na firmy przetwarzające dane obowiązek kontrolowania, co dzieje się z nimi na każdym etapie procesów biznesowych. Zastrzega jednak, że na żadnym nie może dochodzić do sytuacji, w której pracownik ma dostęp do danych, które nie są bezpośrednio związane z wykonywanymi przez niego obowiązkami. A to z kolei rodzi konieczność szyfrowania i anonimizacji, nie tylko tych danych, które przechowujemy na zewnętrznych serwerach, ale także wszystkich wewnątrz.

– Dyrektywa ma zalecenia w dwóch warstwach. Pierwsze, ogólne i systemowe, dotyczą danych osobowych i w tym przypadku ich lokalizacja jest niezbędna, by je chronić i realizować prawa obywateli. Drugie związane są z technologią. RODO wymaga, by dane były udostępniane konkretnym osobom, w konkretnym celu, co wiąże się z ochrony przez tworzenie kopii zapasowych.