Bezpieczeństwo RODO – co warto sprawdzić przed wyborem Virtual Data Room?

RODO: Rozporządzenie Ogólne o Ochronie Danych Osobowych, które weszło w życie we wszystkich państwach członkowskich UE dnia 25 maja br. nakłada na przedsiębiorców bardzo wysokie kary za niedostateczną ochronę Danych Osobowych, których firma jest administratorem (o karach i sposobach na minimalizację ryzyk pisaliśmy TUTAJ).

A każda firma jest administratorem co najmniej takich zbiorów danych, jak dane osobowe pracowników, klientów, partnerów biznesowych firmy. Nie ma znaczenia, czy Dane Osobowe były niedostatecznie chronione bezpośrednio przez przedsiębiorcę, czy też przez jego podwykonawców  – odpowiedzialność za naruszenie przepisów spoczywa na przedsiębiorcy. Dlatego też tak ważne jest posiadanie rzetelnych podwykonawców, w tym dostawców zewnętrznych systemów informatycznych, w których przetwarzane są Dane Osobowe.

Virtual Data Room jest zewnętrznym systemem informatycznym, w którym przetwarzane są Dane Osobowe, których Państwo jesteście Administratorem. Nasze doświadczenia pokazują, że najczęściej powierzane nam są do przetwarzania w VDR dwa zbiory Danych Osobowych:

• Dane Osobowe użytkowników Data Room (Państwa pracowników, klientów, potencjalnych partnerów, inwestorów);
• Dane Osobowe potencjalnie zawarte w dokumentach ładowanych do Data Room.

W myśl RODO:

„Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą”.

W mojej ocenie warto przede wszystkim przyjrzeć się temu czy dostawca Data Room spełnia wymogi formalne wynikające z RODO. W zakresie wymogów bezpieczeństwa, szczerze powiedziawszy nie wyobrażam sobie, żeby firma dostarczała Data Room i nie miała wdrożonych podstawowych mechanizmów bezpieczeństwa, jakich wymaga RODO, takich jak szyfrowanie komunikacji, dwustopniowe logowanie (przy pomocy loginu i hasła) czy automatyczne wylogowanie z systemu. Temu nie poświęcałabym większej uwagi. Wracając do wymogów formalnych, zachęcam do zadania dostawcy Data Room poniższych pytań:

• Czy dostawca posiada niezależne certyfikaty potwierdzające wysoką świadomość organizacji (Zarządu, pracowników) w zakresie bezpieczeństwa informacji?

W Polsce takim certyfikatem jest ISO 27 001:2013  – międzynarodowa norma regulująca kwestie zarządzania bezpieczeństwem informacji w organizacji (o ISO pisaliśmy więcej TUTAJ).

• Czy dostawca posiada swój własny wzór Umowy powierzenia przetwarzania danych osobowych?

Tak jak pisałam wcześniej, korzystając z VDR zawsze powierzacie Państwo dostawcy do przetwarzania Dane Osobowe. W związku z tym podpisanie Umowy powierzenia przetwarzania Danych Osobowych między Państwa firmą i firmą dostawcy jest obowiązkowe. Mogą Państwo oczywiście dostarczyć swój własny wzór Umowy i w ten sposób wypełnić wymóg Rozporządzenia. Niemniej informacja czy dostawca taki wzór posiada daje Państwu ogólne rozeznanie na temat świadomości dostawcy w temacie RODO.

• Czy dostawca Data Room przechowuje dane na serwerach na terenie UE i tym samym może zagwarantować, że powierzone mu Dane Osobowe nie będą przetwarzane poza obszarem EOG (Europejskiego Obszaru Gospodarczego)? 

• Czy dostawca posiada Politykę Bezpieczeństwa Danych Osobowych i prowadzi Rejestr Czynności Przetwarzania Procesora Danych Osobowych (powierzonych mu przez klientów)?

Jest to obowiązek wynikający z RODO. Jeśli dostawca nie posiada polityki i nie prowadzi takiego rejestru, naraża Państwa na potencjalne ryzyka.

• Czy dostawca prowadzi regularnie Analizę Ryzyka Naruszenia Bezpieczeństwa Danych Osobowych?

• Czy wyznaczono w firmie dostawcy osobę odpowiedzialną za bezpieczeństwo Danych Osobowych?

RODO nie wymaga, aby każda firma posiadała formalną funkcję tzw. ADO (Administratora Danych Osobowych), wymaga natomiast, aby była w firmie wyznaczona osoba, która odpowiada za bezpieczeństwo Danych Osobowych przetwarzanych w firmie.

• Czy pracownicy dostawcy zostali przeszkoleni w zakresie przetwarzania danych w sposób zgodny z przepisami?

Jest to najbardziej „miękki” element oceny, ale jednak niezwykle ważny. Najwięcej błędów związanych z prawidłowym przetwarzaniem Danych Osobowych wynika ze zwykłego „błędu ludzkiego”. Odpowiednie przeszkolenie zespołu i regularne sprawdzanie poziomu wiedzy jest w stanie skutecznie zminiejszyć to ryzyko.

W mojej ocenie jest to minimalna lista pytań, które należy zadać, aby zminimalizować ryzyka dla Państwa jako Administratora. Jeśli nie wyczerpałam tematu, chętnie odpowiem na pytania osobiście, zachęcam do kontaktu TUTAJ. W kolejnym wpisie postaram się przybliżyć Państwu jakie środki podejmuje FORDATA, aby chronić powierzane nam przez klientów Dane Osobowe.