Czy FORDATA jest gotowa na RODO?

Aleksandra Porębska - Nowak, Anna Horowska-Shahin
22/05/2018

Zgodnie z przyjętym przez Unię Europejską rozporządzeniem RODO, już 25 maja 2018 roku zaczną funkcjonować nowe przepisy dotyczące ochrony danych osobowych. Już ponad rok temu FORDATA zainicjowała działania i rozpisała wśród zespołu zadania związane z przygotowaniem do RODO, w ramach realizacji planu postępowania z ryzykiem.

O tym, co należy zrobić w kontekście RODO, o kluczowych wyzwaniach dla przedsiębiorców oraz bardzo wysokich karach w wyniku naruszenia przepisów (rzędu 20 mln euro), dowiemy się w rozmowie z Aleksandrą Porębską-Nowak – Pełnomocnikiem ds. Bezpieczeństwa Informacji w FORDATA, która w firmie odpowiada też za administrowanie danymi osobowymi.

  1. Czy FORDATA jest gotowa na RODO?

Tak, od ponad roku przygotowywaliśmy się do wprowadzenia nowych przepisów. W FORDATA od lat działamy zgodnie z normą ISO 27001 (przypis: ISO 27 001 to norma regulująca zarządzanie bezpieczeństwem informacji w organizacji), fakt ten ułatwił nam dostosowanie organizacji do zaostrzających się przepisów dot. przetwarzania danych osobowych.

  1. Czyli FORDATA jest na zmiany całkiem nieźle przygotowana? Jakie wdrożyliście procedury?

FORDATA już od wielu miesięcy jest świadoma wymagań RODO. Już w maju zeszłego roku, Zarząd FORDATA podjął uchwałę w sprawie realizacji projektu dostosowania firmy do nowych przepisów. Rozpoczęliśmy od 4 audytów wewnętrznych, które wykazały gdzie i jakie działania dostosowawcze musimy podjąć. W kolejnych krokach m.in. uzupełniliśmy funkcjonujące w FORDATA wytyczne dotyczące postępowania z danymi osobowymi, przeszkoliliśmy pracowników w zakresie postępowania ze zgłoszeniami dot. danych osobowych oraz obsługi incydentów dot. naruszenia ochrony danych osobowych. Wprowadziliśmy nowe zapisy w treści umów z Klientami i poddostawcami, uzupełniliśmy naszą ewidencję upoważnień do przetwarzania danych osobowych. Zaktualizowaliśmy Politykę Prywatności i zrewidowaliśmy treści zgód na przetwarzanie danych. Uruchomiliśmy też Rejestr czynności przetwarzania i dokonaliśmy pierwszej iteracji analizy ryzyka naruszenia ochrony danych osobowych. Z tą ostatnią było u nas o tyle łatwo, że oparliśmy się o podejście przyjęte w analizie ryzyka utraty bezpieczeństwa informacji, która w FORDATA funkcjonuje od lat w związku z ISO 27001.

  1. Czy istnieje coś takiego jak Kodeks Dobrych Praktyk w kontekście RODO?

Takie kodeksy dopiero powstają. Samo RODO natomiast nie wskazuje szczegółowych rozwiązań, precyzyjnych wytycznych, w jaki sposób należy realizować zapisy RODO. Poza kwestiami fundamentalnymi takimi jak właśnie dokonywanie analizy ryzyka, wydawania upoważnień czy prowadzenie Rejestru, każda organizacja musi podejść do tematu indywidualnie.

  1. Czy to prawda, że kary w wyniku naruszeń i nieprawidłowości mogą sięgnąć nawet 20 mln euro?

RODO wprowadza dotkliwe kary za naruszenia. Jeśli np. w firmie dojdzie do wycieku bazy klientów, to zostaną nałożone naprawdę surowe kary. Jest to fundamentalna zmiana – wcześniej głównie sygnalizowano i wzywano do usunięcia naruszeń. W zależności od przepisu, który został naruszony oraz skali naruszenia kary mogą sięgnąć: do 20 mln EUR lub do 4 % wartości rocznego światowego obrotu przedsiębiorstwa. Więcej o gigantycznych karach grożących za naruszenia pisaliśmy więcej TUTAJ.

  1. Zatem w jaki sposób przedsiębiorca powinien się przygotować i co stanowi kluczowe wyzwanie?

Kluczowym wyzwaniem dla przedsiębiorstw jest określenie jakie zbiory danych osobowych są przetwarzane w organizacji, czy firma jest w stosunku do nich Administratorem czy tylko podmiotem przetwarzającym tzw. Procesorem. Jeśli jest Administratorem – czy w odpowiedni sposób pozyskiwane są zgody na ich przetwarzanie i czy wszystkie osoby, które mają do nich dostęp są przeszkolone i upoważnione. Należy pamiętać także o aktualizacji Polityki Prywatności i zawarciu w niej zapisów, których wymaga RODO, choćby informacji o Administratorze i prawach użytkownika. Niezwykle ważne jest również bezpieczne przechowywanie danych osobowych – tylko w systemach informatycznych zapewniających wysoki poziom zabezpieczeń technicznych. Bezpieczeństwo danych w IT to także techniczna i organizacyjna możliwość ich odtworzenia w przypadku awarii. W FORDATA na przykład nasze serwery kolokujemy w dwóch niezależnych, najnowocześniejszych technologicznie centrach przechowywania i przetwarzania danych w Polsce, gdzie jedno z nich odgrywa rolę środowiska Disaster Recovery.

Co do analizy ryzyka to powinna nam ona pomagać w identyfikowaniu obszarów doskonalenia. Trzeba też pamiętać, że najsłabszym ogniwem często są ludzie – dlatego ważne jest, aby ich szkolić i uwrażliwiać nieprawidłowe postępowanie z informacją (w tym z danymi osobowymi). W FORDATA robimy to regularnie, w ramach comiesięcznych spotkań o nazwie MISA – Monthly Information Security Announcements meetings.

  1. Czy fakt, że FORDATA jest gotowa i spełnia wymogi RODO powinien mieć znaczenie dla jej aktualnych i potencjalnych klientów?

Zdecydowanie tak. Z punktu widzenia naszych Klientów, FORDATA jako dostawca Virtual Data Room, jest nie tyle Administratorem danych, co Procesorem. Abyśmy mogli świadczyć usługi VDR dla naszych Klientów, w ramach umowy powierzają nam dane osobowe, których to oni są Administratorem. Z punktu widzenia RODO odpowiedzialność za zapewnienie odpowiedniej ochrony przetwarzanym danym osobowym ponosimy my – FORDATA i nasz Klient solidarnie. W FORDATA jesteśmy nie tylko ‘dostosowani proceduralnie do RODO’ (tzn. nasze polityki i procedury przetwarzania danych są dostosowane do RODO), ale również nasz system VDR spełnia wymogi techniczne i posiada zabezpieczenia, których RODO wymaga względem systemów informatycznych. Możemy wymienić tutaj chociażby: przetwarzanie danych osobowych na terenie Polski, szyfrowanie danych i dzienniki zdarzeń dokumentujące działania na dokumentach zawierających dane osobowe.

W następstwie RODO, zaobserwowaliśmy ostatnio, że wielu klientów oczekuje od nas, abyśmy jako Procesor zobowiązali się do przetwarzania powierzonych nam danych osobowych tylko na terenie Polski. Choć warunek ten nie jest wymogiem RODO (zgodnie z rozporządzeniem istnieje tylko ograniczenie, że dane winny być przetwarzane na terenie EOG), to zgodnie z naszą wiedzą, jako jedyny dostawca VDR możemy spełnić powyższy wymóg, z uwagi na to, że zarówno nasze serwerownie zlokalizowane są w Polsce, jak i podwykonawcy działają na terenie Polski.

A czy Ty i Twoja firma jesteście gotowi na RODO? Sprawdź TUTAJ.

Dziękuję za rozmowę!

Zdjęcie: Archiwum FORDATA

Udostępnij!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Aleksandra Porębska - Nowak
IT Director
Anna Horowska-Shahin
Communications Manager
Spodobało Ci się?
Udostępnij!
Najczęściej czytane
Obserwuj nas
Ta strona używa ciasteczek (cookies), dzięki którym nasz serwis może działać lepiej. Nie akceptuję / AKCEPTUJĘ Polityka prywatności