Przekazujesz dane osobowe do chmury? Uchroń się przed gigantycznymi karami finansowymi.

Aleksandra Prusator
24/02/2017

W obliczu nowego rozporządzenia unijnego w zakresie ochrony danych osobowych (RODO, z ang. GDPR) i gigantycznych kar grożących za jego naruszenie, przedsiębiorcy, którzy korzystają z systemów informatycznych dostarczanych przez zewnętrzne firmy, powinni dokonać głębokiej analizy aktualnych i przyszłych dostawców. Dlaczego? Dlatego, że kary za naruszenie przepisów grożą administratorowi danych (czyli przedsiębiorcy) i to administrator musi zadbać o to, by dane przekazywane do przetwarzania zewnętrznym dostawcom były przez nich  przetwarzane zgodnie z wymogami rozporządzenia.

RODO to Rozporządzenie Ogólne o Ochronie Danych Osobowych, które zostało przyjęte przez Parlament Europejski i Radę UE 14.04 2016 r. Rozporządzenie jest stosowane wprost, czyli obowiązuje wszystkich przedsiębiorców (i zastąpi przepisy polskiej ustawy o ochronie danych osobowych). Przepisy weszły w życie 25 maja 2018 roku (o tym w jaki sposób FORDATA przygotowała się do RODO pisaliśmy TUTAJ).

Rozporządzenie to nakłada na firmy dodatkowe obowiązki w zakresie ochrony danych osobowych. Naruszenie przepisów będzie wiązać się z ryzykiem nałożenia na przedsiębiorstwa kary finansowej do 20 mln euro lub 4% wartości rocznego obrotu przedsiębiorstwa (w zależności do tego, która kara jest dotkliwsza). Ponadto, przedsiębiorstwo będzie musiało poinformować o fakcie nieprzestrzegania przepisów krajowy organ nadzorczy tj. GIODO, a poszkodowany będzie  mógł żądać odszkodowania od firmy przetwarzającej jego dane (aktualnie nie ma takiej możliwości).

Nie ma znaczenia czy dane przetwarzane są wewnątrz organizacji, czy są powierzane do przetwarzania (jak ma to miejsce w przypadku korzystania z zewnętrznych systemów informatycznych), odpowiedzialność za naruszenie wymogów jest po stronie administratora danych, czyli przedsiębiorcy.

Dlatego, jeśli korzystają Państwo z zewnętrznych systemów informatycznych, w których przetwarzane są dane osobowe, których Państwo są administratorem, tak ważny jest wybór właściwego systemu i właściwej firmy do współpracy. Im wyższa świadomość naszego partnera w zakresie bezpieczeństwa informacji i im więcej zabezpieczeń ma system, tym mniejsze ryzyko dla nas.

Na co warto zwrócić uwagę, aby zminimalizować ryzyka?

Jest kilka pytań, które warto zadać, zanim wybierzemy konkretną firmę do współpracy. Taką analizę zalecamy wykonać także w stosunku do aktualnych partnerów biznesowych, którzy dostarczają Państwu rozwiązania technologiczne. Oczywiście poniższa lista nie pokrywa wszystkich zagrożeń związanych z przekazaniem danych osobowych do zewnętrznych systemów. Każdy świadomy przedsiębiorca powinien indywidualnie określić swoje własne kryteria akceptacji ryzyka.

PYTANIE  1
Czy dostawca posiada ogólnodostępną Politykę Prywatności lub Regulamin, w której
zobowiązuje się do zachowania poufności danych, które przekazywane są do przetwarzania?

PYTANIE 2
Czy dostawca jest otwarty na podpisanie „Umowy powierzenia przetwarzania danych osobowych”?

Zgodnie z RODO podpisanie takiej Umowy z procesorem (w tym wypadku dostawcą systemu informatycznego) jest obowiązkowe. To Państwo muszą zapewnić, że taka Umowa zostanie podpisana. Wzór Umowy jako administrator danych powinni Państwo posiadać w swojej organizacji. Mile widziane będzie jednak, jeśli taki wzorem dysponuje dostawca. Pokazuje to jaki poziom świadomości przepisów posiada dana firma. Umowa ta, zgodnie z art. 28 RODO, powinna określać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także obowiązki procesora. Oprócz wymogu szczegółowego opisu procesu powierzenia przetwarzania danych, RODO wskazuje również obowiązki procesora, których wyliczenie powinno znaleźć się w zawieranej umowie (art. 28 ust. 3 pkt a)-h) RODO). Zaliczamy do nich m.in.:

  • przetwarzanie danych osobowych wyłącznie na udokumentowane polecenie administratora,
  • zapewnienie, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
  • podejmowanie wymaganych środków zabezpieczających przetwarzane dane osobowe,
  • pomoc administratorowi w wywiązywaniu się z obowiązków wobec osób, których dane dotyczą,
  • po zakończeniu świadczenia usług związanych z przetwarzaniem, usunięcie lub zwrot wszelkich danych osobowych oraz usunięcie istniejących kopii (zależnie od decyzji administratora).

PYTANIE 3
Czy system informatyczny oferowany przez dostawcę posiada odpowiednie zabezpieczenia, które będą chronić przetwarzane w nich dane?

Kluczowa zmiana, którą wprowadza RODO polega na tym, że przepisy obowiązują każdego przedsiębiorcę wprost, ale nie określają JAK firmy mają realizować nowe obowiązki. Oznacza to, że nie ma już katalogu zabezpieczeń, które system informatyczny musi mieć, aby spełniać wymogi ustawy. Każdy przedsiębiorca ma dokonać samodzielnej analizy i zdecydować czy zabezpieczenia oferowane przez dany system są wystarczające i czy akceptuje ryzyka w przypadku ich braku. Z naszego doświadczenia absolutny „must have” w przypadku systemów informatycznych to:

  • szyfrowane połączenie np. Certyfikat EV SSL 256 bit
  • autoryzacja dostępu do systemu poprzez co najmniej login i hasło
  • regulamin systemu zabraniający współdzielenie danych do logowania
  • konieczność okresowej zmiany hasła

PYTANIE 4
Czy dostawca jest firmą zarejestrowaną na terenie Unii Europejskiej?

Nie jest to wymóg RODO, ale współpraca z firmą z Unii Europejskiej jest niewątpliwie dużo bezpieczniejsza. Choćby z racji tego, że wymogi RODO obowiązują każdego przedsiębiorcę z UE. Nie da się także ukryć, że podejście firm europejskich do tematu ochrony danych osobowych jest dużo bardziej restrykcyjne niż np. prezentowane prze firmy z USA. Europa to prywatność i ochrona danych, Stany Zjednoczone to swoboda gospodarcza oraz wolność i wyrozumiałość, także w kontekście przepisów.

Co prawda, 12 lipca 2016 r. Komisja Europejska dała zielone światło dla nowych zasad przekazywania danych osobowych z UE do USA (nowy pakiet nazywa się Privacy Shield – Tarcza Prywatności) i jest to zgodne z prawem. Ale czy korzystanie z systemów dostarczanych przez firmy z USA jest faktycznie bezpieczne?

Nie można zapomnieć, że poprzednie tego typu porozumienie tzw. Safe Harbour wyrokiem Trybunał Sprawiedliwości UE z 5 października 2015 r. zostało unieważnione. TSUE stwierdził, że Safe Harbour nie gwarantował wystarczającej ochrony praw podstawowych, w szczególności prawa do prywatności w związku z przetwarzaniem danych osobowych, a deklaracje firm amerykańskich o tym, że chronią one dane osobowe tak samo, jak podmioty europejskie, są po prostu iluzoryczne.

W każdym razie, jeśli rozważają Państwo podpisanie Umowy z firmą amerykańską, należałoby sprawdzić czy firma spełniła choćby wymóg formalny, czyli czy przystąpiła do Privacy Shield.

PYTANIE 5
Czy dostawca ma wdrożone ISO 27 001:2013, czyli System Zarządzania Bezpieczeństwem Informacji?

To także nie jest wymóg RODO, ale posiadanie przez dostawcę ISO 27 001 daje Państwu gwarancję, że firma ma dużą świadomość w zakresie bezpieczeństwa informacji. Certyfikacja w zakresie ISO wymusza na organizacji standaryzację procesów, wdrożenie odpowiednich procedur, ale przede wszystkim dbanie o ciągłe doskonalenie. Aby uzyskać certyfikację firma musi m.in. działać zgodnie z przepisami prawa, co jest poddawane corocznym audytom zewnętrznym. Tym samym jeśli dostawca ma wdrożone ISO mają Państwo gwarancję, że spełnia wymogi RODO i inne wymagania prawne obowiązujące na terenie kraju, w którym jest zarejestrowany.

PYTANIE 6
Czy w firmie dostawcy:

  • powołany jest ABI (Administrator Bezpieczeństwa Informacji, zgodnie z RODO – ABI zastąpi Inspektor Ochrony Danych Osobowych)?

  • prowadzony jest rejestr zbiorów danych osobowych przetwarzanych w organizacji?

  • funkcjonuje polityka bezpieczeństwa ochrony danych osobowych oraz instrukcja zarządzania systemu informatycznego do przetwarzania danych osobowych (zgodnie z RODO: rejestr czynności przetwarzania)?

Zgodnie z artykułem 4 pkt. 1 RODO „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Tym samym KAŻDA firma ma do czynienia z danymi osobowymi – to nie tylko imię i nazwisko, ale również informacje o klientach, pozwalające m.in na kategoryzowanie ich względem ich cech lub przyzwyczajeń, adres e-mail, miejsce pracy,  a nawet, w wybranych przypadkach, numer IP wykorzystywany do identyfikacji korzystających z Internetu! Idąc tym tropem, każda firma zarejestrowana na terenie UE musi spełnić powyższe wymogi. Jeśli dostawca je spełnia daje to Państwu kolejne potwierdzenie, że jest firmą o dużym poziomie świadomości w zakresie bezpieczeństwa informacji, a tym samym minimalizuje ryzyko poniesienia odpowiedzialności za jego naruszenia, która spoczywa na Państwu.

Zdjęcie główne – unsplash.com

Udostępnij!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Aleksandra Prusator
Sales & Marketing Director
Spodobało Ci się?
Udostępnij!
Najczęściej czytane
Obserwuj nas
Ta strona używa ciasteczek (cookies), dzięki którym nasz serwis może działać lepiej. Nie akceptuję / AKCEPTUJĘ Polityka prywatności