- Czym jest RODO?
- Jak zminimalizować ryzyka związane z RODO?
- 01. Czy dostawca posiada ogólnodostępną Politykę Prywatności lub Regulamin, w której zobowiązuje się do zachowania poufności danych, które przekazywane są do przetwarzania?
- 02. Czy dostawca jest otwarty na podpisanie „Umowy powierzenia przetwarzania danych osobowych”?
- 03. Czy system informatyczny oferowany przez dostawcę posiada odpowiednie zabezpieczenia, które będą chronić przetwarzane w nich dane?
- 04. Czy dostawca jest firmą zarejestrowaną na terenie Unii Europejskiej?
- 05. Czy dostawca ma wdrożone ISO 27 001:2013, czyli System Zarządzania Bezpieczeństwem Informacji?
- 06. Czy w firmie dostawcy powołany jest ABI (Administrator Bezpieczeństwa Informacji)? Czy prowadzony jest rejestr zbiorów danych osobowych przetwarzanych w organizacji?
W obliczu rozporządzenia RODO i gigantycznych kar grożących za jego naruszenie przedsiębiorcy, którzy korzystają z systemów informatycznych dostarczanych przez zewnętrzne firmy, powinni dokonać głębokiej analizy aktualnych i przyszłych dostawców. Dlaczego? Dlatego, że kary za naruszenie przepisów grożą administratorowi danych (czyli przedsiębiorcy) i to administrator musi zadbać o to, by dane przekazywane do przetwarzania zewnętrznym dostawcom były przez nich przetwarzane zgodnie z wymogami rozporządzenia.
Czym jest RODO?
RODO to Rozporządzenie Ogólne o Ochronie Danych Osobowych, które zostało przyjęte przez Parlament Europejski i Radę UE 14.04 2016 r. Rozporządzenie jest stosowane wprost, czyli obowiązuje wszystkich przedsiębiorców (i zastąpi przepisy polskiej ustawy o ochronie danych osobowych). Przepisy weszły w życie 25 maja 2018 roku.
Rozporządzenie to nakłada na firmy dodatkowe obowiązki w zakresie ochrony danych osobowych. Naruszenie przepisów będzie wiązać się z ryzykiem nałożenia na przedsiębiorstwa kary finansowej do 20 mln euro lub 4% wartości rocznego obrotu przedsiębiorstwa (w zależności do tego, która kara jest dotkliwsza). Ponadto, przedsiębiorstwo będzie musiało poinformować o fakcie nieprzestrzegania przepisów krajowy organ nadzorczy tj. UODO, a poszkodowany będzie mógł żądać odszkodowania od firmy przetwarzającej jego dane (aktualnie nie ma takiej możliwości). Nie ma znaczenia czy dane przetwarzane są wewnątrz organizacji, czy są powierzane do przetwarzania (jak ma to miejsce w przypadku korzystania z zewnętrznych systemów informatycznych), odpowiedzialność za naruszenie wymogów jest po stronie administratora danych, czyli przedsiębiorcy.
Dlatego, jeśli korzystasz z zewnętrznych systemów informatycznych, w których przetwarzane są dane osobowe, których jesteś administratorem, tak ważny jest wybór właściwego systemu i właściwej firmy do współpracy. Im wyższa świadomość naszego partnera w zakresie bezpieczeństwa informacji i im więcej zabezpieczeń ma system, tym mniejsze ryzyko dla nas.
Jak zminimalizować ryzyka związane z RODO?
Jest kilka pytań, które warto zadać, zanim wybierzemy konkretną firmę do współpracy. Taką analizę zalecamy wykonać także w stosunku do aktualnych partnerów biznesowych, którzy dostarczają rozwiązania technologiczne Twojej firmie. Oczywiście poniższa lista nie pokrywa wszystkich zagrożeń związanych z przekazaniem danych osobowych do zewnętrznych systemów. Każdy świadomy przedsiębiorca powinien indywidualnie określić swoje własne kryteria akceptacji ryzyka.
01. Czy dostawca posiada ogólnodostępną Politykę Prywatności lub Regulamin, w której zobowiązuje się do zachowania poufności danych, które przekazywane są do przetwarzania?
Jeśli takich dokumentów brak lub są zdawkowe, od razu powinna zapalić się nam czerwona lampka.
02. Czy dostawca jest otwarty na podpisanie „Umowy powierzenia przetwarzania danych osobowych”?
Zgodnie z RODO podpisanie takiej Umowy z procesorem (w tym wypadku dostawcą systemu informatycznego) jest obowiązkowe. Twoja firma musi zapewnić, że taka Umowa zostanie podpisana, a jako administrator danych powinieneś posiadać odpowiedni wzór umowy w swojej organizacji. Mile widziane będzie jednak, jeśli taki wzorem dysponuje dostawca. Pokazuje to jaki poziom świadomości przepisów posiada dana firma. Umowa ta, zgodnie z art. 28 RODO, powinna określać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także obowiązki procesora. Oprócz wymogu szczegółowego opisu procesu powierzenia przetwarzania danych, RODO wskazuje również obowiązki procesora, których wyliczenie powinno znaleźć się w zawieranej umowie (art. 28 ust. 3 pkt a)-h) RODO). Zaliczamy do nich m.in.:
- przetwarzanie danych osobowych wyłącznie na udokumentowane polecenie administratora,
- zapewnienie, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
- podejmowanie wymaganych środków zabezpieczających przetwarzane dane osobowe,
- pomoc administratorowi w wywiązywaniu się z obowiązków wobec osób, których dane dotyczą,
- po zakończeniu świadczenia usług związanych z przetwarzaniem, usunięcie lub zwrot wszelkich danych osobowych oraz usunięcie istniejących kopii (zależnie od decyzji administratora).
03. Czy system informatyczny oferowany przez dostawcę posiada odpowiednie zabezpieczenia, które będą chronić przetwarzane w nich dane?
Kluczowa zmiana, którą wprowadza RODO polega na tym, że przepisy obowiązują każdego przedsiębiorcę wprost, ale nie określają JAK firmy mają realizować nowe obowiązki. Oznacza to, że nie ma już katalogu zabezpieczeń, które system informatyczny musi mieć, aby spełniać wymogi ustawy. Każdy przedsiębiorca ma dokonać samodzielnej analizy i zdecydować czy zabezpieczenia oferowane przez dany system są wystarczające i czy akceptuje ryzyka w przypadku ich braku. Z naszego doświadczenia absolutny „must have” w przypadku systemów informatycznych to:
- szyfrowane połączenie np. Certyfikat EV SSL 256 bit
- autoryzacja dostępu do systemu poprzez co najmniej login i hasło
- regulamin systemu zabraniający współdzielenie danych do logowania
- konieczność okresowej zmiany hasła.
04. Czy dostawca jest firmą zarejestrowaną na terenie Unii Europejskiej?
Nie jest to wymóg RODO, ale współpraca z firmą z Unii Europejskiej jest niewątpliwie dużo bezpieczniejsza. Choćby z racji tego, że wymogi RODO obowiązują każdego przedsiębiorcę z UE. Nie da się także ukryć, że podejście firm europejskich do tematu ochrony danych osobowych jest dużo bardziej restrykcyjne niż np. prezentowane prze firmy z USA. Europa to prywatność i ochrona danych, Stany Zjednoczone to swoboda gospodarcza oraz wolność i wyrozumiałość, także w kontekście przepisów.
Co prawda, 12 lipca 2016 r. Komisja Europejska dała zielone światło dla nowych zasad przekazywania danych osobowych z UE do USA (nowy pakiet nazywa się Privacy Shield – Tarcza Prywatności) i jest to zgodne z prawem. Ale czy korzystanie z systemów dostarczanych przez firmy z USA jest faktycznie bezpieczne? Nie można zapomnieć, że poprzednie tego typu porozumienie tzw. Safe Harbour wyrokiem Trybunał Sprawiedliwości UE z 5 października 2015 r. zostało unieważnione. TSUE stwierdził, że Safe Harbour nie gwarantował wystarczającej ochrony praw podstawowych, w szczególności prawa do prywatności w związku z przetwarzaniem danych osobowych, a deklaracje firm amerykańskich o tym, że chronią one dane osobowe tak samo, jak podmioty europejskie, są po prostu iluzoryczne.
W każdym razie, jeśli rozważasz podpisanie Umowy z firmą amerykańską, należałoby sprawdzić czy firma spełniła choćby wymóg formalny, czyli czy przystąpiła do Privacy Shield.
05. Czy dostawca ma wdrożone ISO 27 001:2013, czyli System Zarządzania Bezpieczeństwem Informacji?
Nie można zapomnieć, że poprzednie tego typu porozumienie tzw. Safe Harbour wyrokiem Trybunał Sprawiedliwości UE z 5 października 2015 r. zostało unieważnione. TSUE stwierdził, że Safe Harbour nie gwarantował wystarczającej ochrony praw podstawowych, w szczególności prawa do prywatności w związku z przetwarzaniem danych osobowych, a deklaracje firm amerykańskich o tym, że chronią one dane osobowe tak samo, jak podmioty europejskie, są po prostu iluzoryczne.
W każdym razie, jeśli rozważasz podpisanie Umowy z firmą amerykańską, należałoby sprawdzić czy firma spełniła choćby wymóg formalny, czyli czy przystąpiła do Privacy Shield.
06. Czy w firmie dostawcy powołany jest ABI (Administrator Bezpieczeństwa Informacji)? Czy prowadzony jest rejestr zbiorów danych osobowych przetwarzanych w organizacji?
Zgodnie z artykułem 4 pkt. 1 RODO „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Tym samym KAŻDA firma ma do czynienia z danymi osobowymi – to nie tylko imię i nazwisko, ale również informacje o klientach, pozwalające m.in na kategoryzowanie ich względem ich cech lub przyzwyczajeń, adres e-mail, miejsce pracy, a nawet, w wybranych przypadkach, numer IP wykorzystywany do identyfikacji korzystających z Internetu! Idąc tym tropem, każda firma zarejestrowana na terenie UE musi spełnić powyższe wymogi. Jeśli dostawca je spełnia daje Ci to potwierdzenie, że jest firmą o dużym poziomie świadomości w zakresie bezpieczeństwa informacji, a tym samym minimalizuje ryzyko poniesienia odpowiedzialności za jego naruszenia, która spoczywa na Tobie.
Podobał Ci się artykuł?
Ile głów, tyle pomysłów. Właśnie dlatego każdy z nas dokłada swoją cegiełkę, by zamieszczone treści na naszym blogu były dla Ciebie atrakcyjne i niosły wartość. Odkryj źródło wiedzy i inspiracji dla Twojego biznesu z Fordata.
Chcesz wymienić się wiedzą, podyskutować, zadać pytanie?
Napisz do mnie : #FORDATAteam strona otworzy się w nowym oknie
Sprawdź FORDATA VDR
PRZESETUJE PRZEZ 14 DNI PRZESETUJE PRZEZ 14 DNI-
01 . Seryjne przejęcia M&A w pigułce - dobre praktyki i technologia
Zarówno seryjne, jak i pojedyncze procesy buy side M&A odgrywają istotną rolę w strategiach rozwoju firm. Jednak różnią się one celem, skalą i podejściem, co determinuje ich znaczenie dla firmy.
15.07.2024
-
02 . Fałszywe porównywarki Virtual Data Room – jak je rozpoznać?
Fałszywe porównywarki oprogramowania to problem również branży Virtual Data Room. Jakie cechy mówią, że serwis rankingowy to zwyczajny fejk? Sprawdźcie!
14.03.2024
-
03 . Wywiad: Ruszył nabór do programu EPC Plus - jednostki samorządu terytorialnego mają czas do sierpnia
Nabór do projektu „Renowacja z gwarancją oszczędności EPC Plus” trwa od 29 stycznia do 30 sierpnia 2024 r. Wywiad z dr. Rafałem Cieślak, radcą prawnym specjalizującym się w projektach EPC i PPP.
13.02.2024
-
04 . Bezpieczna alternatywa dla Dropboxa do Due Diligence
„Po co mam płacić za VDR, skoro mogę użyć Dropbox”– to pytanie czasem pada z ust naszych klientów. Odpowiedź…
26.01.2024
-
05 . Transformacje i wyzwania: europejski fintech w 2023 roku
Europejski ekosystem Fintech, niegdyś charakteryzujący się szybkim wzrostem i licznymi inwestycjami, doświadczył znaczących zmian i wyzwań w 2023 roku. Gdzie obecnie znajduje się sektor? Jaki wpływ ma środowisko inwestycyjne? Jakie są widoczne trendy?
16.11.2023
-
06 . Partnerstwo Publiczno-Prywatne (PPP) w Polsce
Partnerstwo Publiczno-Prywatne (PPP) – optymalizacja wydatków budżetowych i efektywna współpraca między sektorem publicznym a prywatnym. Poznaj korzyści i kluczowe elementy wspólnych projektów PPP.
09.11.2023
-
07 . Branża energetyczna 2023: Virtual Data Room w transakcjach M&A
Sytuacja w branży energetycznej w Polsce i w Europie Środkowo-Wschodniej dynamicznie się zmienia. Inwestycje w odnawialne źródła energii – jak wyglądają?
06.06.2023
-
08 . Po co VDR w procesie Due Diligence?
Procesy fuzji i przejęć stanowią stały element świata gospodarczego. Ich celem jest osiągnięcie korzyści str…
27.05.2023
-
09 . Jakie dokumenty można załadować do systemu VDR?
Virtual Data Room to świetna alternatywa dla programów typu Dropbox i Google Drive, szczególnie gdy w grę..
13.03.2023
-
10 . Co to jest i na czym polega audyt w firmie?
Bywa nieunikniony i często wzbudza nieracjonalny strach. W rzeczywistości jest doskonałą okazją, by…
09.02.2023
-
11 . Venture Capital a Private Equity. Różnice między funduszami.
Jakie są główne różnice pomiędzy funduszami Private Equity i Venture Capital? Przekazujemy w pigułce najważniejsze cechy obu z nich.
15.06.2022
-
12 . Fundraising - jak pozyskać finansowanie z narzędziem VDR?
Pozyskiwanie finansowania to proces wymagający właściwego planowania w oparciu o aktualne warunki ek…
26.05.2022
-
13 . Kogo i do czego zobowiązuje DORA?
Rozporządzenie DORA to kolejny krok UE w stronę operacyjnej odporności na zagrożenia cyfrowe podmiotów sektora finansowego. Kogo dotyczy?
19.05.2022
-
14 . Bezpieczne udostępnianie dokumentów firmowych. Poradnik dla właścicieli firm.
Jak udostępniać dokumenty firmowe bezpiecznie? Udostępnianie plików w wirtualnym pokoju danych to sposób na lepszy workflow oraz wizerunek.
15.04.2022
-
15 . Jak usprawnić obieg dokumentów w firmie - 5 zasad
Biurka załadowane segregatorami i zabiegani pracownicy z tekturowymi folderami w rękach – to już kl…
25.11.2021
-
16 . FORDATA a wymagania KNF - jak działamy?
Komunikat KNF do podmiotów nadzorowanych, chmura publiczna i hybrydowa – jak FORDATA spełnia wymagania KNFu? Czy spełniasz wytyczne?
02.11.2020
-
17 . Plan ciągłości działania - dlaczego firma powinna go mieć?
Pandemia uświadomiła wielu firmom, że chociaż nie da się przewidzieć wszystkich czarnych scenariuszy, posia…
25.06.2020
-
18 . Czy załączniki w twoim emailu są bezpieczne?
Współczesne biuro nie potrafi funkcjonować bez poczty email. Według firmy Radicati Group, statystyczny pra…
02.03.2020
-
19 . Zaczernianie tekstu w dokumentach PDF - jak robić to dobrze?
Anonimizacja anonimizacji nierówna – może się okazać, że zaczernienie tekstu w naszym dokumencie, które na pi…
27.02.2020
-
20 . 5 porad dla startupu od FORDATA – od czego zacząć?
Porady dla startupu, od startupu. Jak zacząć? Na co zwrócić uwagę? Opieramy się na własnych doświadczeniach.
19.11.2019
-
21 . VDR - wygodna alternatywa dla serwerów FTP
Serwer FTP nawet dzisiaj jest popularną metoda przesyłania plików. Z jego pomocą możemy szybko podzielić się w…
18.09.2019
-
22 . VDR jako Legal Tech - Elastyczne oprogramowanie dla prawników
Termin legal tech w ciągu ostatnich lat zyskał w Polsce bardzo dużą popularność. Dzieje się tak ze względu na sze…
12.09.2019
-
23 . Przechowywanie danych w chmurze, a bezpieczeństwo plików
Wydaje się, że sieć już spowszedniała. Ogrom dedykowanych usług, coraz szybsze transfery i wzrastająca mobil…
31.07.2019
-
24 . Etapy badania Due Diligence – sprzedaż biznesu krok po kroku
Każda dobra decyzja inwestycyjna opiera się na solidnej wiedzy na temat danego przedsiębiorstwa i pr…
25.06.2019
-
25 . Badanie Due Diligence spółki - na czym polega i jak przebiega proces?
Wyjaśniamy czym jest oraz jak przebiega badanie Due Diligence. Sprawdź jak rozwiązania VDR mogą pomóc w procesie badania spółki.
18.06.2019
-
26 . Audyt Due diligence z wykorzystaniem Virtual Data Room czyli bezpieczeństwo w Twojej firmie
Każda firma wraz ze swoim rozwojem dochodzi do etapu, kiedy kontrole w postaci audytów (np. finansowych, po…
14.01.2019
-
27 . Własność intelektualna w Life Science, a ochrona poufnych informacji
Life Science jest pojęciem szerokim i w biznesie obejmuje przedsiębiorstwa, których główna działalność…
16.11.2018
-
28 . Etapy projektu z wykorzystaniem Virtual Data Room
Ciekawi jesteście, w jaki sposób przebiega projekt VDR w firmie FORDATA? Co nasz fantastyczny Dział…
22.10.2018
-
29 . Jak sprzedać pakiety wierzytelności w Data Room?
Odkryj skuteczne strategie sprzedaży pakietów wierzytelności dzięki wykorzystaniu Data Room – dowiedz się, jak osiągnąć sukces w sprzedaży dłużnych aktywów.
18.10.2018
-
30 . Fantastyczny Dział OK - przewaga konkurencyjna FORDATA
W FORDATA jesteśmy ponadprzeciętnie elastyczni i skupieni na potrzebach naszych klientów. Możesz zlecić nam szereg zadań…
06.12.2017
-
31 . Polityka i Organizacja InfoSec, czyli jak wdrożyliśmy normę ISO 27 001 w FORDATA
Jak nasza firma skutecznie wdrożyła politykę i organizację InfoSec zgodnie z normą ISO 27001? Odkryj tajniki naszego sukcesu w zarządzaniu bezpieczeństwem informacji.
30.11.2017
-
32 . Co to jest Virtual Data Room czyli wszystko co powinieneś wiedzieć
Co to jest Virtual Data Room? Jak korzystać z systemu, który pozwala na efektywniejsze przeprowadzenie transakcji fuzji i przejęć?
25.10.2017
-
33 . ISO 27001:2013 audyt recertyfikacji bieżącej rejestracji
Celem audytu było przeprowadzenie audytu re-certyfikacji bieżącej rejestracji. W ramach audytu zweryfikowano, czy wszystkie elementy zakresu certyfikacji oraz wszystkie obszary normy są skutecznie
20.07.2017
-
34 . Gwarancja bezpieczeństwa dla klientów ISO 27001:2013
FORDATA, od momentu podjęcia swojej działalności, dąży do zagwarantowania jak najwyższej ochrony danych powierzanych przez klientów.
13.01.2017
-
35 . Standard GPG, czyli o bezpiecznym szyfrowaniu
Rozwój technologii niesie ze sobą coraz większe zagrożenia związane z bezpieczeństwem informacji. Ochrona poufnych danych przed tzw. wyciekiem dotyczy już każdej firmy, która ceni bezpieczeństwo informacji.
13.07.2016
-
36 . Powstał Kodeks Dobrych Praktyk Restrukturyzacji
Kodeks Dobrych Praktyk Restrukturyzacji powstał w ramach drugiej edycji kampanii: „For better data flow – praktykuj efektywne transakcje”.
16.06.2016
-
37 . BYOD jako nowe wyzwanie dla działów bezpieczeństwa firm
Wykorzystywanie prywatnych urządzeń podczas wykonywania obowiązków zawodowych powoli staje się regułą, która nie dziwi. W jakim kierunku zmierzać będzie trend BYOD?
15.02.2016
-
38 . Popieramy Kodeks Dobrych Praktyk Transakcyjnych
Wskazówki Kodeksu dobrych praktyk transakcyjnych dotyczą̨ transakcji fuzji i przejęć́, partnerstwa publiczno-prywatnego, restrukturyzacji, debiutu giełdowego, emisji obligacji oraz pozyskiwania inwestora.
10.11.2015
-
39 . Vendor Due Diligence - wartość przygotowania się do negocjacji
Jak właściciele spółki powinni przygotować się do negocjacji, by wynieść jak najwięcej korzyści ze sprzedaży własnego podmiotu? Korzyści z przeprowadzenia Vendor Due Diligence
09.11.2015
-
40 . Seed capital jako szansa dla rozwoju innowacyjności w Polsce?
Fundusze Seed Capital inwestują przede wszystkim niewielkie kwoty w projekty będące w początkowej fazie realizacji.
21.01.2014
-
41 . Przygotowanie spółki do debiutu giełdowego
Wiele spośród dobrze prosperujących firm decyduje się pozyskać środki finansowe na dalszy rozwój na giełdzie papierów wartościowych. Gdzie szukać zainteresowanych?
07.10.2013