12 . 07 . 2018
Bezpieczeństwo RODO – co warto sprawdzić przed wyborem Virtual Data Room?
12 . 07 . 2018
RODO: Rozporządzenie Ogólne o Ochronie Danych Osobowych, które weszło w życie we wszystkich państwach członkowskich UE dnia 25 maja br. nakłada na przedsiębiorców bardzo wysokie kary za niedostateczną ochronę Danych Osobowych, których firma jest administratorem (o karach i sposobach na minimalizację ryzyk pisaliśmy TUTAJ).
A każda firma jest administratorem co najmniej takich zbiorów danych, jak dane osobowe pracowników, klientów, partnerów biznesowych firmy. Nie ma znaczenia, czy Dane Osobowe były niedostatecznie chronione bezpośrednio przez przedsiębiorcę, czy też przez jego podwykonawców – odpowiedzialność za naruszenie przepisów spoczywa na przedsiębiorcy. Dlatego też tak ważne jest posiadanie rzetelnych podwykonawców, w tym dostawców zewnętrznych systemów informatycznych, w których przetwarzane są Dane Osobowe.
Jaki ma to związek z wyborem systemu Virtual Data Room?
Virtual Data Room jest zewnętrznym systemem informatycznym, w którym przetwarzane są Dane Osobowe, których Państwo jesteście Administratorem. Nasze doświadczenia pokazują, że najczęściej powierzane nam są do przetwarzania w VDR dwa zbiory Danych Osobowych:
- Dane Osobowe użytkowników Data Room (Państwa pracowników, klientów, potencjalnych partnerów, inwestorów);
- Dane Osobowe potencjalnie zawarte w dokumentach ładowanych do Data Room.
W myśl RODO:
„Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą”.
Co w takim razie warto sprawdzić przed wyborem Data Room?
W mojej ocenie warto przede wszystkim przyjrzeć się temu czy dostawca Data Room spełnia wymogi formalne wynikające z RODO. W zakresie wymogów bezpieczeństwa, szczerze powiedziawszy nie wyobrażam sobie, żeby firma dostarczała Data Room i nie miała wdrożonych podstawowych mechanizmów bezpieczeństwa, jakich wymaga RODO, takich jak szyfrowanie komunikacji, dwustopniowe logowanie (przy pomocy loginu i hasła) czy automatyczne wylogowanie z systemu. Temu nie poświęcałabym większej uwagi. Wracając do wymogów formalnych, zachęcam do zadania dostawcy Data Room poniższych pytań:
- Czy dostawca posiada niezależne certyfikaty potwierdzające wysoką świadomość organizacji (Zarządu, pracowników) w zakresie bezpieczeństwa informacji?
W Polsce takim certyfikatem jest ISO 27 001:2013 – międzynarodowa norma regulująca kwestie zarządzania bezpieczeństwem informacji w organizacji (o ISO pisaliśmy więcej TUTAJ).
- Czy dostawca posiada swój własny wzór Umowy powierzenia przetwarzania danych osobowych?
Tak jak pisałam wcześniej, korzystając z VDR zawsze powierzacie Państwo dostawcy do przetwarzania Dane Osobowe. W związku z tym podpisanie Umowy powierzenia przetwarzania Danych Osobowych między Państwa firmą i firmą dostawcy jest obowiązkowe. Mogą Państwo oczywiście dostarczyć swój własny wzór Umowy i w ten sposób wypełnić wymóg Rozporządzenia. Niemniej informacja czy dostawca taki wzór posiada daje Państwu ogólne rozeznanie na temat świadomości dostawcy w temacie RODO.
- Czy dostawca Data Room przechowuje dane na serwerach na terenie UE i tym samym może zagwarantować, że powierzone mu Dane Osobowe nie będą przetwarzane poza obszarem EOG (Europejskiego Obszaru Gospodarczego)?
- Czy dostawca posiada Politykę Bezpieczeństwa Danych Osobowych i prowadzi Rejestr Czynności Przetwarzania Procesora Danych Osobowych (powierzonych mu przez klientów)?
Jest to obowiązek wynikający z RODO. Jeśli dostawca nie posiada polityki i nie prowadzi takiego rejestru, naraża Państwa na potencjalne ryzyka.
- Czy dostawca prowadzi regularnie Analizę Ryzyka Naruszenia Bezpieczeństwa Danych Osobowych?
- Czy wyznaczono w firmie dostawcy osobę odpowiedzialną za bezpieczeństwo Danych Osobowych?
RODO nie wymaga, aby każda firma posiadała formalną funkcję tzw. ADO (Administratora Danych Osobowych), wymaga natomiast, aby była w firmie wyznaczona osoba, która odpowiada za bezpieczeństwo Danych Osobowych przetwarzanych w firmie.
- Czy pracownicy dostawcy zostali przeszkoleni w zakresie przetwarzania danych w sposób zgodny z przepisami?
Jest to najbardziej „miękki” element oceny, ale jednak niezwykle ważny. Najwięcej błędów związanych z prawidłowym przetwarzaniem Danych Osobowych wynika ze zwykłego „błędu ludzkiego”. Odpowiednie przeszkolenie zespołu i regularne sprawdzanie poziomu wiedzy jest w stanie skutecznie zminiejszyć to ryzyko.
W mojej ocenie jest to minimalna lista pytań, które należy zadać, aby zminimalizować ryzyka dla Państwa jako Administratora. Jeśli nie wyczerpałam tematu, chętnie odpowiem na pytania osobiście, zachęcam do kontaktu TUTAJ. W kolejnym wpisie postaram się przybliżyć Państwu jakie środki podejmuje FORDATA, aby chronić powierzane nam przez klientów Dane Osobowe.
Podobał Ci się artykuł?
Ile głów, tyle pomysłów. Właśnie dlatego każdy z nas dokłada swoją cegiełkę, by zamieszczone treści na naszym blogu były dla Ciebie atrakcyjne i niosły wartość. Odkryj źródło wiedzy i inspiracji dla Twojego biznesu z Fordata.
Chcesz wymienić się wiedzą, podyskutować, zadać pytanie?
Napisz do mnie : #FORDATAteam strona otworzy się w nowym oknie
Nie ryzykuj naruszenia RODO, wybierz Virtual Data Room z pełnym dopasowaniem do wymogów ochrony danych!
Wypróbuj za darmo Wypróbuj za darmo-
01 . Bezpieczna alternatywa dla Dropboxa do Due Diligence
„Po co mam płacić za VDR, skoro mogę użyć Dropbox”– to pytanie czasem pada z ust naszych klientów. Odpowiedź…
26.01.2024
-
02 . OneDrive kontra Google Drive? Czy mogą zastąpić VDR?
Na rynku oprogramowania dostępny jest ogrom aplikacji filesharingowych, wirtualnych dysków i narzędzi do współ…
29.12.2023
-
03 . Po co VDR w procesie Due Diligence?
Procesy fuzji i przejęć stanowią stały element świata gospodarczego. Ich celem jest osiągnięcie korzyści str…
27.05.2023
-
04 . Szyfrowanie danych w chmurze - co warto wiedzieć, zanim wybierzemy dostawcę?
Wysokiej jakości szyfrowanie danych w chmurze to nieodzowny standard dzisiejszych narzędzi. Czym jest i co nam ono gwarantuje?
22.08.2022
-
05 . Cyberbezpieczeństwo - na co powinien zwrócić uwagę przedsiębiorca?
Przedsiębiorcy patrzą dziś na pracę zdalną bez obaw, choć jeszcze w styczniu wielu nie wyobrażało s…
30.09.2020
-
06 . Czy załączniki w twoim emailu są bezpieczne?
Współczesne biuro nie potrafi funkcjonować bez poczty email. Według firmy Radicati Group, statystyczny pra…
02.03.2020
-
07 . Zaczernianie tekstu w dokumentach PDF - jak robić to dobrze?
Anonimizacja anonimizacji nierówna – może się okazać, że zaczernienie tekstu w naszym dokumencie, które na pi…
27.02.2020
-
08 . Bezpieczeństwo Dropboxa – co powinna wiedzieć Twoja firma?
Dropbox ułatwia współpracę na dokumentach i ich udostępnianie, ale czy jest to sposób wystarczająco bezpieczny…
18.10.2019
-
09 . Fałszywe porównywarki Virtual Data Room – jak je rozpoznać?
Fałszywe porównywarki oprogramowania to problem również branży Virtual Data Room. Jakie cechy mówią, że serwis rankingowy to zwyczajny fejk? Sprawdźcie!
14.08.2019
-
10 . Przechowywanie danych w chmurze, a bezpieczeństwo plików
Wydaje się, że sieć już spowszedniała. Ogrom dedykowanych usług, coraz szybsze transfery i wzrastająca mobil…
31.07.2019
-
11 . Audyt Due diligence z wykorzystaniem Virtual Data Room czyli bezpieczeństwo w Twojej firmie
Każda firma wraz ze swoim rozwojem dochodzi do etapu, kiedy kontrole w postaci audytów (np. finansowych, po…
14.01.2019
-
12 . Co to jest elektroniczne repozytorium dokumentów?
Elektroniczne repozytorium dokumentów, przez niektórych zwane też e-archiwum lub scentralizowanym repozytori…
04.12.2018
-
13 . Własność intelektualna w Life Science, a ochrona poufnych informacji
Life Science jest pojęciem szerokim i w biznesie obejmuje przedsiębiorstwa, których główna działalność…
16.11.2018
-
14 . Zasady Polityki Bezpieczeństwa w FORDATA VDR
Badania przeprowadzone przez amerykańskich ekspertów z zakresu bezpieczeństwa danych i systemów komputerowych wskazują iż ponad 80% zagroż…
21.09.2018
-
15 . RODO - dlaczego warto wybrać Data Room FORDATA?
O RODO pisaliśmy już wielokrotnie. Nie bez przyczyny, korzystając z Virtual Data Room, powierzają Państwo dostawcy…
22.08.2018
-
16 . Polityka i Organizacja InfoSec, czyli jak wdrożyliśmy normę ISO 27 001 w FORDATA
Jak nasza firma skutecznie wdrożyła politykę i organizację InfoSec zgodnie z normą ISO 27001? Odkryj tajniki naszego sukcesu w zarządzaniu bezpieczeństwem informacji.
30.11.2017
-
17 . Dlaczego nie powinieneś korzystać z systemów używających Flash?
Adobe Flash Player, pomimo wielu zasług w kwestii multimediów w Internecie, zasłużył sobie również na opinię technologii przestarza…
17.11.2017
-
18 . Co to jest Virtual Data Room czyli wszystko co powinieneś wiedzieć
Co to jest Virtual Data Room? Jak korzystać z systemu, który pozwala na efektywniejsze przeprowadzenie transakcji fuzji i przejęć?
25.10.2017
-
19 . ISO 27001:2013 audyt recertyfikacji bieżącej rejestracji
Celem audytu było przeprowadzenie audytu re-certyfikacji bieżącej rejestracji. W ramach audytu zweryfikowano, czy wszystkie elementy zakresu certyfikacji oraz wszystkie obszary normy są skutecznie
20.07.2017
-
20 . Przekazujesz dane osobowe do chmury?
Zobowiązanie RODO powinniśmy mieć zawsze z tyłu głowy. Jak zadbać o jego przestrzeganie i wybrać odpowiedniego dostawcę chmury?
24.02.2017
-
21 . Gwarancja bezpieczeństwa dla klientów ISO 27001:2013
FORDATA, od momentu podjęcia swojej działalności, dąży do zagwarantowania jak najwyższej ochrony danych powierzanych przez klientów.
13.01.2017
-
22 . Standard GPG, czyli o bezpiecznym szyfrowaniu
Rozwój technologii niesie ze sobą coraz większe zagrożenia związane z bezpieczeństwem informacji. Ochrona poufnych danych przed tzw. wyciekiem dotyczy już każdej firmy, która ceni bezpieczeństwo informacji.
13.07.2016
-
23 . BYOD jako nowe wyzwanie dla działów bezpieczeństwa firm
Wykorzystywanie prywatnych urządzeń podczas wykonywania obowiązków zawodowych powoli staje się regułą, która nie dziwi. W jakim kierunku zmierzać będzie trend BYOD?
15.02.2016
-
24 . Jak pomagamy w Due Diligence? Lista dokumentów.
Transakcje M&A to procesy, w których czas ma ogromne znaczenie. Każde, nawet najmniejsze wsparcie…
10.03.2014
-
25 . Przygotowanie spółki do debiutu giełdowego
Wiele spośród dobrze prosperujących firm decyduje się pozyskać środki finansowe na dalszy rozwój na giełdzie papierów wartościowych. Gdzie szukać zainteresowanych?
07.10.2013