RODO – co warto sprawdzić przed wyborem Virtual Data Room?

Aleksandra Prusator
12/07/2018

RODO: Rozporządzenie Ogólne o Ochronie Danych Osobowych, które weszło w życie we wszystkich państwach członkowskich UE dnia 25 maja br. nakłada na przedsiębiorców bardzo wysokie kary za niedostateczną ochronę Danych Osobowych, których firma jest administratorem (o karach i sposobach na minimalizację ryzyk pisaliśmy TUTAJ).

A każda firma jest administratorem co najmniej takich zbiorów danych, jak dane osobowe pracowników, klientów, partnerów biznesowych firmy. Nie ma znaczenia, czy Dane Osobowe były niedostatecznie chronione bezpośrednio przez przedsiębiorcę, czy też przez jego podwykonawców  – odpowiedzialność za naruszenie przepisów spoczywa na przedsiębiorcy. Dlatego też tak ważne jest posiadanie rzetelnych podwykonawców, w tym dostawców zewnętrznych systemów informatycznych, w których przetwarzane są Dane Osobowe.

Jaki ma to związek z wyborem systemu Virtual Data Room?

Virtual Data Room jest zewnętrznym systemem informatycznym, w którym przetwarzane są Dane Osobowe, których Państwo jesteście Administratorem. Nasze doświadczenia pokazują, że najczęściej powierzane nam są do przetwarzania w VDR dwa zbiory Danych Osobowych:

  1. Dane Osobowe użytkowników Data Room (Państwa pracowników, klientów, potencjalnych partnerów, inwestorów);
  2. Dane Osobowe potencjalnie zawarte w dokumentach ładowanych do Data Room.

W myśl RODO:

Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą”.

Co w takim razie warto sprawdzić przed wyborem Data Room?

W mojej ocenie warto przede wszystkim przyjrzeć się temu czy dostawca Data Room spełnia wymogi formalne wynikające z RODO. W zakresie wymogów bezpieczeństwa, szczerze powiedziawszy nie wyobrażam sobie, żeby firma dostarczała Data Room i nie miała wdrożonych podstawowych mechanizmów bezpieczeństwa, jakich wymaga RODO, takich jak szyfrowanie komunikacji, dwustopniowe logowanie (przy pomocy loginu i hasła) czy automatyczne wylogowanie z systemu. Temu nie poświęcałabym większej uwagi. Wracając do wymogów formalnych, zachęcam do zadania dostawcy Data Room poniższych pytań:

  1. Czy dostawca posiada niezależne certyfikaty potwierdzające wysoką świadomość organizacji (Zarządu, pracowników) w zakresie bezpieczeństwa informacji?

W Polsce takim certyfikatem jest ISO 27 001:2013  – międzynarodowa norma regulująca kwestie zarządzania bezpieczeństwem informacji w organizacji (o ISO pisaliśmy więcej TUTAJ).

  1. Czy dostawca posiada swój własny wzór Umowy powierzenia przetwarzania danych osobowych?

Tak jak pisałam wcześniej, korzystając z VDR zawsze powierzacie Państwo dostawcy do przetwarzania Dane Osobowe. W związku z tym podpisanie Umowy powierzenia przetwarzania Danych Osobowych między Państwa firmą i firmą dostawcy jest obowiązkowe. Mogą Państwo oczywiście dostarczyć swój własny wzór Umowy i w ten sposób wypełnić wymóg Rozporządzenia. Niemniej informacja czy dostawca taki wzór posiada daje Państwu ogólne rozeznanie na temat świadomości dostawcy w temacie RODO.

  1. Czy dostawca Data Room przechowuje dane na serwerach na terenie UE i tym samym może zagwarantować, że powierzone mu Dane Osobowe nie będą przetwarzane poza obszarem EOG (Europejskiego Obszaru Gospodarczego)? 
  1. Czy dostawca posiada Politykę Bezpieczeństwa Danych Osobowych i prowadzi Rejestr Czynności Przetwarzania Procesora Danych Osobowych (powierzonych mu przez klientów)?

Jest to obowiązek wynikający z RODO. Jeśli dostawca nie posiada polityki i nie prowadzi takiego rejestru, naraża Państwa na potencjalne ryzyka.

  1. Czy dostawca prowadzi regularnie Analizę Ryzyka Naruszenia Bezpieczeństwa Danych Osobowych?
  1. Czy wyznaczono w firmie dostawcy osobę odpowiedzialną za bezpieczeństwo Danych Osobowych?

RODO nie wymaga, aby każda firma posiadała formalną funkcję tzw. ADO (Administratora Danych Osobowych), wymaga natomiast, aby była w firmie wyznaczona osoba, która odpowiada za bezpieczeństwo Danych Osobowych przetwarzanych w firmie.

  1. Czy pracownicy dostawcy zostali przeszkoleni w zakresie przetwarzania danych w sposób zgodny z przepisami?

Jest to najbardziej „miękki” element oceny, ale jednak niezwykle ważny. Najwięcej błędów związanych z prawidłowym przetwarzaniem Danych Osobowych wynika ze zwykłego „błędu ludzkiego”. Odpowiednie przeszkolenie zespołu i regularne sprawdzanie poziomu wiedzy jest w stanie skutecznie zminiejszyć to ryzyko.

W mojej ocenie jest to minimalna lista pytań, które należy zadać, aby zminimalizować ryzyka dla Państwa jako Administratora. Jeśli nie wyczerpałam tematu, chętnie odpowiem na pytania osobiście, zachęcam do kontaktu TUTAJ. W kolejnym wpisie postaram się przybliżyć Państwu jakie środki podejmuje FORDATA, aby chronić powierzane nam przez klientów Dane Osobowe.

Jeśli artykuł był dla Państwa wartościowy, zachęcam do udostępnienia dalej, np. poprzez Facebook czy LinkedIn

Zdjęcie: Archiwum FORDATA

Udostępnij!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

 
Aleksandra Prusator
Sales & Marketing Director
Spodobało Ci się?
Udostępnij!
Najczęściej czytane
Obserwuj nas
© Wszystkie prawa zastrzeżone. FORDATA sp. z o.o. (2018)

Brain made by 813.pl    Designed by nustudio.pl
Ta strona używa ciasteczek (cookies), dzięki którym nasz serwis może działać lepiej. Korzystając ze strony akceptujesz pliki cookie.
Śniadanie Biznesowe Poznań
Państwa dane osobowe przetwarzane są przez FORDATA sp. z o.o., zgodnie z przepisami art. 6 ust.1 b) i f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016. Czytaj więcej...

Email marketing powered by FreshMail
Uzyskaj wycenę
Dziękujemy za zainteresowanie usługami FORDATA. Prosimy o pozostawienie swoich danych kontaktowych.
Skontaktujemy się z Państwem w ciągu maksymalnie 15 minut.
*pole wymagane

Dział sprzedaży pracuje w dni robocze w godz. 9-17.

Państwa dane osobowe przetwarzane są przez FORDATA sp. z o.o., zgodnie z przepisami art. 6 ust.1 b) i f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016. Czytaj więcej...

Email marketing powered by FreshMail
Uzyskaj wycenę
Dziękujemy za zainteresowanie usługami FORDATA. Prosimy o pozostawienie swoich danych kontaktowych.
Skontaktujemy się z Państwem w ciągu maksymalnie 15 minut.
*pole wymagane

Dział sprzedaży pracuje w dni robocze w godz. 9-17.

Państwa dane osobowe przetwarzane są przez FORDATA sp. z o.o., zgodnie z przepisami art. 6 ust.1 b) i f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016. Czytaj więcej...

Email marketing powered by FreshMail
Uzyskaj wycenę
Dziękujemy za zainteresowanie usługami FORDATA. Prosimy o pozostawienie swoich danych kontaktowych.
Skontaktujemy się z Państwem w ciągu maksymalnie 15 minut.
*pole wymagane

Dział sprzedaży pracuje w dni robocze w godz. 9-17.

Państwa dane osobowe przetwarzane są przez FORDATA sp. z o.o., zgodnie z przepisami art. 6 ust.1 b) i f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016. Czytaj więcej...

Email marketing powered by FreshMail
Chcesz być informowany o nowościach?
Zostaw swój e-mail!

Email marketing powered by FreshMail
Do you want to be informed about the news?
Leave your e-mail!

Email marketing powered by FreshMail
Zamów prezentację produktu lub darmową wersję testową!
Dziękujemy za zainteresowanie usługami FORDATA. Prosimy o pozostawienie swoich danych kontaktowych.
Skontaktujemy się z Państwem w ciągu maksymalnie 15 minut.
*pole wymagane

Dział sprzedaży pracuje w dni robocze w godz. 9-17.

Państwa dane osobowe przetwarzane są przez FORDATA sp. z o.o., zgodnie z przepisami art. 6 ust.1 b) i f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016. Czytaj więcej...

Email marketing powered by FreshMail
Zamów prezentację produktu lub darmową wersję testową!
Dziękujemy za zainteresowanie usługami FORDATA. Prosimy o pozostawienie swoich danych kontaktowych.
Skontaktujemy się z Państwem w ciągu maksymalnie 15 minut.
*pole wymagane

Dział sprzedaży pracuje w dni robocze w godz. 9-17.

Państwa dane osobowe przetwarzane są przez FORDATA sp. z o.o., zgodnie z przepisami art. 6 ust.1 b) i f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016. Czytaj więcej...

Email marketing powered by FreshMail
Zamów wersję testową na 14 dni za darmo!
Dziękujemy za zainteresowanie usługami FORDATA. Prosimy o pozostawienie danych kontaktowych.
Skontaktujemy się z Państwem w ciągu maksymalnie 15 minut, w celu spersonalizowania parametrów Data Room.
Zamawiając wersję testową zyskują Państwo:


  • prywatny bezpieczny Data Room na 14 dni za darmo

  • dedykowanego konsultanta i fachowe doradztwo

  • pomoc w setupie systemu

  • wsparcie techniczne 24h/7 (tel, e-mail)

  • indywidualną prezentację produktu i szkolenie

  • możliwość przekształcenia VDR w wersję komercyjną

*pole wymagane

Dział sprzedaży pracuje w dni robocze w godz. 9-17.

Państwa dane osobowe przetwarzane są przez FORDATA sp. z o.o., zgodnie z przepisami art. 6 ust.1 b) i f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016. Czytaj więcej...

Email marketing powered by FreshMail
Uzyskaj wycenę
Dziękujemy za zainteresowanie usługami FORDATA. Prosimy o pozostawienie swoich danych kontaktowych.
Skontaktujemy się z Państwem w ciągu maksymalnie 15 minut.
*pole wymagane

Dział sprzedaży pracuje w dni robocze w godz. 9-17.

Państwa dane osobowe przetwarzane są przez FORDATA sp. z o.o., zgodnie z przepisami art. 6 ust.1 b) i f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016. Czytaj więcej...

Email marketing powered by FreshMail