RODO: Rozporządzenie Ogólne o Ochronie Danych Osobowych, które weszło w życie we wszystkich państwach członkowskich UE dnia 25 maja br. nakłada na przedsiębiorców bardzo wysokie kary za niedostateczną ochronę Danych Osobowych, których firma jest administratorem (o karach i sposobach na minimalizację ryzyk pisaliśmy TUTAJ).
A każda firma jest administratorem co najmniej takich zbiorów danych, jak dane osobowe pracowników, klientów, partnerów biznesowych firmy. Nie ma znaczenia, czy Dane Osobowe były niedostatecznie chronione bezpośrednio przez przedsiębiorcę, czy też przez jego podwykonawców – odpowiedzialność za naruszenie przepisów spoczywa na przedsiębiorcy. Dlatego też tak ważne jest posiadanie rzetelnych podwykonawców, w tym dostawców zewnętrznych systemów informatycznych, w których przetwarzane są Dane Osobowe.
Virtual Data Room jest zewnętrznym systemem informatycznym, w którym przetwarzane są Dane Osobowe, których Państwo jesteście Administratorem. Nasze doświadczenia pokazują, że najczęściej powierzane nam są do przetwarzania w VDR dwa zbiory Danych Osobowych:
W myśl RODO:
„Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą”.
W mojej ocenie warto przede wszystkim przyjrzeć się temu czy dostawca Data Room spełnia wymogi formalne wynikające z RODO. W zakresie wymogów bezpieczeństwa, szczerze powiedziawszy nie wyobrażam sobie, żeby firma dostarczała Data Room i nie miała wdrożonych podstawowych mechanizmów bezpieczeństwa, jakich wymaga RODO, takich jak szyfrowanie komunikacji, dwustopniowe logowanie (przy pomocy loginu i hasła) czy automatyczne wylogowanie z systemu. Temu nie poświęcałabym większej uwagi. Wracając do wymogów formalnych, zachęcam do zadania dostawcy Data Room poniższych pytań:
W Polsce takim certyfikatem jest ISO 27 001:2013 – międzynarodowa norma regulująca kwestie zarządzania bezpieczeństwem informacji w organizacji (o ISO pisaliśmy więcej TUTAJ).
Tak jak pisałam wcześniej, korzystając z VDR zawsze powierzacie Państwo dostawcy do przetwarzania Dane Osobowe. W związku z tym podpisanie Umowy powierzenia przetwarzania Danych Osobowych między Państwa firmą i firmą dostawcy jest obowiązkowe. Mogą Państwo oczywiście dostarczyć swój własny wzór Umowy i w ten sposób wypełnić wymóg Rozporządzenia. Niemniej informacja czy dostawca taki wzór posiada daje Państwu ogólne rozeznanie na temat świadomości dostawcy w temacie RODO.
Jest to obowiązek wynikający z RODO. Jeśli dostawca nie posiada polityki i nie prowadzi takiego rejestru, naraża Państwa na potencjalne ryzyka.
RODO nie wymaga, aby każda firma posiadała formalną funkcję tzw. ADO (Administratora Danych Osobowych), wymaga natomiast, aby była w firmie wyznaczona osoba, która odpowiada za bezpieczeństwo Danych Osobowych przetwarzanych w firmie.
Jest to najbardziej „miękki” element oceny, ale jednak niezwykle ważny. Najwięcej błędów związanych z prawidłowym przetwarzaniem Danych Osobowych wynika ze zwykłego „błędu ludzkiego”. Odpowiednie przeszkolenie zespołu i regularne sprawdzanie poziomu wiedzy jest w stanie skutecznie zminiejszyć to ryzyko.
W mojej ocenie jest to minimalna lista pytań, które należy zadać, aby zminimalizować ryzyka dla Państwa jako Administratora. Jeśli nie wyczerpałam tematu, chętnie odpowiem na pytania osobiście, zachęcam do kontaktu TUTAJ. W kolejnym wpisie postaram się przybliżyć Państwu jakie środki podejmuje FORDATA, aby chronić powierzane nam przez klientów Dane Osobowe.
Jeśli artykuł był dla Państwa wartościowy, zachęcam do udostępnienia dalej, np. poprzez Facebook czy LinkedIn
Zdjęcie: Archiwum FORDATA