Bezpieczeństwo RODO - dlaczego warto wybrać Data Room FORDATA?

O RODO pisaliśmy już wielokrotnie. Nie bez przyczyny, korzystając z Virtual Data Room, powierzają Państwo dostawcy systemu dane osobowe do przetwarzania. Najczęściej są to dane osobowe użytkowników, zaproszonych do Data Room, a także dane potencjalnie zawarte w dokumentach ładowanych do systemu. Niesie to dla Państwa firmy potencjalne ryzyka, bo kary za niedostateczne zabezpieczenie tych danych grożą Państwu jako Administratorowi. Dobra wiadomość jest taka, że można je skutecznie zniwelować wybierając właściwą firmę do współpracy. O tym jakie ryzyka związane są z korzystaniem z zewnętrznych systemów IT w kontekście RODO pisaliśmy TUTAJ. Dziś chciałabym przybliżyć jak FORDATA spełnia wymogi unijnego rozporządzenia oraz co jeszcze możemy zagwarantować będąc polską firmą.

Przepisy RODO stawiają przed firmami wymogi zarówno w zakresie tego jak powinny być zabezpieczone systemy informatyczne, w których przetwarzane są dane osobowe, jak i tego jak formalnie firma powinna podejść do przetwarzania DO. Jak pisałam wcześniej w artykule „Co warto sprawdzić przed wyborem Virtual Data Room w kontekście RODO” , w mojej ocenie trudniejsze jest spełnienie wymogów formalnych. Wydaje się, że wymogi techniczne dla dostawców systemów IT nie powinny stanowić większego wyzwania i co do zasady każdy powinien je spełniać.

1. Od ponad 7 lat zarządzamy bezpieczeństwem informacji, zgodnie z normą ISO 27 001:2013

Jest to międzynarodowa norma standardyzująca procesy zarządzania bezpieczeństwem informacji w przedsiębiorstwie, o której więcej pisaliśmy TUTAJ. ISO niejako narzuca firmie, aby o bezpieczeństwie informacji, w tym danych osobowych, myśleć w sposób holistyczny. Nie tylko w kontekście zabezpieczeń systemu IT, ale przede wszystkim w kontekście procedur obchodzenia się z informacjami. Zarówno tymi, których właścicielem jest firma, jak i tymi, które powierzane są jej przez inne podmioty (np. klientów).

Celem wprowadzenia procedur jest odpowiednia standaryzacja pracy, wyznaczenie zasad postępowania w konkretnych sytuacjach, identyfikacja ryzyk i zagrożeń. I tak np. w FORDATA posiadamy procedury jak obchodzimy się z danymi przekazanymi nam przez klientów do załadowania do Data Room, kto ma do nich dostęp, a kto nie, w jaki sposób następuje ładowanie, weryfikacja poprawności danych itp., czy też jakie kroki podejmujemy po zakończeniu współpracy (trwałe zniszczenie lub zwrot nośników, zniszczenie danych na serwerach, komputerach, poczcie elektronicznej itp.) Są to ściśle monitorowane procesy, które mają na celu wyeliminowanie możliwości popełnienia błędu ludzkiego, a co za tym idzie minimalizację ryzyk dla Państwa.

2. Z każdym klientem podpisujemy Umowę powierzenia przetwarzania danych osobowych (WYMÓG RODO)

Posiadamy oczywiście swój indywidualny wzór, ale jesteśmy też elastyczni, aby podpisać Umowę na wzorze dostarczonym przez klienta. Doceniają to szczególnie nasi klienci z branży finansowej, windykacyjnej, a także duże grupy kapitałowe, które posiadają swoje wewnętrzne wzory takich dokumentów i sztywne wytyczne w zakresie ich podpisania.

3. Prowadzimy Rejestr czynności przetwarzania Procesora Danych Osobowych powierzonych nam przez klientów (WYMÓG RODO)

Obejmuje on listę wszystkich klientów, którzy podpowierzyli nam przetwarzanie Danych Osobowych po 25.05.2018 (co w przypadku FORDATA sprowadza się do listy wszystkich umów podpisanych z klientami lub wciąż obowiązujących po 25 maja). Zgodnie z wymogami Rozporządzenia, rejestr zawiera m.in. wskazanie Administratora DO, Zbiorów danych osobowych i Kategorii osób, których dane dotyczą, celu przetwarzania, a także listę podmiotów, którym podpowierzono DO oraz wykaz stosowanych względem DO przez FORDATA środków bezpieczeństwa.

4. Prowadzimy regularnie Analizę Ryzyka Naruszenia Bezpieczeństwa DO (WYMÓG RODO)

Analiza ta ma na celu identyfikację i tym samym eliminację ryzyk związanychz z przetwarzaniem danych osobowych w naszej firmie.Robiąc pierwsze podejście do Analizy mieliśmy o tyle ułatwione zadanie, że oparliśmy się o podejście przyjęte w analizie ryzyka utraty bezpieczeństwa informacji, która w FORDATA funkcjonuje od lat w związku z ISO.

5. Regularnie podnosimy świadomość Zespołu, w zakresie RODO i bezpieczeństwa danych osobowych (spotkania MISA – Monthly Information Security Announcements meetings).

Ponadto każdy pracownik posiada upoważnienie do przetwarzania danych osobowych i jest przeszkolony w zakresie postępowania ze zgłoszeniami dot. danych osobowych oraz obsługi incydentów dot. naruszenia ochrony danych osobowych.

Tak jak wskazałam wcześniej, wydaje się, że każda profesjonalny system IT powinnien posiadać zabezpieczenia, których wymaga RODO. Lista zabezpieczeń jest raczej standardowa i od dawna stosowana w branży IT. Choć przyznam, że osobiście zdarzyło mi się korzystać ostatnio z poleconego systemu, w którym przetwarzane są DO (był to akurat CRM), który nie posiadał mechanizmu autowylogowania (a jest to wymóg RODO).

• Szyfrujemy dane i komunikację algorytmem 256 bit (certyfikat EV SSL) – jest to ten sam standard szyfrowania, który stosowany jest w bankowości elektronicznej
• Utrzymujemy dane (w tym Dane Osobowe) w renomowanych centrach hostingowych, zlokalizowanych w Polsce;
• Data Room posiada mechanizmy pozwalające na prowadzenie dziennika zdarzeń na dokumentach zawierających dane osobowe (raporty)
• Autoryzacja dostępu do systemu następuje poprzez login, hasło i sms
• System wymusza okresową zmianę hasła
• System posiada mechanizm autowylogowania, po określonym czasie nieaktywności użytkownika

FORDATA gwarantuje przetwarzanie Danych Osobowych tylko na terenie Polski. Powyższy warunek, w następstwie wejścia w życie RODO, stał się atutem FORDATA VDR. Zaobserwowaliśmy, że wielu klientów (głównie z branży finansowej) oczekuje od nas, abyśmy jako Procesor zobowiązali się do przetwarzania powierzonych nam danych osobowych tylko na terenie RP. Choć warunek ten nie jest wymogiem RODO (zgodnie z rozporządzeniem istnieje tylko ograniczenie, że dane winny być przetwarzane na terenie EOG), to zgodnie z naszą wiedzą, jako jedyny dostawca Virtual Data Room możemy spełnić powyższy wymóg.

W jaki sposób?

• Centra hostingowe, w których utrzymujemy dane są zlokalizowane w Polsce
• FORDATA ma siedzibę w Poznaniu
• Zespół odpowiedzialny za obsługę klientów pracuje z Poznania
• Wszyscy nasi podwykonawcy to firmy zlokalizowane w Polsce