RODO (Rozporządzenie o Ochronie Danych Osobowych, znane też jako GDPR) to zbiór regulacji prawnych mających na celu poprawę ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych. Kto podlega RODO? Każdy europejski przedsiębiorca - bez względu na wielkość firmy, branżę, roczny obrót czy formę prawną działalności - który wykonuje jakiekolwiek działania związane z danymi osobowymi: pozyskiwanie, przechowywanie, opracowywanie i udostępnianie. Warto podkreślić, że nie ma znaczenia fakt, czy działalność firmy dotyczy obrotu danymi osobowymi, czy też przetwarzanie danych odbywa się niejako przy okazji świadczenia zupełnie innych usług. Prowadząc jakikolwiek biznes zawsze przetwarzasz dane klientów, kontrahentów, pracowników: tworząc bazy newsletterowe, prowadząc sprzedaż wysyłkową, podpisując umowy, wystawiając faktury itd. Dane osobowe to wszystkie informacje umożliwiające zidentyfikowanie tożsamości osoby fizycznej - pośrednio lub bezpośrednio. Imię, nazwisko, adres email, numer telefonu, adres zameldowania, numer NIP lub REGON umożliwiające odszukanie wpisu w CEIDG.
Czy zastanawialiście się, co dzieje się z takimi informacjami w Waszej firmie? Jak wygląda ich obieg, kto ma do nich dostęp, w jaki sposób je chronicie przed wglądem niepowołanych osób? Celem RODO jest zmobilizowanie przedsiębiorców do uważnego przyjrzenia się obecnemu stanowi ochrony danych osobowych, ze szczególnym uwzględnieniem oceny ryzyka ich wycieku oraz nałożeniem obowiązku przygotowania procedur awaryjnych na wypadek takich incydentów.
Aby jeszcze lepiej chronić osoby fizyczne przed nieuczciwymi lub niestarannymi zachowaniami przedsiębiorców w zakresie przetwarzania danych. RODO wprowadza wreszcie realną ochronę danych osobowych - firmy muszą krok po kroku, kawałek po kawałku przeanalizować swoje wewnętrzne procesy w poszukiwaniu słabych punktów: wyłapać wszelkie możliwe zagrożenia i stworzyć procedury zapobiegające lub minimalizujące skutki naruszenia bezpieczeństwa danych. Podejście oparte na analizie ryzyka umożliwi faktyczne uporządkowanie tego, co dotychczas w wielu przedsiębiorstwach spowijał chaos. To już nie jest czysta biurokracja, która miała miejsce dotychczas jak w przypadku informacji o ciasteczkach - nie wystarczy wypełnienie kilku formularzy czy wprowadzenie jednej formułki na stronie internetowej. Rozporządzenie jest wolne technologicznie - celowo nie precyzuje wielu kwestii aby prawo nadążało za szybko rozwijającą się technologią. Nowe przepisy mają zapewniać ochronę podmiotom ochrony danych bez sztywnych rekomendacji technologicznych, bo technologia zmienia się szybciej niż prawo. Kluczowy jest cel - bezpieczeństwo danych osobowych; rozwiązania informatyczne i organizacyjne są jedynie środkiem do osiągnięcia tego celu, rozporządzenie nie narzuca zatem konkretnych metod czy narzędzi. Nakłada to na przedsiębiorcę pełną odpowiedzialność za decyzje dotyczące sposobu zabezpieczania tych informacji. Naczelną zasadą GDPR wydaje się być formuła “Rób tak, aby dane osobowe były bezpieczne, z wykorzystaniem aktualnej dostępnej wiedzy i technologii”.
Rozporządzenie przewiduje konsekwencje finansowe - odpowiedzialność karną a także cywilną wobec podmiotów poszkodowanych na skutek incydentów wynikających z niewystarczającego zabezpieczenia procedur przetwarzania danych. Wysokie grzywny mają zmotywować do przestrzegania rozporządzenia tak, aby ochrona nie była fikcyjna, jedynie na poziomie deklaracji, a realnie zapewniała bezpieczeństwo danych osobowych osób fizycznych. Czy tak się stanie? Dowiemy się po 25 maja, kiedy w Polsce zostanie powołany organ nadzorujący i egzekwujący nowe przepisy, a w efekcie - ruszą pierwsze kontrole.
Na początek warto zapoznać się z pełną treścią rozporządzenia. Dostępna jest ona tutaj: https://giodo.gov.pl/234/id_art/9276/j/pl. Z kolei Ministerstwo Przedsiębiorczości i Technologii przygotowało dla polskich przedsiębiorców całkiem przyjazny przewodnik po RODO, którego lektura pozwala uporządkować sobie podstawowe informacje i zalecenia; znajdziecie go na stronie: http://www.mpit.gov.pl/media/50521/PrzewodnikMSP_RODO_2018.pdf
Wdrażając założenia RODO należy pamiętać o siedmiu ogólnych zasadach przetwarzania danych. To właśnie nim podporządkowane są poszczególne zapisy rozporządzenia i nimi powinniśmy kierować się, przygotowując konkretne rozwiązania:
zasada zgodności z prawem, rzetelności i przejrzystości: ta zasada obejmuje trzy najważniejsze kwestie. Pierwszą z nich jest konieczność posiadania przesłanek legalności pozyskania danych; drugą - obowiązek informacyjny spoczywający na administratorze danych; trzecią - zalecenie zachowania odpowiedniej, wystarczająco zrozumiałej formy komunikacji z użytkownikiem, którego dane pobieramy lub przetwarzamy.
zasada ograniczenia celu przetwarzania danych: cel ten powinien być wyraźnie określony, zaś wszystkie powody, dla których zbieramy dane mają zostać rozdzielone i konieczne są do nich odrębne, świadome zgody. Zatem jeśli - przykładowo - na swojej stronie internetowej przedsiębiorca udostępnia formularz kontaktowy, za pośrednictwem którego potencjalny klient może wysłać zapytanie ofertowe, zgoda wysyłającego dotyczy jedynie czynności otrzymania oferty. Jeśli przedsiębiorca zamierza budować w ten sposób swoją bazę newsletterową, konieczne jest umieszczenie dodatkowego - dobrowolnego - checkboxa umożliwiającego wyrażenie oddzielnej zgody na takie cele marketingowe. Zgoda domyślna, związana z udostępnianiem danych (adresu email, innych informacji niezbędnych do przygotowania i wysłania wyceny), wygasa w momencie realizacji danej czynności (wysyłki wyceny), zaś dalsze działania marketingowe takie jak newsletter mogą być realizowane na podstawie tej dodatkowej zgody - do momentu jej wycofania.
zasada minimalizacji danych: pozwala nam gromadzić tylko niezbędne dane; nie zbieramy na zapas więcej nie potrzebujemy. Jeśli cel danego działania może zostać osiągnięty bez konieczności przetwarzania danych osobowych, to taki sposób przedsiębiorca powinien - zgodnie z RODO - wybrać.
zasada prawidłowości danych: przedsiębiorca powinien zapewnić rozwiązania techniczne i organizacyjne umożliwiające usuwanie lub korygowanie nieprawidłowych danych osobowych.
zasada ograniczenia przechowania danych: możemy przechowywać dane osobowe jedynie przez taki czas, jaki niezbędny jest do realizacji działania stanowiącego przesłankę do pobrania tych danych. W praktyce należy zatem określić okresy retencji dla każdego z celów przetwarzania danych, oraz przygotować procedury usuwania rekordów z bazy. Trzymając się naszego przykładu z formularzem kontaktowym na stronie internetowej - pierwsza przesłanka legalności zebranych danych, jaką jest konieczność wykonania zamówionej przez klienta czynności przygotowania wyceny, wygasa w chwili wysłania mu oferty. Po tym okresie nie ma potrzeby (a co za tym idzie - przesłanki) dalszego przechowywania danych. Aby móc utrzymać informacje o takim kliencie w bazie do celów np. wysyłki newslettera potrzebna jest inna przesłanka, czyli świadoma zgoda. Czas przechowywania tych danych ograniczony będzie wtedy do momentu wycofania zgody przez klienta.
zasada integralności i poufności danych: przedsiębiorca zobowiązany jest do zapewnienia wszelkich możliwych środków organizacyjnych i technicznych, potrzebnych do zachowania bezpieczeństwa danych.
zasada rozliczalności: ta zasada odnosi się w zasadzie do wszystkich powyższych i zobowiązuje przedsiębiorcę (administratora danych osobowych) do wykazania, że prowadzone przez niego działania są podejmowane zgodnie z zasadami RODO. Musimy więc być w stanie w każdej chwili udokumentować oraz udowodnić, że faktycznie wprowadziliśmy w naszym przedsiębiorstwie wszelkie możliwe i niezbędne środki do zachowania bezpieczeństwa danych w zgodzie z RODO.
Co dokładnie oznaczają te zasady?
... i jak wdrożyć je w praktyce MŚP - zwłaszcza w kontekście obecności firmy w internecie?
Omówmy zatem i uporządkujmy poszczególne elementy, czynności i pojęcia związane z RODO. Do 25 maja wszyscy unijni przedsiębiorcy powinni dokładnie przeanalizować i ustrukturyzować wszystkie prowadzone przez siebie czynności związane z danymi osobowymi (czyli zbieranie, przetwarzanie, przechowywanie i udostępnianie danych).
Na podstawie tej analizy należy przygotować dokumentację, obejmującą:
rejestr przetwarzania danych wraz z analizą ryzyka uwzględniającą prawdopodobieństwo zajścia incydentu naruszenia ochrony danych oraz możliwe skutki takiego zajścia (Data Protection Impact Assessment, DPIA). Powinien on uwzględniać wszystkie zbiory danych (obecni klienci, potencjalni klienci, pracownicy, użytkownicy zapisani na newsletter itd), cele ich przetwarzania wraz z podstawami legalności (z zachowaniem zasady każdy cel=jedna podstawa, sposoby pozyskiwania, sposoby przetwarzania (co robimy ze zbiorem, w jaki sposób przechowujemy, ile czasu?) oraz ewentualne warunki udostępniania (komu, dlaczego, czy pracownicy mający wgląd w dane zostali przeszkoleni z zasad bezpieczeństwa obrotu danymi osobowymi?)
zaktualizowaną politykę prywatności, obejmującą rodzaje, sposoby, podstawy legalności przetwarzania danych, informację o administratorze, instrukcję wycofania zgód oraz pouczenie o możliwości złożenia skargi
procedury i scenariusze zarządzania kryzysowego na wypadek incydentu naruszenia bezpieczeństwa danych osobowych: każdy taki incydent powinien zostać niezwłocznie zgłoszony zarówno odpowiednim organom administracji publicznej, jak i osobom poszkodowanym na skutek incydentu, w ciągu maksymalnie 72 godzin. Na przykład jeśli zgubimy teczkę z umowami pracowniczymi, informujemy o tym zainteresowanych i stosowny urząd; jeśli dojdzie do hakerskiego włamania do administrowanej przez nas aplikacji, na skutek czego niepowołane osoby otrzymają dostęp do danych osobowych lub loginów i haseł użytkowników, należy w najkrótszym możliwym czasie wysłać odpowiedni komunikat do poszkodowanych.
politykę bezpieczeństwa danych osobowych, czyli wewnętrzny - i niedostępny dla osób postronnych - dokument opisujący wszystkie stosowane w przedsiębiorstwie sposoby zapobiegania incydentom.
To są ogólne wytyczne obejmujące wszystkich przedsiębiorców. Ponieważ jednak RODO to podejście indywidualne, każdy przedsiębiorca musi dostosować sposób postępowania i dokumentację do własnej, konkretnej sytuacji.
Poniżej najpowszechniejsze sytuacje, z jakimi możesz zmierzyć się w trakcie wdrażania rozporządzenia w swojej firmie:
Jeśli masz stronę internetową, a na niej...
formularze kontaktowe:
zadbaj o umieszczenie checkboxów, potwierdzających zgodę na przetwarzanie danych osobowych w celu przesłania odpowiedzi
zapis na newsletter:
wprowadź mechanizm podwójnej zgody: zapis powinien opierać się na możliwości potwierdzenia intencji otrzymywania informacji. Nie wystarczy zatem samo kliknięcie “Zapisz na newsletter” i podanie adresu email w formularzu na stronie - użytkownik powinien otrzymać od nas wiadomość zwrotną z linkiem do potwierdzenia zapisu oraz informacjami o rodzaju i celu przetwarzanych danych osobowych, administratorze oraz możliwości rezygnacji z subskrypcji.
rezygnacja z subskrypcji powinna być równie łatwa, co zapis - jeśli użytkownik zgłosił wolę otrzymywania newslettera poprzez kliknięcie w link potwierdzający, wycofanie zgody powinno być możliwe na podstawie podobnego mechanizmu.
system komentarzy (Facebook, Disqus, dedykowana wtyczka do CMS):
pamiętaj o zabezpieczeniu logowania administratora bezpiecznym hasłem.
w każdym z tych przypadków pamiętaj o:
zabezpieczeniu dostępu do panelu administracyjnego strony mocnym hasłem, do którego dostęp będą mieć tylko wyznaczone, upoważnione osoby w Twojej firmie
bieżącym aktualizowaniu systemu i wszystkich wtyczek w celu utrzymania możliwie najwyższego zabezpieczenia przed włamaniem
certyfikacie bezpieczeństwa SSL umożliwiającym szyfrowany transfer danych przesyłanych drogą elektroniczną (logowanie użytkownika, formularze itd)
systemowym zabezpieczeniu przed ingerencją botów, mogących podejmować próby zgadnięcia hasła przez generowanie losowych kombinacji znaków - system powinien mieć możliwość ograniczenia liczby nieudanych logowań
jako dopełnienie ochrony warto wprowadzić także dodatkowe zadanie dla użytkownika po trzykrotnym nieudanym logowaniu - wykorzystać mechanizm reCaptcha (na przykład konieczność wpisania słownie wyrazu uwidocznionego na wyświetlonym obrazku, lub wskazania spośród wyświetlonych zdjęć tych, na których widnieje znak drogowy) - my w JCD.pl korzystamy w tym celu z usługi Cloudflare lub reCaptcha Google
pamiętaj także - zgodnie z zasadą rozliczalności - aby być w stanie udokumentować podstawy legalności Twoich działań (na przykład poprzez rejestr wyrażonych przez użytkownika zgód).
Jeśli prowadzisz sklep internetowy:
ogranicz ilość pozyskiwanych informacji do tych niezbędnych; jeśli do dokonania zakupu konieczne jest założenie konta użytkownika, przeanalizuj wszystkie znajdujące się w formularzu pytania kierując się zasadą minimalizacji danych.
pamiętaj o rozdzieleniu zgód na przetwarzanie danych: zgoda na założenie konta klienta nie może wymuszać domyślnej zgody na newsletter - do każdej z nich konieczny jest oddzielny checkbox “wyrażam zgodę”
poinformuj użytkowników jeśli podlegają profilowaniu; profilowanie danych to analizowanie zachowań użytkownika w sieci w celu dopasowania dedykowanej oferty. Od 25 maja 2018 profilowaniu mogą podlegać jedynie użytkownicy, którzy zostali o tym poinformowani i wyrazili zgodę; stosowane przez Ciebie oprogramowanie sklepu internetowego musi zatem dawać możliwość wyłączenia profilowania w przypadku takiej zgody.
Jeśli administrujesz portal z rejestracją konta użytkownika/aplikację webową lub mobilną:
przygotuj i opublikuj na stronie aplikacji regulamin i/lub politykę prywatności (politykę bezpieczeństwa danych)
zagwarantuj możliwość usunięcia konta i wycofania wszelkich udzielonych zgód na przetwarzanie i przechowywanie powierzonych przez użytkownika danych; uwzględnij systemowe kopie zapasowe pilnując, by również z nich żądane dane były usuwane po wycofaniu zgody lub ustalonym czasie przechowywania.
monitoruj na bieżąco poziom bezpieczeństwa IT; stosowane przez Ciebie oprogramowanie powinno posiadać mechanizmy umożliwiające monitorowanie na wypadek incydentu naruszenia bezpieczeństwa
przygotuj procedury i mechanizmy powiadamiania użytkowników o incydencie naruszenia bezpieczeństwa ich danych osobowych
Jeśli korzystasz z zewnętrznego hostingu:
sprawdź, gdzie fizycznie znajdują się serwery i czy hostingodawca podlega prawu unijnemu - tylko firmy zarejestrowane w UE mają obowiązek zapewnić bezpieczeństwo danych zgodne z wytycznymi RODO
podpisz umowy powierzenia danych - większość hostingodawców posiada już gotowe wzory takich dokumentów.
Jeśli korzystasz z usług w chmurze (poczta, systemy CRM, CMS, inne narzędzia wspierające prowadzenie biznesu) i przechowujesz w nich dane osobowe:
stosuj mocne hasła, zmieniaj je co jakiś czas
ogranicz dostępy osób postronnych, wykorzystując do tego celu systemy zarządzania hasłami takie jak Lastpass
sprawdź, z którymi z nich możesz i powinieneś podpisać umowę powierzenia danych osobowych (np. w przypadku korzystania ze standardowej poczty Gmail będzie to niemożliwe, ale już przy usłudze biznesowej Google - GSuite - jak najbardziej możesz taką umowę podpisać)
Jeśli współpracujesz z podmiotami zewnętrznymi: księgowość, kadry, agencje marketingowe wspierające Cię w pozyskiwaniu kontaktów do klientów - podpisz z nimi umowy powierzenia danych.
Jeśli zatrudniasz pracowników:
ustal, kto z nich ma dostęp do jakich danych osobowych (w tym haseł do systemów i narzędzi, w których przechowywane są dane)
zadbaj o podpisanie upoważnień związanych z dostępem do tych danych
przeszkól ich z zasad bezpieczeństwa operowania danymi osobowymi (pamiętaj o podpisaniu stosownych oświadczeń, aby posiadać dowód przeprowadzenia takiego szkolenia w razie kontroli)
zaktualizuj podpisane z nimi umowy zgodnie z założeniami obowiązku informacyjnego (bo również pracownicy Twojej firmy są podmiotami przetwarzania danych osobowych)
Jeśli ty i/lub Twoi pracownicy korzystacie z telefonów, tabletów lub komputerów (stacjonarnych lub przenośnych) w celu gromadzenia, przechowywania lub przetwarzania danych:
pamiętaj o zabezpieczeniu urządzeń mocnymi hasłami
stosuj i na bieżąco aktualizuj oprogramowanie zapobiegające atakom wirusów
zainstaluj oprogramowanie pozwalające na zdalne zarządzanie zasobami urządzeń przenośnych w razie zagubienia lub kradzieży.
Jeśli działalność Twojej firmy polega na przetwarzaniu danych osobowych, lub przetwarzasz szczególne (dawniej - wrażliwe) kategorie danych osobowych na dużą skalę:
powołaj Inspektora Ochrony Danych Osobowych, odpowiedzialnego za monitorowanie i zapewnienie bezpieczeństwa danych
przeprowadź dodatkowe audyty i analizy ryzyka w celu wdrożenia technologicznych i organizacyjnych mechanizmów bezpieczeństwa danych na podwyższonym poziomie (np. wieloetapowe logowanie do systemu z wykorzystaniem jednorazowych tokenów lub kodów SMS).
Samodzielnie czy z kimś, czyli z czyjej pomocy możesz skorzystać?
W przypadku niewielkiej skali działalności gospodarczej, nie zajmującej się przetwarzaniem danych osobowych na dużą skalę a w szczególności danych należących do kategorii szczególnych, przygotowanie do RODO nie powinno być problematyczne. Wystarczy zapoznać się z linkowanym wyżej poradnikiem Ministerstwa Przedsiębiorczości i Technologii i uczciwie przeanalizować wszystkie opisane w nim aspekty przechowywania i przetwarzania danych w świetle indywidualnych potrzeb firmy.
Możesz także skorzystać z pomocy specjalistów, audytorów i kancelarii prawnych zajmujących się bezpieczeństwem danych, którzy przygotują procedury i dokumenty pod kątem organizacyjnym i formalnym.
W kwestiach technologicznych skontaktuj się z twórcą/administratorem swojej strony internetowej lub dostawcą oprogramowania, na którym opierasz swoją działalność. Programiści zadbają o bezpieczeństwo technologiczne w wymiarze standardowym, doradzą rekomendowane rozwiązania i wdrożą je w Twojej aplikacji. Jednak to Ty - jako administrator danych odpowiedzialny prawnie wobec organów kontrolujących - musisz dokonać analizy jakie dane, na jakiej podstawie, w jakim celu i przez jaki czas będziesz przetwarzać, a następnie oszacować ryzyko i wspólnie z software housem ustalić, jak wysokiego poziomu zaawansowania zabezpieczeń technologicznych będziesz potrzebować.
Anna Karcz-Czajkowska, JCD.pl
Potrzebujesz wsparcia w aspektach technologicznych? Pomagamy naszym klientom we wdrożeniu technologicznych elementów bezpieczeństwa danych osobowych, zwłaszcza:
dostosowaniu strony internetowej lub aplikacji do realizacji obowiązków informacyjnych poprzez publikację polityki prywatności i zaktualizowanych regulaminów
graficznym i technologicznym dostosowaniu mechanizmów zbierania zgód na przetwarzanie danych osobowych w formularzach kontaktowych, zapisie na newsletter
wprowadzeniu certyfikatu bezpieczeństwa SSL umożliwiającego szyfrowany transfer danych przesyłanych drogą elektroniczną (logowanie użytkownika, formularze itd)
systemowym zabezpieczeniu przed ingerencją botów, mogących podejmować próby zgadnięcia hasła
wdrożeniu usługi Cloudflare jako dopełnienia ochrony przed łamaniem haseł.
Zero spamu - tylko wartościowe treści!: