Kategorie
 
  »

RODO

W związku z wejściem w życie ustawy RODO zobowiązani jesteśmy podpisać bądź zaktualizować umowy powierzenia przetwarzania danych osobowych ze wszystkimi klientami, którzy są administratorami danych osobowych i takowe dane do przetwarzania nam powierzyli.

W szczególności dotyczy to wszystkich klientów, którzy użytkują nasz system Kubito Kadry i Płace. W przypadku systemów księgowości, fakturowania, lub Księgi Przychodów i Rozchodów to, czy przechowywane w nich dane dotyczące działalności gospodarczej klientów są danymi osobowymi jest kontrowersyjne, jednak dla formalnej czystości przypominam, że także konta operatorów zawierają imię i nazwisko operatora oraz nieweryfikowany adres email, dlatego gotowi jesteśmy podpisać takie umowy z każdym klientem użytkującym wyłącznie księgowość, jeśli tego oczekuje.

Ustawa RODO kilka rzeczy zmieniła bądź uściśliła, dlatego informuję, że nawet w sytuacji, w której nie uzyskujemy dostępu do danych osobowych powierzonych nam przez klientów, samo przechowywanie tych danych na fizycznych nośnikach oraz np. wykonywanie kopii bezpieczeństwa jest także uznawane za przetwarzanie danych, stąd podpisanie takiej umowy jest konieczne. Niezbędne jest także formalne poinformowanie wszystkich administratorów i uzyskanie ich akceptacji w zakresie lokalizacji infrastruktury, na której przetwarzane są ich dane osobowe oraz o wszystkich podmiotach, które mogą te dane przetwarzać w ramach podpowierzenia im przetwarzania przez naszą firmę. Wszystkie te informacje zawarte są w załączonej umowie, poniżej jednak pozwolę sobie na kilka słów komentarza.

System Kubito działa w tzw. chmurze obliczeniowej, co w praktyce oznacza, że jest on logicznie odseparowany od fizycznego sprzętu komputerowego i może być łatwo przenoszony pomiędzy różnymi maszynami. Tego typu podejście zwiększa fizyczne bezpieczeństwo danych i ich odporność na awarie sprzętu, jednakże RODO nakłada na tą technologię fizyczne ograniczenie dotyczące geograficznej lokalizacji miejsca przetwarzania. Jako miejsce przetwarzania wybraliśmy jedno z najnowocześniejszych i dobrze zabezpieczonych centrów obliczeniowych należące do firmy OVH, zlokalizowane w Ożarowie Mazowieckim pod Warszawą. Przechowywane tam dane są dużo bardziej odporne na ewentualne awarie i zdecydowanie lepiej zabezpieczone, niż gdybyśmy przechowywali je we własnych zasobach fizycznych.

Po wejściu w życie RODO musieliśmy podpisać z OVH umowę dotyczącą powierzenia przetwarzania danych osobowych, która zawiera istotne ograniczenia dotyczące procedur związanych z ochroną danych osobowych, dlatego załączam tę umowę do niniejszej wiadomości, staje się też ona załącznikiem do umowy powierzenia przetwarzania danych osobowych pomiędzy naszymi firmami, ponieważ szczegółowo reguluje zasady przeprowadzania ewentualnych audytów. Oczywiście jeśli zasady te zostałyby w jakiś sposób zmienione przez OVH, poinformujemy o tym wszystkie zainteresowane strony.

Część z państwa bezpośrednio po wejściu w życie RODO zaproponowała nam swoje wersje umów powierzenia przetwarzania danych osobowych, jednak ze względu na ich niekompletność lub niezgodność ze stanem faktycznym nie bylibyśmy w stanie ich podpisać. W szczególności proponowana przez nas umowa szczegółowo reguluje 3 kwestie nie poruszane lub ujęte niezgodnie ze stanem faktycznym w proponowanych przez niektórych z państwa umowach: sprawę podpowierzania przetwarzania danych, audyty oraz odszkodowania. Każdą z tych kwestii omówię poniżej:

1. Podpowierzanie.

Jak już wspomniałem wcześniej każda operacja odczytu, zapisu czy modyfikacji danych na nośniku fizycznym jest przetwarzaniem danych. Zastosowane przez nas środki bezpieczeństwa – szyfrowanie zapisu danych – powodują, iż pomimo, że dane zapisywane są na nośnikach należących do OVH, operatorzy OVH praktycznie nie są w stanie uzyskać dostępu do odszyfrowanych danych, stanowią one dla nich nieczytelny ciąg danych binarnych, niezależnie od formalnej deklaracji zapisanej w umowie z OVH, iż operatorzy OVH nie uzyskują dostępu do żadnych danych. Niemniej formalnie, zgodnie z RODO, firma OVH jest podmiotem przetwarzającym dane osobowe zapisane w naszym systemie. Dlatego informacja o tym musi zostać zawarta w naszej umowie.

2. Audyty

Część z państwa w proponowanych umowach zawarła żądanie udostępnienia przez nas w ciągu krótkiego czasu fizycznej infrastruktury, w celu przeprowadzenia audytu bezpieczeństwa weryfikującego poprawność przetwarzania danych. Przed wejściem w życie RODO było to w ogóle niemożliwe, obce osoby nie miały wstępu do serwerowni OVH. Ponieważ RODO narzuciło obowiązek ewentualnego udostępniania infrastruktury do audytów, OVH zmodyfikowało swoje umowy i uwzględnia taką możliwość jako dopuszczalną, jednak po wyczerpaniu innych metod prezentacji zabezpieczeń (m.in. certyfikaty bezpieczeństwa przyznawane przez odpowiednie autorytety) i przy zachowaniu świadomości przetwarzania danych w tym samym centrum przez inne podmioty i odpowiedniego reżimu bezpieczeństwa opisanego dokładnie w umowie. Stąd konieczność załączenia tej umowy do naszych umów.

3. Odpowiedzialność i odszkodowania

W przypadku naruszenia zasad przetwarzania danych osobowych RODO przewiduje kary dla podmiotów przetwarzających te dane oraz odszkodowania dla osób pokrzywdzonych. Uzależnione są one m.in. od wielkości firmy i rocznego budżetu. Część z państwa pozwoliła sobie zawrzeć w proponowanych umowach klauzule dotyczące ewentualnych kar, w skrajnym przypadku przerzucające na nas całkowitą odpowiedzialność za wszelkie naruszenia i zobowiązanie zapłacenia każdej kary nałożonej na klienta. To spore nieporozumienie. Kluczowym aspektem jest rozróżnienie między bezpieczeństwem danych hostowanych przez klienta, a bezpieczeństwem infrastruktur, na których są one hostowane.

Klient jest jako jedyny odpowiedzialny za zapewnienie bezpieczeństwa swoich zasobów, które przetwarza przy wykorzystaniu naszych usług. Sponsor2 udostępnia klientowi narzędzia umożliwiające zabezpieczenie danych: połączenie z aplikacją Kubito jest szyfrowane protokołem zabezpieczonym certyfikatem SSL. Konta zabezpieczone są hasłami. Po wejściu w życie RODO zaimplementowaliśmy politykę wymuszającą złożoność haseł, zmianę haseł co określony czas i pamiętanie wsteczne zadanej liczby poprzednich haseł. Parametry te ustawione zostały na 8 znaków, 30 dni oraz 8 poprzednich haseł. Parametry te można ustawić samodzielnie w formularzu „dane firmy”, dostępnym w menu Struktura systemu. Można nawet wyłączyć wymuszanie zmiany haseł po ustawieniu okresu wygasania na zero. Osobiście uważam, że wymuszanie zmiany haseł co miesiąc nie przyczynia się do zwiększenia bezpieczeństwa, wręcz przeciwnie, ponieważ użytkownicy zapisują sobie hasła na kartkach, które łatwo jest znaleźć w biurze. Większość inspektorów ochrony ma jednak na ten temat inne zdanie, dlatego sprawę ustawienia odpowiedniej polityki pozostawiamy klientom do samodzielnej decyzji. Nie udzielamy też żadnych informacji dotyczących danych osobowych zdalnie, chyba że z klientem zostanie ustalone hasło telefoniczne.

Jeśli chodzi o bezpieczeństwo infrastruktury to w tym zakresie polegamy na OVH. OVH gwarantuje optymalne bezpieczeństwo infrastruktur, w szczególności poprzez wdrażanie polityki bezpieczeństwa systemów informacyjnych oraz spełnianie wymagań poszczególnych norm i certyfikacji (certyfikacja PCI-DSS, certyfikacja ISO/IEC 27001, atesty SOC 1 TYPE II i SOC 2 TYPE II, etc.). Informacje te są ogólnodostępne, publikowane na stronie https://www.ovh.pl/ochrona-danych-osobowych/bezpieczenstwo.xml

W przypadku stwierdzeniu naruszeń podczas ewentualnej kontroli GIODO odpowiednia kara zostanie nałożona na podmiot przetwarzający i będzie adekwatna do jego specyfiki. Jeśli zostanie nałożona na naszego klienta a nie na nas, będzie to oznaczało, że GIODO dopatrzył się naruszeń po stronie klienta i jego uznał za odpowiedzialnego. Uregulowanie tej kwestii w odmienny sposób w umowie prowadziłoby nieuchronnie do sporu prawnego dotyczącego ustalenia odpowiedzialności, do czego najbardziej kompetentnym organem jest GIODO, który już takich ustaleń dokonał nakładając karę.

W sprawie odszkodowań jesteśmy także związani ograniczeniami umowy z OVH. W tym przypadku OVH reguluje tę sprawę standardowo: w przypadku wysunięcia jakichkolwiek roszczeń związanych z naruszeniem danych osobowych w pierwszej kolejności my powinniśmy pokryć całe roszczenie, a dopiero potem możemy dochodzić od OVH tej części, za jaką ewentualną odpowiedzialność ponosi OVH, jednak z uwzględnieniem postanowień umowy usługi (chmury obliczeniowej), zgodnie z którą odpowiedzialność OVH nigdy nie przekracza wartości jednorazowego miesięcznego abonamentu. Nie możemy tej kwestii uregulować inaczej w naszej umowie z państwem. W przypadku konieczności wypłacenia odszkodowania za szkodę powstałą z winy OVH nie będziemy w stanie odzyskać od OVH kwoty wyższej niż jednorazowy abonament. Rezygnacja z ograniczenia wysokości odszkodowania lub przyjęcie na siebie wszelkiej odpowiedzialności za dowolne naruszenie bez ustalania winnego jest niemożliwa z oczywistych powodów, a wprowadzenie wyższego limitu w naszą umowę z państwem wymagałoby od nas ubezpieczenia się od odpowiedzialności cywilnej z tytułu tej konkretnej umowy, co automatycznie znacząco podniosłoby koszty usługi.

Załączniki:

25 maja 2018 | Kategoria: Bez kategorii

Leave a Reply

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  

  

  

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.