Usługi chmurowe, czyli cloud computing, stały się niezwykle popularne, ponieważ ułatwiają pracę zespołów i umożliwiają zdalne świadczenie usług odbiorcom z całego globu. Cloud computing występuje w kilku odmianach, wśród których istotne miejsce zajmuje SaaS. Czy konieczne jest wdrażanie RODO w aplikacjach SaaS i jak zrobić to zgodnie z prawem?
Dlaczego w aplikacji SaaS trzeba wdrożyć RODO?
Model oprogramowania SaaS (ang. Software as a Service) często jest stawiany w opozycji do aplikacji typu on-premise. W tym drugim przypadku nabywca otrzymuje gotowy software, który instaluje na firmowych komputerach.
Oczywiście nadal musi przestrzegać postanowień licencyjnych, ale ma kontrolę nad tym, co dzieje się z oprogramowaniem. Z kolei aplikacje SaaS świadczone są z wykorzystaniem usługi chmurowej. Dostawca software’u udostępnia możliwość korzystania z programu, który na ogół dostępny jest z poziomu przeglądarki internetowej. Gdzie stosuje się tego rodzaju rozwiązania? Dobrym przykładem są programy typu:
- Customer Relationship Management, CRM;
- Enterprise Resource Management, ERP;
- Warehouse Resource Management, WMS.
Wiele tego rodzaju programów jest dostarczanych właśnie w modelu SaaS, który jest tańszy i pozwala na płynną skalowalność w przeciwieństwie do aplikacji on-premise. Jednocześnie software typu CRM czy ERP gromadzi duże ilości danych osobowych klientów, które następnie są przetwarzane na wiele sposobów.
Ochrona danych osobowych w modelu SaaS jest niezwykle istotna z punktu widzenia przedsiębiorcy, ponieważ naruszenie przepisów rozporządzenia może skutkować nałożeniem bardzo wysokich kar finansowych.
Pamiętaj, że konieczność wdrożenia RODO pojawia się niezależnie od tego czy Twoja firma świadczy usługi na rzecz innych przedsiębiorców, a także konsumentów.
A może potrzebujesz wzoru umowy SaaS?
-
Umowa SaaS o świadczenie usług chmurowych [PL/EN]
599,00 zł – 799,00 zł (z VAT)
Na czym polega przetwarzanie danych osobowych?
Aby pojawiła się konieczność wdrożenia RODO w związku ze świadczeniem usługi SaaS, musi dojść do przetwarzania danych osobowych. Jest to pojęcie bardzo szerokie i obejmuje każdą operację wykonywaną na danych, w tym m.in. ich:
- zbieranie;
- utrwalanie;
- organizowanie;
- przechowywanie;
- porządkowanie;
- przeglądanie;
- ujawnianie;
- rozpowszechnianie.
Nie ma przy tym znaczenia czy dane zostały zebrane automatycznie czy nie, a także w jakiej postaci występują (np. rekord w bazie danych, skan dowodu osobistego). Za daną osobową uważa się każdą informację, która pozwala zidentyfikować lub identyfikuje daną osobę. Nie musi nią być wyłącznie imię i nazwisko. Za dane osobowe uważa się też numer i serię dowodu tożsamości, adres IP, dane o lokalizacji, adres zamieszkania, a nawet wysokość dochodów. Jeżeli segregujesz swoich klientów według takich kryteriów – przetwarzasz dane osobowe.
Czy siedziba firmy ma znaczenie dla obowiązku wdrożenia RODO?
Zasadniczo RODO obowiązuje przede wszystkim na terytorium całej Unii Europejskiej (w tym Polski), a także na obszarze Europejskiego Obszaru Gospodarczego. Niezależnie od tego, przepisy rozporządzenia znajdują zastosowanie również w sytuacji, gdy:
- firma przetwarza dane i ma siedzibę na obszarze obowiązywania RODO, niezależnie od miejsca faktycznego przetwarzania danych osobowych;
- firma ma siedzibę poza obszarem obowiązywania RODO, ale do przetwarzania danych dochodzi na obszarze jego obowiązywania.
W praktyce oznacza to, że nawet w sytuacji, kiedy wprawdzie założyłeś spółkę w raju podatkowym (np. na Kajmanach), ale firma oferuje swoje usługi obywatelom państw Unii Europejskiej, nadal konieczne będzie wdrożenie RODO.
W jaki sposób wdrożyć RODO w aplikacji SaaS?
Wdrożenie RODO można podzielić na kilka etapów. Zachowanie ich kolejności jest ważne, aby całą pracę wykonać solidnie.
Audyt RODO w firmie
Pierwszym krokiem powinno być przeprowadzenie audytu RODO w przedsiębiorstwie. Audyt RODO ma na celu określenie stanu wyjściowego wdrożenia procesów ochrony danych osobowych, a także świadomości pracowników w tym zakresie. Przede wszystkim należy ustalić podstawę prawną przetwarzania danych w oparciu o brzmienie art. 6 rozporządzenia. Z reguły będzie nim:
- zgoda na przetwarzanie danych osobowych danej osoby;
- umowa wiążąca daną osobę z podmiotem oferującym usługę;
- prawnie uzasadniony interes administratora (w ostateczności).
Co więcej należy ustalić, które dane osobowe są niezbędne do świadczenia usługi. W tym zakresie trzeba kierować się zasadą minimalizacji, czyli ograniczenia przetwarzania danych do niezbędnego minimum.
Audyt RODO powinien odpowiedzieć również na pytanie o stan zabezpieczeń informatycznych aplikacji. Projektując je należy uwzględnić możliwe zagrożenia jakie mogą się pojawić oraz ryzyko ich wystąpienia. Warto zadbać o to, aby organizacja spełniała międzynarodowe normy z rodziny 27000, które świadczą o zapewnieniu bezpieczeństwa informacji.
Należy także ustalić, kto spośród pracowników i współpracowników ma dostęp do danych gromadzonych w systemie i w jakim zakresie. Warto zadbać, aby osoby mające dostęp do informacji posiadały odpowiedni poziom wiedzy w zakresie ochrony informacji.
Co dzieje się z danymi w aplikacji SaaS?
W ramach realizacji zasady rozliczalności zadbaj o przygotowanie dwóch rejestrów, o których mowa w art. 30 RODO – mowa o rejestrze czynności przetwarzania danych osobowych oraz rejestr kategorii czynności przetwarzania.
Pierwszy z rejestrów stanowi obligatoryjny element dokumentacji RODO. Drugi odnosi się do danych, które będą uploadowali w aplikacji klienci dostawcy aplikacji SaaS, np. dane osobowe swoich klientów. Oba rejestry mogą mieć formę elektroniczną (i w praktyce zwykle tak jest). Jakie dane można odnaleźć w rejestrze czynności przetwarzania? Przede wszystkim będą to:
- dane administratora oraz IOD;
- cele przetwarzania danych osobowych;
- wskazanie kategorii osób, których dane będą przetwarzanie oraz kategorii tych danych;
- okres retencji danych.
W przypadku rejestru kategorii czynności przetwarzania, mieszczą się w nim m.in:
- kategorie przetwarzań dokonywanych w imieniu administratora;
- informacje o przekazaniu danych do państwa trzeciego lub organizacji międzynarodowej.
Opracowanie macierzy ryzyka
Informacje zebrane w trakcie audytu należy wykorzystać do przygotowania macierzy ryzyka. Zazwyczaj ma ona postać obszernej tabeli określającej obszary w których istnieje ryzyko wycieku danych, a także określenie stopnia tego ryzyka. Prawdopodobieństwo wystąpienia incydentu można podzielić np. na:
- mało prawdopodobne, jeżeli zagrożenie nie występowało w przeszłości, a ryzyko jego pojawienia się jest bliskie zeru;
- średnio prawdopodobne, jeżeli ryzyko zagrożenia jest niewielkie i sporadycznie pojawiało się ono dotychczas;
- bardzo prawdopodobne, jeżeli zagrożenie występowało regularnie w przeszłości, a ryzyko jego pojawienia się jest realne;
- niemal pewne, kiedy istnieje niemal 100-procentowe ryzyko wystąpienia incydentu.
Następnie do każdego ryzyka należy przypisać określone mechanizmy zaradcze. W aplikacjach SaaS zazwyczaj mają one wymiar informatyczny. Opracowując ocenę ryzyka należy pamiętać, że na administratorze ciąży obowiązek wykazania zasady rozliczalności. Szczególnie silne mechanizmy zabezpieczeń powinny zostać opracowane dla danych wrażliwych, np. na potrzeby aplikacji SaaS wykorzystywanych przez placówki ochrony zdrowia, które zapisują historię choroby każdego z pacjentów.
Lista dokumentów RODO, które powinny zostać opracowane na potrzeby SaaS jest dosyć obszerna i poza polityka ochrony danych osobowych oraz wspomnianymi rejestrami obejmuje też procedurę postępowania w przypadku naruszeń uprawnień osób, których dane są przetwarzane, rejestr naruszeń, procedurę usuwania danych osobowych oraz analizę ryzyka, a niekiedy również ocenę skutków naruszenia. Każdy z tych dokumentów powinien być opracowany z uwzględnieniem specyfiki danej usługi SaaS.
Podmiot udostępniający usługę SaaS jako procesor ochrony danych osobowych
Dostawca oprogramowania w modelu SaaS, który udostępnia przedsiębiorcy do dyspozycji aplikację przetwarza dane osobowe na zlecenie i w zakresie określonym przez administratora. W świetle rozporządzenia RODO jest więc procesorem danych osobowych. Zgodnie z art. 28 RODO w takiej sytuacji niezbędne jest zawarcie umowy, której treść powinna wskazywać przede wszystkim:
- wyraźne powierzenie przetwarzania danych procesorowi przez administratora;
- zobowiązanie procesora do zachowania tajemnicy w zakresie przetwarzania danych osobowych objętych umową i udostępnienia danych wyłącznie osobom upoważnionym do ich przetwarzania;
- obowiązek wdrożenia przez procesora odpowiednich środków zapewniających bezpieczeństwo przetwarzania danych osobowych;
- obowiązek procesora do udzielania wsparcia administratorowi m.in. w zakresie odpowiadania na żądania osób, których dane dotyczą;
- obowiązek procesora do udostępnienia administratorowi informacji niezbędnych do spełnienia swoich obowiązków oraz przeprowadzenia audytów i inspekcji.
W umowie należy zadbać o to, aby po zakończeniu współpracy między procesorem a administratorem ten pierwszy usunąć przechowywane dane osobowe lub zwrócił je administratorowi.
Dodatkowo warto podkreślić, że procesor może przetwarzać dane osobowe w zakresie wyraźnie wskazanym przez administratora, ale nie w sposób dowolny.
Co więcej procesor danych osobowych musi być podmiotem, który zapewnia gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, aby ochronić dane osobowe osób, których dane są przechowywane.
Jak zminimalizować ryzyko związane z przetwarzaniem danych osobowych przez procesora?
Skoro administrator i procesor danych osobowych zawierają między sobą umowę, warto zawrzeć w niej klauzule pozwalające na odpowiednie ukształtowanie relacji między tymi podmiotami. Przede wszystkim umowa powinna odpowiadać na pytanie w jakich sytuacji i w jakim zakresie procesor odpowiada za naruszenie danych osobowych klientów administratora. Obowiązek zachowania poufności (umowa NDA) powinien zostać uzupełniony o karę umowną.
Ważne jest też, aby procesor danych osobowych opracował procedury na potrzeby sytuacji kryzysowych oraz zakończenia współpracy, czyli:
- Recovery Plan – procedura przewidziana w razie wystąpienia sytuacji zagrażającej integralności lub ciągłości podstawowych usług; pozwala na zmniejszenie negatywnych skutków oddziaływania uchybienia i przyspiesza powrót do modelowego funkcjonowania;
- Exit Plan – określa prawa i obowiązki stron na wypadek zakończenia relacji biznesowych, jak np. okres retencji danych przez procesora czy sposób ich odbioru przez administratora;
- Business Continuity Plan – określa podejście organizacji do aktualizacji obszarów o kluczowym znaczeniu z punktu widzenia potencjalnych zagrożeń.
Administrator powinien zadbać również o jasną procedurę audytu, która nie będzie budziła wątpliwości co do zakresu obowiązków procesora, terminu czy sposobu przekazania informacji. Wreszcie strony mogą ustalić między sobą konkretne lokalizacje (miejsca położenia serwerów), w których będzie dochodziło do przetwarzania danych osobowych. W ten sposób administrator unika ryzyka, kiedy dane osobowe są przekazywane do państw niestosujących standardów RODO.
Administrator a procesor danych osobowych. Kto ponosi odpowiedzialność za uchybienia?
Planując wdrożenie RODO w aplikacji SaaS należy pamiętać, że procesor oraz administrator danych odpowiadają solidarnie względem osób, których dane zostały naruszone. W praktyce oznacza to, że to poszkodowany może dowolnie wskazać podmiot (lub oba podmioty) od których będzie dochodził naprawienia szkody. Właściwym miejscem, w którym należy uregulować roszczenia regresowe jest właśnie umowa zawierana między administratorem a procesorem.
Zarówno firmy, które korzystają z usług chmurowych typu SaaS, jak i ich dostawcy powinni zwrócić baczną uwagę na przepisy rozporządzenia RODO. Konieczność jego stosowania nakłada cały szereg dodatkowych obowiązków, których niedochowanie może skutkować wysoką karą finansową, a także ryzykiem odpowiedzialności odszkodowawczej.
Chcesz wdrożyć RODO dla aplikacji SaaS? Napisz do mnie!
Administratorem danych osobowych jest Linke Kulicki Education sp. z o.o. z siedzibą w Warszawie, ul. Ogrodowa 31 / lok. 54, 00-893 Warszawa, NIP 1182211564, KRS 0000852943 („Administrator”). Pana/Pani dane będą przetwarzane w celach marketingowych oraz w celu przekazywania Pani/Panu informacji handlowych drogą elektroniczną. Pana/Pani dane zostaną usunięte po odwołaniu zgody lub po zakończeniu prowadzenia działań marketingowych lub wysyłki informacji handlowych przez Administratora. Pana/Pani dane będą powierzane podmiotom trzecim na podstawie stosownych umów powierzenia przetwarzania danych osobowych w celu przechowywania danych osobowych na serwerze, skrzynce pocztowej oraz korzystania z usług wsparcia IT. Podstawą przetwarzania danych jest zgoda. W związku z przetwarzaniem danych osobowych ma Pan/Pani prawo do dostępu do swoich danych, sprostowania danych osobowych, usunięcia danych osobowych, wniesienia sprzeciwu, przenoszenia danych, ograniczenia przetwarzania, odwołania zgody, dostępu do informacji jakie dane Administrator przetwarza, złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Przedmiotowe uprawnienia można zrealizować poprzez kontakt z Administratorem na adres e-mail: biuro@linkekulicki.pl. Pani/Pana dane będą przekazywane poza UE oraz nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani profilowania. Administrator potrzebuje Pana/Pani Danych Osobowych aby zrealizować wskazany cel przetwarzania, podanie danych osobowych jest dobrowolne jednak w przeciwnym wypadku podane cele nie będą mogły być zrealizowane.