1

Koszyk

Wdrożenie RODO w Software House – jak podejść do tematu RODO?

Wdrożenie RODO w Software House – jak podejść do tematu RODO?

7 grudnia 2022 7 sierpnia, 2023

RODO powszechnie uważane jest jako nikomu niepotrzebna regulacja, która więcej komplikuje niż upraszcza. Sprawy nie ułatwia przekonanie, że wdrożenie RODO polega na wklejeniu kilku formułek na stronie internetowej oraz poprawieniu stopki w treści wiadomości e-mail. Z drugiej strony przez ostatnie dwa lata wiele osób (w tym m.in. prawników) straszyło wielkimi karami. Przez ten czas doszło także do wielu absurdów jak np. “szafa zgodna z RODO”, masowo wysyłane informacje elektroniczne z treścią wypełniającą obowiązek informacyjny, czy też brak możliwości wymiany wizytówek z kontrahentami “bo RODO”.

W firmach wytwarzających oprogramowanie (software house) lub działających w obszarze konsultingu IT jest to jednak obszar, który powinien zostać objęty szczególną opieką. Realizacja praktycznie każdego projektu IT, bez względu czy chodzi o wdrożenie, świadczenie usług programistycznych czy też usług utrzymania (SLA) software house ma dostęp do infrastruktury i systemów klienta, a co za tym idzie do danych osobowych przetwarzanych przez tego klienta (administratora danych)

Spis treści

Wdrożenie RODO – o co więc tak naprawdę w tym chodzi?

Chodzi o ochronę danych osobowych osób fizycznych i takie ułożenie procesów w firmie aby ta ochrona była skuteczna. Warto podkreślić, że samo wdrożenie nie powinno być traktowane jako jednorazowa czynność. Ochrona danych osobowych jest procesem, o który trzeba dbać w sposób ciągły. Samo wdrożenie powinno być więc traktowane jako punkt startowy dla przedsiębiorcy.

Pobierz pakiet wzorów umów dla software house’u/firmy IT [PL/EN]

Wdrożenie RODO w Software House

Z czego składa się ten punkt startowy? Każde wdrożenie RODO można podzielić na 4 etapy:

ETAP 1 – audyt przedwdrożeniowy,
ETAP 2 – wdrożenie procedur oraz dokumentacji,
ETAP 3 – szkolenie zespołu,
ETAP 4 – monitorowanie procesów po wdrożeniu oraz bieżące dokonywanie zmian oraz szkoleń.

Najpierw musimy zbudować siatkę pojęciową aby sprawnie poruszać się po zakamarkach RODO.

Poniżej przedstawię Ci definicję:

  • danych osobowych,
  • przetwarzanie danych osobowych,
  • administratora danych osobowych,
  • procesora.

Czym są dane osobowe?

Zgodnie z definicją dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możesz zapytać kim jest osoba możliwa do zidentyfikowania?

To osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Sama definicja wydaje się być dosyć prosta. Ale w praktyce potrafi stworzyć wiele problemów. Najpowszechniejszym jest to czy adres e-mail należy uznać za dane osobowe? Albo czy taką daną jest adres IP? Albo czy informacja o posiadaniu bardzo rzadkiego zwierzęcia może być uznana za daną osobową, w przypadku gdy w Polsce jest dosłownie kilka sztuk takiego stworzenia.

W każdym z powyższych przykładów odpowiedź brzmi “TAK”.

Czym jest przetwarzanie danych osobowych?

Przetwarzanie danych osobowych to operacje wykonywane na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany.

Przykładami przetwarzania jest zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Kim jest administrator danych osobowych?

Administratorem danych jest każda osoba fizyczną lub prawna, organ publiczny lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Upraszczając – administrator to podmiot, który decyduje o tym co się z danymi dzieje i jak będą przetwarzane.

Administratorem staniesz się z mocy prawa w momencie gdy zaczniesz przetwarzać pierwsze dane osobowe. Nie musisz wpisywać się do żadnego rejestru administratorów. Oznacza to, że wszelkie obowiązki wynikające z RODO musisz zacząć wypełniać od samego początku rozpoczęcia przetwarzania danych osobowych.

Kim jest procesor?

Procesor to podmiot, który otrzymuje dane osobowe od ich administratora w celu wypełnienia jakiś wyznaczonych przez niego celów. Klasycznym przykładem jest hosting. Udostępniasz dane osobowe zebrane przez Ciebie poprzez stronę internetową swojemu hostingodawcy aby ten mógł świadczyć dla Ciebie usługę hostingu.

Kolejnym przykładem może być narzędzie do wysyłki newslettera. Ty jesteś administratorem danych bo decydujesz o sposobie ich przetwarzania. Dostawca systemu newsletterowego jest procesorem bo jedynie realizuje Twój cel jakim jest masowa wysyłka wiadomości e-mail – sam z siebie tego nie robi, a jedynie na Twoje polecenie.

Dokumentacja wdrożeniowa RODO składa się z kilku następujących dokumentów:

  • rejestr czynności przetwarzania,
  • rejestr kategorii czynności przetwarzania,
  • rejestr powierzeń,
  • umowa powierzenia przetwarzania danych osobowych,
  • polityka ochrony danych osobowych,
  • analiza ryzyka.

Rejestry w RODO

Rejestry są sercem całej dokumentacji. Obrazują w jaki sposób organizacja przetwarza dane osobowe, kanały dopływu i odpływu danych osobowych do i z firmy. Rejestry są swojego rodzaju mapą wszystkich procesów związanych z danymi osobowymi.

Rejestr czynności przetwarzania

Rejestr czynności przetwarzania to zbiór procesów, w których Twoja firma jest administratorem danych. Przykładem może być tutaj proces rekrutacji, w którym zbierasz dane osobowe kandydatów do pracy lub kontakt z potencjalnymi klientami za pomocą formularza kontaktowego.

Rejestr ten powinien zawierać następujące informacje:

  • cel przetwarzania,
  • kategorie osób, których dane są przetwarzane,
  • kategorie danych, które są przetwarzane,
  • podstawę prawną przetwarzania,
  • źródło pozyskiwania danych,
  • planowany termin usunięcia danych,
  • nazwę współadministratora (o ile występuje),
  • nazwy podmiotów przetwarzających, czyli inaczej mówiąc procesorów,
  • kategorie odbiorców, czyli nazwy podmiotów, którym dane są przekazywane,
  • sposób przetwarzania danych,
  • opis technicznych i organizacyjnych środków bezpieczeństwa wdrożonych w firmie w celu ochrony danych,
  • informację o ew. transferze danych do państwa trzeciego lub organizacji międzynarodowej.

Rejestr kategorii czynności przetwarzania

Kolejnym rejestrem jest rejestr kategorii czynności przetwarzania. Zawiera on informacje o procesach przetwarzania, w których Twoja firma jest procesorem.

Rejestr ten powinien zawierać następujące informacje:

  • cel przetwarzania (kategorie przetwarzań),
  • powierzone dane,
  • opis technicznych i organizacyjnych środków bezpieczeństwa wdrożonych w firmie w celu ochrony danych,
  • dane administratora danych,
  • czas przetwarzania,
  • informacje o dalszych procesorach, czyli podmiotach, którym ty podpowierzasz powierzone Ci dane.

Rejestr powierzeń

Ostatnim rejestrem jest rejestr powierzeń. Powinien on zawierać informacje o podmiotach, którym ty jako administrator powierzasz dane osobowe, cel powierzenia oraz informacje o zawartej umowie powierzenia.

Umowa powierzenia przetwarzania danych osobowych

Na temat umowy powierzenia przetwarzania danych osobowych udało mi się napisać osobny artykuł, który znajdziesz pod poniższym linkiem -> Powierzenie przetwarzania danych osobowych w projektach IT

Polityka ochrony danych osobowych

Polityka ochrony danych osobowych, to opisowy dokument, który w całościowy sposób powinien opisywać sposób przetwarzania danych osobowych w organizacji.

Modelowa polityka zawiera następujące elementy:

  • zasady przetwarzania danych osobowych,
  • dane administratora,
  • informacje dot. inspektora danych osobowych,
  • miejsca, w których przetwarzane są dane w firmie,
  • opis sprzętu wykorzystywanego do przetwarzania danych,
  • opis oprogramowania wykorzystywanego do przetwarzania danych,
  • procedury związane z systemami informatycznymi,
  • informacje dot. środków bezpieczeństwa,
  • informacje o wykonanej analizie ryzyka,
  • informacje o monitoringu,
  • informacje o retencji danych,
  • informacje o powierzaniu danych,
  • informacje o upoważnieniach do przetwarzania danych,
  • informacje o sposobie postępowania w przypadku naruszeń ochrony danych.

Polityka najczęściej zawiera także szereg załączników. Do najważniejszych należą:

  • rejestr upoważnień,
  • wzór upoważnienia do przetwarzania danych,
  • wzór raportu z naruszenia ochrony danych,
  • ewidencję naruszeń.

Analiza ryzyka

Raport z analizy ryzyka powinien opisywać szczegółowo zagrożenia dla poprawnego i bezpiecznego przetwarzania danych osobowych oraz wdrożone środki bezpieczeństwa.

Analiza ryzyka powinna obejmować:

  • kontekst przetwarzania,
  • opis zagrożeń dla poprawnego i bezpiecznego przetwarzania danych osobowych,
  • opis sposobów minimalizacji ryzyka.

Wdrożenie RODO w Software House – podsumowanie

Podsumowując powyższe elementy pamiętaj, że ochrona danych osobowych to proces. Nie jest to kwestia, którą załatwisz raz na zawsze. Wiele rzeczy w Twojej firmie zmieniają się w sposób ciągły. Tak samo powinno być z dokumentacją i procesami RODO, które powinny być cały czas aktualne dla stanu w jakim znajduje się Twoja firma.

Chcesz wdrożyć RODO w swoim software house/firmie IT? Napisz do mnie!

[fc id='3'][/fc]

Administratorem danych osobowych jest Linke Kulicki Education sp. z o.o. z siedzibą w Warszawie, ul. Ogrodowa 31 / lok. 54, 00-893 Warszawa, NIP 1182211564, KRS 0000852943 („Administrator”). Pana/Pani dane będą przetwarzane w celach marketingowych oraz w celu przekazywania Pani/Panu informacji handlowych drogą elektroniczną. Pana/Pani dane zostaną usunięte po odwołaniu zgody lub po zakończeniu prowadzenia działań marketingowych lub wysyłki informacji handlowych przez Administratora. Pana/Pani dane będą powierzane podmiotom trzecim na podstawie stosownych umów powierzenia przetwarzania danych osobowych w celu przechowywania danych osobowych na serwerze, skrzynce pocztowej oraz korzystania z usług wsparcia IT. Podstawą przetwarzania danych jest zgoda. W związku z przetwarzaniem danych osobowych ma Pan/Pani prawo do dostępu do swoich danych, sprostowania danych osobowych, usunięcia danych osobowych, wniesienia sprzeciwu, przenoszenia danych, ograniczenia przetwarzania, odwołania zgody, dostępu do informacji jakie dane Administrator przetwarza, złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Przedmiotowe uprawnienia można zrealizować poprzez kontakt z Administratorem na adres e-mail: biuro@linkekulicki.pl. Pani/Pana dane będą przekazywane poza UE oraz nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani profilowania. Administrator potrzebuje Pana/Pani Danych Osobowych aby zrealizować wskazany cel przetwarzania, podanie danych osobowych jest dobrowolne jednak w przeciwnym wypadku podane cele nie będą mogły być zrealizowane.

Tags:

Łukasz Kulicki

Autor: Łukasz Kulicki

Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

1
    1
    Koszyk
    Sprawdzenie i analiza umowy b2b przez prawnika IT
    Analiza umowy B2B przez prawnika
    1 X 861,00  = 861,00 
    Kwota do zapłaty 861,00 
    Kontynuuj zakupyZobacz koszykPrzejdź do kasy