RODO, czyli:

jak Servizza stosuje rozporządzenie PE i Rady UE 2016/679 z 27.04.2016 r. o ochronie danych,
jak bezpłatnie pomagamy naszym Kontrahentom w realizacji zobowiązań rozporządzenia.

Wstęp.

Jednym z nadrzędnych celów Servizza jest zapewnienie wszystkim swoim Kontrahentom pełnego bezpieczeństwa w zakresie ochrony danych osobowych i wszelkich informacji poufnych/niejawnych. Postanowiliśmy więc zebrać wszystkie istotne w tym zakresie informacje na niniejszej stronie, aby każdy zainteresowany miał pełny obraz i swobodny dostęp do wszystkich istotnych szczegółów. Dla Servizza przepisy RODO nie mają znaczącego wpływu na zmianę charakteru działań i sposobu zabezpieczenia wszelkich danych oraz związanych z tym procedur, albowiem spółka od początku swego istnienia przykłada szczególny nacisk na zapewnienie wysokiego poziomu bezpieczeństwa. Zdecydowana większość procedur i rozwiązań miała zastosowanie już wcześniej. Niezależnie od tego, Servizza przeszła szczegółowy audyt wewnętrzny, weryfikujący spełnianie przepisów związanych z RODO, a wszyscy pracownicy Servizza zostali przeszkoleni w kontekście nowych zasad. Ponadto, został uwzględniony obowiązek ciągłej weryfikacji procedur i nieustannego doskonalenia. Wprowadzonych zostało również kilka niewielkich zmian w dokumentacji formalnej. Dostosowane zostały: Polityka Prywatności oraz Regulamin. Pojawiły się w nich zapisy, jeszcze dokładniej wskazujące w jakich celach zbierane są dane, a także szczegóły ich przetwarzania. Udostępniona została również treść Umowy Powierzenia Danych (UPD), jaką każdy ADO (Klient Servizza) powinien zawrzeć z takim procesorem, jak Servizza.

Status Servizza.

W świetle przepisów RODO Servizza pełni dwie role:

  1. Administratora Danych Osobowych (ADO) – w zakresie administracji danymi, związanymi z bieżącą działalnością operacyjną.
  2. Procesora – w zakresie danych powierzonych przez Kontrahentów, celem zapewnienia świadczonych usług, np. hostingowych.

Dokumentacja.

  1. Dokumentacja ADO.
    Wszystkie informacje na ten temat, niezwiązane z wewnętrzną działalnością operacyjną spółki (np. kadrami), czyli istotne dla Kontrahentów, zostały dokładnie opisane w następujących dokumentach: Polityka Prywatności oraz Regulamin.
  2. Dokumentacja procesora dotycząca powierzonych danych. Zgodnie z RODO, każdy ADO (czyli również Ty – nasz Kontrahent), musi zawrzeć z procesorem danych (czyli np. z Servizza) Umowę Powierzenia Danych (UPD). To ważny dokument, w którym uregulowane są wszystkie istotne kwestie dot. bezpieczeństwa danych. Szablon UPD można pobrać z tej strony (dostępne po zalogowaniu). Umowę możemy zawrzeć na dwa sposoby:
    • w formie pisemnej – wydrukuj szablon, uzupełnij swoje dane i wyślij na nasz adres, po sygnowaniu odeślemy na zarejestrowany adres w naszym systemie;
    • w formie elektronicznej – zaloguj się do Panelu (strefy) Klienta, gdzie znajdziesz odpowiednią procedurę pod nazwą ‘RODO’.

Realizacja obowiązków.

Procesor (czyli w tym przypadku Servizza), ma obowiązek zapewnić jak najwyższy poziom bezpieczeństwa danych. Proces przetwarzania danych osobowych w Servizza oparty jest na przepisach prawa, w szczególności na Rozporządzeniu Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz innych przepisów szczególnych. Zgodnie z obowiązującymi przepisami, dotyczącymi ochrony danych osobowych, Servizza stosuje odpowiednie zabezpieczenia fizyczne i organizacyjne, środki ochrony w ramach narzędzi programowych oraz środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej. W ramach realizowanych działań i procedur Servizza zapewnia:

  1. Stosowane rozwiązania techniczne zapewniają poufność, integralność, dostępność i odporność systemów i usług przetwarzania.
  2. W przypadku wystąpienia tzw. zdarzeń losowych, system zapewnia możliwość szybkiego przywrócenia danych osobowych i dostępu do nich.
  3. Wszelkie informacje poufne, w tym dane osobowe, przesyłane są w sposób szyfrowany, z zastosowaniem odpowiednich certyfikatów i metod kryptograficznych.
  4. Regularnie bądź w sposób ciągły (automatycznie) jest testowana, mierzona i oceniana efektywność środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania.
  5. Dostępne są dodatkowe zabezpieczenia, związane z wyborem i zmianą hasła do Strefy (Panelu) Klienta.
  6. Każdy Kontrahent ma zapewnione prawo do „bycia zapomnianym”, o ile obowiązek przetwarzania danych nie wynika z innych przepisów, np. podatkowych (zgodnie z wytycznymi RODO). Identyczne procedury zapewniają możliwość skorzystania z prawa do sprostowania lub ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do sprzeciwu, czy w końcu prawo do tego, by nie podlegać profilowaniu.
  7. Każdy Kontrahent ma prawo wystąpić z wnioskiem, w celu uzyskania informacji czy jego dane osobowe są przetwarzane. Jeśli tak, może zażądać udostępnienia informacji o m.in.:
    • celu przetwarzania danych osobowych,
    • kategoriach przetwarzanych danych,
    • partnerach Servizza, którzy przetwarzają dane,
    • źródle pozyskania danych osobowych.
  8. Udostępniane formularze rejestracji zapewniają możliwość wyrażenia akceptacji, a zgody spełniają warunki:
    • dostępna, jednoznaczna i konkretna,
    • wyrażona świadomie i dobrowolnie,
    • określająca charakter działania,
    • napisana w jasny i prosty sposób,
    • ograniczona do wyłącznie niezbędnych danych.
  9. Wszyscy pracownicy Servizza zostali przeszkoleni oraz podpisali oświadczenie o zachowaniu tajemnicy danych osobowych i zawodowej.
  10. Wszystkie zatrudnione w Servizza osoby, które w ramach wykonywania swoich obowiązków służbowych mają dostęp do danych osobowych, posiadają pisemne, imienne upoważnienia oraz zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych.
  11. Nośniki zawierające dane osobowe przechowywane są w miejscach uniemożliwiających dostęp do nich osobom nieupoważnionym.
  12. Zostały opracowane oraz wdrożone procedury wykonywania kopii zapasowych oraz dostępu do tych kopii. Dostęp do kopii zapasowych posiadają wyłącznie osoby upoważnione.
  13. Bezpieczeństwo fizyczne budynków, w których dane są przetwarzane i dostęp do pomieszczeń są kontrolowane przez systemy monitoringu z zastosowaniem kamer przemysłowych, zabezpieczone są przeciwwłamaniowymi systemami alarmowymi oraz systemami dostępu. Dostęp do pomieszczeń jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony, a w przypadku serwerowni uzbrojoną służbę ochrony. Pomieszczenia zabezpieczone są przed skutkami pożaru. Serwerownia jest w pełni i w sposób co najmniej zdublowany zabezpieczona zarówno przed przerwą w dostawie prądu, przed skutkami możliwych żywiołów, jak i przed niepowołaną ingerencją osób trzecich. Dostęp do sprzętu oraz baz danych posiada jedynie wyszkolona kadra administratorów.
  14. Dostęp do systemów teleinformatycznych posiadają jedynie uprawnieni użytkownicy. Nadawanie uprawnień oraz stosowane metody uwierzytelniania się użytkowników są zgodne z wymaganiami rozporządzenia. Zastosowane są urządzenia chroniące system informatyczny przed skutkami awarii zasilania. Stosowane są środki kryptograficznej ochrony danych przekazywanych drogą teletransmisji. W celu zabezpieczenia danych przed szkodliwym oprogramowaniem stosowane są programy antywirusowe i antyspamowe w wersjach deluxe oraz sprzętowe i programowe systemy firewall. Dane są przetwarzane w odpowiednich macierzach dyskowych, zabezpieczających przed skutkami awarii pamięci dyskowej. Stosowane są jedynie podzespoły w wersjach Enterprise.
  15. Servizza współpracuje jedynie z zaufanymi partnerami. Weryfikowana jest wiarygodność biznesowa i społeczna oraz, czy działają oni w zgodzie z regulacjami RODO.

Wskazówki dla ADO - Klientów Servizza.

Szanowny Kontrahencie. Na Tobie, jako Administratorze Danych Osobowych (ADO), spoczywa odpowiedzialność za przetwarzane dane w ramach prowadzonej działalności.

Dodatkowe informacje znajdziesz również w publikacjach:

Naszym Kontrahentom bezpłatnie udostępniamy dosyć szczegółową instrukcję ‘Krok po kroku’ RODO - ABC dla MŚP oraz szablony większości wymaganych dokumentów. Dokumentacja została opracowana przez zespół z wieloletnimi kompetencjami we wszystkich istotnych obszarach (IT, prawnym, biznesowym). Żywimy przekonanie, że pomoże ona wypełnić obowiązki RODO w większości MŚP. Jednocześnie zwracamy uwagę, że każdy przypadek jest inny i nie istnieje coś takiego, jak rozwiązanie uniwersalne. Udostępnione informacje i szablony należy traktować wyłącznie jako wskazówki i materiał wyjściowy.

Wdrożenie RODO nie musi kosztować fortuny i nie musi wiązać się z podejmowaniem jakichś szczególnych, drogich rozwiązań zapewniających bezpieczeństwo techniczne. RODO nakazuje patrzeć na sytuację i działalność każdego podmiotu indywidualnie. Rozwiązania z zakresu bezpieczeństwa mają być dobrane stosownie do skali działalności i ryzyka występującego w tej działalności. Na pewno nie można zlekceważyć RODO i zupełnie go pominąć. Można jednak wdrożyć nowe zasady możliwie niewielkim wysiłkiem.

Dokumentacja dostępna jest (po zalogowaniu) na stronie: https://servizza.com/pobierz -> ‘Dokumenty prawne i formalne’ -> ‘RODO’. Przede wszystkim jednak, na początek sprawdź, czy zadbałeś o wszystkie nw. kwestie:

  1. Zadaj sobie pytania:
    • W jaki sposób otrzymujesz dane osobowe?
    • Kto odpowiada za te dane?
    • Jaka jest fizyczna lokalizacja danych?
    • Kto (w tym jakie oprogramowanie, systemy) ma dostęp do tych informacji i czy dane te są ujawniane komukolwiek innemu (np.: księgowości)?
  2. Zastanów się, czy możliwe jest samodzielne spełnienie nowych wymagań, czy też trzeba skorzystać z pomocy ekspertów zewnętrznych, a jeśli samodzielne:
    • Dokładnie oszacuj swoje zbiory danych, a także postaraj się przewidzieć w jaki sposób mogą one ewoluować.
    • Stwórz własny katalog zagrożeń oraz sposobów ich monitorowania i reagowania.
    • Sprawdź, jakie obecnie stosujesz zabezpieczenia dostępu do danych, używanych systemów informatycznych.
    • Zweryfikuj w jakim zakresie Twoi kontrahenci mają dostęp do danych.
    • Określ zadania, które musisz zrealizować (np. informacje w formularzach).
    • Opracuj procedury postępowania w przypadku zgłoszenia chęci przeniesienia danych, skorzystania z prawa do bycia zapomnianym.
    • Sporządź ocenę, czy konieczna jest wymiana lub modyfikacja systemów informatycznych, w tym ochrona przed atakami cybernetycznymi.
    • Zaplanuj scenariusz stałego monitorowania i aktualizacji wszelkich systemów i aplikacji, które mogą mieć dostęp (również nie bezpośrednio) do danych lub innych systemów.
    • Dowiedz się, czy Twoja organizacja musi powołać inspektora ochrony danych osobowych. Dotyczy to m.in. podmiotów przetwarzających dane wrażliwe lub na dużą skalę.
    • Naszkicuj nową strategię bezpieczeństwa, porównaj poszczególne punkty z obecnie stosowanymi mechanizmami i opracuj scenariusz dostosowania do nowych przepisów.
    • Przygotuj wzory nowych dokumentów i umów dla swoich klientów. Zapewnij obowiązek informacyjny dot. celu przetwarzanych danych, sposobu weryfikacji danych, okresu przetwarzania danych itd.
    • Sprawdź, czy stosowane przez Ciebie rozwiązania pozwalają na szyfrowanie danych osobowych.
    • Zapewnij wysoki poziom zabezpieczenia haseł.
    • Pamiętaj, że zazwyczaj najsłabszym ogniwem w łańcuchu bezpieczeństwa jest człowiek. Zadbaj, aby Twoi pracownicy zostali przeszkoleni i posiadali odpowiednią wiedzę na temat przetwarzania danych osobowych.

I na koniec uwaga ogólna dot. Twoich kontrahentów. Administratorzy danych coraz częściej decydują się na powierzanie przetwarzania danych osobowych innym podmiotom, które w ich imieniu wykonują część operacji na danych, powierzając tym samym proces przetwarzania danych usługodawcy świadczącemu tego rodzaju usługę. W takich sytuacjach ważne jest, by podpisując umowę powierzenia, nie stracić kontroli nad danymi osobowymi, czyli nie dopuścić do sytuacji, w której powierzone dane będą wykorzystywane w innym celu niż ten określony przez samego administratora. Pamiętaj więc, aby powierzając podmiotowi przetwarzającemu czynności przetwarzania (procesorowi), korzystać wyłącznie z usług podmiotów przetwarzających posiadających odpowiednią wiedzę fachową, wiarygodność i zasoby. W szczególności jeżeli chodzi o gwarancje wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom ogólnego rozporządzenia o ochronie danych osobowych, w tym wymogom bezpieczeństwa przetwarzania, a więc takim podmiotom, jak Servizza.

Powierzenie danych powinno być regulowane umową lub innym instrumentem prawnym, określającym przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą. Ta umowa lub inny instrument prawny powinny również uwzględniać konkretne zadania i obowiązki podmiotu przetwarzającego w kontekście planowanego przetwarzania oraz ryzyko naruszenia praw lub wolności osoby, której dane dotyczą. W stosunku do obecnych regulacji niezwykle ważną zmianą jest to, że na podmiocie przetwarzającym spoczywają bardzo podobne obowiązki jak na administratorze danych. Przede wszystkim musi on również wdrożyć środki techniczne i organizacyjne odpowiednie do ryzyk przetwarzania – tak by to przetwarzanie odpowiadało wymogom rozporządzenia.

Zachęcamy więc do przeglądu zawartych przez Ciebie umów powierzenia i upewnienia się, że podmiot, któremu powierzyłeś dane, będzie spełniał wszystkie określone w rozporządzeniu wymagania, zaś sama umowa zawiera wszelkie niezbędne elementy. I na koniec przypominamy raz jeszcze, że kolejne wskazówki i szablony udostępniamy bezpłatnie Kontrahentom Servizza. Na przykład, najdziesz tam listę warunków, jakie powinna spełniać zgoda na przetwarzanie danych osobowych wg RODO. Natomiast w przewodniku znajdziesz odpowiedzi na następujące kwestie:

PODSTAWOWE INFORMACJE O RODO
  1. Co to jest RODO?
  2. Od kiedy będzie się stosować RODO?
  3. Czy będzie polska ustawa o ochronie danych osobowych?
  4. Czy czekać z wdrożeniem RODO na polskie przepisy o ochronie danych osobowych?
  5. Czy w nowych przepisach będzie odpowiednik GIODO?
  6. Kto podlega RODO? Kto powinien wdrożyć RODO?
  7. Jakie czynności podlegają RODO?
  8. Co to są dane osobowe?
  9. Kto może przetwarzać dane osobowe?
ZBIERANIE DANYCH OSOBOWYCH.
  1. Kiedy można przetwarzać dane osobowe?
  2. Jak wiele danych osobowych można zbierać zgodnie z RODO?
  3. Jak zbierać zgodę na przetwarzanie danych osobowych?
  4. Jakie informacje przekazywać przy zbieraniu zgody na przetwarzanie danych osobowych?
  5. Kiedy nie trzeba zbierać zgody na przetwarzanie danych?
  6. Przetwarzanie szczególnych kategorii danych osobowych.
  7. Czym jest profilowanie?
  8. Czy można odwołać zgodę na przetwarzanie danych?
  9. Jak długo mogę przechowywać dane osobowe?
ORGANIZACJA PRZETWARZANIA DANYCH.
  1. Jak należy zabezpieczać dane osobowe?
  2. Co się stanie z istniejącą dokumentacją ochrony danych osobowych?
  3. Obowiązek rejestrowania czynności przetwarzania danych.
  4. Co to jest obowiązek uwzględniania ochrony danych w fazie projektowania?
  5. Czym jest domyślna ochrona danych?
  6. Kiedy należy wyznaczyć Inspektora Ochrony Danych?
  7. Co to jest ocena skutków dla ochrony danych osobowych i kiedy należy ją przeprowadzić?
  8. Czym są uprzednie konsultacje z organem nadzorczym?
  9. Co to jest obowiązek zgłaszania naruszeń ochrony danych?
  10. Jak zawrzeć umowę powierzenia przetwarzania danych?
PRAWO DO BYCIA ZAPOMNIANYM I PRAWO DO PRZENOSZENIA DANYCH.
  1. Prawo do bycia zapomnianym.
  2. Prawo do przenoszenia danych.
ETAPY PROCESU WDRAŻANIA RODO W ORGANIZACJI.
  1. Identyfikacja procesów przetwarzania danych osobowych.
  2. Weryfikacja podstawowych parametrów procesów przetwarzania danych.
  3. Wdrożenie podejścia opartego na ryzyku.
  4. Przeprowadzenie procedury oceny skutków dla ochrony danych.
  5. Powierzenie przetwarzania danych.
  6. Nowe prawa osób, których dane dotyczą.
  7. Incydenty bezpieczeństwa.
PRZYDATNE MATERIAŁY I LITERATURA

Dokumentacja dostępna jest (po zalogowaniu) na stronie: https://servizza.com/pobierz -> ‘Dokumenty prawne i formalne’ -> ‘RODO’.