W tym odcinku gościnne wystąpił mój wspólnik – Paweł Głąb, który opowie Ci o meandrach RODO w kontekście IT.

Z tego odcinka dowiesz się w szczególności kwestii takich jak:
– czy RODO obowiązuje w IT,
– w jakim zakresie RODO obowiązuje w IT,
– jakie obowiązki powinien spełnić software house w związku z RODO,
– jakie dane osobowe najczęściej posiadają software house’y i jak je zabezpieczyć,
– czy software house powinien mieć lepsze zabezpieczenia niż szpital.

---

Cześć,

Z tej strony Piotr Kantorowski, a to kolejny odcinek podcastu „Prawo dla biznesu”.

I dzisiaj wreszcie pewne urozmaicenie, ale nie do końca urozmaicenie tematyką, bo pozostajemy w temacie IT, ale ponieważ temat IT także zahacza o RODO to dzisiaj poprosiłem Pawła żeby opowiedział wam o tym trochę więcej, bo jak już wielokrotnie wspominałem to Paweł, czyli mój wspólnik, tematem RODO się zajmuje i w nim się specjalizuje. Ja w tym temacie wiem zdecydowanie za mało żeby rzetelnie wam go przedstawić.

– Dzień dobry, cześć. Faktycznie jakoś ten podział się rozłożył, że tematem RODO zajmuje się więcej ja, dlatego bardzo mi miło, że będę się mógł czymś ciekawym podzielić.

– To może zacznijmy od pytania podstawowego. Mamy firmę, która zajmuje się IT, jest softwere house’m, jej działalność  często opiera się na podwykonawcach B2B i czy tu jakiś szczególne obowiązki w RODO będą takiej firmy, takiego softwere house’u, dotyczyć?

– No generalnie RODO, chyba każdy zdaje sobie z tego sprawę, jest tematem mega obszernym, więc dzisiaj tak naprawdę możemy powiedzieć o jakiś wycinkach obowiązków, jakie spoczywają na administratorze. I faktycznie takim jednym z aspektów przygotowania RODO do firmy, firmy do RODO jest kwestia wewnętrznych upoważnień czy kwestii powierzenia przetwarzania danych, bo generalnie w każdym przypadku, gdy jako administrator przekazujemy dane do przetwarzania, albo ktoś w naszym imieniu przetwarza te dane na nasze zlecenie, to mamy wtedy do czynienia, z takim powiedzmy, przepływem danych na zewnątrz, czasem wewnątrz, więc te procesy musimy zidentyfikować. Czy rzeczywiście w ramach danego procesu przetwarzania mamy do czynienia z sytuacją, że nasze dane wychodzą gdzieś na zewnątrz czy też są dalej przetwarzane w ramach naszej struktury, ale przez naszych pracowników. W przypadku, gdy będziemy mieli do czynienia z pracownikami to w każdej takiej sytuacji pracownik powinien otrzymać upoważnienie do przetwarzania danych osobowych, czyli taki dokument, który określa w jakim zakresie pracownik może dane przetwarzać, do jakiś zasobów, do jakiś procesów  przetwarzania ten pracownik ma dostęp i jakie dane są mu udostępniane. Dobrze by było żeby w takim upoważnieniu znalazła się klauzula zachowania poufności w zakresie tych informacji. Specyficzną kwestią w ramach softwere house np. jest to, że duża część tych pracowników pracuje na kontraktach B2B, i w takim przypadku zawsze powinniśmy się zastanowić czy ta osoba, która z nami współpracuje, np. programista, w ramach kontraktu B2B, czy on należy do naszej wewnętrznej struktury firmy, bo wtedy rzeczywiście istotne będzie też upoważnienie do przetwarzania danych osobowych, natomiast w sytuacji, gdy taki programista współpracuje z kilkoma np. softwere house’ami jednocześnie, jest jakby zupełnie odrębną firmą, powiedzmy firmą, której zlecamy wykonanie jakiejś czynności dla nas, to w takim przypadku dla nas właściwa będzie umowa upoważnienia przetwarzania danych osobowych, dlatego, że te dane wychodzą na zewnątrz naszej firmy i są przetwarzane przez tego naszego podwykonawcę, który będzie tak zwanym procesorem. To jest rzecz, którą powinniśmy zidentyfikować, z jakąś sytuacją mamy do czynienia, bo różnie to może wyglądać, mimo, żeby ta podstawa ta naszej współpracy, ten kontrakt B2B, będzie taki sam, to gdzieś ta funkcja osoby i jej miejsce w naszej strukturze może być inne i jakby do tego też trzeba dostosować odpowiednie dokumenty RODO.

– Czyli takim głównym wyznacznikiem, tworząc regułę ogólną, to jest to kwestia tego, czy osoba na B2B współpracuje tylko z nami czy jest to taki  podmiot świadczący usługi dla szerszego kręgu, tak?

– Tak, to myślę, że taki najlepszy wyznacznik tego, ale ciężko udzielić uniwersalnej odpowiedzi, ale rzeczywiście ta cecha naszej współpracy będzie najbardziej istotna.

– Będą tu wchodziły w grę też testy przedsiębiorców, w sensie takim, na ile jest wykonywanie działalności gospodarczej prowadzenie działań tylko i wyłącznie na rzecz jednego kontrahenta, ale ten wątek sobie darujmy w tym miejscu, on nie jest związany z RODO. Jeszcze jedno pytanie się nasuwa – rozumiem, że będzie niepoprawnie jeżeli powinniśmy z daną osobą mieć podpisaną osobą podpisaną umowę powierzenia przetwarzania danych osobowych a daliśmy jej upoważnienie, a co w drugą stronę? Jeżeli powinniśmy, a raczej możemy dać komuś upoważnienie do przetwarzania danych osobowych a podpisaliśmy umowę powierzenia przetwarzania tych danych. Czy to się może z jakimś znaczącym zarzutem spotkać?

– Tutaj jakby obie sytuacje bym porównał. Obie wskazują, że nie do końca wiemy, co się z naszymi danymi dzieje. Czy wychodzą poza naszą strukturę czy nie. Jedna rzecz to jest to czy dana osoba współpracuje z kilkoma podmiotami czy tylko z nami, to jest jeden z wyznaczników. Drugim, istotnym wyznacznikiem jest to, gdzie ta osoba pracuje i na czyim sprzęcie. Jeżeli dana osoba na kontrakcie B2B będzie współpracować z siedziby naszej firmy i na naszym sprzęcie i nie będzie wykorzystywać żadnych swoich zasobów to jest ewidentna kwestia do upoważnienia, natomiast jeżeli będzie pojawiać się sytuacja, że w ramach kontraktu B2B pracownik będzie wykorzystywał swoje narzędzia to tutaj mamy do czynienia bardziej z powierzeniem przetwarzania.

– Kwestie tej wewnętrznej współpracy mamy gdzieś omówione, pewnie to są tematy, które można by było mocno zgłębiać, ale to nie o to chodzi. Chodzi o zasygnalizowanie pewnych istotnych kwestii. A jeżeli chodzi o współpracę z softwere house’m. Jesteśmy firmą, która chce mieć  stworzony określony produkt, aplikację czy oprogramowanie innego rodzaju i zleca to do softwere house’u. Kiedy powinna pomyśleć o tym żeby podpisać jakieś dokumenty związane z przetwarzaniem danych osobowych i ewentualnie jakie to będą dokumenty?

– W każdym przypadku taką współpracę polecałbym w minimalnym zakresie zaudytować pod względem RODO, żeby właśnie móc ocenić czy w ogóle jakieś obowiązki z RODO spoczywają na nas w związku z tą współpracą. Bo tutaj taka najbardziej istotna kwestia to to, czy ta nasza współpraca będzie wiązała się z przepływem danych, czy firma, której zlecimy wykonanie jakiegoś oprogramowania, aplikacji, będzie miała dostęp do danych, których my jesteśmy administratorem, a po drugie czy będzie wykonywać jakieś operacje na tych danych. Bo klasycznym przykładem może być zlecenie naprawy komputera. Osoba, serwisant, który przychodzi naprawić sprzęt to nie wykonuje żadnych operacji na danych, ale ma do nich dostęp, więc w takim przypadku nie będzie potrzeby zawierania umowy powierzenia przetwarzania, bo nie zlecamy żadnych czynności na danych wykonywanych w naszym imieniu, tylko powinniśmy taką osobę zobowiązać do zachowania poufności – w ramach umowy lub klauzuli, bo ta osoba ma dostęp do danych, które są na naszym sprzęcie i można to  przenieść na dane oprogramowanie. W przypadku, gdy firma wykonuje dla nas jakąś aplikację lub program, będzie miała dostęp do naszych danych, ale nie będzie na nich w żaden sposób pracować to bardziej bym widział to jako umowę zachowania poufności, natomiast jeżeli to będzie coś, co będzie umożliwiało operację na danych osobowych, to wtedy jak najbardziej wchodzi w grę kwestia powierzenia danych osobowych. Drugi aspekt równie ważny to na czyich serwerach te dane są przekazywane. Jeżeli będzie to sytuacja, gdzie będzie to serwer zewnętrzny a nie firmowy, a jest tak najczęściej, to wtedy w grę wejdzie umowa przetwarzania danych osobowych, bo samo ich przechowywanie i hostingowanie, jest ich przetwarzaniem.

– A jakbyśmy mieli sytuację, że nasza firma ma system kadrowy, w którym są wprowadzone dane osobowe wszystkich pracowników i zlecamy softwere house’owi zrobienie nowego oprogramowania, od podstaw, wraz z przeniesieniem bazy danych tego systemu kadrowego, to gdzie tutaj właśnie tego RODO szukać?

– W takim przypadku w grę będzie wchodzić umowa powierzenia przetwarzania danych osobowych, z tego względu, że potocznie nazywając, przenoszenie tych danych też będzie ich przetwarzaniem, więc w zasadzie mamy klasyczny przykład, że zlecamy komuś wykonanie jakiejś operacji na danych, których jesteśmy administratorem, więc tutaj jak najbardziej umowa powierzenia, natomiast zastanowiłbym się czy umowa przetwarzania będzie wchodzić w grę, gdy zlecimy softwere house’owi modułu do  naszego systemu kadrowego i nie będzie się to wiązało z żadnymi operacjami na danych osobowych, ale z pewnym dostępem do nich. W takim przypadku można by rozważać umowę o zachowaniu poufności.

– Mamy sytuację niepewną, czy tam będą operacje na danych, czy powinno być podpisana umowa powierzenia, to co byś rekomendował? Podpisywać, nie podpisywać? Mamy sytuację, że nie mamy 100% pewności czy rzeczywiście powinna być podpisana umowa powierzenia przetwarzania danych osobowych i może od drugiej strony – czy jest jakimś naruszeniem jej zawarcie w sytuacji, w której po prostu nie mamy takiego obowiązku albo finalnie wyjdzie w ten sposób, że sposób wykonania umowy, już z perspektywy tego, że została ona już wykonana i znamy jej przebieg, nie wiązał się z prowadzeniem jakichkolwiek operacji na danych osobowych?

– Myślę, że tutaj najbardziej istotną kwestią jest to, że w umowie upoważnienia przetwarzania danych osobowych w każdym przypadku musimy wskazać takie informacje, jak cel tego powierzenia, kategorię danych osobowych, które przetwarzamy, kategorię osób, których te dane dotyczą. To są informacje, które w tej umowie muszą się znaleźć, w związku z tym, dopóki nie odpowiemy sobie na pytanie czy taka sytuacja ma miejsce i czy przetwarzanie dochodzi do skutku, to nie bardzo są podstawy do tego, żeby taką umowę zawierać, bo nie bardzo możemy ją zawrzeć na zasadzie, że będzie ona ogólna – jeżeli będą jakieś dane przekazane do przetwarzania to wtedy tą umowę zwieramy. To tak nie bardzo. Powinno być minimum wskazanych przeze mnie rzeczy, wskazane. Jeżeli my te dane do umowy zidentyfikujemy to będziemy mieli odpowiedź czy umowę powinniśmy zawrzeć czy nie.

– Okej, to wiemy jakie kwestie powinny interesować nas kiedy zawieramy umowę z softwere house’m, chyba, że jest jeszcze coś, na co byłoby warto zwrócić uwagę?

– Najważniejsza kwestia to jest to, jakiego typu to jest oprogramowanie. Czy jest to oprogramowanie przechowywane na serwerach firmy zewnętrznej czy to jest taki klasyczny sas czy jest to oprogramowanie instalowane na naszych serwerach czy stacjach roboczych. To jest taka rzecz, która wymaga oceny czy rzeczywiście mamy do czynienia z przetwarzaniem danych osobowych czy nie.

– Padł już skrót „sas”. Jeżeli nie współpracujemy z firmą informatyczną, wcale nie zleciliśmy wykonania oprogramowania dla nas, ale jednak sasy są obecnie dość powszechnie wykorzystywane w biznesie i w kontekście RODO jak sprawdzić czy z danego oprogramowania sas możemy korzystać? Czy ono jest poprawne skonfigurowane w kontekście RODO i czy nie będzie miało znaczenia z jakiego państwa takie oprogramowanie jest, na jakich serwerach jest, może gdzieś są podzielone segmentacje tych serwerów w kontekście UE, poza UE?

– W zakresie sas najważniejsza informacja jest taka, że w przypadku, gdy korzystamy z tego typu oprogramowania to zawsze mamy do czynienia z powierzeniem przetwarzania danych osobowych. Z tego względu, że wszystkie dane, które wprowadzamy do oprogramowania sasowego są przechowywane na serwerach firmy, która jest dostawcą oprogramowania. A że są to oprogramowania popularne to niech świadczy fakt, że większość programów do fakturowania funkcjonuje w ten sposób, więc tutaj zawsze będziemy mieli do czynienia z powierzeniem przetwarzania danych osobowych. Ważną kwestią jest to, czy w takim przypadku nasze dane są przechowywane na serwerach w ramach UE czy też trafiają do państw trzecich. Bo w przypadku, gdy te dane będą trafiać do państw trzecich to RODO nakłada na nas szczególne obowiązki z tym związane, więc na to trzeba zwracać uwagę. W przypadku, gdy korzystamy z oprogramowania, które jest dostarczane przez firmy z USA to mamy pewne ułatwienie, ponieważ istnieje umowa międzynarodowa zawarta między UE,  a USA, która potocznie nazywana jest „tarczą prywatności”. I na stronie tej umowy można znaleźć listę podmiotów, które spełniają wymogi, powiedzmy to, RODO w zakresie bezpieczeństwa danych osobowych i możemy z tymi podmiotami bezpiecznie współpracować, więc jeżeli dostawcą oprogramowania, z którego korzystamy jest podmiot z USA, powinniśmy poszukać czy on na tej liście się znajduje, co nie zmienia faktu, że pewne obowiązki z transferem danych do państw trzecich wynikających z RODO na nas spoczywają. Ale mamy gwarancję, że ten podmiot zapewnia bezpieczeństwo danych w sposób należyty.

– Może jakieś przykłady tych firm, bo niektóre z nich mogą być czasem znane.

– Może nie chciałbym ich konkretnie wymieniać, ale dużo dostawców new letera to są to firmy, które w większości znajdują się na liście. To też zależy od tego, z jakiej działki IT ktoś potrzebuje czy szuka oprogramowania, więc warto to sobie sprawdzić. Wiadomo, jeżeli chodzi o tych potentatów, nazwijmy to, oni się na tej liście znajdują, ale dużo też mniejszych, niż dostawców oprogramowania, też są.

– Jest jeszcze coś istotnego w kontekście sasów, na co zwrócić uwagę?

– Zaczęliśmy od kwestii powierzenia czy też upoważnienia, no to warto powiedzieć
o tym, że te dokumenty, które w związku z tym powinniśmy stworzyć to tak naprawdę jest tylko drobny wycinek całej dokumentacji, którą powinniśmy jako administrator wdrożyć, bo z naszej rozmowy warto wychwycić, że praktycznie w przypadku  działalności IT ciężko sobie wyobrazić firmę, która mogłaby powiedzieć, że jej RODO nie dotyczy, więc śmiało można powiedzieć, że RODO w branży IT dotyczy każdego, kwestia tylko jak bardzo. Wymaga to jakiegoś małego audytu i zidentyfikowania procesów przetwarzania w naszej firmie czy dane przetwarzamy na naszym sprzęcie czy na naszych serwerach czy gdzieś idą one na zewnątrz. W związku z tym powinniśmy opracować odpowiednie dokumentu. RODO różni się od wcześniej obowiązujących regulacji prawnych w tym zakresie, bo nie mówi nam wprost, jakie dokumenty jako administrator powinniśmy wprowadzić w naszej firmie. W każdym razie takie dokumenty powinny się pojawić. Może nie ma listy dokumentów, która powinna być wprowadzona, ale gdzieś pośrednio z przepisów RODO wynika, że pewne dokumenty są obowiązkowe. I tutaj można wskazać przykład rejestr czynności przetwarzania. To jest taki dokument, który jakby zastąpił wcześniej obowiązujący obowiązek zgłaszania zbiorów do GIODO. Teraz już myślę, że każdy wie z uwagi na spory upływ czasu od wejścia w życie RODO, że do GIODO żadnych zbiorów nie zgłaszamy, ale obowiązkiem każdego administratora jest zidentyfikowanie właśnie tych czynności przetwarzania w ramach firmy. W przypadku większych firm ten rejestr jest obowiązkowy, bo tak stanowi RODO, natomiast ja bym polecał każdemu przedsiębiorcy, każdej firmy, zrobienie dokumentu na kształt tego rejestru czynności przetwarzania, bo ciężko mówić o zadbaniu, należyte przetwarzanie danych osobowych, w momencie, gdy my sami nie wiemy jakie dane przetwarzamy i co się z nimi dzieje. W takim rejestrze powinny pojawić się procesy przetwarzania, które w ramach naszej firmy się pojawiają, czyli np. obsługa zatrudnienia, czy obsługa klientów, oprócz tego informacje, jakie są podstawy prawne tego przetwarzania czy jakie są podmioty przetwarzające, z jakiego oprogramowania w tym zakresie korzystamy, bo to pozwoli nam wykonać kolejne kroki w celu zapewnienia zgodności naszej firmy z RODO, więc to myślę, że jest istotna kwestia. Oprócz upoważnień i umów powierzenia przetwarzania danych czy też rejestrów czynności przetwarzania, myślę, że ważną kwestią jest stworzenie takiej odgórnej procedury przetwarzania danych osobowych w firmie, najczęściej przybierze kształt jakiejś polityki bezpieczeństwa, danych osobowych czy bezpieczeństwa informacji, i to taki dokument, który opisuje proces przetwarzania danych osobowych w firmie. Normuje to, kto odpowiada za co w zakresie danych osobowych, jakie są kompetencje poszczególnych osób, jakie są obowiązki i jakie są procedury postępowania w przypadku np., gdy klient zwróci się z żądaniem informacji jak jego dane są przetwarzane, taka polityka dobrze żeby zawierała informacje, jakie są zabezpieczenia w zakresie danych osobowych czy jakie są procesy postępowania chociażby w przypadku wystąpienia jakiś incydentów związanych z wyciekiem danych osobowych czy innego, podobnego zdarzenia. To jest istotne, bo wszystkie dokumenty, o których mówiliśmy, są pewnym wycinkiem dokumentacji, które powinny być wdrożone w firmie, natomiast procedura powinna to wszystko zebrać w jedną całość, czyli mówiąc o upoważnieniach to niech funkcjonuje w firmie jakaś procedura nadawania upoważnień, jakie są zakresy wpisywane w to upoważnienie. To wszystko musi tworzyć jedną całość.

– Czyli zupełnie należy to rozumieć, że nie chodzi o to, by mieć w firmie taki dokument tylko żeby ten dokument oddawał realne procesy przetwarzania danych osobowych?

– Dokładnie tak. Te procesy powinny jasno opisywać kiedy, w jakich okolicznościach i w jaki sposób poszczególny dokument powinien być wykorzystany. Myślę, że procedura przetwarzania danych osobowych to jest to miejsce, gdzie te kwestie powinny być opisane. Poszczególni pracownicy odpowiedzialni za te kwestię, żeby mieli informację i instrukcję postępowania.

– Pod rządami poprzednich przepisów była lista zabezpieczeń, m.in. szafki zamykane na klucz. Jak to teraz wygląda?

– To kwestia odróżniająca RODO od poprzednich dokumentacji, RODO nie ma poszczególnych decyzji jakie zadania powinny być wdrożone w firmie. Te zabezpieczenia powinny być adekwatne do procesów przetwarzania czy do zakresu przetwarzania danych osobowych, a żeby ocenić to, czy dane zabezpieczenia są adekwatne to powinniśmy postarać się o przeprowadzenie analizy ryzyka, czyli zbadania ryzyka w zakresie danych osobowych, jakie występują w naszej firmie do podobieństwa ich wystąpienia i do tego dopasować odpowiednie zabezpieczenia. To tak naprawdę da nam odpowiedź na pytanie jakie zabezpieczenia wdrożyć w naszej firmie. Bo nie ma odgórnie wprowadzonych przepisów, że w takiej i takiej firmie mają być określone zabezpieczenia. To zależy od czynników, które dopiero poznamy przeprowadzając analizę ryzyka. To nie jest tak, że ta analiza powinna być przeprowadzona jednorazowo. Kwestie związane z zabezpieczeniami powinny być aktualizowane poprzez cykliczne wykonywanie audytów ryzyka. Polityka bezpieczeństwa powinna zawierać kto analizę ryzyka przeprowadza, jak często i powinna określać cykle przeprowadzania analizy.

– Może być tak, w kontekście danych osobowych, że softwere house nie będzie musiał mieć aż tak daleko idących zabezpieczeń jak np. szpital przechowujący dane wrażliwe?

– Do tego sprowadza się istota zmiany regulacji, że przepisy RODO, mimo, że wydają się bardzo straszne, są dużo bardziej elastyczne niż wcześniej obowiązujące regulacje, i rzeczywiście pozwalają na dopasowanie kwestii zabezpieczeń, bo wielu innych też, dokumentacji i tak dalej, do rozmiarów naszej firmy, do tego jakie dane mamy i na jaką skalę je przetwarzamy.

– Myślę, że wiedzy o ochronie danych osobowych w świecie IT jest już sporo. Jest jeszcze jeden temat niezwiązany z danymi osobowymi, o którym moglibyśmy wspomnieć. Chodzi o naszą książkę „Prawo dla biznesu. E-commerce”. Nie jest to tematyka stricte IT, ale ja już kilka razy wspominałem dlaczego warto ją mieć, teraz Paweł, może ty zachęcisz do jej posiadania, twoja wypowiedź stanowi reklamę.

– Mimo, że książka rzeczywiście jest dedykowana dla rynku e-commerce to sporo kwestii, o których rozmawialiśmy, też jest poruszone, więc utwierdza mnie to w przekonaniu, że mimo, że jest ona dedykowana dla e-commerce, to jest chociażby w kwestiach związanych z danymi osobowymi mocno uniwersalna, więc wielu przedsiębiorców prowadzących biznesy inne niż e-commerce, też znajdą dla siebie sporo wartościowych informacji dotyczących tego, jak legalnie prowadzić biznes.

– Poziom choćby tych zabezpieczeń w średniej wielkości e-commerce powinien być w kontekście danych osobowych trochę wyższy niż w średniej wielkości softwere house’ie, bo prawdopodobnie e-commerce będzie przetwarzał większą ilość danych osobowych.

– Tak, skala przetwarzania danych jest większa i to w zakresie liczby tych danych
i kategorii, jakie w e-commerce jest przetwarzane. To są kwestie, które na pewno należy dostosować, ale sama wiedza, że RODO w tym zakresie jest uniwersalne to myślę, że to jest przydatna informacja.

– Okej. Reklama konkretnej pozycji jak najbardziej jest trafna. Na dzisiaj dziękujemy i mamy nadzieję, że to, czego się dowiedzieliście, będzie Wam przydatne w codziennej pracy i rozwijaniu softwere house’u.