Społeczność IT europejskiego obszaru gospodarczego w ostatnim czasie mówi niemal wyłącznie o dacie 25 maja 2018 r., kiedy to w życie wchodzą nowe przepisy określone przez RODO (GDPR). Implikacje w praktyce sprowadzają się do potrzeby rewizji posiadanych i używanych systemów i aplikacji oraz sposobu gromadzenia i przetwarzania przez nie danych osobowych.
Jednym z aspektów RODO jest bez wątpienie aspekt chmurowy, a w szczególności jak obsługiwać aplikacje w chmurze, takie jak Salesforce, Concur, Expensify, Shopify, SAP, Splunk, Workday, SuccessFactors, Box, Dropbox, WeTransfer i wiele innych. Są to aplikacje, od których firmy w coraz większym stopniu zależą, jednak coraz większa ich dostępność i łatwość wykorzystania sprawia, że departamenty biznesowe często zaczynają je wykorzystywać bez żadnej wiedzy i kontroli ze strony IT. Zgodnie z ustaleniami firm analitycznych europejskie przedsiębiorstwa wykorzystują przeciętnie ok 600 różnych aplikacji w chmurze, natomiast korporacyjne IT niedoszacowuje tej liczby w 90%! Jak zabrać się za proces zapewniania zgodności wykorzystywanych aplikacji w chmurze z RODO nie mając pojęcia o fakcie wykorzystania ponad połowy z nich przez pracowników w codziennej działalności?
Czytaj także: RODO dla deweloperów: co freelancerzy i małe firmy powinny wiedzieć
- Ustal lokalizację, w której aplikacja przetwarza i przechowuje dane. Nie jest to trywialne, należy zidentyfikować wszystkie aplikacje w chmurze wykorzystywane w naszej organizacji i uzyskać informacje, gdzie przechowują nasze dane. Należy zwrócić szczególną uwagę na to, czy dane są lub mogą być dynamicznie przenoszone między centrami danych hostującymi aplikacje, bez naszej wiedzy.
- Podejmij adekwatne kroki w celu zapewnienia bezpieczeństwa, tj. ochrony danych osobowych przed utratą, zmianą lub nieautoryzowanym przetwarzaniem. Należy przeanalizować i ustalić jaki standard bezpieczeństwa spełniają aplikacje oraz zablokować lub ograniczyć dostęp do tych, co do których mamy uzasadnione wątpliwości. Pomocne może okazać się wykorzystanie indeksów bezpieczeństwa aplikacji dostarczanych przez firmy audytorskie i analityczne, bądź po prostu przeprowadzenie audytu bezpieczeństwa.
- Zrewiduj lub wypowiedz umowy o przetwarzanie danych osobowych powiązane z wykorzystywanymi aplikacjami w chmurze. Po identyfikacji aplikacji, których używasz, konsolidacji funkcjonalności możemy zawrzeć z dostawcą/-ami nowe umowy przestrzegające wymogów RODO.
- Upewnij się, że zbierasz tylko niezbędne dane osobowe i ogranicz przetwarzanie danych wrażliwych, tj. pozwalających na ustalenie rasy, pochodzenia etnicznego, przekonań politycznych, orientacji seksualnej, wyznania itp. Zapewnij sobie w umowie oraz w ramach standardów bezpieczeństwa informacji w ramach organizacji, że tylko dane osobowe konieczne do wykonywania funkcji aplikacji będą zbierane od użytkowników.
- Nie zezwalaj aplikacjom w chmurze na wykorzystywanie danych osobowych do innych celów. Upewnij się czy umowa o przetwarzania danych osobowy wyraźnie to stanowi, przeprowadź również due dilligence aplikacji pod kątem tego, czy dane są własnością klienta oraz że nie udostępniają danych stronom trzecim.
- Upewnij się, że możesz usuwać dane, gdy zaprzestaniesz korzystania z aplikacji. Upewnij się, że warunki aplikacji wyraźnie określają, że masz możliwość pobrania danych, natomiast po stronie aplikacji dane zostaną usunięte po zakończeniu świadczenia usługi. Warto zweryfikować, ile czasu zajmuje usunięcie danych.
