Z centraliWgląd w SaaSRODO: Jak firmy SaaS powinny przygotować się na rozporządzenie?

RODO: Jak firmy SaaS powinny przygotować się na rozporządzenie?

Scenariusz Renuka Shahane
Wgląd w SaaSScalefuzja

Na tym blogu

„Dane są cenną rzeczą i przetrwają dłużej niż same systemy”. 

Tim Berners-Lee, wynalazca World Wide Web

Dane to złoto. A gdy świat podejmuje krucjatę zmierzającą do wykorzystania danych na wiele sposobów (zarówno etycznych, jak i nieetycznych), na ratunek wkracza RODO. 

 Wpływ nowego prawodawstwa UE – ogólnego rozporządzenia o ochronie danych (RODO) na biznes okazuje się dziś jednym z najważniejszych przepisów globalnych, ponieważ jest związany z zarządzaniem danymi i prywatnością danych. Wiele osób nie ma pewności, czym jest RODO, jaki może mieć wpływ na ich firmy i czy w ogóle powinni się tym martwić.

Znaczenie RODO

RODO, czyli ogólne rozporządzenie o ochronie danych, weszło w życie 25 maja 2018 r. Unia Europejska (UE) przez ostatnie dwie dekady przewodziła zmianom regulacyjnym w zakresie prywatności i ochrony danych. Naruszenie RODO może skutkować karami finansowymi w wysokości do 4% Twojego rocznego światowego obrotu lub aż 20 milionów euro – w zależności od tego, która kwota jest wyższa. RODO ma na celu ochronę praw obywateli UE do prywatności danych, ale ma zastosowanie do prawie każdej firmy o zasięgu globalnym, w tym SaaS.

W tym artykule omówimy zgodność z RODO dla SaaS i jej konsekwencje.

Jaka jest potrzeba RODO?

Istnieją dwa powody, dla których wprowadzono RODO. Po pierwsze, UE chce mieć większą kontrolę nad danymi osobowymi swoich mieszkańców i kontrolować sposób ich wykorzystania. Ma w ten sposób nadzieję zwiększyć zaufanie do gospodarki cyfrowej.

Po drugie, UE zapewnia proste i przejrzyste środowisko prowadzenia przedsiębiorstw, dzięki czemu jest ono niemal jednolite w całej UE.

Czy RODO będzie miało na Ciebie wpływ, nawet jeśli nie mieszkasz w UE?

Tak, jeśli –

  • Sprzedawaj towary lub usługi obywatelom UE lub monitoruj ich zachowanie.
  • Przetwarzaj dane osobowe osób fizycznych z UE w imieniu innych firm.
  • Prowadź stronę internetową, która wykorzystuje technologie takie jak pliki cookie do monitorowania osób przebywających w UE
  • Zatrudnij dowolnego mieszkańca UE
  • Zbieraj wszelkiego rodzaju dane, które mogą zawierać informacje o obywatelach UE

W skrócie RODO ma zastosowanie do dostawców SaaS, którzy mają europejskich klientów lub konsumentów, niezależnie od lokalizacji geograficznej organizacji.

RODO dla SaaS: Rola Administratora Danych

Czy jesteś administratorem danych? 

Administrator danych to osoba lub organizacja, która kontroluje i jest odpowiedzialna za przechowywanie i wykorzystywanie danych osobowych. Bycie administratorem danych wiąże się z poważnymi obowiązkami prawnymi, należy prowadzić rejestr danych osobowych i czynności przetwarzania.

  • Jeżeli Twoja organizacja kontroluje i ponosi odpowiedzialność za przechowywane dane osobowe, wówczas jest ona administratorem danych. z drugiej strony, Ty przechowujesz dane osobowe, ale inna organizacja decyduje i jest odpowiedzialna za to, co dzieje się z danymi, wówczas ta ostatnia organizacja jest administratorem danych, a Twoja organizacja jest podmiotem przetwarzającym dane.
  • Administratorami danych mogą być osoby fizyczne lub firmy, departamenty rządowe i organizacje wolontariackie. Osoby fizyczne, takie jak lekarze pierwszego kontaktu, farmaceuci, politycy i osoby prowadzące jednoosobową działalność gospodarczą, w przypadku których przechowują dane osobowe swoich pacjentów, klientów, wyborców itp.
  • Obowiązkiem administratora danych będzie zapewnienie zgodności umów z podmiotem przetwarzającym z RODO.

RODO dla organizacji SaaS: rola podmiotu przetwarzającego dane

Czy jesteś podmiotem przetwarzającym dane? 

Za przetwarzanie danych osobowych w imieniu administratora odpowiedzialny jest podmiot przetwarzający. Przykładami podmiotów przetwarzających dane są firmy płacowe, księgowi i firmy zajmujące się badaniami rynku, z których wszystkie przechowują lub przetwarzają dane osobowe w imieniu innej osoby. Dostawcy usług w chmurze są również zazwyczaj podmiotami przetwarzającymi dane.

Podmioty przetwarzające dane mają obowiązek prowadzenia ewidencji danych osobowych i czynności przetwarzania. Jeżeli są odpowiedzialni za naruszenie, ponoszą odpowiedzialność prawną.

Jedna firma lub osoba może być zarówno administratorem danych, jak i podmiotem przetwarzającym dane dla odrębnych zbiorów danych osobowych. Na przykład: firma płacowa byłaby administratorem danych w odniesieniu do danych dotyczących własnego personelu, ale byłaby również podmiotem przetwarzającym dane w odniesieniu do danych dotyczących wynagrodzeń pracowników, które przetwarza dla swoich firm-klientów.

Zanim zrozumiemy, w jaki sposób firmy SaaS muszą zacząć przygotowywać się do RODO, najpierw przyjrzyjmy się rodzajom danych, których dotyczy RODO.

RODO dla organizacji SaaS – jakich danych dotyczy?

Dane personalne

Wszelkie informacje o możliwej do zidentyfikowania osobie, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji lub identyfikatory internetowe, powstałe w wyniku zmian technologicznych. Dotyczy to zarówno zautomatyzowanych danych osobowych, jak i ręcznych systemów archiwizacji. Pseudonimizowane dane osobowe, czyli np. imię i nazwisko zostaje zastąpione unikalnym numerem, w zależności od tego, jak trudno jest scharakteryzować pseudonim dla danej osoby.

Wrażliwe dane osobowe

Wrażliwe dane osobowe objęte RODO są uważane za specjalne kategorie danych osobowych, które stanowią bardziej wrażliwe informacje o danej osobie i dlatego wymagają większej ochrony, np. rasa, pochodzenie etniczne, poglądy polityczne, religia, przynależność do związków zawodowych, dane genetyczne, takie jak sekwencja DNA, dane biometryczne odciski palców lub skany siatkówki oka wykorzystywane do celów identyfikacyjnych itp.

Zgodność z RODO dla firm SaaS: Jak się przygotować?

Ważne jest, aby klienci i dostawcy SaaS byli przygotowani i działali w zakresie zgodności z RODO. Jeśli jeszcze tego nie zrobiłeś, oto jak możesz to zrobić:  

Miej świadomość

Decydenci i kluczowe osoby w organizacji powinny mieć świadomość istnienia RODO i analizować jego skutki, identyfikować związane z tym ryzyko i uwzględniać je w swoim procesie zarządzania ryzykiem.

Właściwa dokumentacja

Aby zachować odpowiedzialność i zapewnić skuteczność dokumentacja procesowapowinieneś udokumentować, jakie dane osobowe przechowujesz, skąd pochodzą i komu je udostępniasz. Możesz nawet wymagać regularnych audytów tej dokumentacji. Jest to ważne nie tylko dlatego, że jest wymogiem prawnym, ale także dlatego, że może wspierać dobre zarządzanie danymi i pomóc w wykazaniu zgodności z innymi aspektami RODO.

Przekazywanie informacji o prywatności

Przed zgromadzeniem jakichkolwiek danych osobowych obowiązujące przepisy wymagają powiadomienia klientów o Twojej tożsamości, powodach gromadzenia danych, celach ich wykorzystania, komu zostaną ujawnione i czy będą przekazywane poza UE. Zgodnie z RODO dodatkowe informacje muszą zostać przekazane osobom fizycznym przed ich przetwarzaniem.

Prawa jednostek

Organizacje będą musiały udostępnić dane osobowe w powszechnie używanej strukturze lub w formacie elektronicznym, bezpłatnie. Będą także musieli sprawdzić swoje procedury, aby upewnić się, że obejmują wszystkie prawa przysługujące osobom fizycznym. Na przykład, jak byś zareagował, gdyby ktoś poprosił o usunięcie swoich danych osobowych? Czy Twoje systemy pomogą Ci zlokalizować i usunąć dane? A kto podejmie taką decyzję?

Prowadź dokumentację potwierdzającą zgodę na dowód – kto wyraził zgodę, kiedy, w jaki sposób i co im powiedziano. Ułatw ludziom wycofanie zgody w dowolnym momencie. Włącz regularne przeglądy zgody do swoich procesów biznesowych, ponieważ RODO jasno stanowi, że administratorzy muszą być w stanie jasno wykazać, że zgoda została wyrażona. Dlatego przejrzyj swoje systemy rejestrowania zgód, aby upewnić się, że masz skuteczną ścieżkę audytu.

RODO i SaaS: Jak zmienią się żądania dostępu podmiotu (SAR)?

Zgodnie z RODO organizacje będą musiały szybciej rozpatrywać wnioski o dostęp do danych (SAR), a także dostarczać dodatkowe informacje. Osoby fizyczne mają już prawo dostępu do swoich danych osobowych za pośrednictwem SAR. Jednakże złożenie takich wniosków będzie zasadniczo bezpłatne, a osoby fizyczne będą uprawnione do otrzymania informacji w formacie elektronicznym.

Jeśli organizacja obsługuje dużą liczbę SAR, wpływ zmian może być znaczny. Dlatego podjęcie kroków w celu uporządkowania podejścia do SAR pomoże organizacjom w zapewnieniu zgodności z RODO.

Naruszenie danych

Powinieneś upewnić się, że masz odpowiednie procedury umożliwiające wykrycie i zgłoszenie naruszenia bez zbędnej zwłoki. Jeśli to możliwe, w ciągu 72 godzin od uzyskania informacji i zbadania naruszenia ochrony danych osobowych.

Wyznacz inspektorów ochrony danych

Organizacja musi wyznaczyć osobę, która przejmie odpowiedzialność za przestrzeganie zasad ochrony danych. Można wyznaczyć osobę z zewnątrz lub osobę z samej organizacji. Być może będziesz musiał wprowadzić pewne zmiany w strukturze swojej organizacji.

Regulacja danych i przyszłe projekty

A (decyzja dotycząca wpływu na prywatność danych) DPIA to proces systematycznego rozważania potencjalnego wpływu, jaki projekt lub inicjatywa może mieć na prywatność osób fizycznych. Pozwala organizacjom zidentyfikować potencjalne problemy związane z prywatnością, zanim one wystąpią, i znaleźć sposób na ich złagodzenie. Ocena skutków dla ochrony danych może obejmować dyskusje z odpowiednimi stronami/interesariuszami. Ostatecznie taka ocena może okazać się nieoceniona przy określaniu wykonalności przyszłych projektów i inicjatyw. RODO nałożyło obowiązek przeprowadzenia oceny skutków dla organizacji zaangażowanych w przetwarzanie obarczone wysokim ryzykiem; na przykład gdy wdrażana jest nowa technologia, gdy operacja profilowania może mieć znaczący wpływ na osoby fizyczne lub gdy obszar publicznie dostępny jest monitorowany na dużą skalę.

RODO może wydawać się dodatkowym obszarem do pracy dla firm SaaS, ale w dłuższej perspektywie rozsądne jest uwzględnienie kwestii prywatności danych, biorąc pod uwagę ilość generowanych danych.

Referencje:
i) http://www.wired.co.uk/article/what-is-gdpr-uk-eu-legislation-compliance-summary-fines-2018
ii) https://spanning.com/blog/the-global-impact-of-gdpr/
iii) https://www.process.st/gdpr-compliance/
iv) https://www.bodlelaw.com/saas/saas-agreements-data-protection-new-eu-data-protection-regulation
v) https://www.eugdpr.org/glossary-of-terms.html
vi) https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
vii) https://media.squirepattonboggs.com/pdf/misc/GDPR-Implications.pdf
viii)http://www.itpro.co.uk/it-legislation/27814/what-is-gdpr-wszystko-co-musisz-wiedzieć
ix) https://www.forbes.com/sites/ciocentral/2017/08/31/if-you-use-saas-products-you-need-to-prepare-for-gdpr-heres-how/#1f13189a29f8

Renuka Shahane
Renuka Shahane
Renuka Shahane jest pisarką i redaktorką na blogu Scalefusion. Zapalona czytelniczka, która uwielbia pisać o technologii, lubi tłumaczyć techniczny żargon na treści nadające się do konsumpcji.
Baner artykułu

Więcej z bloga

Wytrzymałe zarządzanie urządzeniami

Najlepsze tablety Zebra dla firm w 2026 roku

Przyjrzyjmy się najlepszym tabletom Zebra do zastosowań biznesowych w 2026 r., porównajmy ich mocne strony i pomóżmy Ci podjąć decyzję, który wybrać...
Anurag Khadkikar -
Scalefuzja

Scalefusion kontra Hexnode: kompletny przewodnik porównawczy

Scalefusion kontra Hexnode to porównanie, które wiele organizacji bierze pod uwagę przy ocenie ujednoliconego punktu końcowego...
Steven Chopade -
Scalefuzja

Scalefusion kontra JumpCloud: szczegółowe porównanie

Wybór odpowiedniej platformy może być dla nich decydujący i zazwyczaj wiąże się z decyzją o kluczowym znaczeniu...
Atishay Jain -