Techniczne aspekty RODO w pytaniach i odpowiedziach

30 maja 2018
Techniczne aspekty RODO

Techniczne aspekty RODO w pytaniach i odpowiedziach to propozycja dla wszystkich tych, których wciąż nurtują zagadnienia, związane z rozporządzeniem RODO. Mamy nadzieję, że ten zestaw Q&A pomoże w jeszcze lepszym wdrożeniu zasad bezpieczeństwa zw. z RODO w Waszych firmach i organizacjach.

 

Czy firewall zabezpieczający sieć przed dostępem z zewnątrz może być na tym samym serwerze, na którym przetwarzane są dane – oddzielony logicznie (wirtualizacja), czy musi to być osobne urządzenie?
Nie ma konkretnych wytycznych dot. stosowania zabezpieczeń. Jeśli mamy do czynienia np. z pojedynczym serwerem, to wystarczy dobrze skonfigurowany lokalnie firewall. Jeśli ktoś przetwarza jakieś złożone dane lub są one bardzo istotne, warto zainwestować w dedykowane urządzenia, które ochronią całą sieć.

Jak Google Analytics będzie realizował RODO? Chodzi o użycie skryptów GA na stronach z danymi osobowymi. Jak zbierać zgody na takie działania?
O dane przechowywane w GA martwi się Google. Jeśli nie są wysyłane i powiązywane z GA dane osobowe lub dane, mogące pozwolić na identyfikację osób, nie trzeba się martwić i nie trzeba podpisywać z Googlem odrębnej umowy podpowierzenia. Trzeba jednak uważać, bo GA daje możliwość personalizowania raportów i wysyłania informacji, wśród których mogłyby się znaleźć dane osobowe.

Czy jako sklep internetowy muszę prowadzić także rejestr czynności przetwarzania? Czy sam rejestr wystarczy?
Rejestry, co do zasady, trzeba prowadzić poza wyjątkami wskazanymi w rozporządzeniu. To może być nawet prosty plik w Excelu, w którym gromadzimy niezbędne informacje. Warto prowadzić rejestr, bo wykazanie braku obowiązku jego prowadzenia będzie niesłychane trudne.

Czy można w firmie powołać więcej niż jednego inspektora ochrony danych?
Jeżeli istnieje obowiązek wyznaczenia inspektora ochrony danych, to powinna to być jedna osoba, ale trzeba jej zapewnić warunki do należytego wykonywania obowiązków. W dużej organizacji może to po prostu oznaczać dodatkową pomoc.

Jaki jest minimalny zestaw sugerowanych zabezpieczeń serwera zawierającego dane osobowe?
Po pierwsze należy ustalić, gdzie w ogóle znajdują się dane osobowe. Zalecamy, żeby to była tylko baza danych bez możliwości zapisywania danych na dysku. Jeśli mamy już dane, to powinny zostać odpowiednio zabezpieczone w postaci szyfrowania. Co prawda RODO nie wymusza bezpośrednio szyfrowania zapisanych danych (wymusza natomiast ich szyfrowanie w procesie przesyłania), ale to nas zabezpieczy przed sytuacją, kiedy mamy jakiś hosting współdzielony, oddajemy zasoby i nie wszystkie dyski są wyczyszczone, bądź jakieś są uszkodzone. Serwer, na którym znajdują się dane powinien maksymalnie zostać odcięty od internetu. Z samym serwisem/stroną internetową komunikujemy się tylko za pomocą połączenia szyfrowanego przez SSH, SFTP, etc., ograniczając dostęp do usług dla konkretnej puli adresów. Jednym z najprostszych zabezpieczeń, które można wprowadzić jest dwuskładnikowe uwierzytelnianie, do którego można użyć np. Google Authenticator. Kopie bezpieczeństwa również wykonujemy zaszyfrowane i w taki sposób je też przesyłamy, a dane przechowujemy w zupełnie innym miejscu, np. gdzieś w chmurze AWS. Żeby zachować pełną wiedzę na temat tego, kto miał dostęp do danych, polecamy logować wszystkie połączenia. Najlepiej, żeby logi znajdowały się na zewnętrznym urządzeniu. Dziś bardzo łatwo postawić na froncie rozwiązań serwerowych WAF-a (Web Application Firewall), usługę, która analizuje ruch i pozwala na odcięcie prób ataków. To taki minimalny zestaw zabezpieczeń. Pamiętajmy też, że rekomendowany zestaw zabezpieczeń zawsze uzależniony będzie od konkretnej oceny ryzyka.

Jak się ma RODO w kontekście obecnych klientów firmy? Czy stare zgody na przetwarzanie danych są dalej ważne, czy trzeba je aktualizować?
Wszystkie wcześniejsze zgody, na podstawie których dalej przetwarzamy dane, powinny być w przeciągu dwóch lat zaktualizowane. RODO dopuszcza też przetwarzanie danych na podstawie starych zgód, jeśli są one zgodne z warunkami, zdefiniowanymi w nowym rozporządzeniu. W większości przypadków, może być to trudne, bo w nowym rozporządzeniu rozszerzono obowiązki informacyjne, które należy spełnić w procesie pozyskiwania zgody.

Co trzeba zmienić w treści polityki cookies na stronie www?
Póki co to nie, ale wciąż czekamy na konkretną interpretację, czy trzeba mieć zgodę, a nie jedynie spełnić obowiązek informacyjny.

Dlaczego w kontekście RODO/GDPR miałbym/miałabym korzystać z Amazon Web Services (AWS)?
Przede wszystkim AWS jako duża firma daje od razu narzędzia do spełnienia wymagań RODO. Mamy np. możliwość skorzystania z rozwiązań do tworzenia sieci wirtualnych z odpowiednim dostępem, uprawnieniami. Możemy generować klucze dostępowe, szyfrować wolumeny bez konieczności uruchamiania zaawansowanych rozwiązań w ramach infrastruktury. Dostajemy też gotowe narzędzie do logowania wszelkich zmian i operacji na infrastrukturze, WAF-a, analizatora zabezpieczeń i wiele innych. Wszystko to dostępne jest od ręki.

Zajmuję się tworzeniem stron www. Jak pan X wyśle mi zapytanie dodaję go jako kontakt i wycenę zapisuję jako szansę sprzedaży. Jak się na to zapatruje RODO? Muszę mieć zgodę od potencjalnego klienta, by go dodać w CRM? Oczywiście dane tylko na użytek własny (obsługi klienta). Czasem klient wraca po kilku miesiącach od zapytania.
Gdy zapisujemy dane potencjalnego klienta w jakiejkolwiek bazie, by później je przetwarzać, należy uzyskać odpowiednią zgodę i spełnić wszelkie wymagania RODO.

Mam wątpliwość dotyczącą polityki prywatności na stronach. Czy podanie podmiotu przetwarzającego, jakim jest dostawca usług hostingowych, jest wymagane w kontekście RODO?
Tak. Z każdym hostingodawcą i inną firmą zewnętrzną przetwarzającą dane, należy podpisać stosowne umowy i uwzględnić ich obecność w polityce prywatności.

Jak wygląda sprawa spersonalizowanych wiadomości e-mail w kontekście RODO? Czy mogę wysyłać np. do użytkowników systemu maila z ich imieniem i nazwiskiem (np. „Cześć Jacek” czy „Cześć Jacek Partyka!”)? Pytam o to przede wszystkim w kontekście szyfrowania danych.
W tym konkretnym przypadku mamy do czynienia z przetwarzaniem danych, więc nie mamy obowiązku ich szyfrowania. Należy jednak spełnić wymagania RODO, czyli posiadać odpowiednie zgody i podstawę prawną. Inaczej sytuacja będzie wyglądać, gdy do wiadomości chcielibyśmy dołączyć np. bazę klientów, bądź inną bazę z danymi osobowymi. Wtedy taka baza powinna być odpowiednio zabezpieczona.

Nasze bazy danych znajdują się na serwerze firmy, która świadczy dla nas usługi hostingowe (shared hosting). Nasi klienci płacą nam za utrzymanie (hosting) ich strony/sklepu i mają oni dostęp do danych osobowych swoich klientów przez panel CMS (np. przez zamówienia/newsletter). My jako agencja również mamy fizycznie dostęp do tych danych (no bo są one na serwerze, który wynajmujemy, więc w każdej chwili możemy zalogować się bezpośrednio do bazy i przeglądać te dane), ale nie korzystamy z tych danych. Kto jest odpowiedzialny za te dane osobowe? My jako agencja? Nasz klient? Dostawca usług hostingowych? Kto i o co powinien zadbać, aby spełnić nowe przepisy RODO?
Administratorem danych w tym przypadku jest klient (właściciel strony lub sklepu). Powinien on podpisać pisemną umowę na przetwarzanie tych danych z hostingodawcą, który powinien spełnić wszystkie wymogi bezpieczeństwa RODO. Agencja odpowiada za dane osobowe w tym zakresie, w jakim powierzył mu je klient na podstawie umowy.

Techniczne aspekty RODO

Czy klient powinien mieć dostęp do faktur (PDF) w swoim serwisie (Strefie Klienta) po zażądaniu zapomnienia?
Naszym zdaniem – nie. Prowadzenie Strefy Klienta i udostępnianie tam danych to przetwarzanie.

Jeśli support dostanie zapytanie o: „Delete my account”, czy jest to jednoznaczne z wykasowaniem wszystkich danych osobowych takiego użytkownika? Czy może to być po prostu dezaktywacja/usunięcie konta, ale z zachowaniem jego danych osobowych?
To będzie zależało od okoliczności i nie jest możliwe udzielenie jednoznacznej odpowiedzi na tak sformułowane pytanie. Ważna jest intencja klienta – jeżeli jego intencją jest usunięcie jego konta wraz z wszystkimi przetwarzanymi danymi to należy wykonać jego żądanie.

W jaki sposób sklep internetowy ma zweryfikować, czy osoba dokonująca zakupu ma ukończone 16 lat? Czy wystarczy oświadczenie w formie checkbox’a. Czy osobie poniżej 16 roku życia można odmówić przyjęcia jego zamówienia?
Naszym zdaniem nie wystarczy. RODO nakazuje, aby administrator, uwzględniając dostępną technologię, podjął rozsądne działania, by zweryfikować, czy zgoda została wyrażona przez osobę sprawującą władzę rodzicielską. Samo zaznaczenie checkboxa lub kliknięcie oświadczenia, co z łatwością może być zrobione przez dziecko, chcące otrzymać dostęp do usługi, nie wystarczy. W przypadku, gdy osoba nie przejdzie procedury weryfikacyjnej, nie powinno się jej świadczyć usług.

A co z danymi np. pracowników Urzędu publikowanymi na stronach Biuletynu Informacji Publicznej ?
Zgodnie z zasadą ograniczenia czasowego ujętą w RODO przechowywanie informacji w postaci umożliwiającej identyfikację osób, których one dotyczą, nie powinno trwać dłużej niż to niezbędne do osiągnięcia celu przetwarzania. Przepisy nie regulują dokładnie, jak długo takie dane mają być przetwarzane.

Co z danymi, o których firma hostingowa nie ma wiedzy, że w ogóle są na jej serwerach? Przykładowo sprzedają klientowi pusty serwer dedykowany. Klient uruchamia sobie na tym serwerze dowolne usługi, np. pocztowe, a w mailach może znaleźć się przecież wszystko, w tym dane wrażliwe…
Firma hostingowa jest podmiotem przetwarzającym dane w zakresie objętym umową. W tym wypadku będzie zobligowana do odpowiedniego poziomu fizycznych zabezpieczeń dostępu do pomieszczeń i serwerów, procedurami kasowania dysków, zapewnieniu zasilania awaryjnego, chłodzenia oraz monitoringu wizyjnego. Musi podpisać umowę o powierzeniu przetwarzania danych oczywiście w w/w zakresie i tylko za tenże zakres odpowiada.

Mam klienta, który kupił u mnie hosting, a ja kupiłem go w Hostersach. Klient utrzymuje na serwerze proste www bez danych osobowych i pocztę i tam już jest przepływ maili. Czy muszę mieć umowę z klientem i umowę z Hostersi na przetwarzanie danych?
W umowie między klientem a pytającym powinno być uregulowane powierzenie danych, a także przewidziane podpowierzenie tych danych dalej wraz z wyrażaną na to zgodą administratora.

Zwykle w formularzach jest informacja w stylu „Zgadzam się na przetwarzanie danych osobowych zgodnie z Ustawą o Ochronie Danych Osobowych”. Czy muszę to zmienić teraz na treść zgodnie z RODO?
Należy ją dostosować do RODO. Taka klauzula jest zbyt ogólna.

Czy filtr typu Paolo Alto (filtr ruchu całego łącza, zabezpieczenie i filtrowanie), które może być użyte do profilowania użytkowników, wymaga zgody użytkowników?
Naszym zdaniem to będzie zależało od tego, czy narzędzie jest lub będzie wykorzystywane do profilowania. Sam fakt tego, że teoretycznie może być do tego użyty, nie jest jeszcze wystarczający. Nie wyklucza to innych obowiązków RODO, jeżeli za pomocą narzędzia zbiera się i przetwarza dane osobowe bez profilowania (może np. zaistnieć konieczność spełnienia obowiązków informacyjnych w stosunku do osób, których dane pozyskano z innych źródeł).

Czy można spełnić zapis dotyczący prawa do zapomnienia jeżeli wystawiliśmy klientowi fakturę VAT? Czy to prawo możemy spełnić dopiero po 5 latach?
Prawo do bycia zapomnianym dotyczy konkretnego zakresu przetwarzania oraz jego sposobu. RODO pozwala np. na przechowywanie danych niezbędnych ze względu na uzasadniony interes administratora, koniecznych do obsługi procesu reklamacyjnego, czy ustalania i dochodzenia roszczeń.

Czy korzystanie z serwisów Google (mail, dysk, arkusze, etc.) jest zgodne z RODO? Swoją bazę klientów prowadzimy w Google Docs na firmowym koncie Google (domena kupiona też od Google’a).
W ramach usługi GSuite możliwe jest podpisanie umowy DPA. Google gwarantuje wtedy zabezpieczenia i położenie danych w ramach EOG.

Chcąc trzymać dane klienta do przyszłych zleceń, które pojawiają się nawet co kilka lat, jak zapewnić możliwość trzymania danych przez długi okres?
De facto aż do aktywnego odwołania przez klienta. Aby móc przetwarzać dane osobowe, klient (osoba fizyczna) musi wyrazić zgodę na przetwarzanie jego danych. Należy poinformować klienta podczas pozyskiwania danych, że dla potrzeb obsługi przyszłych zleceń jego dane będą nadal przetwarzane nawet po zrealizowaniu bieżącej usługi i że ma wynikające z tego prawa.

Jak ma się RODO w kontekście sklepu internetowego lokalizowanego na cały świat?
Jeżeli klientami są lub mogą być osoby fizyczne zlokalizowane w UE, to należy spełnić wymagania RODO.

 

Pytania? Skontaktuj się z nami

 

 

Zobacz również:

Hosting ecommerce dla sklepu internetowego
Przeniesienie sklepu internetowego do chmury
Infrastruktura serwerowa bez tajemnic. Serwer dedykowany, VPS, czy chmura?
Hosting kampanii sprzedażowych ecommerce

Case Studies
Referencje

Firma Hostersi pozwoliła nam osadzić ogólne zagadnienia programu Well Architected Framework w kontekście naszej firmy. Oszczędziło nam to wiele czasu i pozwoliło znaleźć lepiej dopasowane rozwiązania do specyfiki naszego biznesu. WAF był świetnym katalizatorem do wprowadzenie szeregu zmian w obszarze niezawodności, szybkości i bezpieczeństwa edrone. 

Piotr Stachowicz
CTO
W skrócie o nas
Specjalizujemy się w dostarczaniu rozwiązań IT w obszarach projektowania infrastruktury serwerowej, wdrażania chmury obliczeniowej, opieki administracyjnej i bezpieczeństwa danych.