Zagadnienie zgodności z unijnymi przepisami RODO dotyczy każdego współczesnego zespołu, który korzysta na co dzień z cyfrowych narzędzi. Biorąc pod uwagę ciągły wzrost liczby przypadków wycieków danych, warto pomyśleć o wyborze rozwiązania, które umożliwi przechowywanie wszystkich zasobów – komunikacji, informacji i dokumentów – na jednej platformie zero-trust, której można zaufać.

RODO, czyli ogólne rozporządzenie o ochronie danych osobowych, jest z nami już od kilku lat. Zostało przyjęte przez Unię Europejską i dotyczy organizacji z całego świata, które gromadzą lub przetwarzają one dane dotyczące mieszkańców Unii Europejskiej. W rezultacie, jeśli w jakikolwiek sposób przetwarzasz dane osobowe obywateli UE (na przykład je przechowujesz lub przesyłasz), musisz działać zgodnie z RODO. Jednym z głównych wymagań rozporządzenia jest zapewnienie odpowiedniego poziomu zabezpieczenia tych danych. Jak sobie z tym radzić w sytuacji, gdy na rynku dominuje zdalny lub hybrydowy model pracy zespołowej?

Rozwiązaniem, które pomaga organizacjom w odpowiednim zabezpieczeniu danych jest PrivMX Fusion – tworzony przez polskich programistów software do pracy zespołowej, który wciela koncepcję zero-trust.

Miałem przyjemność brać udział w tworzeniu tego oprogramowania i jestem jego użytkownikiem. Wspólnie z zespołem tworzyliśmy rozwiązania bazujące na koncepcji privacy-by-design, czyli pełnej poufności danych użytkownika – na każdym etapie korzystania z usługi. Zastosowana w tym celu technologia szyfrowania end-to-end pozwala także zapewnić odpowiednio wysoki poziom bezpieczeństwa danych.

Jeżeli chcesz dowiedzieć się, w jaki sposób PrivMX umożliwia ochronę danych osobowych w odpowiedni sposób, sprawdź poniższą checklistę.

Sprawdź, czy Twój zespół spełnia wymagania RODO

Oto 5 rzeczy, o których warto pamiętać w kontekście zgodności z unijnymi przepisami o ochronie danych osobowych:

1. Szyfrowanie end-to-end

Kiedy wysyłasz plik z danymi klientów, wiadomość ze swoim numerem telefonu czy odbywasz konferencję video z kontrahentem na temat istotnej współpracy – pamiętaj, aby zadbać o ochronę tych danych. Zgodnie z rozporządzeniem, szyfrowanie jest sugerowanym środkiem zapewniającym ochronę danych zgodnie z wymaganymi standardami. Dzięki szyfrowaniu end-to-end dostęp do każdego pliku, wiadomości czy spotkania w kalendarzu masz tylko Ty oraz osoby, do których kierujesz te dane. Zadaj sobie pytanie – czy aplikacje, których używacie, zapewniają ten poziom kontroli?

PrivMX Fusion stosuje szyfrowanie zero-knowledge, co oznacza, że nikt – nawet twórcy usługi czy pracownicy wybranego przez Ciebie centrum danych – nie jest w stanie ich odszyfrować.

2. Zarządzanie dostępem dla użytkowników

Zgodnie z RODO, należy dopilnować, aby wszystkie osoby (w tym pracownicy), które przetwarzają dane osobowe pod Twoim nadzorem, robiły to tylko w takim zakresie, w jakim jest to niezbędne do realizacji ich obowiązków. Jeśli Twoje obowiązki przewidują na przykład kontakt z klientem, potrzebujesz do tego celu odpowiednich danych. Natomiast jeśli wykonujesz obowiązki grafika komputerowego, takie dane nie są zazwyczaj konieczne do wykonania pracy. 

Dlatego dostęp do danych osobowych musi być ograniczony i każdy, kto nie ma do nich wystarczających uprawnień, nie powinien być w stanie ich odczytać i wykorzystać. Aby ułatwić sobie zarządzanie dostępem do tych wrażliwych informacji, warto postawić na intuicyjne narzędzia. PrivMX Fusion umożliwia podjęcie decyzji, kto z Twojego zespołu otrzyma dostęp do określonych treści – czy będzie to cały dział, określona część teamu, czy tylko wybrany użytkownik. Co więcej, decyzje te podejmujesz naturalnie i bez dodatkowego wysiłku – wymusza je architektura programu. 

3. Centra danych w UE

Jak wiadomo, wielu usługodawców może przechowywać dane osobowe poza UE. Zgodnie z RODO, korzystanie z usług takich podmiotów wymaga wdrożenia dodatkowych środków w celu ochrony danych osobowych w krajach poza Unią. To może wymagać podpisania specjalnej umowy lub zweryfikowania, czy możliwe jest skorzystanie z usług takiego dostawcy.

Trudności mogą wystąpić zwłaszcza w przypadku usług świadczonych przez dostawców ze Stanów Zjednoczonych. W 2020 r. Trybunał Sprawiedliwości Unii Europejskiej uznał tzw. Tarczę Prywatności za nieważną. Było to specjalne porozumienie pomiędzy Unią Europejską a Stanami Zjednoczonymi, pozwalające na transfery danych osobowych do podmiotów znajdujących się w USA, które dołączyły do Tarczy. W tej chwili nie mamy żadnego nowego porozumienia, które zastąpiłoby Tarczę Prywatności i zapewniło bezpieczny schemat przenoszenia danych osobowych do Stanów. Co więcej, Trybunał Sprawiedliwości Unii Europejskiej wskazał, że amerykańskie prawo generalnie nie zapewnia odpowiedniej ochrony danych osobowych obywateli UE. W rezultacie, wszystkie transfery takich danych, do np. dostawcy usług w chmurze, nie są zgodne z przepisami RODO.

Warto zwrócić uwagę na to, gdzie zarejestrowana jest firma, z której usług korzystasz w zakresie oprogramowania do pracy. Idealnie, jeśli jej siedziba znajduje się w UE, wraz z całą infrastrukturą serwerową. Jeszcze lepiej, jeśli tak jak w PrivMX Fusion, użytkowane centra danych znajdują się w różnych krajach UE, a użytkownicy mogą wybrać, do którego konkretnie trafią ich dane. Takie rozwiązanie zapewnia pełniejszą kontrolę i dają gwarancje, że dane użytkowników nie opuszczają granic Unii.

4. Uwierzytelnienie wieloskładnikowe

RODO wskazuje, że należy zapobiegać przypadkom, w których nieautoryzowane osoby uzyskują dostęp do danych. Jednym z najważniejszych aspektów poufności danych jest upewnienie się, ze nikt nie użyje Twojego (lub któregoś z uprawnionych przez Ciebie pracowników) loginu ani hasła. Dlatego warto stosować uwierzytelnienie  wieloskładnikowe – mimo pozornych niedogodności,  korzystanie dodatkowo z numeru telefonu lub adresu e-mail, jak w PrivMX Fusion, pozwala podnieść poziom bezpieczeństwa.

5. Odpowiedzialność

RODO wskazuje, że każdy, kto kontroluje dane, powinien być w stanie korzystać z odpowiednich środków bezpieczeństwa dotyczących przetwarzania danych osobowych – włączając w to ochronę przed nieautoryzowanym lub bezprawnym wykorzystaniem, przypadkowym zgubieniem, uszkodzeniem lub zniszczeniem. Warto wziąć te wymogi pod uwagę przy zakupie sprzętu, oprogramowania i konkretnych aplikacji, np do edycji i przechowywania plików. Dla przykładu, PrivMX Fusion pozwala weryfikować kto stworzył, zmodyfikował, przesłał dany plik lub edytował konkretną część dokumentu. Jest to niezwykle istotna funkcjonalność, umożliwiająca odpowiedzialne przetwarzanie danych osobowych i ciągłą kontrolę nad poprawnością procesu. 

Mam nadzieję, że powyższa checklista przyda się w Twoim zespole i pomoże Wam nie tylko w kontekście zgodności z RODO, ale właściwej organizacji pracy.

Dowiedz się więcej o PrivMX na stronie: https://privmx.com