Ruletka RODO – ryzykowna gra z powierzeniem danych

  • RODO

Ruletka RODO – ryzykowna gra z powierzeniem danych

RODO zbliża się wielkimi krokami – jedni uwijają się jak w ukropie z nowymi zgodami, inni kończą szlifować procedury, jeszcze inni uważają, że mają czas, powtarzając jak mantrę – „ja przecież nie przetwarzam danych” (naprawdę ? to prawie niemożliwe) albo – „RODO jeszcze nie weszło” (weszło, weszło – tylko nie jest jeszcze egzekwowane).

Masz dopracowane procedury, przeprowadziłeś audyt, kończysz wdrażać rekomendacje. Wszystko po Twojej stronie jest już przygotowane: zgody, wzory, umowy powierzenia. Czy jesteś gotowy i bezpieczny? Sprawdź.

Czy Twój dostawca jest RODO ready?

Każdy musi być gotowy na 25 maja – wszyscy dostawcy rozwiązań oraz kontrahenci, którym powierzasz dane. Ale co się stanie, jeśli ktoś nie zdąży? Jeśli dostawca Twojej usługi hostingowej Twojego serwera nie będzie gotowy na RODO? Nawet jeśli 24 maja poinformuje Cię, że nie zdążył albo (co bardziej prawdopodobne), nie poinformuje? Podpisanie umów powierzenia się przeciągnie? Kto za to odpowie?

Do rzadkości należy przypadek, że strona internetowa, a zwłaszcza sklep internetowy, jest w całości zbudowana przez nas, na naszych serwerach, bez dodatkowych narzędzi analitycznych, dostawców usług, agencji marketingowych. Oprócz tego, co na co dzień widzi klient, zazwyczaj mamy dostawcę hostingu, domeny, agencję, która jest dla nas wsparciem technicznym, programistę na b2b, jak również gotowe platformy sklepowe, wtyczki do poszczególnych funkcjonalności czy narzędzia do analizy danych – chociażby formularz kontaktowy obsługiwany gotową wtyczką.

Możemy śmiało założyć, że dostawca usługi hostingowej może mieć dostęp do niego i znajdujących się na nim danych. Pracownicy dostawcy mogą mieć dostęp do danych naszych klientów, a więc może zdarzyć się incydent, na który nie będziemy mieli wpływu, możemy nawet o nim nie wiedzieć, ale będziemy za niego odpowiadali jako administrator danych.

Powinniśmy mieć z dostawcą usługi hostingowej  umowę powierzenia danych i poinformować klientów, że ich dane mogą być przetwarzane przez taki podmiot. Da się zrobić! 😉

e-learning rodo baner

Wtyczki, czaty, formularze – na co uważać?

Idąc tym tropem: dostawca „wtyczki” do e-sklepu, do formularza kontaktowego, czy do czatu z klientem również może mieć wgląd w te dane, a przynajmniej nie możemy być pewni, że go nie ma. Oznacza to, że powinniśmy zawrzeć z nim umowę powierzenia danych i znowu poinformować klientów, że te podmioty mogą przetwarzać ich dane w określonym  zakresie. Ale w jakim? To my jesteśmy ADO (Administratorem Danych Osobowych) – po naszej stronie leży określenie tego !

No dobrze, TE podmioty, to znaczy które? Kto jest dostawcą darmowej „wtyczki”, gdzie ma swoje serwery? W Europie? Poza Unią Europejską? Co z wtyczkami na licencjach typu open source współtworzonych przez społeczność internetową? Czy ktoś uzna za zasadne inwestować w rozwój darmowej wtyczki?

Stajemy tu przed ogromnym wyzwaniem analizy regulaminów wszystkich „wtyczek”, określenia ich dostawcy i jego siedziby i w obliczu decyzji, czy regulamin reguluje kwestię przetwarzania danych, czy też potrzebujemy osobnej umowy. Co niestety nie oznacza, że np. „wtyczki” zagranicznych twórców z poza Unii Europejskiej, często dostępne w języku angielskim i chętnie przez nas wykorzystywane, w ogóle będą dostosowywane do RODO. Można sobie wyobrazić, że twórcom zależy głównie na lokalnych użytkownikach w USA, w związku z tym europejskie normy prawne nie będą dla nich priorytetem.

Czy zagrożenie jest realne? Skoro przeczytałeś ten artykuł i zastanawiasz się nad tym to może to oznaczać, że dla Ciebie tak. Jeżeli uważasz, że używany przez Ciebie plug-in może stanowić potencjalne źródło wycieku danych, to właśnie zdefiniowałeś zagrożenie. Zgodnie z regulacjami RODO, w tej sytuacji  nie możesz go zbagatelizować, bo będzie to oznaczało, że nie dołożyłeś  wszelkich starań do zabezpieczenia danych klientów. Możesz określić ryzyko jako małe. Czy będzie to jednak  realna ocena? Brak podstawowych informacji o tym, kto jest podmiotem przetwarzania danych, może znacznie utrudnić linię obrony w razie kontroli lub, co gorsza, incydentu.

Co możesz zrobić? Warto przyjrzeć się wszystkim elementom i odnaleźć regulaminy, a być może pomyśleć nad zamianą platformy na kompleksowe rozwiązanie zapewniane przez dostawcę i uniknąć odpowiedzialności.

Kiedy sprawdzić umowy z dostawcą usług?

W kwestii umów powierzenia danych powinno być łatwiej. Wiele dużych firm przygotowuje swoje wzory umów o powierzenie danych, które wystarczy podpisać i w ten sposób wypełnić formalności. Ale – uwaga: zanim podpiszesz – przeczytaj ! Po pierwsze: sprawdź czy proponowane zapisy na pewno dotyczą RODO. Nie zakładam złej woli partnerów w biznesie, ale… RODO może być okazją do próby wykorzystania zmiany zapisów na Twoją niekorzyść. Po drugie: sprawdź, czy w ogóle proponowane zapisy są zgodne z RODO.
Są i takie firmy, które jeszcze takich umów nie przygotowały. Niebezpieczeństwem jest przekonanie kontrahentów, że mają czas, a do 25 maja umowa będzie gotowa. Warto zwrócić uwagę na ryzyko, że możemy otrzymać tę umowę w ostatnim momencie (o ile w ogóle na czas). Idą za tym dwa zagrożenia:

  • nie otrzymamy umowy na czas, w związku z czym nie będziemy gotowi na RODO;
  • otrzymana umowa będzie zawierała niekorzystne zapisy, a czasu na jej podpisanie w terminie będzie niewiele.

W obu przypadkach najbezpieczniej byłoby wyłączyć na stronie internetowej wszystkie wątpliwe funkcjonalności, a w przypadku serwera zmigrować wszystkie dane i usunąć je od dostawcy. Oprócz oczywistych strat związanych z przerwą w funkcjonowaniu strony czy sklepu oznaczałoby to ogrom pracy.

Warto zwrócić uwagę wcześniej na powyższe zagrożenia i całkiem poważnie przygotować sobie plan B wraz z harmonogramem („potrzebuję X dni na reakcję”): zmianę platformy, wdrożenie jakiegoś rozwiązania; jeśli do wyznaczonego terminu nie będziemy pewni, że wszystko jest gotowe, musimy działać zgodnie z planem B.

Dla wielu mały podmiotów korzystających z usług zewnętrznych dostawców, rozwiązań open source, niezależnych firm dostarczających poszczególne elementy strony WWW lub e-sklepu, 25 maja 2018 r. może być dniem krytycznym. Nie daj się wciągnąć w ryzykowną grę w ruletkę RODO! Sprawdź, czy gotowi na RODO są również Twoi dostawcy.

Autorka: Zuzanna Jarzębowska

Digital marketing & e-commerce coordinator, ekspert Sage. 

Odpowiedzialna za wdrożenie i rozwój narzędzi cyfrowych w obszarze business consultingu i szkoleń w ramach rozwoju strategii e-commerce w Sage.

baner wycena