Oto checklista RODO dla wszystkich osób zarządzających projektami i liderów zespołów, stworzona przez naszego eksperta od wszystkiego, co związane z prawem - Michała. Sprawdź, jak PrivMX może pomóc zdalnym i hybrydowym zespołom działać zgodnie z RODO!
Ogólne rozporządzenie o ochronie danych osobowych jest z nami już od kilku lat. Zostało ono przyjęte przez Unię Europejską i dotyczy organizacji z całego świata, które gromadzą lub przetwarzają one dane dotyczące mieszkańców Unii Europejskiej. W rezultacie, jeśli przetwarzasz dane osobowe obywateli UE (na przykład przechowujesz lub przesyłasz) musisz działać zgodnie z RODO. Jednym z głównych wymagań rozporządzenia jest zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych.
PrivMX pomaga w tym na wiele sposobów. Program zawiera kilka funkcji i zabezpieczeń, które umożliwiają przetwarzanie danych osobowych w odpowiedni sposób.
Są to głównie:
W PrivMX, wszystkie dane, w tym wymagające ochrony dane osobowe, są przechowywane na prywatnym Team Serverze PrivMX i poddane szyfrowaniu end-to-end. Oznacza to, że jeśli udostępniasz plik lub wysyłasz wiadomość w ramach PrivMX, wszystko jest szyfrowane na Twoim urządzeniu i tylko Ty oraz inni członkowie Twojego Team Servera mogą to odszyfrować. Nikt inny, nawet nasz własny zespół albo pracownicy wybranego przez Ciebie centrum danych - podmiotu dostarczającego usługi PrivMX i przestrzeń serwerową - nie jest w stanie odszyfrować i odczytać Twoich danych, przechowywanych na Twoim Team Serverze. To może być bardzo pomocne w kontekście wyboru odpowiednich środków do zabezpieczenia poufnych danych zgodnie z przepisami RODO. Zgodnie z rozporządzeniem, szyfrowanie jest jednym z zalecanych środków, tak aby zapewnić, że wszystkie dane są chronione zgodnie z wymaganymi standardami.
Zgodnie z RODO, należy zapewnić aby wszystkie osoby (na przykład pracownicy), które przetwarzają dane osobowe pod Twoim nadzorem, robiły to tylko w takim zakresie, w jakim jest to niezbędne im do realizacji ich obowiązków. Dlatego, dostęp do danych osobowych musi być ograniczony i każdy, kto nie jest uprawniony nie powinien być w stanie ich odczytać i wykorzystać. W rezultacie, oferujemy możliwość ograniczenia dostępu do danych przechowywanych w ramach Team Servera tylko do wybranych osób. To Ty podejmujesz decyzję, kto z Twojego zespołu otrzyma dostęp do określonych informacji - czy będzie to część zespołu, czy tylko wybrany użytkownik. Co więcej, zarządzanie prawem dostępu do określonych Sekcji, takich jak czat, pliki, projekty czy kalendarz, jest całkiem łatwe.
Jak wiadomo, wielu usługodawców może przechowywać dane osobowe poza UE. Zgodnie z RODO, takie podmioty muszą zapewnić dodatkowe środki w celu ochrony danych osobowych w krajach poza UE. To może wymagać podpisania dodatkowej, specjalnej umowy lub przeprowadzenia weryfikacji, że możliwe jest skorzystanie z usług takiego dostawcy.
Dodatkowe trudności mogą wystąpić w przypadku usług świadczonych przez dostawców ze Stanów Zjednoczonych. W 2020, Trybunał Sprawiedliwości Unii Europejskiej uznał tzw. Tarczę Prywatności za nieważną. Było to specjalne porozumienie pomiędzy Unią Europejską a Stanami Zjednoczonymi , pozwalające na transfery danych osobowych do podmiotów znajdujących się w USA, które dołączyły do Tarczy. Na tę chwilę, nie mamy żadnego nowego porozumienia, które zastąpiłoby Tarczę Prywatności i zapewniło bezpieczny schemat przenoszenia danych osobowych do Stanów. Co więcej, Trybunał Sprawiedliwości Unii Europejskiej wskazał, że amerykańskie prawo generalnie nie zapewnia odpowiedniej ochrony danych osobowych obywateli UE. W rezultacie, wszystkie transfery takich danych, do np. dostawcy usług w chmurze, nie są zgodne z przepisami RODO.
Nie ma to jednak znaczenia w przypadku PrivMX. Jesteśmy firmą zarejestrowaną w UE, w Amsterdamie, w Królestwie Niderlandów. Nasze centra danych znajdują się w różnych krajach UE, a użytkownicy mogą wybrać, do którego trafią ich dane. W konsekwencji jesteśmy w stanie zagwarantować, że Wasze dane nie opuszczą Unii Europejskiej.
RODO wskazuje, że należy zapobiegać przypadkom, w których nieautoryzowane osoby uzyskują dostęp do danych. Jednym z najważniejszych aspektów poufności danych jest upewnienie się, ze nikt nie użyje Twojego (lub któregoś z uprawnionych przez Ciebie pracowników) loginu ani hasła. Dlatego, dajemy możliwość skorzystania z uwierzytelniania dwuskładnikowego, korzystającego z Twojego numeru telefonu lub adresu e-mail.
PrivMX pozwala weryfikować kto stworzył, usunął, zmodyfikował, przesłał dany plik albo edytował konkretną część pliku. To ważne, ponieważ RODO wskazuje, że każdy, kto kontroluje dane powinien być w stanie korzystać z odpowiednich środków bezpieczeństwa dotyczących przetwarzania danych osobowych, włączając w to ochronę przed nieautoryzowanym lub bezprawnym wykorzystaniem, przypadkowym zgubieniem, uszkodzeniem lub zniszczeniem.
Dlatego każde narzędzie, które pomaga sprawdzić kto stworzył, zmodyfikował lub usunął dane, może być wymagane zgodnie z postanowieniami RODO.
Z mojego doświadczenia, jako prawnika zajmującego się ochroną danych osobowych, najlepszym rozwiązaniem jest zapewnienie zgodności z RODO zaczynając od podstawowych kwestii, np. wybierając odpowiednie narzędzia do pracy zespołowej. Biorąc pod uwagę ciągły wzrost liczby przypadków wycieków danych, najlepiej zastosować całościowe podejście i przechowywać wszystkie swoje zasoby - komunikację, informacje i dokumenty - na platformie, na której można polegać.
Michał Nosowski
Podobne posty na blogu:
Check all the updates we’ve made in PrivMX 18! There are numerous functionalities within text notes and mind maps, such as inserting links to particular Files and Issues, a brand new, yet still a bit experimental Voice Chat and new user access settings.
Przy obecnej liczbie rozwiązań dla zdalnej pracy zespołowej trudno jest podjąć świadomą decyzję. Jednak wybór znacznie się zawęża, jeśli ograniczymy się do platform typu open-source.