Temat: Jednoosobowa działalność gospodarcza a...
Krystian F.:Dostęp zdalny może być z mieszkania kontraktora lub biura naszej firmy, przez VPN klienta. Zabezpieczenie miejsca zdalnego dostępu należy do kontraktora. Dane nie są zapisywane na dysku lokalnym.
W umowach z klientami bierzemy na siebie pełną odpowiedzialność.
Jak dla mnie dane są powierzane do przetwarzania waszej firmie. Wasz specjalista nie jest żadnym partnerem biznesowym dla waszych klientów (administratorów danych) - chociaż wasi klienci powinni
kontrolować te wasze z kontraktorami relacje, stawiając wymagania związane z zapisami umów, jakie zawieracie z kontraktorami, i nadzorując ich praktyczną realizację.
Skoro dostęp zdalny z mieszkania kontraktora - to ryzyka krytyczne dla ochrony danych osobowych i tajemnicy przedsiębiorstwa waszych klientów. W razie wycieku danych, ich zniszczenia, uszkodzenia, niedozwolonej modyfikacji na skutek umyślnego lub nieumyślnego (tak, tak!) działania
lub zaniechania waszego kontraktora, wasi klienci puszczą was w skarpetkach.
Problem, z jakim tu przyszedłeś, jest źle postawiony. Dla was to nie jest prosta sprawa techniczno-organizacyjna), ale brak profesjonalnej całościowej strategii ciągłego zapewniania bezpieczeństwa danych (i nie mam na myśli dokumentów, które pewnie jakieś tam macie), gdzie rozpisane byłyby procesy przetwarzania, jakie realizujecie, i opracowane procedury zapewnienia
dla i u klienta podstawowych atrybutów informacji (poufności, integralności, dostępności)
na każdym etapie przetwarzania, także w mieszkaniu kontraktora.
dane nie są przechowywane na dyskach lokalnych naszych laptopów.
Po pierwsze bym to w sposób udokumentowany sprawdził (np. kopie awaryjne), po drugie nie ma to większego znaczenia w opisanym modelu przetwarzania. Ryzyka krytyczne i tak istnieją.
Dodam, że jeden z naszych klientów zgodził się na proponowane rozwiązanie: zawarta umowa powierzenia, gdzie my jesteśmy Wykonawcą-procesorem, a kontraktorzy na jednoosobowej działalności mają upoważnienia i podpisali oświadczenia o poufności (tak samo traktowani jak pracownicy etatowi).
Wasz klient ma bardzo niską świadomość istniejących zagrożeń, skoro przystał na to, żeby ochronę danych w opisanych okolicznościach sprowadzić do drobnej kwestii organizacyjnej.
Przykładowe zagrożenia:
1. Kontraktor w zakresie ochrony danych nie wie (nie został skutecznie poinformowany i przeszkolony) , co mu wolno, czego nie.
2. Kontraktor wąski specjalista z tendencją do lekceważenia procedur ochrony danych i nierozumiejący celu wprowadzanych zabezpieczeń organizacyjnych (techniczne rozumie).
3. Kontraktor sprowadzający wymogi ochrony danych do kwestii informatycznych.
4. Kontraktor będzie wykonywać nieautoryzowane kopie awaryjne danych osobowych na nośniki pozostające poza kontrolą zarówno administratora danych, jak i poza kontrolą waszej firmy.
5. Kontraktor będzie dokonywać nieautoryzowanych transmisji danych we własnych celach przetwarzania.
6. Umowa z kontraktorem będzie zawierać luki, uniemożliwiające pociągnięcie go do odpowiedzialności karnej lub cywilnej za naruszenia ochrony danych.
7. Kontraktor będzie samodzielnie decydować o środkach przetwarzania danych.
8. Kontraktor po zakończeniu umowy nadal będzie mieć możliwość dostępu do systemu klienta.
Nie jesteście dzisiaj moim zdaniem przygotowani na zmierzenie się z tymi zagrożeniami. Nie skupiacie się na
istocie ochrony danych.
Upoważnienie, powierzenia to drobne problemy organizacyjne - firma najpierw musi rozumieć, czemu ma to służyć i co to ma administratorowi danych (klient) oraz procesorowi (to wy) załatwić.
Potrzebny wam
strateg, który rozumie procesy przetwarzania danych oraz istotę ich ochrony. Inaczej po wejściu RODO polegniecie boleśnie.