RODO - Rozporządzenie o Ochronie Danych Osobowych dla systemów rezerwacji IdoSell Booking

25 maja 2018 r. zacznie obowiązywać RODO, czyli unijne Rozporządzenie o Ochronie Danych Osobowych, które wprowadza nowe wymogi dotyczące przetwarzania i gromadzenia danych. Unijne rozporządzenia są prawem bezpośrednio obowiązującym we wszystkich państwach Unii Europejskiej i nie wymagają wdrożenia do krajowych przepisów państw członkowskich.

W IAI od zawsze naszym priorytetem jest bezpieczeństwo Naszych klientów. W tym, bezpieczeństwo danych oraz bezpieczeństwo spełniania wymogów prawnych. Dlatego zawsze staramy się wyprzedzać standardy, stosując liczne zabezpieczenia, w celu zapewnienia jak największego bezpieczeństwa danych osobowych Naszych klientów. To, co obecnie przedstawiane jest jako wymogi RODO, dla nas i Naszych klientów jest standardem, którego nie trzeba się w żaden sposób obawiać.

Co zatem dokładnie robimy i robiliśmy od wielu lat dla Naszych klientów?

Do zabezpieczeń stosowanych przez IAI należy między innymi szyfrowanie połączeń SSL, automatyczne aktualizacje systemu, monitoring serwerów, polityka prywatności.

W modelu SaaS, dostawca oprogramowania w chmurze (czyli my) pełni funkcje osoby przetwarzającej dane w imieniu użytkownika (czyli Was, Naszych klientów), który jest administratorem tych danych. To znacząca różnica między modelem SaaS, a modelem licencyjnym gdzie dostawca sporadycznie ma jakikolwiek kontakt z danymi osobowymi. Dzieje się to najczęściej w wyniku konieczności przeprowadzenia interwencji serwisowej. Umowa w przedmiocie powierzenia danych osobowych do przetwarzania w modelu licencyjnym jest zawierana właśnie dlatego, aby w awaryjnych sytuacjach administrator miał uprawniony dostęp, stanowiąc swego rodzaju dodatek do innych postanowień umownych zawieranych pomiędzy stronami. Inaczej sytuacja przedstawia się w modelu SaaS, gdzie umowa o powierzenie danych osobowych w celu przetwarzania jest nieodzownym elementem korzystania z oprogramowania w chmurze. W IAI dysponujemy specjalnymi formularzami umów i przy okazji przypominamy klientom, aby Ci, którzy jeszcze nie dostarczyli nam umowy na formularzu papierowym, zrobili to możliwie jak najszybciej. To tylko formalność, a może zapewnić nam spokój.

Na dostawców oprogramowania SaaS, takich jak IAI, w związku z kontaktem z tak poufnymi i wrażliwymi danymi są nałożone liczne obowiązki i warunki, które musimy spełnić aby przetwarzanie danych odbywało się zgodnie z przepisami. Wejście w życie RODO jeszcze bardziej zaostrzy te regulacje, ale jesteśmy na tę okoliczność przygotowani. Będąc od wielu lat, dostawcą oprogramowania w modelu SaaS, jesteśmy świadomi tego, że nasza odpowiedzialność za naruszenie zasad przetwarzania danych osobowych umieszczonych przez użytkowników plasuję się na dużo wyższym poziomie, niż dostawców oprogramowania w modelu licencyjnym. Od kluczowego 25 maja 2018 r. odpowiedzialność IAI stanie się odpowiedzialnością bezpośrednią w stosunku do osób, których dane są przetwarzane w systemie dostawcy oprogramowania w modelu SaaS. To rozwiązanie jest dużo lepsze dla Naszych klientów niż ma to miejsce w przypadku klientów korzystających z własnego oprogramowania. Oni w takim przypadku muszą zadbać sami o wszystkie detale i poziomy zabezpieczeń.

Poza tym RODO zapewnia jeszcze większe bezpieczeństwo podmiotom korzystającym z modelu SaaS, wprowadzając swoją treścią zasadniczą zmianę w sposobie odpowiedzialności administratora danych za zabezpieczenia związane z danymi osobowymi. Dotychczasowe przepisy stanowiły, że dostawca oprogramowania musi zapewnić ochronę taką, jaka jest opisana w przepisach wykonawczych do ustawy o ochronie danych osobowych. Do tej pory, najczęściej wystarczało spełnić wymagania formalne, które zostały określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Jednak te zapisy wyraźnie się zestarzały i nie oddawały tego co obecnie dzieje się we współczesnym świecie.

Po wejściu w życie RODO, będzie obowiązywał model odpowiedzialności za zabezpieczenie przetwarzanych danych, polegający na obowiązku zapewnienia adekwatnej ochrony do charakteru jaki posiadają przetwarzane dane. Przykładem, jakim w tym miejscu można się posłużyć jest długość hasła i to, jak często należy to hasło zmieniać – Rozporządzenie o Ochronie Danych Osobowych nie narzuca w tej kwestii żadnych rozwiązań w przeciwieństwie do obecnie obowiązujących przepisów. Po wprowadzeniu przepisów RODO środki techniczne i organizacyjne będą musiały być dobierane w sposób samodzielny. Przy doborze takich środków trzeba będzie mieć na względzie wiele czynników, do których to zaliczamy między innymi stan wiedzy technicznej, koszty związane z wdrażaniem, ocena prawdopodobieństwa wystąpienia zagrożenia, waga jaką może mieć dane zagrożenie i specyfika danych, które są przetwarzane.

My, analizując tysiące klientów, przez kilkanaście lat, robimy wszystko aby nasze systemy i procedury wewnętrzne spełniały najwyższe poziomy bezpieczeństwa. Ponownie, pod tym względem Nasi klienci są w dużo lepszej sytuacji niż Ci, którzy korzystają z własnych licencji i własnego oprogramowania – oni te wszystkie rzeczy muszą wypracować sami. Nasi klienci mogą natomiast polegać na naszym wieloletnim doświadczeniu i wiedzy. Dzięki takiemu podejściu, jako dostawca usług SaaS jesteśmy w stanie dla Was, Naszych klientów, spełnić jedno z podstawowych założeń RODO – zasadę privacy by design. Oznacza to, że dzięki naszemu wieloletniemu podejściu, nasz system jest skastomizowany również w zakresie podejścia do przetwarzania danych w naszych systemach, w bardzo specyficznym sektorze rynku rezerwacji online, na którym funkcjonują hotele, apartamenty, czy biznesy związane z wynajmem i rezerwacjom usług.

W związku z tak licznymi wymogami, które należy spełnić i przepisami, które należy stosować oraz, co istotne, pewną ich uznaniowością, firma z wieloletnim doświadczeniem i obyciem z tym konkretnym modelem oprogramowania jest idealnym podmiotem, któremu można powierzyć przetwarzanie swoich danych. IAI jest profesjonalnie przygotowana do spełnienia wymogów jakie niesie za sobą RODO, jest w stanie zapewnić najwyższy poziom bezpieczeństwa, adekwatny do obowiązujących okoliczności. Jest to możliwe dzięki istniejącemu zapleczu technicznemu firmy jak i wykwalifikowanej kadrze. Środki, którymi m.in. IAI będzie się w tym celu posługiwać to szyfrowanie danych i ich ciągłe monitorowanie.

Warto rozważnie podchodzić do propozycji ofert od samozwańczych specjalistów i dokładnie rozumieć co i jak przygotować samodzielnie, aby rozumieć idee RODO i stosować je w codziennej pracy. To co faktycznie pozostaje do przepracowania po stronie firmy świadczącej usługi rezerwacji, to przede wszystkim:

  1. Określenie sposobu wdrożenia RODO – czy prace wykonujemy samodzielnie przez wyznaczenie pracownika albo zespołu odpowiedzialnego za wdrożenie, czy lepiej w tym przypadku posłużyć się wyspecjalizowaną firmą zewnętrzną? Nie ma na to pytanie jednoznacznej odpowiedzi, ponieważ trudno odnieść się do doświadczenia i referencji firm wdrażających RODO, w momencie kiedy przepisy RODO jeszcze nie obowiązują. Z drugiej strony, mało która mała i średnia firma posiada wewnętrzne kompetencje do wdrożenia RODO, aby ze swojego zapewne zapracowanego zespołu, wybrać te osoby, które pewnie przeprowadzą firmę przez niuanse nowej dokumentacji i nowych zasad. Dlatego, warto zastanowić się nad zleceniem wdrożenia przepisów RODO firmie doradczej, ale warto przy tym bardzo dokładnie przejrzeć oferty tych firm, mieć własne, krytyczne zdanie i nie ulegać presji cenowej.
  2. Kolejnym etapem wdrożenia powinno być stworzenie harmonogramu prac. Dobrze wskazać w nim zakres prac i terminy wykonania poszczególnych etapów wdrożenia przepisów rozporządzenia. Harmonogram taki pozwoli ustalić, które z zadań, będzie pochłaniało najwięcej czasu i kosztów, jak również pozwoli kontrolować czy podjęte działania przebiegają zgodnie z zaplanowanym harmonogramem i czy zdążymy ze wszystkimi pracami przed 25 maja 2018r. Plan pracy pomoże także w ustaleniu od których zadań zacząć i pokaże z którymi pracami możemy mieć największe trudności.
  3. Przy tworzeniu procedur i dokumentacji w związku z RODO niezbędny będzie przegląd przetwarzanych danych i procesów przetwarzania wewnątrz firmy pod kątem:
    1. wyodrębnienia własnych zbiorów danych i powierzonych do przetwarzania,
    2. podstaw przetwarzania danych,
    3. ustalenia celów przetwarzania - czy są konkretne, wyraźne i uzasadnione z prawnego punktu widzenia,
    4. minimalizacji danych(czy wszystkie przetwarzane dane są niezbędne do osiągnięcia celów przetwarzania), tu docieramy do dwóch założeń w RODO, czyli privacy by design oraz privacy by default, mówiących o tym, że dane muszą być przetwarzane tylko w niezbędnym zakresie oraz cały proces projektowania i wytwarzania oprogramowania ma służyć zabezpieczeniu danych. Dla firm korzystających z rozwiązań SaaS takich jak IAI, to olbrzymia przewaga, bo nie muszą się o to martwić. Firmy korzystające z własnego oprogramowania przy każdej zmianie czy dodaniu nowej funkcji będą musiały dokumentować, że działają według tych zasad. Warto jednak sprawdzić, czy w innych programach – przykładowo CRM czy ERP nie przechowujemy i nie przetwarzamy zbędnych danych, co byłoby wtedy sprzeczne z zasadą privacy by default.
    5. sprawdzenia czy dane są prawidłowe i aktualne - jeśli nie, należy je usunąć lub zaktualizować. W tym temacie na pewno pomoże doświadczenie prawnika specjalizującego się w ochronie danych osobowych.
    6. Czy nadal trwa cel, dla którego dane zostały zebrane, a jeśli nie, to należy te dane usunąć. Jednak w przypadku danych potrzebnych do przeprowadzenia transakcji i następnie wykorzystywanych do dokumentacji skarbowej, ten punkt ma małe znaczenie. Być może trzeba będzie lekko zmodyfikować treść klauzul zgody na wysyłanie newsletterów lub innych komunikatów wysyłanych elektronicznie do klienta, zamieszczając informacje o samym fakcie przetwarzania danych, celu przetwarzania oraz danych administratora, a także o przysługujących odbiorcom prawach.
    7. Czy dane są odpowiednio zabezpieczone przed utratą, zniszczeniem, uszkodzeniem – przegląd systemów informatycznych w szczególności pod kątem poufności, integralności dostępności i odporności systemów, zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. O ile w przypadku danych trzymanych w systemie IdoSell Booking, firma go wykorzystująca ma ten problem z głowy, ponieważ spada on na IAI, która o to dba. Jednak w samym biurze czy innym miejscu przechowuje się różne dane, które warto sprawdzić, choćby tylko dla własnego bezpieczeństwa i spokoju.
    8. Aktualizacji regulaminów świadczenia usług, klauzul informacyjnych, klauzul udzielanych zgód i form udzielania zgody, tu zapisy będą raczej standardowe i nie będzie to wymagało większego wysiłku niż dodanie zapisów do standardowego „check-boxu” na wyrażanie zgody na przetwarzanie danych osobowych, regulaminu firmy/obiektu lub polityki prywatności.
    9. Zrealizowania obowiązku informacyjnego, w tym poinformowania o profilowaniu, o ile oczywiście taka potrzeba będzie zachodziła w ramach działań prowadzonych przez firmę działającą na rynku rezerwacji online.
    10. Weryfikacji udzielenia zgody przez rodzica/opiekuna dziecka poniżej 13 r.ż., jeżeli w rzeczywiści będzie zachodziło podejrzenie, że rezerwacji dokonuje dziecko poniżej tego wieku.
  4. Przeprowadzenie oceny skutków ryzyka, nie jest ono obowiązkowe dla wszystkich przedsiębiorców, dlatego warto w tej kwestii skonsultować się odpowiednią kancelarią,
  5. Istotna zmiana jaką wprowadza RODO to obowiązek posiadania dokumentu, w którym zamieszczone są cele, dla jakich dane osobowe są przetwarzane oraz kontakt do osoby lub osób, które są administratorami tych danych. Nie musi to być jednak dokument papierowy, może to być zwykły dokument tekstowy czy arkusz kalkulacyjny. Należy wprowadzić (zarządzeniem lub uchwałą) spisane dokumenty takie jak: politykę ochrony danych lub zmodyfikować politykę bezpieczeństwa jeżeli jest już wprowadzona, rejestr czynności/kategorii przetwarzania, ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa i oceny skutków ryzyka. Jak widać, choć nie są to skomplikowane formuły, to jest ich kilka i choćby z tego powodu warto pomyśleć o konsultacji czy zleceniu ich kancelarii.
  6. Kolejnym krokiem jest wydanie upoważnień pracownikom do przetwarzania danych oraz przetwarzania na polecenie.
  7. Oczywiście na końcu należy przeszkolić wszystkich pracowników(bez względu na formę umowy) z zasad ochrony danych. Warto odebrać poświadczenie, że takie informacje zostały przekazane i przeszkolone osoby będą się do nich stosować. Należy też restrykcyjnie tego wymagać, szczególnie w pierwszych tygodniach po wprowadzeniu RODO, aby te informacje jak najszybciej się ugruntowały i były stosowane. Pamiętajmy też o tym, że każdy ma obowiązek zgłaszania naruszeń. Nie obrażajmy się na pracowników, czy podwykonawców jeżeli takie zgłoszenie nam wyślą. Po jego zaraportowaniu najprawdopodobniej nic złego się nie wydarzy, gorzej jakby zostało ono przemilczane. Na samo dokonanie zgłoszenia będziemy mieli 72 godziny.
  8. Zawarcie umów o powierzeniu przetwarzania, ale w przypadku IAI tę kwestię rozwiąże standardowa umowa i zapisy w Regulaminie. Ostatnim krokiem jest wyznaczenie wśród załogi Inspektora Ochrony Danych Osobowych, który będzie czuwał nad pilnowaniem Zasad RODO, szczególnie opisanych w punkcie 7.

To wszystko rzuca światło na ilość pracy jaką trzeba wykonać w celu przygotowania dokumentacji RODO. Dzięki temu, jako potencjalni klienci kancelarii, każdy apartament/hotel/pensjonat czy firma działająca na rynku rezerwacji online może realnie ocenić zakres proponowanych prac i zlecić wycenę na ich wykonanie. Na pewno nie warto oszczędzać na wprowadzeniu i wdrożeniu RODO, ale z drugiej strony nie ma też sensu przepłacać.

Rafał Malujda
- radca prawny / rzecznik patentowy
malujda.pl