Program do zarządzania sprawami kancelarii a RODO

Odnotowanie daty pierwszego wprowadzenia danych do systemu oraz identyfikatora użytkownika wprowadzającego dane osobowe do systemu następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. (§ 7 ust. 2 rozporządzenia)

Dla każdej osoby, której dane osobowe są przetwarzane w Vicariusie, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacji, o których mowa w pkt 8a (§ 7 ust. 3 rozporządzenia) czyli informacji o dacie pierwszego wprowadzenia danych do systemu oraz identyfikatora użytkownika wprowadzającego dane osobowe do systemu.

Obszar, w którym przetwarzane są dane osobowe, zabezpiecza się przed dostępem osób nieuprawnionych. (pkt I ust. 1 części A załącznika do rozporządzenia).  Vicarius e-Kancelaria pracuje w nowoczesnym centrum Danych klasy tier III zlokalizowanym na terenie Gdańska. Infrastruktura centrum danych umieszczona w dedykowanym obszarze poza przestrzenią biurową. Infrastruktura niezależnie zarządzalna. Systemy zasilania i chłodzenia posiadają redundantne komponenty. Brak wpływu zarządzania i wymiany komponentów infrastruktury na pracę systemu IT.

 

Serwerownia w której przetwarzane są dane wrażliwe posiada zabezpieczenia na poziomie WYSOKIM.

(zgodnie z ROZPORZĄDZENIEM MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r)

• Serwerownia znajduje się w monitorowanym całodobowo budynku biurowym, w specjalnie wydzielonej części, do której nie ma dostępu dla osób postronnych.
• Monitoring budynku jest realizowany poprzez system kamer oraz fizyczną ochronę.
• Dostęp do części budynku, w której znajduje się serwerownia jest możliwy wyłącznie dla osób posiadających cyfrowy identyfikator.
• Dostęp do serwerowni jest możliwy wyłącznie dla osób posiadających cyfrowy identyfikator i kod dostępu.
• Pomieszczenia firmy i serwerownia chronione są alarmem.W części biurowej oraz w serwerowni jest zamontowany system kamer.
• Serwerownia jest wyposażona w automatyczny system gaszenia gazem oraz system wczesnej detekcji dymu VESDA.
• Dostęp do serwerowni zabezpieczają drzwi antywłamaniowe, ognioodporne i tłumiące dźwięk.
• Pomieszczenie serwerowni nie posiada okien.
• Serwerownia posiada pewne zasilanie w energię w tym: dwie trafostacje, 2 generatory prądotwórcze, centralny UPS firmy Benning.
• Serwerownia jest wyposażona w dwa systemy klimatyzacji precyzyjnej CyberRow i CyberAir renomowanej firmy Stulz, gwarantujące optymalną temperaturę i wilgotność dla pracy serwerów.
• Serwerownia nie znajduje się na terenie zalewowym, dodatkowo umiejscowiona jest na pierwszym piętrze, kilka metrów nad ziemią.
• Prowadzimy całodobowy monitoring sieci i systemów komputerowych.
• SLA dla świadczonych usług wynosi 99,982%.

Mechanizmy kontroli dostępu do danych osobowych- każdy użytkownik systemu posiada odrębny identyfikator, a dostęp do danych osobowych jest możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. (pkt II części A załącznika do rozporządzenia).

Vicarius zabezpieczony jest przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu oraz utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. Zabezpieczenie antywirusowe serwerów oraz monitoring 24/h prób ataków z zewnątrz. (pkt III części A załącznika do rozporządzenia).

Uwierzytelnienie użytkowników w systemie następuje za pomocą hasła. Administrator danych decyduje jak często następuje jego zmiana. System wymusza skład jakościowy hasła. (pkt IV ust. 1 i 2 części A oraz pkt VIII części B załącznika do rozporządzenia).

Dane osobowe przetwarzane w systemie zabezpieczamy przez wykonywanie kopii zapasowych zbiorów danych. Kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem oraz usuwa się niezwłocznie po ustaniu ich użyteczności. (pkt IV ust. 3 i ust. 4 części A załącznika do rozporządzenia).

W systemie stosuje się środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. (SSL) Kłódka w adresie witryny. (pkt V części A załącznika do rozporządzenia). Ogólne rozporządzenie o ochronie danych nie definiuje szyfrowania. Mówiąc o szyfrowaniu, zwykle myślimy o silnych algorytmach szyfrowania, czyli algorytmach kryptograficznych. Przez silne algorytmy rozumiemy takie, które w danej chwili są uznawane za bezpieczne (np. z powodu odpowiedniej długości klucza lub siły samego algorytmu). Algorytm szyfrujący to nic innego jak funkcja matematyczna, która dokonuje przekształcenia jednej informacji (jawnej, nazywanej formą otwartą) w inną (niejawną, zaszyfrowaną, nazywaną formą zamkniętą). Odwrócenie tego procesu, czyli odszyfrowanie informacji, wymaga znajomości określonej danej poufnej (sekretu)- może to być hasło, specjalny klucz czy dane biometryczne, takie jak odcisk palca, układ żył w dłoni, głos, siatkówka oka. Celem szyfrowania jest ochrona informacji przed dostępem niepowołanych osób trzecich. Efektem ubocznym może być także kontrola poprawności danych, uszkodzone zaszyfrowane dane nie nadają się bowiem do poprawnego odszyfrowania.
Szyfrowanie może odbywać się zarówno wobec danych w tranzycie, czyli podczas ich przesyłania np. przez internet (ale także w plecaku, w którym mamy laptopa, lub na pendrivie w kopercie wysyłanej kurierem, a także na smartfonie), jak i wówczas, gdy są w stanie spoczynku, czyli kiedy są zapisane w plikach lub w bazie danych. To, gdzie znajduje się plik – czy u nas na komputerze, czy gdzieś w chmurze – nie ma znaczenia.

W przypadku anonimizacji nie można mówić o odwracalności procesu ukrycia tożsamości, zatem dane raz zanonimizowane nie mogą nikomu pozwolić na identyfikację osoby, której dotyczyły. Anonimizacja ma na celu uniemożliwienie identyfikacji osób, których dane zostały poddane temu procesowi.

To przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem
że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W programie Vicarius stosowany jest dodatkowy identyfikator zamiast danych osobowych. Dzięki temu tylko osoba uprawniona do zajmowania się wybranym klientem, będzie mogła zidentyfikować wybraną osobę po zalogowaniu się w systemie i podaniu tego indentyikatora.
Proces pseudonimizacji jest odwracalny.
Pseudonimizacja to zastępowanie identyfikatorow (np..imię, nazwisko, PESEL, numer telefonu, adres e‑mail) pseudonimami, czyli unikalnymi dla danej osoby kodami, liczbami lub obrazami (w tym zakresie możemy mówić o pewnej dowolności), które nie mają żadnego rzeczywistego powiązania z daną osobą. Chodzi o takie rozdzielenie danych osobowych, aby w miejsce danych zdradzających tożsamość konkretnych osób wstawić dane niemające znaczenia (pseudonimy czy też częściej numery łączące ukrytą bazę tożsamości z opisami cech danych osób
Pseudonimizacja to środek ochrony danych, jak też minimalizacji dostępu.

Gwarancja jakości Usługi: VICARIUS e-Kancelaria. Celem firmy ADIC.pl s.c. jest dostarczanie najwyższej jakości usług. Program do zarządzania sprawami kancelarii VICARIUS e-Kancelaria dostarczany jest w modelu SaaS (System as a Service- system jako usługa). SLA reguluje zasady dotyczące sposobu w jaki monitorujemy działanie Usługi, sposobu zgłaszania awarii oraz czasu reakcji na takie zgłoszenie ze strony Przetwarzającego. Dokument określa sposób zapewnienia odpowiedniej pomocy serwisowej dla programu Vicarius e-Kancelaria. Dokument SLA dostępny jest pod linkiem: Gwarancja Jakości Usługi- Vicarius e-Kancelaria .

Jeśli w systemie, którego dotyczy umowa SLA, są przetwarzane dane osobowe, należy zwrócić uwagę na gwarantowaną dostępność systemu/aplikacji oraz czas reakcji. Ma to znaczenie w przypadku obsługiwania incydentu związanego z naruszeniem bezpieczeństwa danych osobowych. Zgodnie z art. 33 i 34 RODO mamy 72 godziny na podjęcie działań, a w praktyce poinformowanie regulatora (art. 33 ROOD) oraz osoby (art. 34 RODO), której dane dotyczą.

Rejestr Czynności Przetwarzania Danych.
Obejmuje on m.in. cele przetwarzania, opis kategorii danych i odbiorców danych oraz ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art..32 ust..1 RODO”.

Zgodnie z art..30 ust..1 w zw. z art..30 ust..5 RODO, przedsiębiorca (podmiot) prowadzi RCPD, jeżeli:
Dokonuje przetwarzania danych, które rodzi ryzyko naruszenia praw lub wolności osób, których dane dotyczą, i przetwarzanie to nie ma charakteru sporadycznego, lub dokonuje, nawet sporadycznie, przetwarzania danych, które rodzi ryzyko naruszenia praw lub wolności osób, których dane dotyczą, i przetwarzanie to dotyczy danych szczególnych lub danych karnych.

Instrukcja, o której mowa w § 3 ust. 1, ROZPORZĄDZENIA MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r) powinna zawierać w szczególności:

1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby  odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Polityka bezpieczeństwa, o której mowa w § 3 ust. 1 ROZPORZĄDZENIA MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r, zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Umowa podpowierzenia. Podstawowe elementy:

Podpowierzenie [art. 28 ust. 2 RODO]. Przetwarzający może powierzyć konkretne operacje przetwarzania Danych („podpowierzenie”) w drodze pisemnej umowy podpowierzenia („Umowa Podpowierzenia”) innym podmiotom przetwarzającym. („Podprzetwarzający”), pod warunkiem uprzedniej akceptacji Podprzetwarzającego przez Administratora lub braku sprzeciwu.
1. Zaakceptowani Podprzetwarzający. Lista Podprzetwarzających zaakceptowanych przez Administratora stanowi Załącznik nr 1 do Umowy – Lista Zaakceptowanych Podprzetwarzających.
2. Sprzeciw. Powierzenie przetwarzania danych Podprzetwarzającym spoza Listy Zaakceptowanych Podprzetwarzających wymaga uprzedniego zgłoszenia Administratorowi w celu umożliwienia wyrażenia sprzeciwu. Administrator może z uzasadnionych przyczyn zgłosić udokumentowany sprzeciw względem powierzenia danych konkretnemu Podprzetwarzającemu. W razie zgłoszenia sprzeciwu Przetwarzający nie ma prawa powierzyć danych Podprzetwarzającemu objętemu sprzeciwem, a jeżeli sprzeciw dotyczy aktualnego Podprzetwarzającego, musi niezwłocznie zakończyć podpowierzenie temu Podprzetwarzającemu. Wątpliwości co do zasadności sprzeciwu i ewentualnych negatywnych konsekwencji Przetwarzający zgłosi Administratorowi w czasie umożliwiającym zapewnienie ciągłości przetwarzania

3. Transfer obowiązków [art. 28 ust. 4 RODO]. Dokonując podpowierzenia, Przetwarzający ma obowiązek zobowiązać Podprzetwarzającego do realizacji wszystkich obowiązków Przetwarzającego wynikających z niniejszej Umowy powierzenia, z wyjątkiem tych, które nie mają zastosowania ze względu na naturę konkretnego podpowierzenia.

4. Zobowiązanie względem Administratora. Przetwarzający ma obowiązek zapewnić, aby Podprzetwarzający złożył Administratorowi zobowiązanie do wykonania obowiązków, o których mowa w poprzednim ustępie. Może to zostać wykonane przez podpisanie stosownego oświadczenia adresowanego do Administratora wraz z podpisaniem Umowy Podpowierzenia, zawierającego listę obowiązków Podprzetwarzającego.

5. Tajemnica [art. 28 ust. 3 lit. b RODO]. Przetwarzający uzyskuje od osób, które zostały upoważnione do przetwarzania danych w wykonaniu Umowy, udokumentowane zobowiązania do zachowania tajemnicy, ewentualnie upewnia się, że te osoby podlegają ustawowemu obowiązkowi zachowania tajemnicy.

6. Bezpieczeństwo [art. 28 ust. 3 lit. c RODO]. Przetwarzający zapewnia ochronę danych i podejmuje środki ochrony danych, o których mowa w art..32 RODO, zgodnie z dalszymi postanowieniami Umowy.

7. Podprzetwarzanie [art. 28 ust. 3 lit. d RODO]. Przetwarzający przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (Podprzetwarzającego).

8. Minimalizacja [art. 25 ust. 2 RODO]. Przetwarzający zobowiązuje się do ograniczenia dostępu do danych wyłącznie do osób, których dostęp do danych jest potrzebny do realizacji Umowy i posiadających odpowiednie upoważnienie.

9. RCPD [art. 30 ust. 2 RODO]. Przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym Rejestru Czynności Przetwarzania Danych osobowych (wymóg art..30 RODO). Przetwarzający udostępniania na żądanie Administratora prowadzony rejestr czynności przetwarzania danych przetwarzającego, z wyłączeniem informacji stanowiących tajemnicę handlową innych klientów Przetwarzającego.