Bezpieczeństwo danych

RODO a IT firmy — co musisz wiedzieć o ochronie danych osobowych?

·8 min czytania·N3S

RODO (Rozporządzenie o Ochronie Danych Osobowych) nie jest wyłącznie kwestią prawną i dokumentacyjną — to przede wszystkim wymagania techniczne, które muszą spełniać systemy IT firmy. Szyfrowanie, kontrola dostępu, logi zdarzeń, umowy z podwykonawcami — za tym wszystkim stoi infrastruktura IT. I to na jej administratorach (zewnętrznych lub wewnętrznych) spoczywa znaczna część odpowiedzialności.

Czym jest RODO w kontekście IT firmy?

RODO (ang. GDPR — General Data Protection Regulation) weszło w życie w maju 2018 roku i obowiązuje wszystkie firmy przetwarzające dane osobowe obywateli UE, niezależnie od wielkości. Dane osobowe to każda informacja umożliwiająca identyfikację osoby fizycznej: imię i nazwisko, adres e-mail, numer telefonu, IP komputera, numer PESEL, dane o zdrowiu, historia zakupów.

Dla firmy IT lub firmy korzystającej z zewnętrznego IT-dostawcy RODO oznacza przede wszystkim obowiązki techniczne: jak dane są przechowywane, kto ma do nich dostęp, co się dzieje w razie naruszenia i jak dokumentować cały ten proces.

Jakie systemy IT są objęte RODO?

Praktycznie każdy system firmowy, który przetwarza jakiekolwiek dane o ludziach:

  • E-mail (Microsoft Outlook, Gmail) — adresy e-mail klientów, treści korespondencji
  • CRM (Salesforce, HubSpot, Pipedrive) — dane kontaktowe klientów, historia interakcji
  • ERP (Comarch, SAP, Symfonia) — dane pracowników, dostawców, kontrahentów
  • Pliki na serwerze / SharePoint — umowy, oferty, faktury z danymi osobowymi
  • HR i kadry — dane pracowników, umowy, historia zatrudnienia
  • Strona internetowa — formularze kontaktowe, pliki cookies, analityka
  • Systemy monitoringu (CCTV) — nagrania z kamer w biurze

5 wymagań RODO dla systemów IT firmy

1. Szyfrowanie danych

RODO wymaga stosowania "odpowiednich środków technicznych" chroniących dane. W praktyce oznacza to szyfrowanie danych w spoczynku i w tranzycie. Konkretne wymagania:

  • Szyfrowanie dysków laptopów i komputerów (BitLocker w Windows — dostępny bezpłatnie)
  • Szyfrowanie połączeń — HTTPS dla stron, TLS dla e-mail, VPN dla zdalnego dostępu
  • Szyfrowanie kopii zapasowych — backup nieszyfrowany to potencjalny wyciek danych

2. Kontrola dostępu i zasada minimalnych uprawnień

Każdy pracownik powinien mieć dostęp wyłącznie do tych danych, które są mu niezbędne do wykonywania obowiązków. Recepcjonistka nie potrzebuje dostępu do bazy płac. Handlowiec nie potrzebuje dostępu do danych medycznych. W praktyce oznacza to:

  • Zarządzanie grupami uprawnień w Active Directory lub Microsoft 365
  • Regularne audyty uprawnień (szczególnie przy odejściu pracownika)
  • Natychmiastowe wyłączanie kont przy rozwiązaniu umowy

3. Logi dostępu i rejestrowanie zdarzeń

RODO wymaga możliwości udowodnienia, kto i kiedy miał dostęp do danych osobowych. Logi systemowe (audit logs) rejestrują: logowania, zmiany plików, wysyłanie e-maili z danymi, eksport danych. W Microsoft 365 — Centrum zgodności (Compliance Center) umożliwia przeszukiwanie logów audytowych. Na serwerach Windows — dzienniki zdarzeń Windows Event Log.

4. Umowy powierzenia przetwarzania danych (DPA)

Gdy firma korzysta z zewnętrznego dostawcy IT, który ma dostęp do danych osobowych klientów lub pracowników firmy — musi być podpisana umowa powierzenia przetwarzania danych (Data Processing Agreement — DPA). To wymóg art. 28 RODO.

DPA powinien zawierać: zakres i cel przetwarzania, zobowiązania dostawcy IT do zachowania poufności, środki bezpieczeństwa, zasady korzystania z podwykonawców, procedury po incydencie. Brak DPA z firmą IT mającą dostęp do Twoich danych to naruszenie RODO — nawet jeśli do wycieku nigdy nie dojdzie.

5. Procedura reagowania na naruszenie bezpieczeństwa danych

Art. 33 RODO: jeśli dojdzie do naruszenia bezpieczeństwa danych osobowych (wyciek, atak ransomware, zgubiony laptopy z niezaszyfrowanymi danymi), firma ma 72 godziny na zgłoszenie naruszenia do Urzędu Ochrony Danych Osobowych (UODO). Dlatego procedura reagowania musi być przygotowana z wyprzedzeniem — w tym momencie nie ma czasu na jej tworzenie od zera.

Microsoft 365 a RODO — czy to bezpieczne?

Tak — pod warunkiem właściwej konfiguracji. Microsoft oferuje:

  • Data Processing Agreement (DPA) — standardowy, wbudowany w warunki usługi Microsoft Online Services — nie wymaga osobnej negocjacji
  • Centra danych na terenie UE — dane klientów z Europy przechowywane są w centrach w Holandii, Irlandii i Niemczech. Dane nie opuszczają UE.
  • Microsoft Purview Compliance — narzędzia do zarządzania danymi, etykiety poufności, DLP (Data Loss Prevention)
  • Certyfikaty ISO 27001, SOC 2, GDPR — audytowane przez niezależne organizacje

Jednak sama platforma nie zastępuje wewnętrznych polityk. To Ty odpowiadasz za to, jak skonfigurujesz uprawnienia i kto ma dostęp do jakich danych.

Co grozi za brak zgodności z RODO?

UODO może nałożyć karę do 20 milionów euro lub 4% globalnego rocznego obrotu firmy (wyższa z kwot). W Polsce kary dla MŚP to zazwyczaj kilkadziesiąt do kilkuset tysięcy złotych — ale sam proces kontroli, koszty prawne i utrata wizerunku bywają dotkliwsze niż sama kara finansowa.

Jak audyt IT pomaga w zgodności z RODO?

Zewnętrzny audyt IT w kontekście RODO obejmuje:

  1. Inwentaryzację systemów przetwarzających dane osobowe
  2. Ocenę środków technicznych — szyfrowanie, kontrola dostępu, aktualizacje
  3. Weryfikację umów z podwykonawcami (DPA)
  4. Testy odtworzenia po incydencie bezpieczeństwa
  5. Rekomendacje naprawcze z priorytetyzacją

Wynik audytu daje zarządowi firmy jasny obraz ryzyka i listę działań niezbędnych do zgodności — bez konieczności samodzielnego interpretowania 200-stronicowego rozporządzenia.

Rola zewnętrznej firmy IT w zgodności z RODO

Zewnętrzny dostawca IT jak N3S pełni w kontekście RODO rolę procesora danych — przetwarza dane w imieniu Twojej firmy (administratora). To oznacza, że:

  • N3S podpisuje z klientem umowę DPA, precyzując zakres dostępu do danych
  • Technicy N3S mający dostęp do systemów klienta są zobowiązani do poufności
  • N3S pomaga we wdrożeniu środków technicznych wymaganych przez RODO (szyfrowanie, logi, MFA)
  • W razie incydentu N3S wspiera klienta w reakcji i dokumentacji wymaganej przez UODO

Nie wiesz, czy systemy IT Twojej firmy spełniają wymagania RODO? Przeprowadzimy audyt techniczny i wskażemy konkretne działania naprawcze.

Sprawdź zgodność RODO w firmie
Zacznij współpracę

Gotowy na IT
bez stresu?

Bezpłatna konsultacja techniczna. Analizujemy Twój obecny stan IT i proponujemy konkretne rozwiązania. Bez zobowiązań — tylko konkrety.

✓ Odpowiadamy w 24h ✓ Bez zobowiązań ✓ Bezpłatny audyt IT