Jak wdrożyć RODO dla aplikacji SaaS? 

Dodatkowo, wyposażę Cię w listę najważniejszych dokumentów, które powinnaś/powinieneś posiadać chcąc maksymalnie zabezpieczyć interesy Twojej firmy oraz jej klientów.

Przeczytaj także:

• Jak zbudować i wdrożyć aplikację SaaS zgodnie z prawem?
• Jak wybrać Software House? Poradnik od prawnika
• Jak zrobić MVP i PoC zgodnie z prawem? 
• Jak napisać regulamin dla aplikacji SaaS?
• Jak napisać politykę prywatności i cookies zgodnie z RODO?
• Prawa autorskie i SaaS: Co warto wiedzieć?

Odsłuchaj podcastu w tym temacie:

Ten odcinek znajdziesz także na Spotify, Apple Podcast lub w Twojej innej ulubionej aplikacji.

Dlaczego muszę wdrożyć RODO mając aplikację SaaS?  

Jeśli dostarczasz lub chcesz dostarczać usługi w modelu SaaS, to niezależnie od ich charakteru będziesz musiał/a wdrożyć przepisy o ochronie danych osobowych (przede wszystkim RODO).  

W zasadzie jest to pochodna Twojego modelu biznesowego, w którym oprogramowanie jest dostarczane za pośrednictwem Internetu, zamiast być instalowane na komputerze użytkownika. 

Obowiązek ten nie ominie Cię zarówno, gdy będziesz świadczyć usługi na rzecz przedsiębiorców, jak również, jeśli Twoimi klientami będą konsumenci.  

Co więcej, nawet jeżeli Twoja firma zarejestrowana jest daleko poza granicami Unii Europejskiej, ale przetwarzasz dane osób przebywających na terenie Unii Europejskiej  

i robisz to w związku z: 

1. odpłatnym lub nieodpłatnym oferowaniem towarów na terenie Unii, lub  
2. monitorowaniem zachowań tych osób na terenie Unii,  

to nadal będziesz musiał/a wdrożyć RODO.  

Czy istnieje uniwersalny sposób wdrożenia RODO dla aplikacji SaaS? 

Często dodajemy takie pytanie.

Chcę zaznaczyć, że nie ma jednej uniwersalnej procedury wdrożenia RODO.  Nie zmienia to faktu, że przy wdrażaniu bazujemy na naszym doświadczeniu zdobytym przy wielu innych klientach.

RODO wymaga zagwarantowania bezpieczeństwa przetwarzania danych, jednak nie wskazuje sposobu w jaki mają ten cel osiągnąć. Jest to wygodne rozwiązanie, ponieważ każdy może dostosować środki do potrzeb swojej organizacji.  

Dlatego chciałbym, żebyś potraktował/a poniższą listę jako przydatne wskazówki i rodzaj inspiracji. Pamiętaj jednak, że nie jest to prawda objawiona. Jeśli nabierzesz jakichkolwiek wątpliwości co do tego, jak wdrożyć RODO – skontaktuj się z prawnikiem specjalizującym się w ochronie danych osobowych np. wypełniając nasz formularz kontaktowy.  

Zawsze lepiej „być mądrym przed szkodą”, a właściwe przeprowadzanie tego procesu pozwoli uniknąć Ci dotkliwych strat wizerunkowych i finansowych. 

Możesz także przeczytać naszego e-booka o budowaniu, wdrażaniu i świadczeniu usług w modelu SaaS. 50 stron konkretnej wiedzy, całkowicie bezpłatnie. 

Pobierz e-booka: https://creativa.legal/e-booki/aplikacje-saas/

6 kroków, które pomogą Ci wdrożyć RODO w Twojej firmie technologicznej 

Oto sześć kroków potrzebnych do wdrożenia RODO dla Twojej aplikacji SaaS:  

1. zrób szczegółowy audyt procesów przetwarzania danych osobowych przez Twoją aplikację;  
2. określ przyszłe procesy przetwarzania danych osobowych;  
3. na podstawie zebranych danych przeprowadź analizę ryzyka dla osób, których dane będą przetwarzane w Twojej aplikacji SaaS;  
4. dobierz odpowiednie środki bezpieczeństwa;  
5. przygotuj dokumentację RODO na wewnętrzne potrzeby Twojej firmy technologicznej;  
6. przygotuj dokumentację RODO wykorzystywaną przy relacjach z klientami i Twoimi partnerami biznesowymi.  

Audyt przy wdrożeniu RODO dla aplikacji SaaS 

Solidny audyt z zakresu przetwarzania danych osobowych stanowi fundament całego procesu wdrażania RODO. Im lepiej zostanie przeprowadzony, tym łatwiej będzie przejść przez jego kolejne etapy.  

Dlatego już w tym miejscu zwróć szczególną uwagę na:  

1. Podstawy przetwarzania – ustal rodzaj danych przetwarzanych w ramach Twojej aplikacji SaaS oraz określ podstawę prawną do ich przetwarzania;  
2. Cel i zakres przetwarzania danych osobowych – postaraj się kierować zasadą zdroworozsądkowej optymalizacji: staraj się nie przetwarzać danych, których tak naprawdę nie potrzebujesz – minimalizacja zbieranych danych to podstawa; 
3. Bezpieczeństwo – zweryfikuj Twój techniczno-organizacyjny system ochrony danych osobowych oraz przeprowadź analizę fizycznych i logicznych zabezpieczeń infrastruktury informatycznej, którą będziesz wykorzystywać. Dodatkowo sprawdź poziom zabezpieczeń Twojej aplikacji SaaS w kontekście jej funkcjonalności;  
4. Ogólne założenia polityk bezpieczeństwa, backupu i zarządzania uprawnieniami – zastanów się, czy rozwiązania przyjęte przez Ciebie dobrze zabezpieczą przetwarzane dane osobowe – z jednej strony, a z drugiej, uprość procesy tak, aby Cię nie przytłoczyły; 
5. Reakcję na nieprawidłowości – zastanów się nad optymalnymi rozwiązaniami w przypadku wykrycia nieprawidłowości w działaniu Twojej aplikacji SaaS; 
6. Osoby przetwarzające dane – przeanalizuj kto może mieć dostęp do danych osobowych. Zastanów się, czy to będą Twoi pracownicy, współpracownicy czy podwykonawcy. Określ, jakie czynności musisz (i możesz w świetle prawa) podjąć, żeby ograniczyć zakres swojej odpowiedzialności za błędy przez nich popełnione;  
7. Weryfikację poziomu wiedzy i świadomości Twojego zespołu w zakresie ochrony danych osobowych oraz w razie potrzeby przygotuj ewentualne szkolenia z RODO i ochrony danych osobowych.  

Określenie procesów przetwarzania danych osobowych w aplikacji SaaS 

W kolejnym kroku określ procesy przetwarzania danych osobowych w ramach Twojej aplikacji SaaS.  

W podstawowym zakresie powinieneś/powinnaś zdefiniować rodzaj przetwarzanych przez Ciebie danych. Następnie odpowiedz sobie na pytania:  

1. kto będzie miał do nich dostęp,  
2. co się z nimi będzie działo (jak będą przetwarzane) oraz  
3. jak powinny być zabezpieczone.  

Dokonując analizy przyszłych procesów przetwarzania danych w aplikacji SaaS, możesz posiłkować się treścią art. 30 RODO. Zawiera on postanowienia w zakresie tego, co powinien zawierać:  

1. rejestr przetwarzania danych (który jest obowiązkowym element wewnętrznej dokumentacji RODO); oraz  
2. rejestr kategorii czynności przetwarzania (który będziesz musiał/a przygotować w odniesieniu do danych uploadowanych przez Twoich klientów).  

Jak zaraz zobaczysz, solidna praca na tym etapie może zaoszczędzić Ci czasu w przyszłości.  

Jak określić ryzyka przy wdrożeniu RODO dla aplikacji SaaS 

Na bazie zebranych i opracowanych informacji zdefiniuj najważniejsze ryzyka dla osób, których dane będą przetwarzane w Twojej aplikacji. Zastanów się:  

1. gdzie może dojść do wycieku lub utraty danych oraz jakie zasoby powinny być w związku z tym przez ciebie szczególnie chronione;  
2. określ rodzaj i poziom zagrożeń (np. duże prawdopodobieństwo błędu ludzkiego);  

Następnie wskaż sposoby przeciwdziałania zdefiniowanemu przez Ciebie ryzyku. Dzięki temu określisz Twoje najważniejsze potrzeby w zakresie działań jakie musisz podjąć, żeby kompletnie wdrożyć RODO w ramach Twojej organizacji. 

Będzie to szczególnie ważne w wyborze adekwatnych środków bezpieczeństwa dla ochrony danych osobowych. Pamiętaj, że środki te, oprócz odpowiedzi na zdefiniowane przez Ciebie ryzyka, powinny obiektywnie zapewniać poufność, integralność i rozliczalność przetwarzanych danych osobowych w ramach Twojej aplikacji SaaS. 

Co powinna zawierać wewnętrzna dokumentacja RODO dla aplikacji SaaS 

Dokumentacja RODO jest pewnym standardem biznesowym i przygotowanie jej nie powinno nastręczyć Ci większych trudności, jeśli solidnie przepracowałeś poprzednie etapy procesu wdrożeniowego. W szczególności powinna odpowiadać na zdefiniowane przez Ciebie potrzeby i ryzyka.  

Gdyś jednak nie byłeś/aś pewny/a co do poszczególnych jej elementów, poniżej wskazuję listę dokumentów, które powinny znaleźć się w pakiecie minimum wewnętrznej dokumentacji RODO Twojej firmy:  

1. Polityka ochrony danych osobowych, czyli dokument opisujący i implementujący obowiązujące zasady przetwarzania danych osobowych w Twojej firmie; 
2. Rejestr czynności przetwarzania danych osobowych – czyli obowiązkowy wykaz działań, które prowadzisz na danych osobowych (jego zawartość wynika z art. 30 ust. 1 RODO); 
3. Rejestr kategorii czynności przetwarzania danych osobowych – ponieważ w ramach platformy SaaS najpewniej będziesz przetwarzał/a dane osobowe wysyłane przez Twoich klientów; 
4. Procedura realizacji uprawnień osób fizycznych – procedura określająca sposób postępowania w przypadku wniesienia przez daną osobę żądania realizacji jej uprawnień wynikających z RODO; 
5. Procedura postępowania w przypadku naruszeń ochrony danych osobowych – procedura określająca sposób postępowania w przypadku naruszenia ochrony danych osobowych (np. wycieku danych); 
6. Rejestr naruszeń ochrony danych osobowych – rejestr zawierający informacje o zaistniałych naruszeniach oraz działaniach podjętych w celu ich usunięcia; 
7. Procedura usuwania i niszczenia danych osobowych – procedura określająca sposób postępowania w przypadku konieczności zniszczenia lub usunięcia danych osobowych; 
8. Analiza ryzyka wiążącego się z przetwarzaniem danych osobowych; 
9. Ocena skutków przetwarzania danych osobowych dla osób, których dane dotyczą (prowadzona w sytuacjach wymaganych zgodnie z RODO i polskimi przepisami). 

Nie zapomnij także o dokumentach dla pracowników i współpracowników – np. obowiązki informacyjne, czy regulaminy bezpieczeństwa dla nich.

Potrzebujesz pomocy przy wdrożeniu RODO? Wypełnij formularz i umów się z nami na 15 minutową bezpłatną konsultację. Porozmawiamy o tym, jakie masz problemy i jak możemy Ci pomóc. 

Pobierz także naszego e-booka, którego znajdziesz poniżej! 

Pobierz e-booka: https://creativa.legal/e-booki/aplikacje-saas/

Dokumenty RODO dla użytkowników i klientów SaaS  

Na koniec przygotuj dokumentację, którą Ty i Twoi pracownicy będziecie wykorzystywać w relacjach z klientami i partnerami biznesowymi. Mowa tu szczególnie o polityce prywatności i cookies oraz o umowach powierzenia przetwarzania danych.  

O tym, co powinna zawierać dobra polityka prywatności pisaliśmy w artykule Jak napisać politykę prywatności i cookies zgodnie z RODO?

Z kolei, jak wdrożyć pliki cookies zgodnie z prawem pisaliśmy tutaj: Pliki cookies zgodne z prawem – jak je wdrożyć?

Umowę powierzenia przetwarzania danych osobowych powinieneś zawrzeć wtedy, gdy:  

1. przetwarzasz dane osobowe w cudzym imieniu (np. gdy Twój klient udostępni Ci dane osobowe w celu świadczenia przez Ciebie usług na jego rzecz) lub 
2. jeśli powierzasz przetwarzanie danych w Twoim imieniu innym podmiotom (np. Twoim podwykonawcom: hostingodawcy, support IT, software house itp.). 

Treść umowy o powierzenie przetwarzania danych reguluje art. 28 ust. 3 RODO. Zgodnie z tym przepisem powinna w szczególności określać: 

1. przedmiot przetwarzania – rodzaj i zakres danych powierzonych Ci do przetwarzania, 
2. czas trwania przetwarzania; 
3. charakter i cel przetwarzania; 
4. kategorię osób, których dane dotyczą; 
5. obowiązki i prawa administratora; 
6. obowiązki podmiotu przetwarzającego (zawarte bezpośrednio w tym przepisie), czyli Twoje.  

Jeśli chcesz dowiedzieć się więcej o tym, co powinny zawierać takie umowy, koniecznie sprawdź wpis na naszym blogu: Umowy powierzenia pod RODO – gdy udostępniasz dane osobowe. 

Checklista dla wdrożenia RODO w Twojej aplikacji SaaS 

Jak sam/a widzisz, wdrożenie RODO to nic strasznego. Jest to całkiem logiczny i spójny proces. Każdy kolejny krok wynika z poprzedniego. Dlatego, jeszcze raz:  

1. zrób bardzo dobry audyt procesu przetwarzania danych osobowych przez Twoją aplikację;  
2. na jego podstawie określ przyszłe procesy przetwarzania danych osobowych; 
3. przeprowadź analizę ryzyka w oparciu o zebrane i opracowane materiały (pamiętaj, że jest to stały proces i że w przyszłości na bieżąco będziesz musiał aktualizować dokumentację, procedury oraz procesy pod kątem ochrony danych w Twojej aplikacji SaaS);  
4. na jej podstawie określ swoje potrzeby i dobierz odpowiednie środki bezpieczeństwa;  
5. na ich podstawie: 
   • przygotuj dokumentację RODO na wewnętrzne potrzeby Twojej organizacji;  
   • przygotuj dokumentację RODO, którą wykorzystasz w relacjach z klientami i Twoimi partnerami biznesowymi. W szczególności pamiętaj o polityce prywatności oraz umowach powierzenia przetwarzania danych.  

Gdyby cokolwiek w tym temacie było dla Ciebie niejasne, zapraszam Cię do bezpośredniego kontaktu z nami za pośrednictwem formularza kontaktowego.