RODO - zabezpieczenie własnej firmy

pytanie zadane 12 maja 2018 w Bezpieczeństwo, hacking przez Alterwar Dyskutant (7,650 p.)
edycja 12 maja 2018 przez Alterwar

Witam,

mam parę pytań odnośnie RODO. Otóż znajomy posiada małą firmę transportową, pracuję tam on sam oraz dodatkowo zatrudnia jednego kierowcę i księgową. Napisałem mu program do fakturowania. W programie trzyma dane na temat firm, ceny, nipy, faktury. Wszystko trzymane jest lokalnie.

1. Czy muszę to jakoś dodatkowo zabezpieczać (przed wejściem do programu, musimy odpalić localhosta, później zalogować się (hasło w bazie ma zrobiony hash)). Jeśli potrzeba to lepiej zabezpieczyć to co konkretnie macie na myśli?

2. Dodatkowo należy zabezpieczyć router, komputer itd. Czy musi zlecać to komuś kto ma na to jakiś papierek? Czy mogę zrobić to ja w obrębie własnych umiejętności (jestem webdevem).

3. Co należy w tak małej firmie zabezpieczyć?

Głównie rozchodzi się chyba o program do faktur, komputer i router. Bo od księgowości jest księgowa. Znalazłem informację, że powinien być wyznaczony adminstrator od przetwarzania danych i powinien być przeprowadzony audyt bezpieczeństwa.

1 odpowiedź

odpowiedź 12 maja 2018 przez CzikaCarry Szeryf (75,340 p.)
wybrane 13 maja 2018 przez Alterwar

Najlepsza

Na pewno są większe kary za wycieki danych. Co do tego co należy zrobić, to

Eksport wszystkich danych osobowych do PDF'a
Tzw. "zapomnienie", czyli możliwość usunięcia wszystkich przetrzymywanych danych osobowych na prośbę użytkownika

Więcej nie wiem, więc nie powiem. Poza tym jeśli program działa tylko lokalnie to jest zdecydowanie mniejsza szansa, że zostanie zaatakowany :)

komentarz 12 maja 2018 przez HaKIM Szeryf (87,590 p.)
edycja 12 maja 2018 przez HaKIM

Eksport wszystkich danych osobowych do PDF'a

Gdzie jest napisane, że do PDF'a?

W 9/10 przypadkach widzę HTML/JSON, co nie oznacza, że tylko te formaty są dozwolone. RODO nie mówi stricte: Dane osobowe powinny być wyeksportowane w formacie PDF, tylko: Użytkownik musi mieć możliwość eksportu swoich danych (w powszechnie używanym formacie nadającym się do odczytu maszynowego).

Jakby ktoś chciał szczegóły:

https://www.mpit.gov.pl/media/50521/PrzewodnikMSP_RODO_2018.pdf (Strona 26)

komentarz 12 maja 2018 przez Alterwar Dyskutant (7,650 p.)
edycja 12 maja 2018 przez Alterwar

Eksport danych z programu do pdfa, jeśli jakaś firma prosi o udostępnienie jej danych? Rozumiem, że w takim wypadku dopiszę funkcjonalność i w razie potrzeby właściciel może sobie eksportować. Bo program jest wyłącznie dla właściciela, nie udostępniany osobom trzecim. (napisane w php/js)

W dokumencie podanym wyżej na stronie 19 w pkt. 6 "Kiedy należy wyznaczyć Inspektora Ochrony Danych? ". Czytając ten punkt, wydaje mi się że ta konkretna firma nie potrzebuje wyznaczania inspektora, ze względu na przetrzymywanie danych z firm z którymi współpracuje (cena frachtu, nip, nazwa firmy)

Czy może najlepiej udać się do jakiegoś radcy, który powinien powiedzieć co należy zrobić w przypadku tej firmy?

komentarz 12 maja 2018 przez HaKIM Szeryf (87,590 p.)

Czy może najlepiej udać się do jakiegoś radcy, który powinien powiedzieć co należy zrobić w przypadku tej firmy?

Tak, najlepiej by było, gdyby udał się do radcy prawnego. Choć, zawsze może poświęcić tydzień na próbę jak najlepszej interpretacji* tego rozporządzenia:

http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679&%20from=EN

* Choć, wydaję mi się, że nie ma słowa jak interpretacja, jeśli chodzi o prawo.