Bezpieczeństwo i RODO w aplikacji firmowej

Czym jest bezpieczna aplikacja firmowa

Bezpieczna aplikacja firmowa to taka, która chroni dane, którymi zarządza: szyfrowane połączenie, logowanie z drugim składnikiem, kontrolę dostępu i kopie zapasowe. RODO — unijne przepisy o ochronie danych osobowych — dotyczy każdej aplikacji, w której są dane osób, czyli klientów lub pracowników. Za zgodność odpowiada Twoja firma, dlatego warto ustalić z wykonawcą, kto co zabezpiecza, zanim aplikacja ruszy.

Nie musisz znać się na technologii, żeby ocenić podstawy. Wystarczy wiedzieć, o co pytać i czego oczekiwać od firmy, która robi Ci program.

Na bezpieczeństwo aplikacji składa się kilka prostych rzeczy. Każdą z nich możesz sprawdzić w rozmowie z wykonawcą.

• Szyfrowane połączenie (HTTPS) — dane między telefonem a aplikacją lecą zakodowane, nie da się ich łatwo podejrzeć. Poznasz to po kłódce w pasku adresu.
• Logowanie z drugim składnikiem (2FA) — obok hasła aplikacja prosi o kod z telefonu. Nawet gdy ktoś wykradnie hasło, bez telefonu nie wejdzie.
• Kontrola dostępu — każdy pracownik widzi tylko to, co potrzebuje. Magazynier nie widzi pełnej bazy klientów.
• Kopie zapasowe — dane są regularnie zapisywane w drugim miejscu, więc awaria serwera nie kasuje firmy.

To minimum, którego masz prawo oczekiwać. Jeśli wykonawca traktuje któryś z tych punktów jako dodatek za dopłatę, to sygnał ostrzegawczy.

Czy aplikacja musi być zgodna z RODO

Tak. Jeśli w aplikacji są dane osób — imię, nazwisko, telefon, adres, e-mail — podlega ona RODO. Nie ma znaczenia, czy to dziesięciu klientów, czy pięć tysięcy.

RODO dotyczy więc niemal każdej aplikacji firmowej. Panel zamówień ma dane kontrahentów. Grafik wizyt ma dane klientów. Nawet wewnętrzny system urlopowy ma dane pracowników.

Dla Ciebie jako właściciela RODO oznacza w skrócie cztery obowiązki:

• Zbierasz tylko te dane, które są naprawdę potrzebne (minimalizacja).
• Masz podstawę, żeby je przetwarzać — zwykle zgodę klienta albo wykonanie umowy.
• Zabezpieczasz je technicznie, czyli właśnie szyfrowaniem, logowaniem i kopiami.
• Zgłaszasz wyciek danych do urzędu w ciągu 72 godzin od jego wykrycia.

Pełną listę obowiązków RODO dla małej firmy rozpisaliśmy osobno. Tutaj skupiamy się na tym, co dotyczy samej aplikacji — przeczytaj o obowiązkach RODO w małej firmie, jeśli chcesz całość.

Kto odpowiada za dane — Ty czy wykonawca

To pytanie decyduje o najwięcej, więc odpowiemy wprost. Za dane w aplikacji odpowiada przed prawem Twoja firma, nie firma, która zrobiła aplikację.

W języku RODO Twoja firma jest administratorem danych — to Ty decydujesz, po co i jakie dane zbierasz. Wykonawca aplikacji jest podmiotem przetwarzającym — przechowuje i obsługuje te dane w Twoim imieniu, na Twoje polecenie.

Z tego wynika konkretny wniosek. Skoro wykonawca dotyka Twoich danych, musisz mieć z nim umowę powierzenia przetwarzania danych. To osobny dokument albo część umowy głównej, który opisuje, co wykonawca może z danymi robić, a czego nie.

Bez tej umowy to Ty bierzesz na siebie całe ryzyko. Jeśli dane wyciekną u wykonawcy, a nie macie spisanych zasad, urząd patrzy na Ciebie jako administratora.

Najprościej zobrazować to na podziale ról przy typowym panelu zamówień:

• Twoja firma (administrator) — decyduje, jakie dane klientów zbierać, odbiera zgody, odpowiada przed urzędem i klientem.
• Wykonawca (podmiot przetwarzający) — buduje aplikację, przechowuje dane na serwerze, zabezpiecza je technicznie, działa według umowy powierzenia.
• Wspólnie — ustalacie na piśmie, gdzie leżą dane, kto ma dostęp i co dzieje się przy awarii lub wycieku.

O co zapytać wykonawcę przed podpisaniem

Nie musisz znać technologii, żeby zadać dobre pytania. Te sześć wystarczy, żeby odsiać firmę, która traktuje bezpieczeństwo poważnie, od takiej, która nie.

1. Gdzie fizycznie będą moje dane? Na jakim serwerze i w jakim kraju. Dla danych osób z Polski wygodnie, gdy serwer stoi w Unii Europejskiej.
2. Czy połączenie i dane są szyfrowane? Połączenie zawsze (HTTPS), a wrażliwe dane — na przykład hasła — także w bazie.
3. Kto z Waszej strony ma dostęp do moich danych? Powinno paść konkretne „tylko wyznaczone osoby", a nie „cały zespół".
4. Jak często robicie kopie zapasowe i jak szybko je przywrócicie? Kopia raz na dobę to rozsądne minimum dla większości firm.
5. Co się dzieje, gdy nastąpi wyciek lub awaria? Kto mnie informuje, w jakim czasie, kto pomaga w zgłoszeniu do urzędu.
6. Czy dostanę umowę powierzenia przetwarzania danych? Odpowiedź „a co to?" kończy rozmowę.

Dobra firma odpowie na te pytania spokojnie i bez owijania. Jeśli słyszysz mgliste hasła albo presję, żeby szybko podpisać, to znak ostrzegawczy. To ten sam sprzedażowy nacisk, który kazał Ci kiedyś kupić serwer, którego nie potrzebowałeś.

Częste błędy przy zamawianiu aplikacji

Większość problemów z bezpieczeństwem nie bierze się z włamania. Bierze się z rzeczy, których nie ustalono na starcie. Oto cztery, które widujemy najczęściej.

Brak umowy powierzenia

Firma podpisuje umowę na wykonanie aplikacji, ale nie na powierzenie danych. Wszystko działa, dopóki nic się nie dzieje. Przy pierwszej kontroli albo wycieku okazuje się, że nikt nie spisał zasad.

Jedno hasło dla wszystkich

Cały zespół loguje się jednym kontem, bo „tak szybciej". Gdy ktoś odejdzie z firmy, dalej zna hasło. Nie wiadomo też, kto co zrobił w systemie. Osobne konta i kontrola dostępu rozwiązują to od razu.

Kopie zapasowe tylko na papierze

Wykonawca mówi, że kopie „są", ale nikt ich nigdy nie odtworzył. Kopia, której nie da się przywrócić, nie jest kopią. Raz na jakiś czas warto poprosić o test odtworzenia.

Zbieranie danych na zapas

Aplikacja pyta o PESEL i datę urodzenia, choć do obsługi zamówienia wystarczy imię i telefon. Każde dodatkowe pole to dane, które musisz chronić i za które odpowiadasz. Mniej danych to mniej ryzyka.

Jak jedna aplikacja ułatwia bezpieczeństwo

Robimy aplikacje tak, że ta sama wersja działa w przeglądarce, na telefonie i na tablecie. To jedna aplikacja w jednym miejscu, a nie trzy osobne programy do pilnowania.

Dla bezpieczeństwa to realna różnica. Logowanie, szyfrowanie i kontrolę dostępu ustawia się raz, a obowiązują wszędzie. Łatka bezpieczeństwa też wchodzi raz dla wszystkich.

Przykład ilustracyjny: panel zamówień dla hurtowni z Lubina. Handlowiec wystawia zamówienie z telefonu w trasie, magazynier z tabletu, biuro z komputera. Wszyscy pracują w tej samej aplikacji, z tym samym logowaniem i tymi samymi kopiami.

Gdyby to były trzy odrębne programy, każdy trzeba by zabezpieczać i aktualizować osobno. Jedno miejsce oznacza mniej miejsc, w których coś może pójść nie tak.

Jeśli rozważasz dopiero, czy zamawiać program pod siebie, czy wziąć gotowy, zacznij od tej decyzji. Przeczytaj o wyborze między programem na zamówienie a gotowym.

Co zabezpieczamy my, a co zostaje po Twojej stronie

Bądźmy uczciwi co do zakresu. My odpowiadamy za stronę techniczną, ale zgodność z RODO to obowiązek Twojej firmy jako administratora. Nie świadczymy porad prawnych.

W praktyce dzielimy to tak:

• Po naszej stronie — szyfrowane połączenie, logowanie z drugim składnikiem, kontrola dostępu, kopie zapasowe i umowa powierzenia przetwarzania danych.
• Po Twojej stronie — decyzja, jakie dane zbierasz, treść zgód i klauzul, polityka prywatności oraz zgłoszenie ewentualnego wycieku do urzędu.
• Razem — ustalamy zakres na starcie, żeby nic nie wisiało w próżni i nie było niespodzianek przy kontroli.

Treść zgód i klauzul RODO najlepiej skonsultować z prawnikiem albo inspektorem ochrony danych. My zadbamy o to, żeby technicznie aplikacja te wymagania udźwignęła.

Jeśli nie wiesz, gdzie Twoja firma jest najbardziej narażona, dobrym pierwszym krokiem jest Audyt Dojrzałości Cyfrowej. To krótka, punktowana diagnoza, która pokazuje słabe miejsca, zanim staną się problemem.