Eksperci udzielają bezpłatnych porad przedsiębiorcom. Cyfryzacja przedsiębiorstw – aspekty prawne i bezpieczeństwo

Aktualności 3 lata temu wtorek, 14 lipca 2020 12:01 art. sponsorowany

Klaster IT, stowarzyszenie prawie 90 firm IT z regionu Pomorza Zachodniego, uruchomił projekt „Zapytaj Eksperta – usługi doradcze Klastra IT”. Przedsiębiorcy ze Szczecina mogą teraz bezpłatnie skonsultować rozwój swojego biznesu i korzystając z wiedzy wielu ekspertów omówić m.in. cyfryzację swoich organizacji. W dalszej części artykułu, kilku ekspertów z projektu, przedstawi ideę cyfryzacji przedsiębiorstw, zwracając uwagę na bezpieczeństwo zarówno w aspekcie technicznym jak i prawnym.

Cyfryzacja kosztuje, a jednak się opłaca*, a poza tym w coraz większym zakresie jest koniecznością. Cyfryzacja nie oznacza już tylko korzystania z komputera wyposażonego w pakiet biurowy umożliwiający pracę nad dokumentami i wysyłanie poczty e-mail lecz wykorzystanie narzędzi: automatyzujących procesy pracy i zarządzania, zarządzania zespołami i zadaniami, analityki biznesowej, obiegu informacji i dokumentów, videokonferencji, planowania (kalendarze) i wielu innych. Korzystanie z tych wszystkich narzędzi musi być bezpieczne od strony technicznej oraz prawnej i dlatego w niniejszym artykule zajmiemy się tymi aspektami.

Komunikacja i zabezpieczenie sieci

„Czy korzystanie z komunikatora Zoom jest bezpieczne?” To pytanie w maju 2020 roku zadawało sobie wielu użytkowników tego narzędzia po ujawnionych wątpliwościach dotyczących bezpieczeństwa komunikacji (w tym wideokonferencji) tego narzędzia – wątpliwości o bezpieczeństwo danych podnosiło wielu użytkowników, również z perspektywy prawnej – podkreśla Rafał Malujda, radca prawny. Komunikacja i wideokonferencje to biznes firmowy, w tym biznes związany również ze zdalnym nauczaniem. Jak w każdym obszarze IT narzędzi do komunikacji jest bardzo dużo. Przy doborze tych narzędzi warto zwrócić uwagę na maksymalną ilość uczestników wideokonferencji, maksymalną liczbę wyświetlanych strumieni wideo, jakość obrazu i głosu, łatwość użycia, czy dostępność wsparcia dostawcy rozwiązania. Idealnie gdy możemy użyć różnych form korzystania z rozwiązań wideokonferencyjnych danego producenta – od aplikacji przeznaczonych na komputer i urządzenia mobilne, poprzez korzystanie za pomocą przeglądarki internetowej, aż do sprzętowych rozwiązań wideokonferencyjnych. Doskonałym uzupełnieniem podstawowych funkcji będzie możliwość nagrywania spotkań, współdzielenie ekranu, możliwość integracji z innymi aplikacjami, a także elementy AI (sztucznej inteligencji), wprowadzające automatykę do zarządzania spotkaniami. – sygnalizuje Filip Bielicki z Comdrev.pl

Bezpieczne przetwarzanie danych

Cyfryzacja firmy to przede wszystkim praca na danych w formie elektronicznej. Przetworzenie danych z formy papierowej do elektronicznej czy w ogóle rozpoczęcie pracy na danych w formie elektronicznej w dużym stopniu wpływa na uporządkowanie zasobów – tj. weryfikujemy, które dane są nam jeszcze potrzebne, a które nie. Dodatkowo, pracując na danych cyfrowych musimy wiedzieć, jakie przepisy mogą mieć do nich zastosowanie.

Dane osobowe

Dobrym przykładem jest w tym zakresie wszechobecne „RODO” (przepisy dotyczące przetwarzania danych osobowych), które ma zastosowanie do każdej postaci danych w wersji cyfrowej, ale już nie do każdej postaci danych w wersji papierowej. Jeżeli więc nie przetwarzamy danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze (gdyż wtedy nie stosujemy RODO), to musimy wdrożyć RODO. Wdrożenie RODO odbywa się na trzech płaszczyznach:

1. prawnej – w zakresie procedur wewnętrznych i umów,

2. organizacyjnej – w zakresie procedur jak obchodzić się z danymi w firmie (np. gdzie wisi klucz do pomieszczenia z wrażliwymi danymi),

3. technicznej – czyli jak zabezpieczamy dane w szczególności w systemach IT.

UWAGA! Nie każde dane przetwarzane w firmie to dane osobowe. Warto mieć to na uwadze przy doborze środków organizacyjnych i technologicznych.

Wszystkie powyższe elementy są ważne, jednak warto zwrócić uwagę w tym miejscu na aspekty techniczne. Przepisy są bowiem lakoniczne i nie informują nas, jakie mechanizmy zabezpieczeń powinniśmy wdrożyć, żeby być „zgodnymi z RODO”. Zgodnie z tymi przepisami, możemy się jedynie dowiedzieć, że „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Co firma przymierzająca się do cyfryzacji powinna mieć zatem na uwadze gdy mówimy o tym, że powinniśmy wdrożyć odpowiednie środki techniczne? Zdaniem Eksperta Patryka Siewierskiego z System-IT: „W każdej organizacji powinniśmy zapewnić bezpieczeństwo fizyczne najważniejszych zasobów IT. Dostęp do pomieszczeń serwerowni, czy np. punktów dystrybucyjnych powinien być ograniczony i ściśle kontrolowany, a środowisko serwerowe powinno być monitorowane. Wspierają nas w tym systemy kontroli dostępu, monitoringu, oraz kontroli środowiska pracy w tym np. systemy przeciwpożarowe. Ważnym aspektem jest zapewnienie awaryjnego źródła zasilania. Kolejnym i do tego bardzo istotnym punktem na naszej mapie bezpieczeństwa jest kopia zapasowa danych. Kopia nie tylko danych zawartych na serwerach, ale także danych zawartych na komputerach pracowników. Nie wyobrażam sobie sytuacji kiedy pracownik odchodzący z pracy kasuje wszystkie swoje dokumenty, kontakty, czy pocztę email paraliżując tym samym pracę działu firmy. Nad taką kopią czuwają systemy centralnego backup. Ciekawą praktyką jest umieszczenie części newralgicznych danych w szyfrowanej chmurze, lub na zewnętrznych nośnikach poza siedzibą firmy na wypadek np. pożaru.

Podpisywanie umów

Wymiana danych w formie elektronicznej to również podpisywanie umów. „Na rynku dostępnych jest wiele narzędzi umożliwiających podpisywanie dokumentów w formie elektronicznej – musimy zawsze zwrócić uwagę na to, czy forma elektroniczna, którą wykorzystujemy jest równoważna w skutkach prawnych formie pisemnej, rozumianej jako złożenie własnoręcznego podpisu pod dokumentem papierowym” – zwraca uwagę Rafał Malujda – radca prawny z Kancelarii Prawno-Patentowej. Dlaczego jest to ważne? Niektóre przepisy wymagają do zawarcia określonej umowy szczególnej formy (np. pisemnej czy aktu notarialnego). Wiele z zawieranych umów (np. zlecenia, o dzieło, na wykonanie strony www lub systemu informatycznego, na opiekę nad naszymi zasobami IT) nie wymaga jednak żadnej formy i może być zawierana nawet w sposób dorozumiany czy poprzez rozpoczęcie wykonywania danej umowy. Nie jest to jednak rekomendowane, gdyż wtedy zawsze może powstać spór pomiędzy stronami co do zakresu, terminów i wynagrodzenia. Dlatego warto jest dokumentować dokonywane cyfrowo czynności.

Mamy tutaj zasadniczo dwie możliwości:

1. Zawarcie umowy poprzez e-mail, sms, komunikator internetowy – wtedy mamy do czynienia z tzw. „dokumentową” formą czynności prawnej. Dokumentem jest tutaj nośnik informacji umożliwiający zapoznanie się z jego treścią (czyli pendrive, dysk komputera, plik na który zgrywamy naszą komunikację w komunikatorze internetowym, „print – screen” i podobne);

2. Zawarcie Do zachowania elektronicznej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym.§ 2. Oświadczenie woli złożone w formie elektronicznej jest równoważne z oświadczeniem woli złożonym w formie pisemnej.

UWAGA! Wiele platform internetowych nierzetelnie informuje o tym, że dostarcza usługę podpisu „równoważnego” podpisowi własnoręcznemu a jednocześnie nie oferuje usługi podpisu elektronicznego. Zawsze musimy to weryfikować, żeby wiedzieć, jaki skutek prawny niesie za sobą podpisanie umowy z wykorzystaniem takiego narzędzia!

Jak sprawnie sobie radzić z doborem narzędzi do podpisywania dokumentów elektronicznych? W tym zakresie Ekspert Andrzej Ruciński z Asseco Data Systems S.A. radzi, że „jeżeli chcemy być pewni, że złożony przez nas podpis wraz z podpisaną treścią spełnia prawny wymóg formy elektronicznej (równoważnej formie pisemnej), to najlepiej zaufać oprogramowaniu do podpisywania lub usługom, które dostarczają dostawcy kwalifikowanych certyfikatów. Taki podpis można, o czym nie każdy wie, złożyć też za pomocą bezpłatnej wersji Adobe Reader. Warto pamiętać, że niemniej ważne od podpisywania jest weryfikowanie poprawności podpisów na akceptowanych przez nas dokumentach elektronicznych. Większość aplikacji podpisujących ma funkcję weryfikacji. Ja jednak rekomenduję korzystanie z kwalifikowanej usługi walidacji, która wynik weryfikacji przekazuje w postaci elektronicznego poświadczenie stanowiącego w przypadku sporu niepodważalny dowód, także dla sądu, ważności lub nie zweryfikowanego podpisu”.

Klaster IT powstał po to, aby wspierać firmy i zwiększać potencjał technologiczny regionu Pomorza Zachodniego. Teraz przedsiębiorcy mogą skorzystać z wiedzy ekspertów z firm klastrowych. Wystarczy, że do dnia 20 lipca wypełnią formularz na stronie Klastra IT: http://www.klaster.it/zapytajeksperta

Autor: Rafał Malujda – Stowarzyszenie Klaster ICT Pomorze Zachodnie

* Por. chociażby badanie przeprowadzone przez ICAN Institute: https://www.ican.pl/b/wplyw-cyfryzacji-na-przychody-przedsiebiorstw/P2dqT4G8M