Wprowadzenie przez RODO nowych standardów ochrony danych osobowych zmusiło wielu dostawców usług internetowych do spełnienia obowiązku, jakim jest poinformowanie użytkowników o sposobie przetwarzania danych na swoich stronach internetowych. Dotyczy on wszystkich, którzy prowadzą swoje działania na obszarze Unii Europejskiej i którzy używają do tych celów środków teleinformatycznych oraz analogowych. Jedną z największych firm, które muszą spełnić rygorystyczne normy RODO jest Google, który oferuje biznesową wersję swoich aplikacji biurowych jako Google Workspace. W jaki sposób światowy gigant dostosował się unijnych wymogów?
Polityka prywatności dla usługi Google Workspace w kontekście RODO
Z uwagi na rozbudowaną strukturę samej usługi oraz zaawansowaną technologię Google w swojej polityce prywatności oraz komunikacie wskazuje na 3 obszary, związane z przetwarzaniem danych w chmurze:
- Jakie zobowiązania związane z przetwarzaniem dotyczą Twojej firmy?
- W jaki sposób narzędzia Google zapewniają zgodność z RODO (GDPR)?
- Jak Google zapewnia bezpieczeństwo danych, umieszczanych w chmurze Google (Google Cloud)?
W przypadku Google Workspace, które w naturalny sposób korzysta z chmury Google (zwanej Google Cloud), ważne jest poznanie wszystkich elementów wpływających na bezpieczeństwo informacji umieszczanych w aplikacjach tj. Dysk, Zdjęcia, Poczta itd. Z uwagi na fakt, że jest to pakiet przeznaczony dla klientów biznesowych, Google położyło szczególny nacisk na dostosowanie narzędzi do wymagań RODO/GDPR, tak aby klient korzystający z usługi i powierzający dane Google również spełniał odpowiednie normy. Do najważniejszych elementów bezpieczeństwa danych w Google Workspace należą:
Dwustopniowa weryfikacja – odpowiada ona za blokadę nieautoryzowanych użytkowników, którzy nie korzystają z zaufanych urządzeń lub innych elementów do potwierdzenia swojej tożsamości. Weryfikacja aktywuje się po wprowadzeniu prawidłowego loginu oraz hasła.
Szyfrowane klucze bezpieczeństwa – w przeciwieństwie do popularnej captchy, klucze bezpieczeństwa w postaci USB są dodatkowo szyfrowane, co oznacza, że potencjalni oszuści nie będą w stanie zalogować się na konto firmowe – nawet z użyciem właściwego hasła. Szyfrowanie minimalizuje ryzyko przechwycenia klucza odpowiadającego za logowanie.
Monitoring logów – administrator konta Google Workspace ma możliwość weryfikacji podejrzanych działań na kontach użytkowników.
Ochrona dostępu do danych – dzięki aplikacji pocztowej oraz Dysku Google użytkownik chroni zamieszczone tam dane poprzez uruchomienie blokady dostępu oraz możliwości udostępniania danych.
Rozszerzona ochrona wiadomości email – wymaga, aby wiadomości email były podpisane i szyfrowane przy użyciu standardu S/MIME.
Funkcje informacji o prawach autorskich w aplikacji Dysk Google – umożliwiają włączenie blokady przed pobieraniem, drukowaniem oraz kopiowaniem wybranych plików.
Centrum bezpieczeństwa – pozwala na dokładny audyt bezpieczeństwa użytkowników poprzez monitorowanie udostępniania plików, wiadomości spam, szkodliwego działania oprogramowania typu malware w obrębie Twojej organizacji. Wszystkie niezbędne dane oraz raporty są dostępne w jednym panelu zarządzania.
Czy Google Workspace wystarczy, aby firma spełniała wymogi RODO?
RODO wpływa na szereg procesów związanych ze zbieraniem i przetwarzaniem danych, dlatego sprowadzanie zagadnienia do terminu „Firma korzysta z Google Workspace – firma spełnia standardy RODO” jest błędem. Oczywiście dzięki usłudze Google Workspace polityka przetwarzania danych jest zdecydowanie łatwiejsza do opracowania przez Administratora Danych Osobowych. Nie zmienia to jednak faktu, że w dalszym ciągu firma powinna w przejrzysty, transparentny sposób opisać w jakim celu i w jaki sposób zbiera dane użytkowników np. na swojej stronie WWW lub sklepie internetowym. Na ten fakt zwraca również uwagę samo Google, podając przykłady, jak abonent usługi Google Workspace powinien zadbać o kwestię dostosowania do wymogów RODO m.in. poprzez:
- wyznaczenie Administratora Danych Osobowych,
- poznanie wszystkich procesów zachodzących w firmie, które mogą mieć wpływ na pozyskanie i przetwarzanie danych osobowych,
- weryfikację aktualnych narzędzi firmowych, polityki prywatności i sprawdzenie ich aktualności względem RODO. Po znalezieniu ewentualnych braków niezbędne jest ich poprawienie oraz dostosowanie,
- sprawdzenie, czy wszystkie kwestie związane z przetwarzaniem danych oraz bezpieczeństwem są udokumentowane w jasny sposób, tak aby nie budziły wątpliwości użytkowników.
Jak Google Workspace zapewnia bezpieczeństwo danych?
Google od lat jest wyznacznikiem standardów bezpieczeństwa dla usług w chmurze. W dużej mierze to właśnie innowacyjność oraz nieustanne inwestycje w specjalistów oraz infrastrukturę zaowocowały przyznaniem przez audytorów certyfikatów ISO 27001 (bezpieczeństwo informacji), ISO 27017 (bezpieczeństwo chmury) oraz ISO 27018 (prywatność chmury). Strategia dostarczania usług dla biznesu oparta jest na 4 filarach:
- Dostępność, integralność, elastyczność – Google opracowuje swoje produkty z myślą o jak największej dostępności, z każdego miejsca na Ziemi i na każdym urządzeniu. Dlatego też stosuje tzw. redundancję danych, aby zapewnić nieustanne działanie usług podczas występowania przerwy w działaniu serwerów w danym regionie.
- Testowanie – Google regularnie sprawdza i modyfikuje wszelkie procedury przywracania usług, związane m.in. z komunikacją, wdrażaniem systemów zarządzania zasobami oraz przeniesieniem ruchu na serwery zapasowe na wypadek awarii.
- Szyfrowanie – Google stosuje dla każdego rozwiązania w Google Workspace szyfrowanie danych, w tym połączenie poprzez protokół HTTPS, który jest automatycznie uruchamiany przy korzystaniu z dowolnych komponentów Google tj. poczta, dysk, zdjęcia, notatki.
- Kontrola dostępu – narzędzia Google posiadają funkcje związane z przypisaniem dla każdego użytkownika odpowiednich uprawnień.
- Weryfikacja bezpieczeństwa – inżynierzy Google regularnie sprawdzają oprogramowanie w poszukiwaniu luk bezpieczeństwa zarówno za pomocą narzędzi zewnętrznych, jak i opracowanych samodzielnie. Testy bezpieczeństwa mają charakter ręczny oraz automatyczny – również przy korzystaniu z audytów.
–
Pakiet Google Workspace jest już dostępny w ofercie home.pl, z polską fakturą, rozliczeniem w stałej cenie (w złotówkach), wsparciem technicznym oraz wygodną weryfikacją domeny. Zobacz więcej na https://home.pl/g-suite.