19/12/2023
Jak zminimalizować problemy z ochroną danych przy oferowaniu usługi/produktu IT?
Niejednokrotnie Dostawca IT zakłada, że trafił na Klienta, który jest przedsiębiorcą i posiada wiedzę o usłudze/produkcie, który zamawia. Natomiast Klient zakłada, że to Dostawca zapewni mu przy okazji wszystko, co związane jest w praktyce z pełną obsługą danego oprogramowania i dodatkowo zajmie się wszystkimi kwestiami informatycznymi w jego przedsiębiorstwie.
I taka różnica w postrzeganiu tej samej usługi/ produktu, za jakiś czas skutkuje problemami dotyczącymi ochrony danych osobowych.
Wystarczy zdarzenie w postaci np. niedostępności systemu przez kilka godzin, braku weryfikacji uprawnień lub w skrajnych sytuacjach do wycieku danych … Właśnie wtedy okazuje się jak różnie i jak inaczej Dostawca IT i jego Klient interpretowali tą samą ofertę lub umowę. I niejednokrotnie nie musi wynikać to ze złej woli któregokolwiek z nich.
Z reguły Klient twierdzi,że choć przeczytał umowę, to nie zna się na „technikaliach informatycznych ”, a liczył na kompleksową usługę i nikt go nie uprzedzał, że potrzeba np. coś dokupić,przeprowadzić jakiś proces. Jednocześnie Dostawca wskazuje, że Klient otrzymał dokładnie to, co zamówił. Dostawca nie będzie przecież przekazywał mu elementarnej wiedzy, którą Klient posiadać powinien. Nie zapewni mu usług i produktów, które nie obejmuje umowa, a Klient sam powinien zadbać np. o kopiowanie i testowanie danych (i to dotyczy całego systemu IT w których przetwarzane są dane w przedsiębiorstwie Klienta ).
Do rozmowy stron na ten temat dochodzi z reguły, gdy mamy niekorzystną sytuację w postaci naruszenia ochrony danych osobowych. Niejednokrotnie wtedy mają miejsce również próby tzw. przerzucania odpowiedzialności pomiędzy nimi. Jednakże z reguły takie działanie pozbawione jest większego sensu, gdyż zgodnie z art. 82 ust. 2 RODO zarówno Klient jak i Dostawca (jeżeli jest podmiotem przetwarzającym) mogą ponieść konsekwencję z tytułu szkody poniesionej przez osobę, której dane dotyczą, jeżeli do naruszenia doszło z ich winy. Trudno też obwinić Dostawcę o to,że „miał chronić dane na mocy art. 28 RODO w zw. z art. 32 RODO”, gdyż niejednokrotnie zdarzenie dotyczy zupełnie innego oprogramowania,z którym nie była powiązana usługa/produkt lub Dostawca nawet nie miał możliwości dostępu do tych danych i tym samym nie mógł zastosować w stosunku do nich jakichkolwiek środków zabezpieczeń związanych z tym dostępem.
A przecież pewnych problemów można uniknąć i to z użyciem prostych zabiegów. Poniżej kilka wskazówek dla Dostawców IT, które pomagają w praktyce zminimalizować ryzyko późniejszych wyjaśniń, sporów lub naruszeń:
- Jasna oferta (co robimy w ramach konkretnej usługi, a czego nie, jakie produkty/usługi Klient powinien dokupić lub ewentualnie skorzystać u dostawców innych usług),
- Posiadanie w swojej ofercie innych usług, które mogą być przydatne dla Klienta i może je u nas dodatkowo zakupić lub współpraca z dostawcami usług komplementarnych do naszej,
- Wskazanie, jakie są wymagania dla naszej usługi/produktu do zastosowanie przez Klienta, aby działała poprawnie i bezpiecznie,
- Budowanie świadomości wśród Klientów i ich edukacja. Często, wbrew pozorom Klient nie rozumie usługi, którą kupuje. Czasami też nie wie, jak z niej korzystać. Warto tym samym rozważyć dodanie do swojej oferty np. szkolenia dla Klienta lub użytkowników.
- Przekazywać dodatkowe rekomendacje dla Klientów (np. w formie bloga lub w dodatkowej odpłatnej usługi doradczej),
- Posługiwanie się dobrymi umowami (aby w razie ich interpretacji nie było problemu jaka usługa/produkt jest sprzedawana i na jakich warunkach, za co odpowiada każda ze stron).
Powyższe wskazówki można zlekceważyć twierdząc , że „Klient powinien wiedzieć co zamawia lub podpisuje ”, ale aby uniknąć sporów lub wręcz nie dopuścić do ich powstania - warto je zastosować. A prócz tego: zadowolony Klient, to Klient który wraca do swojego Dostawcy, aby korzystać z jego produktów lub usług.