Google Workspace a RODO – co powinna wiedzieć każda firma?

Materiał Zewnętrzny

,
Google Workspace a RODO

Wdrożenie chmury w firmie to wygoda, mobilność i oszczędność czasu. Gdy w grę wchodzą dane osobowe, pojawia się RODO. Korzystając z Google Workspace, musisz spełnić wymogi prawne, a nie przenosić odpowiedzialności na dostawcę. Google udostępnia narzędzia zabezpieczające, ale to Ty konfigurujesz je i odpowiadasz za ich prawidłowe ustawienie. Przed Tobą praktyczny przewodnik, który pokaże, co dokładnie musisz skonfigurować, a czego system nie zrobi sam. W razie wątpliwości profesjonalny partner Google Workspace może pomóc przejść przez ten proces i zadbać o techniczne aspekty zgodności.

Spis treści

1. RODO w 5 minut – co firma naprawdę musi wiedzieć

RODO to znacznie więcej niż standardowa zgoda na newsletter. Wprowadza zasady, bez których nie można bezpiecznie prowadzić biznesu w sieci.

Trzy filary ochrony danych w firmie

  • Legalność – musisz posiadać konkretną podstawę prawną do przetwarzania danych. Często jest to umowa, obowiązek prawny lub uzasadniony interes, niekoniecznie sama „zgoda”.
  • Przejrzystość – osoby, których dane przetwarzasz, muszą precyzyjnie wiedzieć, co z nimi robisz. Rzetelna polityka prywatności to standard informacyjny.
  • Kontrola – musisz w każdej chwili udowodnić, że wiesz, co dzieje się z danymi. Oznacza to wiedzę o dostępach, logowanie działań oraz gotowość do usunięcia informacji na żądanie.

Administrator a podmiot przetwarzający

W relacji chmurowej podział pełnionych ról jest jasny:

  • Ty jesteś administratorem danych.
  • Google to podmiot przetwarzający.
    Zawarcie umowy z Google nie zwalnia Cię z obowiązków prawnych.

Realne ryzyko i kary

Konsekwencje zaniedbań to od 10 do 20 milionów euro lub od 2 do 4 % globalnego przychodu rocznego. Na polskim podwórku UODO regularnie wymierza kary finansowe (często w tysiącach złotych za braki proceduralne), co potwierdza, że ryzyko jest realne.

2. Google Workspace jako podmiot przetwarzający – co to zmienia w praktyce

Zakładając konto w Google, wchodzisz z tą firmą w konkretną relację prawną.

Umowy i certyfikaty zabezpieczeń

Z chwilą akceptacji warunków usługi automatycznie podpisujesz Umowę Powierzenia Przetwarzania Danych (DPA). Jest ona stale dostępna w panelu i warto zapoznać się z jej treścią.

Google zapewnia fizyczne i logiczne zabezpieczenie infrastruktury (potwierdzone certyfikatami ISO 27001 i SOC 2), domyślne szyfrowanie oraz wysoką dostępność. Dane są przechowywane w zabezpieczonym środowisku.

Sprawa podwykonawców (subprocesorów)

Google ma prawo korzystać z podwykonawców (np. dostawców analityki czy wsparcia).

  • Ich publiczna lista jest stale aktualizowana.
  • Google wymusza na nich identyczne standardy bezpieczeństwa.
  • Nie musisz zawierać z nimi osobnych umów, ale powinieneś mieć świadomość ich udziału.

Podział odpowiedzialności – co leży po Twojej stronie?

Google dba o serwery. Twoim obowiązkiem jest zarządzanie tym, co się na nich znajduje. Odpowiadasz za:

  • jakie pliki i informacje wrzucasz do chmury,
  • komu nadajesz dostęp i z jakimi uprawnieniami,
  • konfigurację opcji bezpieczeństwa dla użytkowników,
  • przestrzeganie polityk retencji,
  • reakcję na wnioski od osób, których dane posiadasz.

3. Gdzie fizycznie są Twoje dane – regiony, centra danych, replikacje

Kwestia fizycznej lokalizacji danych spędza sen z powiek wielu prawnikom.

Europejska infrastruktura Google

Google dysponuje zaawansowanymi centrami danych w Europie: m.in. w Finlandii, Belgii, Irlandii, Holandii, Niemczech oraz w Polsce. Przy ustawieniu europejskim główne informacje są przechowywane właśnie na tym terytorium.

Krótkoterminowe replikacje

Jeśli włączysz Data regions z ustawieniem Europa, Google przechowuje dane wielu usług Workspace (m.in. Gmail, Dysk) w centrach danych na terenie UE, co znacząco ogranicza transfery poza Unię. Nadal mogą istnieć techniczne wyjątki związane z utrzymaniem infrastruktury, ale zasadniczy model zakłada przetwarzanie w wybranym regionie.

W wyższych planach (np. Enterprise/Enterprise Plus) oraz z dodatkami z rodziny Assured Controls możesz skonfigurować rozszerzoną suwerenność danych w UE – w wielu przypadkach bez konieczności indywidualnych negocjacji umowy, choć szczegółowy zakres warto potwierdzić z partnerem Google lub opiekunem handlowym.  Replikacje są standardem działania sieci; backupy mogą krótkoterminowo lądować poza UE. Pełna wyłączna lokalizacja wymaga najwyższego planu Enterprise i negocjacji.

Jak skontrolować region zapisu?

Weryfikacja jest prosta. W konsoli administratora przejdź do: Menu > Konto > Profile i preferencje > Lokalizacja danych. Znajdziesz tam precyzyjne zestawienie, w jakim regionie przechowują się dane konkretnych usług chmurowych (np. Gmail, Dysk).

4. Szyfrowanie – jak Google chroni dane i co musisz włączyć sam

Bezpieczeństwo transferu i zapisu to podstawa ochrony informacji.

Szyfrowanie domyślne (Rest & Transit)

  • W spoczynku: Google sprzętowo szyfruje każdy plik, który ląduje na dyskach. Kluczami zarządza dostawca usługi.
  • W trakcie przesyłu (TLS): Ruch sieciowy wychodzący i przychodzący do Google podlega szyfrowaniu (od 2023 r. wymuszany jest TLS 1.2 lub nowszy).

Opcje zaawansowane dla sektora regulowanego

Dla firm wymagających izolacji przewidziano możliwości w pakiecie Enterprise:

  • CMEK (Customer‑Managed Encryption Keys): Trzymasz własne klucze szyfrujące poza środowiskiem Google; utrata kluczy uniemożliwia odszyfrowanie danych.
  • Client‑side encryption (CSE): Szyfrowanie plików jeszcze przed wysyłką do chmury; przeglądarka wysyła jedynie zaszyfrowany strumień bitów.

Sprawdź, jak przeprowadzić bezpieczne wdrożenie Google AI, aby nie naruszyć ochrony danych wrażliwych.

Trzy kroki zabezpieczeń, które warto aktywować samodzielnie

  • Wymuś silne szyfrowanie urządzeń mobilnych poprzez system MDM.
  • Całkowicie zablokuj pobieranie offline dla dokumentów kluczowych i wrażliwych.
  • Jeśli wymogi prawne tego wymagają, rozważ wdrożenie modelu CMEK w wyższych pakietach.

5. Logi i rejestry – jak udowodnić zgodność i wykryć wyciek

W przypadku kontroli urzędu musisz wykazać, kto i kiedy korzystał z zasobów.

Podstawowe logi i czas ich życia

Standardowy pakiet dzienników z Google Admin Console obejmuje:

  • logowania użytkowników i administratorów,
  • zdarzenia udostępniania i pobierania plików,
  • nadawanie i zmiany w uprawnieniach.

Standardowa archiwizacja tych logów obejmuje 6 miesięcy (automatyczne usuwanie). Wdrożenie integracji zewnętrznej (SIEM) staje się koniecznością przy bardziej restrykcyjnej retencji. Wersja Enterprise umożliwia wydłużenie archiwizacji.

Access Transparency i Access Approval (dostęp Google)

W zaawansowanych pakietach zyskujesz nowe funkcje nadzoru nad pracownikami Google:

  • Access Transparency: Google powiadamia Cię po fakcie, dlaczego jego pracownik techniczny miał kontakt z danymi (np. podczas awarii).
  • Access Approval: Google musi oficjalnie poprosić o Twoją zgodę na dostęp inżynieryjny, a Ty masz określony czas na rozpatrzenie.

Ekstrakcja zgromadzonych dzienników odbywa się poprzez wbudowane funkcje raportowania (np. eksport CSV) lub przy użyciu BigQuery i API łączącego Workspace z narzędziami Security.

6. Polityki przechowywania i usuwania danych – automatyzacja zgodna z RODO

Informacje musisz usuwać zaraz po ustaniu prawnego celu ich posiadania. Narzędziem idealnym do tej optymalizacji w Workspace jest Google Vault.

Elektroniczna ewidencja i Google Vault

Vault to profesjonalne środowisko do archiwizacji typu e‑discovery (dostępne w Business Standard i wyżej). Aby w pełni i bez pomyłek zintegrować jego funkcjonalności z procesami biznesowymi, warto skorzystać z profesjonalnego szkolenie dla administratorów.

Konfiguracja i reguły (Retention Rules)

Vault umożliwia określenie okresów przechowywania danych, np.:

  • Sztywne usuwanie: Skrzynka usuwa wszystkie maile po 7 latach.
  • Archiwizacja hybrydowa: Przechowuj plik 5 lat, po czym usuń go automatycznie.
  • Hold (zatrzymanie blokujące): W razie śledztwa lub sporu sądowego oznacz konto jako „hold”, co zamraża informacje przed skasowaniem, pomijając standardowe reguły czasowe.

Jak znikają dane (cykl życia pliku)

Po usunięciu pliku przez pracownika trafia on do kosza i przez pewien czas może zostać przywrócony przez użytkownika lub administratora (dokładne okna czasowe różnią się w zależności od usługi i konfiguracji). Po upływie tych okresów dane są stopniowo usuwane z aktywnych systemów i kopii zapasowych w tzw. rozsądnym czasie, zgodnie z ogólną polityką Google dotyczącą kasowania danych – Google nie podaje jednak sztywnego, uniwersalnego terminu w dniach dla wszystkich usług. 

7. Kontrola dostępów – kto i kiedy może zobaczyć dane firmowe

Jeżeli wielu pracowników współdzieli te same loginy pocztowe, naruszasz przepisy.

Role funkcjonalne a pracownicy

Zaleca się tworzenie wspólnych ról i skrzynek ogólnych (np. ksiegowosc@firma.pl) zamiast udostępniania jednego konta wielu osobom. Ułatwia to szybkie odebranie dostępu przy odejściu pracownika.

Autoryzacja MFA i reguły dostępowe

  • Uwierzytelnienie wieloskładnikowe (2SV): Od planu Business Standard włącz 2SV globalnie dla wszystkich; używaj aplikacji generujących tokeny (Authenticator) zamiast SMS.
  • Reguły warunkowe (Dostęp kontekstowy): Pakiet Enterprise pozwala przyznać dostęp tylko w określonych godzinach, z określonego IP i na służbowym sprzęcie.

Mądra współpraca zewnętrzna

Używaj mechanizmu udostępniania na czas („visitor sharing”) i ustawiaj wygaśnięcie linku po, np. 30 dniach od audytu zewnętrznego kontrahenta.

8. Twoja firma jako administrator danych – lista obowiązków, których Google nie zrobi za Ciebie

Aby chmura była w pełni RODO‑odporna, po jej automatyzacji musisz działać formalnie we własnych strukturach.

Prawne ugruntowanie relacji

  • System zgód: Zgody, zwłaszcza marketingowe, muszą być wyizolowane, dokumentowane i łatwe do wycofania. Standardowe formularze Google nie obsługują takich wniosków.
  • Polityka prywatności: Musisz posiadać własny dokument, który informuje o użyciu Google jako podprocesora danych z USA; Google nie wstawia takiej klauzuli w Twoich umowach.

Procedury organizacyjne

  • DPIA (Ocena skutków): W przypadku profilowania wrażliwych danych musisz przeprowadzić ocenę skutków (DPIA).
  • Incydenty w 72 godziny: Opracuj procedurę reagowania na naruszenia i zapewnij zgłoszenie do UODO w ciągu 72 godzin od wykrycia.
  • Regularnie edukuj zespół – krótkie szkolenia z rozpoznawania phishingu i prawidłowego udostępniania dokumentów zmniejszają ryzyko kar.

9. Co musisz zrobić w panelu administratora – lista kontrolna wdrożeniowa

Nie opuszczaj tej sekcji bez sprawdzenia poniższych ustawień w konsoli.

Checklista konfiguracji w Google Admin

  • ❌ Sprawdź lokalizację danych – Admin Console > Konto > Profile i preferencje > Lokalizacja danych. Upewnij się, że wszystkie usługi mają ustawienie „Europa”.
  • ❌ Zaakceptuj DPA – Admin Console > Konto > Warunki umowy. Pobierz i zarchiwizuj podpisaną wersję.
  • ❌ Wymuś 2SV – Security > Authentication > 2‑step verification. Włącz dla całej organizacji, wyłączając tylko konta serwisowe.
  • ❌ Skonfiguruj Vault – Apps > Google Workspace > Vault. Utwórz zasady retencji (np. usuwanie e‑maili po 7 latach, dysków po 5 latach).
  • ❌ Ustaw DLP – Security > Data Protection > Data Loss Prevention. Zablokuj wysyłkę fraz wrażliwych (np. „PESEL”) do domen publicznych.
  • ❌ Włącz logowanie awaryjne – Reporting > Audit and investigation. Skonfiguruj filtry rejestrujące udostępnianie.
  • ❌ Przygotuj eksport DSR – Przetestuj funkcję podsumowania konta i eksportu danych użytkownika (Users > Więcej > Pobierz dane).
  • ❌ Utwórz pismo z procedurą – Opracuj plan działań w przypadku żądania usunięcia danych („prawo do bycia zapomnianym”) i określ terminy realizacji.

10. Częste pułapki i nieprawdy – co jest naprawdę prawdą

Szerzące się legendy vs prawda urzędowa

  • „Google zdobyło certyfikat rządu, mam tu automatyczne wdrożenie”.
    Certyfikaty potwierdzają jedynie bezpieczeństwo infrastruktury. Odpowiedzialność za konfigurację leży po Twojej stronie.
  • „Usunięcie maili to kasacja natychmiastowa bez śladu”.
    Usunięte wiadomości trafiają do kosza; po 30 dniach są trwale usuwane, a dodatkowo po 20 dniach znikają z systemu. Vault może przechowywać je dłużej w trybie „hold”.
  • „Zero kontroli – inżynierzy Google nic nie widzą”.
    Google nie czyta Twojej korespondencji, ale technicy mają dostęp do infrastruktury w sytuacjach awaryjnych; takie zdarzenia są logowane (Access Transparency).
  • „Logi analityczne siedzą wiecznie na dysku konta”.
    Standardowo logi są przechowywane 6 miesięcy; dłuższą retencję zapewnia integracja z SIEM lub plan Enterprise.
  • „Zwykły mail w Gmail.com nie podlega RODO”.
    Każda firma przetwarzająca dane osobowe musi zapewnić zgodność, niezależnie od używanego klienta pocztowego.

11. Podsumowanie – co zapamiętać i od czego zacząć jutro

Zarządzanie bezpieczeństwem chmurowym to proces ciągły. Wymaga znajomości polityk i poprawnej konfiguracji.

Absolutnie pierwsze 3 kroki

  1. Stwórz PDF z oficjalną zgodą przetwarzania – DPA.
  2. Włącz dwuskładnikowe uwierzytelnianie (2SV) w całej organizacji.
  3. Skonfiguruj podstawowy cykl archiwizacji przy użyciu Google Vault.

Gdzie poszerzać kompetencje i wiedzę RODO?

  • Oficjalny blog wdrożeń ekosystemu: https://blog.google.com/workspace
  • Prawna wiedza w biuletynie UODO (Polski Urząd Ochrony Danych Osobowych).

W przypadku wątpliwości w branży zdrowotnej, bazach pacjentów lub dużych instytucjach skorzystaj z autoryzowanego powiernika chmury oraz specjalistów ds. RODO, aby uniknąć kosztownych awarii.

«
»

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *