zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

Każdego roku ustawodawca przygotowuje ponad

25 000 stron aktów prawnych

Podpowiemy Ci, jak poradzić sobie w gąszczu tak często zmieniających się przepisów. 

Zapisz się na Newsletter Prawny Sage

05 czerwca 2018

RODO: w polityce ochrony danych osobowych ERP musi być mocnym ogniwem

W firmach trwa sprawdzanie, czy wszystkie systemy działają zgodnie z unijnym Rozporządzeniem o Ochronie Danych Osobowych (RODO), które obowiązuje od 25 maja. W procesie adaptacji nie wolno było zapomnieć o dostosowaniu rozwiązań wspomagających zarządzanie – przede wszystkim systemów ERP, które na co dzień przetwarzają dane osobowe.



Sage

Spełniasz
wymogi
RODO?

Sprawdź



RODO – trudna rewolucja

Zmiana przepisów to dla przedsiębiorstw rewolucja, ponieważ wymogi wymuszają na firmach wypracowanie zupełnie nowego podejścia do praktyk stosowanych w całym obszarze pozyskiwania, archiwizacji, przetwarzania i ochrony danych osobowych.


W RODO instytucja ABI znikła, a przedsiębiorstwa muszą we własnym zakresie wdrożyć narzędzia i środki organizacyjne, tak by prowadzone przez nie działania były zgodne z rozporządzeniem – i to pod groźbą surowych kar administracyjnych wyrażonych w milionach euro.


Firmy gorączkowo przygotowywały się do nowych przepisów. Największe wyzwanie w adaptacji stanowi opracowanie i wdrożenie polityki bezpieczeństwa informacji, która uwzględnia wszystkie elementy mające związek z przetwarzaniem danych osobowych – poczynając od systemów informatycznych, przez logikę procesów biznesowych, po kanały komunikacji i samych pracowników realizujących działania.


RODO wyraźnie podkreśla odpowiedzialność za bezpieczeństwo danych osobowych, jaka spoczywa na przedsiębiorcy. Chodzi nie tylko o groźbę wysokich kar. Przepisy bowiem mówią wyraźnie o zasadach, wedle których dane mają być przetwarzane i chronione, oraz o konieczności działania zgodnie z przepisami adekwatnie do rozpoznanego ryzyka. Przedsiębiorca nie ma zatem wyjścia – w przypadku naruszenia danych, prowadzonej przez organ nadzorczy kontroli lub oskarżenia przez osobą fizyczną o działania niezgodne z prawem, w myśl RODO musi umieć wykazać, że dokonał analizy ryzyka naruszeń i że wdrożył odpowiednie, adekwatne środki bezpieczeństwa i ochrony danych osobowych.


Ochrona na poziomie systemów ERP

Gdy organizacja wdroży już właściwą politykę bezpieczeństwa, źródłem ryzyka pozostają ludzie oraz nieszczelne, podatne na naruszenia danych systemy informatyczne. Wśród kategorii zagrożeń skutkujących potencjalnymi sankcjami prawnymi mogą być zarówno świadome, jak i nieuświadomione działania pracowników, którzy mają dostęp do danych osobowych i wykonują czynności przetwarzania (takie jak np. mailingi, profilowanie, telemarketing). Warto tu podkreślić, że również nieświadome operacje pracownika wykonującego działania w dobrej wierze, na polecenie przełożonego lub w wyniku rutyny (bo „dotychczas działał dokładnie w ten właśnie sposób i nikt nie mówił, że jest to niezgodne z prawem”), nie zwalniają pracodawcy z odpowiedzialności za naruszenia danych. Dobrym przykładem nieświadomego działania sprzecznego z prawem jest zasilanie bazy danymi pochodzącymi z wizytówek pozyskanych w trakcie spotkań handlowych, po to, by do tych osób rozsyłać newslettery lub informacje o ofercie – oczywiście bez uzyskania formalnej zgody adresatów. Podobna sytuacja może się zdarzyć, gdy firma w celu przedstawienia nowej oferty podejmuje kontakt telefoniczny lub mailowy z klientem, który wcześniej kupił od niej produkt. W dotychczas powszechnie stosowanej praktyce biznesowej większość firm nie miała z tym problemu, jednak teraz działania takie bez posiadania na nie zgody są nielegalne.



e_learning

Właśnie dlatego tak ważne jest dostosowanie do nowych przepisów używanych rozwiązań informatycznych. Ich rolą jest z jednej strony ograniczenie niepożądanych operacji (niebezpiecznych, bo niezgodnych z przepisami), a z drugiej – wprowadzenie skutecznych narzędzi kontroli, dzięki którym nieświadomi zagrożeń pracownicy nie popełnią błędów.


W jakim zakresie ERP powinny kontrolować i wspierać działania pracowników?

  • Weryfikacja zgodności z RODO wykonywanych operacji: system ERP powinien sprawdzać, czy w rejestrze zgód znajduje się zgoda na określony typ przetwarzania danych, a jeśli nie – zasygnalizować ryzyko działania bez zgody lub nawet zablokować taką operację.
  • Ewidencja wszystkich czynności przetwarzana danych realizowanych z udziałem systemu. Rozwiązanie ERP powinno wspierać prowadzenie obligatoryjnego dla firm rejestru przetwarzania danych (wymóg art. 30 ust. 1 RODO). Obowiązek prowadzenia rejestru wynika wprost z rozporządzenia, lecz i z perspektywy pracodawcy sam rejestr może być przydatnym narzędziem wspierającym politykę bezpieczeństwa przetwarzanych informacji, szczególnie jeśli firma jest narażona na naruszenia polegające na przetwarzaniu danych bez zgód, wykraczającym poza zakres uzyskanych zgód lub pomimo zgłoszonego sprzeciwu. Automatyczna ewidencja czynności pomaga szybko i dokładnie wskazać, kto i kiedy spowodował naruszenia. Ewidencja czynności zasilająca rejestr powinna obejmować m.in. takie informacje, jak: moment logowania i wylogowania z systemu, powiązanie użytkownika z konkretnymi operacjami wykonanymi w systemie, wszelkie przypadki kopiowania, zmiany lub usuwania danych osobowych, a także polecenia drukowania dokumentów zawierających takie dane.
  • Precyzyjne zarządzanie dostępem do danych osobowych – system ERP powinien ułatwić wdrożenie polityki bezpieczeństwa informacji w obszarze zarządzania dostępami zarówno do samych danych, jak i do tych funkcjonalności, które służą do ich przetwarzania. Administrator systemu powinien mieć możliwość nadawania pracownikom jedynie takiego dostępu, jaki jest firmie niezbędny do osiągnięcia celów zgodnie z właściwą podstawą prawną.

Łatwo sobie wyobrazić, na jakie ryzyko wystawia się firma, gdy jej system ERP nie wspiera RODO. Organizacja może dopełnić wszelkich starań i zapewnić sobie optymalną strategię ochrony danych osobowych, jednak dopóki rozwiązania informatyczne do zarządzania procesami biznesowymi nie będą funkcjonować z uwzględnieniem nowych przepisów, strategia ta pozostanie dobra tylko w teorii. W praktyce prędzej czy później pracownik popełni błąd, narażając firmę na konsekwencje naruszeń danych osobowych. Poza tym, system bez należytych narzędzi kontroli znacznie zwiększa ryzyko potencjalnych wrogich działań, które może podjąć każdy jego użytkownik.



pokonaj bariery

/*gatedcontent/