4 kluczowe elementy wdrożenia RODO w organizacji

Katgoria: WIADOMOŚCI / Utworzono: 18 maj 2018

UNIT4

4 kluczowe elementy wdrożenia RODO w organizacji

25 maja 2018 roku wchodzi w życie rozporządzenie RODO (GDPR), które dotyczy wszystkich Państw Unii Europejskiej. Wiele przepisów z obecnie funkcjonującej w Polsce ustawy (UoDO) zdezaktualizuje się lub zmieni. Dotychczasowa ustawa miała charakter typu „compliance” czyli jasno określała prawa i obowiązki przetwarzania danych oraz ryzyko jakie ponosi ich procesor i administrator. RODO zmienia ten charakter ustawy na tzw. ”risk management” czyli zrzuca odpowiedzialność na administratora za nieodpowiednie zabezpieczanie danych. To duże wyzwanie, z którym muszą się zmierzyć wszystkie osoby przetwarzające dane w dużych organizacjach. Poniżej przedstawiamy 4 kluczowe elementy, na które należy zwrócić uwagę wdrażając RODO w swojej firmie.

REKLAMA

1. Identyfikacja obszarów

Zarówno stare przepisy jak i te nowe, związane z RODO, skupiają się na ochronie danych osobowych w tzw. zbiorach danych. Pojawia się zatem pytanie – czym jest zbiór? Według RODO zbiorem jest taki zestaw danych osobowych, który posiada 2 cechy: dostępność oraz uporządkowanie. Cechy te przejawiają się w ten sposób, że dane osobowe, które stanowią zbiór, muszą być usystematyzowane i możliwe do odszukania na podstawie określonych kryteriów. Dane pozyskiwane incydentalnie lub sporadycznie nie podlegają zasadom przetwarzania jeżeli nie są zbiorem. Przykładowo nie będzie zbiorem danych osobowych segregator z potwierdzeniami wysłania listów poleconych uporządkowany chronologicznie- według daty wysyłki (mimo, że można w nim odnaleźć dane osobowe), ponieważ nie porządkuje on danych osobowych według kryteriów dotyczących tych danych. Jeśli natomiast uporządkujemy potwierdzenia wysłania według imienia i nazwiska adresata, to takie zestawienie będzie już tworzyło zbiór.

W przypadku wątpliwości, czy dane zestawienie należy uznać za zbiór danych, najlepiej odpowiedzieć sobie na pytanie, czy kryterium porządkujące dane pozwala na łatwy dostęp do informacji odnoszących się do konkretnej osoby. Administrator powinien więc zidentyfikować kluczowe zbiory danych, które przetwarzane są w organizacji, zwracając przy tym uwagę na 2 istotne kwestie:

Jakiego typu dane są przetwarzane (przykłady typowych zbiorów: pracownicy, kandydaci, klienci, dostawcy, dane marketingowe)
czy dane przetwarzane odpowiadają zasadzie minimalizacji przetwarzania danych osobowych (oznacza to, że w poszczególnych zbiorach mogą być przetwarzane tylko dane osobowe, które są niezbędne do celu ich przetwarzania. Więc jeżeli nie ma uzasadnionego celu dla przetwarzania np. informacji o niekaralności to pracodawca nie ma prawa ich żądać. Wyjątkami w tym wypadku są np. banki, które mogą żądać tego typu informacji, ponieważ operują dużymi środkami finansowymi.)

Nie każde przetwarzanie danych podlega przepisom RODO, ale w takim wypadku można rozważyć, czy dane te nie są chronione zasadą poufności. Ochrona poufności to ochrona danych poza zbiorami – np. dane klienta na umowie. Jeżeli na umowie występuje osoba fizyczna, nie prawna, to jej dane są chronione, ale takiej osobie nie przysługują już prawa takie jak prawo do zapomnienia czy prawo do przeniesienia.

2. Edukacja osób przetwarzających dane

Drugim kluczowym elementem wdrożenia RODO w firmie jest odpowiednie przeszkolenie osób odpowiedzialnych za przetwarzanie danych. W momencie ewentualnego wycieku danych, jeżeli okaże się, że upoważniony pracownik nie był odpowiednio przeszkolony, odpowiedzialność za to ponosi administrator, czyli najczęściej sam pracodawca. Dlaczego? Ponieważ to właśnie na polecenie pracodawcy dane są przetwarzane. Pracodawca powinien zapewnić szkolenia swoim pracownikom, zarówno z ogólnych zasad przetwarzania danych jak i tych szczegółowych, charakterystycznych dla danej organizacji (zasady tworzenia loginów, haseł do logowania, itp.)

Szkolenia możemy podzielić na:

wstępne, po których osoba uzyska uprawnienie do przetwarzania danych
okresowe, przypominające wiedzę po czasie

Szkolenia mogą być przeprowadzane w dowolnej formie (e-learning, indywidualne zajęcia, itp.). Powołany w firmie Inspektor Ochrony Danych Osobowych (IOD) powinien nadzorować proces szkoleń. Zazwyczaj też do jego obowiązków należy przyznawanie uprawnień osobom do konkretnych zbiorów danych. Nie jest to jednak reguła, bowiem administrator ma prawo przerzucić odpowiedzialność za wydawanie upoważnień komuś innemu. Uprawnienia do zbiorów danych muszą być nie tylko skrupulatnie przyznawane, ale także na bieżąco ewidencjonowane, aby IODa miał do nich stały dostęp i mógł nimi zarządzać.

Ewidencję upoważnień do zbiorów danych znacznie łatwiej prowadzi się, jeżeli wspiera nas w tym nowoczesny system informatyczny – mówi Katarzyna Jaśniewicz, Product Manager z firmy Unit4 Polska, która jest producentem oprogramowania dla biznesu marki Teta. Do oprogramowania Teta ERP, Teta HR i Teta EDU uruchomiliśmy dodatek RODO Advanced, w którym znajdują się m.in. funkcjonalności znacznie ułatwiające prowadzenie ewidencji upoważnień, takie jak: rejestrowanie upoważnień dla osób przetwarzających dane, szybki dostęp do aktualnych upoważnień oraz standaryzacja opisów upoważnień do przetwarzania danych we wskazanym celu i zakresie – dodaje Katarzyna Jaśniewicz. 3. Weryfikacja środowiska informatycznego

Duże organizacje na co dzień przetwarzają ogromne ilości danych osobowych. Procesy te byłyby bardzo trudne do zrealizowania, gdyby nie odpowiednie wsparcie środowiska informatycznego w firmie. Aby zminimalizować ryzyko wycieku i mieć pewność, że dane przechowywane i przetwarzane w systemie są odpowiednio zabezpieczone, konieczna jest weryfikacja środowiska informatycznego w organizacji. Taką weryfikację powinno się wykonywać dwutorowo:

z punktu widzenia organizacyjnego - kto i w jakim zakresie ma dostęp do systemu
z punktu widzenia technicznego - weryfikacja zabezpieczeń przed ingerencją z zewnątrz, ale także z punktu widzenia architektury całego środowiska (w tym: możliwości ograniczenia dostępu, różnicowanie zakresu uprawnień, lokalizacja i dostęp do bazy danych)

Dostosowując środowisko informatyczne do RODO przedsiębiorcy powinni wziąć także pod uwagę minimalizację przetwarzania danych. W ramach systemu powinny zostać wyodrębnione określone działy związane zakresem obowiązków pracowników przetwarzających dane osobowe (urlopy, szkolenia itp.).

Należy pamiętać przede wszystkim o tym, że system to narzędzie administratora, więc im więcej będzie pomocnych funkcjonalności tym wygodniejsza będzie praca z jego użyciem. – podkreśla Katarzyna Jaśniewicz z Unit4 Polska. Nasz dodatek do oprogramowania Teta ERP, Teta HR i Teta EDU – RODO advanced wyposażony jest w kluczowe funkcjonalności ułatwiające przetwarzanie danych. To między innymi:

Mechanizm umożliwiający generowanie pliku do odczytu maszynowego w formacie xml, gdzie wszystkie dane są opisane odpowiednimi etykietami, dzięki czemu kolejny administrator będzie miał łatwość odczytu.
8 definicji umożliwiających skuteczne zapomnienie danych osobowych konkretnych osób. Tutaj odwołujemy się do danych pracowników, członków rodziny, osób biorących udział w obsłudze projektów, i procesów Logistycznych oraz kontrahentów, jeżeli są osobami fizycznymi. Użytkownik, oprócz tego, że uruchamia funkcję, musi wprowadzić indywidualny i jednorazowy kod umożliwiający mu skorzystanie z funkcji zapomnienia. - dodaje Katarzyna Jaśniewicz.

Przegląd dokumentacji związanej z przetwarzaniem

Wdrażając nowe przepisy RODO należy także zrobić przegląd dokumentacji związanej z przetwarzaniem danych osobowych. Konieczna jest aktualizacja treści zgód i dostosowanie ich do wymogów RODO. To samo tyczy się klauzuli inforumującej pracownika o tym, że jego dane są przetwarzane. Ponadto dokumentem, który należy wprowadzić u każdego administratora i procesora jest rejestr czynności przetwarzania. To dokument, w którym są opisane ogólne czynności przetwarzania dokonywane w ramach danego zbioru, cel tego przetwarzania oraz przyznane dostępy. W rejestrze czynności przetwarzania należy określić wszystkich odbiorców danych, aby wykazać, że administrator lub procesor panuje nad tym kto może się z danymi zapoznać. Zgodnie z rozporządzeniem odbiorca danych osobowych to każda osoba, której ujawnia się dane osobowe, z wyjątkiem organów publicznych, które mogą uzyskiwać dane osobowe zgodnie z prawem, w ramach konkretnego postępowania.

Robiąc przegląd dokumentacji w firmie pod kątem RODO należy też przejrzeć wszystkie dokumenty obecnie obowiązujące – politykę bezpieczeństwa i instrukcje zarządzania systemami informatycznymi. RODO co prawda nie wymaga tych dokumentów, ale nie ulega wątpliwości, że posiadanie ich pomoże w zarządzaniu danymi, dlatego dobrze jest je zachować i dostosować do nowych przepisów RODO, takich jak prawo do zapomnienia czy przenoszenia danych.- mówi Karol Brucko - Stępkowski, radca prawny z kancelarii SBS.

Każdy przedsiębiorca, który podczas wdrażania nowych przepisów związanych z RODO weźmie pod uwagę 4 powyższe elementy może być pewny, że jest dobrze przygotowany do ochrony danych osobowych swoich pracowników, zarówno wewnątrz jak i na zewnątrz organizacji.

Źródło: www.unit4.pl

Najnowsze wiadomości

Kwantowy przełom w cyberochronie - nadchodząca dekada przepisze zasady szyfrowania na nowo

Przez długi czas cyfrowe bezpieczeństwo opierało się na prostym założeniu: współczesne komputery potrzebowałyby ogromnych zasobów i wielu lat, aby złamać silne algorytmy szyfrowania. Rozwój technologii kwantowej zaczyna jednak tę regułę podważać, a eksperci przewidują, że w perspektywie 5–10 lat może nadejść „dzień zero”. Jest to moment, w którym zaawansowana maszyna kwantowa będzie w stanie przełamać większość aktualnie stosowanych zabezpieczeń kryptograficznych w czasie liczonym nie w latach, lecz w godzinach.

Czytaj całość

PSI prezentuje nową identyfikację wizualną

W ramach realizowanej strategii transformacji PSI Software SE zaprezentowała nową identyfikację wizualną. Odświeżony wizerunek w spójny sposób oddaje technologiczne zaawansowanie firmy, jej głęboką wiedzę branżową oraz silne ukierunkowanie na potrzeby klientów. Zmiany te wzmacniają pozycję PSI jako innowacyjnego lidera technologicznego w obszarze skalowalnych rozwiązań informatycznych opartych na sztucznej inteligencji i chmurze, rozwijanych z myślą o energetyce i przemyśle.

Czytaj całość

PROMAG S.A. rozpoczyna wdrożenie systemu ERP IFS Cloud we współpracy z L-Systems

PROMAG S.A., lider w obszarze intralogistyki, rozpoczął wdrożenie systemu ERP IFS Cloud, który ma wesprzeć dalszy rozwój firmy oraz integrację kluczowych procesów biznesowych. Projekt realizowany jest we współpracy z firmą L-Systems i obejmuje m.in. obszary finansów, produkcji, logistyki, projektów oraz serwisu, odpowiadając na rosnącą skalę i złożoność realizowanych przedsięwzięć.

Czytaj całość

F5 rozszerza portfolio bezpieczeństwa o narzędzia do ochrony systemów AI w środowiskach enterprise

F5 ogłosiło wprowadzenie dwóch nowych rozwiązań - F5 AI Guardrails oraz F5 AI Red Team - które mają odpowiedzieć na jedno z kluczowych wyzwań współczesnych organizacji: bezpieczne wdrażanie i eksploatację systemów sztucznej inteligencji na dużą skalę. Nowa oferta łączy ochronę działania modeli AI w czasie rzeczywistym z ofensy

Czytaj całość

Snowflake + OpenAI: AI bliżej biznesu

Snowflake przyspiesza wykorzystanie danych i sztucznej inteligencji w firmach, przenosząc AI z fazy eksperymentów do codziennych procesów biznesowych. Nowe rozwiązania w ramach AI Data Cloud integrują modele AI bezpośrednio z danymi, narzędziami deweloperskimi i warstwą semantyczną. Partnerstwo z OpenAI, agent Cortex Code, Semantic View Autopilot oraz rozwój Snowflake Postgres pokazują, jak budować skalowalne, bezpieczne i mierzalne wdrożenia AI w skali całej organizacji.

Czytaj całość

RAPORT ERP

Katalog rozwiązań IT

Katalog firm

Najnowsze artykuły

Magazyn bez błędów? Sprawdź, jak system WMS zmienia codzienność logistyki

Współczesna logistyka wymaga nie tylko szybkości działania, lecz także maksymalnej precyzji – to właśnie te czynniki coraz częściej decydują o przewadze konkurencyjnej firm. Nawet drobne pomyłki w ewidencji stanów magazynowych, błędy przy przyjmowaniu dostaw czy nieprawidłowe rozmieszczenie towarów, mogą skutkować poważnymi stratami finansowymi i opóźnieniami w realizacji zamówień. W jaki sposób nowoczesne rozwiązania do zarządzania pomagają unikać takich sytuacji? Czym właściwie różni się tradycyjny system magazynowy od zaawansowanych rozwiązań klasy WMS (ang. Warehouse Management System)? I w jaki sposób inteligentne zarządzanie procesami magazynowymi realnie usprawnia codzienną pracę setek firm?

Czytaj całość

Migracja z SAP ECC na S4 HANA: Ryzyka, korzyści i alternatywne rozwiązania

W ostatnich latach wiele firm, które korzystają z systemu SAP ECC (Enterprise Central Component), stoi przed decyzją o przejściu na nowszą wersję — SAP S4 HANA. W obliczu końca wsparcia dla ECC w 2030 roku, temat ten staje się coraz bardziej aktualny. Przemiany technologiczne oraz rosnące oczekiwania związane z integracją nowych funkcji, jak sztuczna inteligencja (AI), skłaniają do refleksji nad tym, czy warto podjąć tak dużą zmianę w architekturze systemu. Przyjrzyjmy się głównym powodom, dla których firmy rozważają migrację do S4 HANA, ale także argumentom, które mogą przemawiać za pozostaniem przy dotychczasowym systemie ECC, przynajmniej na krótki okres.

Czytaj całość

Jak maksymalizować zyski z MTO i MTS dzięki BPSC ERP?

Zysk przedsiębiorstwa produkcyjnego zależy nie tylko od wydajności maszyn, ale przede wszystkim od precyzyjnego planowania, realnych danych i umiejętnego zarządzania procesami. Dlatego firmy, które chcą skutecznie działać zarówno w modelu Make to Stock (MTS), jak i Make to Order (MTO), coraz częściej sięgają po rozwiązania klasy ERP, takie jak BPSC ERP.

Czytaj całość

Ponad połowa cyberataków zaczyna się od błędu człowieka

Ponad 2/3 firm w Polsce odnotowała w zeszłym roku co najmniej 1 incydent naruszenia bezpieczeństwa . Według danych Unit 42, zespołu analitycznego Palo Alto Networks, aż 60% ataków rozpoczyna się od działań wymierzonych w pracowników – najczęściej pod postacią phishingu i innych form inżynierii społecznej . To pokazuje, że w systemie ochrony organizacji pracownicy są kluczowym ogniwem – i że firmy muszą nie tylko edukować, ale też konsekwentnie egzekwować zasady cyberhigieny. Warto o tym pamiętać szczególnie teraz, w październiku, gdy obchodzimy Europejski Miesiąc Cyberbezpieczeństwa.

Czytaj całość

MES - holistyczne zarządzanie produkcją

Nowoczesna produkcja wymaga precyzji, szybkości i pełnej kontroli nad przebiegiem procesów. Rosnąca złożoność zleceń oraz presja kosztowa sprawiają, że ręczne raportowanie i intuicyjne zarządzanie coraz częściej okazują się niewystarczające. Firmy szukają rozwiązań, które umożliwiają im widzenie produkcji „na żywo”, a nie z opóźnieniem kilku godzin czy dni. W tym kontekście kluczową rolę odgrywają narzędzia, które porządkują informacje i pozwalają reagować natychmiast, zamiast po fakcie.

Czytaj całość