4 kluczowe elementy wdrożenia RODO w organizacji

Katgoria: WIADOMOŚCI / Utworzono: 18 maj 2018

UNIT4

4 kluczowe elementy wdrożenia RODO w organizacji

25 maja 2018 roku wchodzi w życie rozporządzenie RODO (GDPR), które dotyczy wszystkich Państw Unii Europejskiej. Wiele przepisów z obecnie funkcjonującej w Polsce ustawy (UoDO) zdezaktualizuje się lub zmieni. Dotychczasowa ustawa miała charakter typu „compliance” czyli jasno określała prawa i obowiązki przetwarzania danych oraz ryzyko jakie ponosi ich procesor i administrator. RODO zmienia ten charakter ustawy na tzw. ”risk management” czyli zrzuca odpowiedzialność na administratora za nieodpowiednie zabezpieczanie danych. To duże wyzwanie, z którym muszą się zmierzyć wszystkie osoby przetwarzające dane w dużych organizacjach. Poniżej przedstawiamy 4 kluczowe elementy, na które należy zwrócić uwagę wdrażając RODO w swojej firmie.

REKLAMA

1. Identyfikacja obszarów

Zarówno stare przepisy jak i te nowe, związane z RODO, skupiają się na ochronie danych osobowych w tzw. zbiorach danych. Pojawia się zatem pytanie – czym jest zbiór? Według RODO zbiorem jest taki zestaw danych osobowych, który posiada 2 cechy: dostępność oraz uporządkowanie. Cechy te przejawiają się w ten sposób, że dane osobowe, które stanowią zbiór, muszą być usystematyzowane i możliwe do odszukania na podstawie określonych kryteriów. Dane pozyskiwane incydentalnie lub sporadycznie nie podlegają zasadom przetwarzania jeżeli nie są zbiorem. Przykładowo nie będzie zbiorem danych osobowych segregator z potwierdzeniami wysłania listów poleconych uporządkowany chronologicznie- według daty wysyłki (mimo, że można w nim odnaleźć dane osobowe), ponieważ nie porządkuje on danych osobowych według kryteriów dotyczących tych danych. Jeśli natomiast uporządkujemy potwierdzenia wysłania według imienia i nazwiska adresata, to takie zestawienie będzie już tworzyło zbiór.

W przypadku wątpliwości, czy dane zestawienie należy uznać za zbiór danych, najlepiej odpowiedzieć sobie na pytanie, czy kryterium porządkujące dane pozwala na łatwy dostęp do informacji odnoszących się do konkretnej osoby. Administrator powinien więc zidentyfikować kluczowe zbiory danych, które przetwarzane są w organizacji, zwracając przy tym uwagę na 2 istotne kwestie:

Jakiego typu dane są przetwarzane (przykłady typowych zbiorów: pracownicy, kandydaci, klienci, dostawcy, dane marketingowe)
czy dane przetwarzane odpowiadają zasadzie minimalizacji przetwarzania danych osobowych (oznacza to, że w poszczególnych zbiorach mogą być przetwarzane tylko dane osobowe, które są niezbędne do celu ich przetwarzania. Więc jeżeli nie ma uzasadnionego celu dla przetwarzania np. informacji o niekaralności to pracodawca nie ma prawa ich żądać. Wyjątkami w tym wypadku są np. banki, które mogą żądać tego typu informacji, ponieważ operują dużymi środkami finansowymi.)

Nie każde przetwarzanie danych podlega przepisom RODO, ale w takim wypadku można rozważyć, czy dane te nie są chronione zasadą poufności. Ochrona poufności to ochrona danych poza zbiorami – np. dane klienta na umowie. Jeżeli na umowie występuje osoba fizyczna, nie prawna, to jej dane są chronione, ale takiej osobie nie przysługują już prawa takie jak prawo do zapomnienia czy prawo do przeniesienia.

2. Edukacja osób przetwarzających dane

Drugim kluczowym elementem wdrożenia RODO w firmie jest odpowiednie przeszkolenie osób odpowiedzialnych za przetwarzanie danych. W momencie ewentualnego wycieku danych, jeżeli okaże się, że upoważniony pracownik nie był odpowiednio przeszkolony, odpowiedzialność za to ponosi administrator, czyli najczęściej sam pracodawca. Dlaczego? Ponieważ to właśnie na polecenie pracodawcy dane są przetwarzane. Pracodawca powinien zapewnić szkolenia swoim pracownikom, zarówno z ogólnych zasad przetwarzania danych jak i tych szczegółowych, charakterystycznych dla danej organizacji (zasady tworzenia loginów, haseł do logowania, itp.)

Szkolenia możemy podzielić na:

wstępne, po których osoba uzyska uprawnienie do przetwarzania danych
okresowe, przypominające wiedzę po czasie

Szkolenia mogą być przeprowadzane w dowolnej formie (e-learning, indywidualne zajęcia, itp.). Powołany w firmie Inspektor Ochrony Danych Osobowych (IOD) powinien nadzorować proces szkoleń. Zazwyczaj też do jego obowiązków należy przyznawanie uprawnień osobom do konkretnych zbiorów danych. Nie jest to jednak reguła, bowiem administrator ma prawo przerzucić odpowiedzialność za wydawanie upoważnień komuś innemu. Uprawnienia do zbiorów danych muszą być nie tylko skrupulatnie przyznawane, ale także na bieżąco ewidencjonowane, aby IODa miał do nich stały dostęp i mógł nimi zarządzać.

Ewidencję upoważnień do zbiorów danych znacznie łatwiej prowadzi się, jeżeli wspiera nas w tym nowoczesny system informatyczny – mówi Katarzyna Jaśniewicz, Product Manager z firmy Unit4 Polska, która jest producentem oprogramowania dla biznesu marki Teta. Do oprogramowania Teta ERP, Teta HR i Teta EDU uruchomiliśmy dodatek RODO Advanced, w którym znajdują się m.in. funkcjonalności znacznie ułatwiające prowadzenie ewidencji upoważnień, takie jak: rejestrowanie upoważnień dla osób przetwarzających dane, szybki dostęp do aktualnych upoważnień oraz standaryzacja opisów upoważnień do przetwarzania danych we wskazanym celu i zakresie – dodaje Katarzyna Jaśniewicz. 3. Weryfikacja środowiska informatycznego

Duże organizacje na co dzień przetwarzają ogromne ilości danych osobowych. Procesy te byłyby bardzo trudne do zrealizowania, gdyby nie odpowiednie wsparcie środowiska informatycznego w firmie. Aby zminimalizować ryzyko wycieku i mieć pewność, że dane przechowywane i przetwarzane w systemie są odpowiednio zabezpieczone, konieczna jest weryfikacja środowiska informatycznego w organizacji. Taką weryfikację powinno się wykonywać dwutorowo:

z punktu widzenia organizacyjnego - kto i w jakim zakresie ma dostęp do systemu
z punktu widzenia technicznego - weryfikacja zabezpieczeń przed ingerencją z zewnątrz, ale także z punktu widzenia architektury całego środowiska (w tym: możliwości ograniczenia dostępu, różnicowanie zakresu uprawnień, lokalizacja i dostęp do bazy danych)

Dostosowując środowisko informatyczne do RODO przedsiębiorcy powinni wziąć także pod uwagę minimalizację przetwarzania danych. W ramach systemu powinny zostać wyodrębnione określone działy związane zakresem obowiązków pracowników przetwarzających dane osobowe (urlopy, szkolenia itp.).

Należy pamiętać przede wszystkim o tym, że system to narzędzie administratora, więc im więcej będzie pomocnych funkcjonalności tym wygodniejsza będzie praca z jego użyciem. – podkreśla Katarzyna Jaśniewicz z Unit4 Polska. Nasz dodatek do oprogramowania Teta ERP, Teta HR i Teta EDU – RODO advanced wyposażony jest w kluczowe funkcjonalności ułatwiające przetwarzanie danych. To między innymi:

Mechanizm umożliwiający generowanie pliku do odczytu maszynowego w formacie xml, gdzie wszystkie dane są opisane odpowiednimi etykietami, dzięki czemu kolejny administrator będzie miał łatwość odczytu.
8 definicji umożliwiających skuteczne zapomnienie danych osobowych konkretnych osób. Tutaj odwołujemy się do danych pracowników, członków rodziny, osób biorących udział w obsłudze projektów, i procesów Logistycznych oraz kontrahentów, jeżeli są osobami fizycznymi. Użytkownik, oprócz tego, że uruchamia funkcję, musi wprowadzić indywidualny i jednorazowy kod umożliwiający mu skorzystanie z funkcji zapomnienia. - dodaje Katarzyna Jaśniewicz.

Przegląd dokumentacji związanej z przetwarzaniem

Wdrażając nowe przepisy RODO należy także zrobić przegląd dokumentacji związanej z przetwarzaniem danych osobowych. Konieczna jest aktualizacja treści zgód i dostosowanie ich do wymogów RODO. To samo tyczy się klauzuli inforumującej pracownika o tym, że jego dane są przetwarzane. Ponadto dokumentem, który należy wprowadzić u każdego administratora i procesora jest rejestr czynności przetwarzania. To dokument, w którym są opisane ogólne czynności przetwarzania dokonywane w ramach danego zbioru, cel tego przetwarzania oraz przyznane dostępy. W rejestrze czynności przetwarzania należy określić wszystkich odbiorców danych, aby wykazać, że administrator lub procesor panuje nad tym kto może się z danymi zapoznać. Zgodnie z rozporządzeniem odbiorca danych osobowych to każda osoba, której ujawnia się dane osobowe, z wyjątkiem organów publicznych, które mogą uzyskiwać dane osobowe zgodnie z prawem, w ramach konkretnego postępowania.

Robiąc przegląd dokumentacji w firmie pod kątem RODO należy też przejrzeć wszystkie dokumenty obecnie obowiązujące – politykę bezpieczeństwa i instrukcje zarządzania systemami informatycznymi. RODO co prawda nie wymaga tych dokumentów, ale nie ulega wątpliwości, że posiadanie ich pomoże w zarządzaniu danymi, dlatego dobrze jest je zachować i dostosować do nowych przepisów RODO, takich jak prawo do zapomnienia czy przenoszenia danych.- mówi Karol Brucko - Stępkowski, radca prawny z kancelarii SBS.

Każdy przedsiębiorca, który podczas wdrażania nowych przepisów związanych z RODO weźmie pod uwagę 4 powyższe elementy może być pewny, że jest dobrze przygotowany do ochrony danych osobowych swoich pracowników, zarówno wewnątrz jak i na zewnątrz organizacji.

Źródło: www.unit4.pl

Najnowsze wiadomości

Customer-specific AI: dlaczego w 2026 roku to ona przesądza o realnym wpływie AI na biznes

W 2026 roku sztuczna inteligencja przestaje być ciekawostką technologiczną, a zaczyna być rozliczana z realnego wpływu na biznes. Organizacje oczekują dziś decyzji, którym można zaufać, procesów działających przewidywalnie oraz doświadczeń klientów, które są spójne w skali. W tym kontekście coraz większe znaczenie zyskuje customer-specific AI - podejście, w którym inteligencja jest osadzona w danych, procesach i regułach konkretnej firmy, a nie oparta na generycznych, uśrednionych modelach.

Czytaj całość

PROMAG S.A. rozpoczyna wdrożenie systemu ERP IFS Cloud we współpracy z L-Systems

PROMAG S.A., lider w obszarze intralogistyki, rozpoczął wdrożenie systemu ERP IFS Cloud, który ma wesprzeć dalszy rozwój firmy oraz integrację kluczowych procesów biznesowych. Projekt realizowany jest we współpracy z firmą L-Systems i obejmuje m.in. obszary finansów, produkcji, logistyki, projektów oraz serwisu, odpowiadając na rosnącą skalę i złożoność realizowanych przedsięwzięć.

Czytaj całość

SkyAlyne stawia na IFS dla utrzymania floty RCAF

SkyAlyne, główny wykonawca programu Future Aircrew Training (FAcT), wybrał IFS Cloud for Aviation Maintenance jako cyfrową platformę do obsługi technicznej lotnictwa i zarządzania majątkiem. Wdrożenie ma zapewnić wgląd w czasie rzeczywistym w utrzymanie floty, zasoby i zgodność, ograniczyć przestoje oraz zwiększyć dostępność samolotów szkoleniowych RCAF w skali całego kraju. To ważny krok w modernizacji kanadyjskiego systemu szkolenia załóg lotniczych.

Czytaj całość

Wykorzystanie AI w firmach rośnie, ale wolniej, niż oczekiwano. Towarzyszy temu sporo rozczarowań

Wykorzystanie sztucznej inteligencji w firmach rośnie, ale tempo realnych wdrożeń pozostaje znacznie wolniejsze od wcześniejszych oczekiwań rynku. Dane pokazują, że z rozwiązań AI korzysta dziś wciąż niewiele przedsiębiorstw, a menedżerowie coraz częściej wskazują na bariery regulacyjne, koszty oraz brak powtarzalnych efektów biznesowych. W praktyce technologia jest testowana głównie w wybranych obszarach, a kluczowe decyzje nadal pozostają po stronie człowieka. Również w firmach, które wdrożyły AI, nierzadko towarzyszą temu rozczarowania.

Czytaj całość

Europejski przemysł cyfryzuje się zbyt wolno – ERP, chmura i AI stają się koniecznością

Europejski przemysł średniej wielkości wie, że cyfryzacja jest koniecznością, ale wciąż nie nadąża za tempem zmian. Ponad 60% firm ocenia swoje postępy w transformacji cyfrowej jako zbyt wolne, mimo rosnącej presji konkurencyjnej, regulacyjnej i kosztowej. Raport Forterro pokazuje wyraźną lukę między świadomością potrzeby inwestycji w chmurę, ERP i AI a realną zdolnością do ich wdrożenia – ograniczaną przez braki kompetencyjne, budżety i gotowość organizacyjną.

Czytaj całość

RAPORT ERP

Katalog rozwiązań IT

Katalog firm

Najnowsze artykuły

5 pułapek zarządzania zmianą, które mogą wykoleić transformację cyfrową i wdrożenie ERP

Dlaczego jedne wdrożenia ERP dowożą korzyści, a inne kończą się frustracją, obejściami w Excelu i spadkiem zaufania do systemu? Najczęściej decyduje nie technologia, lecz to, jak organizacja prowadzi zmianę: czy liderzy biorą odpowiedzialność za decyzje czy tempo jest dopasowane do zdolności absorpcji oraz czy ludzie dostają klarowność ról i realne kompetencje. Do tego dochodzi pytanie: co po go-live - stabilizacja czy chaos w firmie? Poniżej znajdziesz 5 pułapek, które najczęściej wykolejają transformację i praktyczne sposoby, jak im zapobiec.

Czytaj całość

SAP vs Oracle vs Microsoft: jak naprawdę wygląda chmura i sztuczna inteligencja w ERP

Wybór systemu ERP w erze chmury i sztucznej inteligencji to decyzja, która determinuje sposób działania organizacji na lata- a często także jej zdolność do skalowania, adaptacji i realnej transformacji cyfrowej. SAP, Oracle i Microsoft oferują dziś rozwiązania, które na pierwszy rzut oka wyglądają podobnie, lecz w praktyce reprezentują zupełnie odmienne podejścia do chmury, AI i zarządzania zmianą. Ten artykuł pokazuje, gdzie kończą się deklaracje, a zaczynają realne konsekwencje biznesowe wyboru ERP.

Czytaj całość

Transformacja cyfrowa z perspektywy CFO: 5 rzeczy, które przesądzają o sukcesie (albo o kosztownej porażce)

Transformacja cyfrowa w finansach często zaczyna się od pytania o ERP, ale w praktyce rzadko sprowadza się wyłącznie do wyboru systemu. Dla CFO kluczowe jest nie tylko „czy robimy pełną wymianę ERP”, lecz także jak policzyć ryzyko operacyjne po uruchomieniu, ocenić wpływ modelu chmurowego na koszty OPEX oraz utrzymać audytowalność i kontrolę wewnętrzną w nowym modelu działania firmy.

Czytaj całość

Agentic AI rewolucjonizuje HR i doświadczenia pracowników

Agentic AI zmienia HR: zamiast odpowiadać na pytania, samodzielnie realizuje zadania, koordynuje procesy i podejmuje decyzje zgodnie z polityką firmy. To przełom porównywalny z transformacją CRM – teraz dotyczy doświadczenia pracownika. Zyskują HR managerowie, CIO i CEO: mniej operacji, więcej strategii. W artykule wyjaśniamy, jak ta technologia redefiniuje rolę HR i daje organizacjom przewagę, której nie da się łatwo nadrobić.

Czytaj całość

Composable ERP: Przewodnik po nowoczesnej architekturze biznesowej

Czy Twój system ERP nadąża za tempem zmian rynkowych, czy stał się cyfrową kotwicą hamującą rozwój? W dobie nieciągłości biznesowej tradycyjne monolity ustępują miejsca elastycznej architekturze Composable ERP. To rewolucyjne podejście pozwala budować środowisko IT z niezależnych modułów (PBC) niczym z klocków, zapewniając zwinność nieosiągalną dla systemów z przeszłości. W tym raporcie odkryjesz, jak uniknąć pułapki długu technologicznego, poznasz strategie liderów rynku (od SAP po MACH Alliance) i wyciągniesz lekcje z kosztownych błędów gigantów takich jak Ulta Beauty. To Twój strategiczny przewodnik po transformacji z cyfrowego "betonu" w adaptacyjną "plastelinę".

Czytaj całość