RODO w przedsiębiorstwie - poznaj narzędzie do zarządzania danymi
18356
page-template,page-template-full_width,page-template-full_width-php,page,page-id-18356,ajax_fade,page_not_loaded,,qode-child-theme-ver-1.0.0,qode-theme-ver-17.0,qode-theme-bridge,wpb-js-composer js-comp-ver-5.5.2,vc_responsive
 

Personal Data Management Solution

Wdrożenie przepisów RODO z Microsoft Dynamics NAV

Wprowadzenie do Rozporządzenia o Ochronie Danych Osobowych (RODO/GDPR)

Rozporządzenie o Ochronie Danych Osobowych wchodzi w życie dnia 25 maja 2018 roku. RODO to obowiązujący w Europie akt prawny, którego celem jest zapewnienie prywatności i bezpieczeństwa danych oraz ustanowienie nowych standardów w zakresie prawa do prywatności i bezpieczeństwa.

 

Rozporządzenie określa wymagania w zakresie prywatności, które regulują sposób obsługi i ochrony danych osobowych w organizacjach, z uwzględnieniem indywidualnych preferencji niezależnie od miejsca gromadzenia, przetwarzania oraz przechowywanie danych.

 

Rozporządzenie zastępuje dyrektywę 95/46/EG i będzie dotyczyć wszystkich przedsiębiorstw przetwarzających dane osobowe obywateli zamieszkałych w Unii Europejskiej, niezależnie od lokalizacji firmy.

 

RODO ma zastosowanie zarówno w odniesieniu do administratorów danych osobowych, jak i procesorów (czyli dostawców usług hostingowych). Rozporządzenie wprowadza obowiązek zawiadomienia o naruszeniu prawa w ciągu 72 godzin, a w przypadku firm niestosujących się do RODO, kara może wynieść 4% rocznej sumy obrotów lub 20 milionów euro, w zależności od tego, która kwota jest wyższa.

RODO
RODO

Obowiązki nałożone na przedsiębiorców

RODO jest rozporządzeniem, które nakłada na przedsiębiorców szereg nowych obowiązków w zakresie metod gromadzenia danych oraz zarządzania nimi. Do kluczowych elementów RODO, które muszą być wzięte pod uwagę przez Administratorów danych osobowych w każdej organizacji, zalicza się:

Zaostrzone zasady ochrony danych osobowych

Ściślejsza ochrona danych w ramach Unii Europejskiej, która zapewnia osobom: dostęp do własnych danych osobowych, możliwość korygowania danych, możliwość usuwania danych na żądanie, niewyrażenie zgody na przetwarzanie danych, przenoszenie danych osobowych;

Zwiększone wymagania dotyczące ochrony danych osobowych

Zobowiązanie firm i organizacji publicznych zajmujących się przetwarzaniem danych do prowadzenia sprawozdawczości w tym zakresie, w celu zapewnienia lepszego wglądu w realizację zobowiązań wynikających z rozporządzenia przez poszczególne osoby;

Obowiązek zgłaszania naruszenia ochrony danych osobowych

Firmy są zobowiązane do bezzwłocznego zgłaszania naruszenia danych osobowych do nadzorujących władz w terminie nieprzekraczającym 72 godzin;

Znaczące kary za nieprzestrzeganie rozporządzenia

Zaostrzone sankcje, obejmujące dotkliwe kary pieniężne, które zostaną zastosowane w przypadku, gdy organizacja celowo lub przypadkowo nie przestrzega przepisów.

Skutkiem wdrożenia RODO w firmach będzie konieczność zaktualizowania polityki dotyczącej ochrony danych osobowych, wdrożenia narzędzi kontrolnych oraz informacyjnych w zakresie naruszenia procedur, wprowadzenie transparentnej polityki i prowadzenia dalszych inwestycji w obszarze IT oraz szkoleń.

Personal Data Management Solution

Każda organizacja, w ramach której przetwarzane są dane osobowe, ma obowiązek wprowadzenia efektywnej polityki zarządzania danymi – strukturalnymi i niestrukturalnymi. Rozwiązaniem stworzonym dla systemu Microsoft Dynamics NAV, które umożliwia szybkie i proste wyszukiwanie danych osobowych, ich ewentualną anonimizację oraz przenoszenie jest Personal Data Management Solution.

 

Narzędziem pozwalającym usprawnić procesy zarządzania danymi strukturalnymi dostępnymi w systemie Microsoft Dynamics NAV jest Personal Data Management Solution.

RODO
RODO

Dane strukturalne i niestrukturalne

Przygotowując się do wdrożenia Rozporządzenia, każde przedsiębiorstwo powinno przeprowadzić szczegółowy audyt posiadanych danych osobowych, które dzielimy na dwie grupy:

Dane strukturalne

gromadzone w różnego typu bazach jak system Microsoft Dynamics NAV – w których są w odpowiedni sposób przechowywane oraz chronione;

Dane niestrukturalne

to wszelkiego typu dane, które znajdują się w poczcie elektronicznej, plikach dostępnych na dyskach, komputerach osobistych, pendrive’ach, telefonach komórkowych i innych nośnikach, które nie spełniają zasad prawidłowej ochrony, a sposób ich przechowywania stwarza niebezpieczeństwo naruszeń.

Wdrożenie przepisów RODO z systemem ERP

Personal Data Management Solution

Wdrożenie przepisów RODO w systemie Microsoft Dynamics NAV

Mając na uwadze złożoność i ilość zadań związanych z RODO, należy przystąpić do ich realizacji z wyprzedzeniem. Dlatego już teraz należy przeanalizować praktyki dotyczące prywatności oraz zarządzania danymi osobowymi, które obecnie obowiązują w firmie. W niniejszym opisie postanowiliśmy się skupić na tym, jak Dynamics NAV może wspomagać wdrożenie zgodności z RODO dzięki rozwiązaniu Personal Data Management Solution.

 

Personal Data Management Solution jest rozwiązaniem dostępnym w ramach systemu Microsoft Dynamics NAV, które powstało z myślą o przepisach RODO. To funkcjonalność, która pozwala zrealizować część obowiązków nałożonych na Administratora Danych w obszarze realizacji:

Prawa do zapomnienia,

Prawa dostępu do danych,

Prawa przenoszalności danych.

Należy pamiętać, że Personal Data Management Solution nie jest rozwiązaniem wystarczającym, aby wdrożyć RODO, ponieważ proces ten wymaga postępowania zgodnie ze spójnymi standardami i praktykami oraz wykorzystania umiejętności organizacyjnych.

 

Organizacja, przygotowując się do RODO, powinna zadbać o dostosowanie obecnej polityki i zachodzących procesów tak, by spełniać obowiązki nałożone na przedsiębiorców przez Rozporządzenie. Personal Data Management Solution jest narzędziem wspierającym działania Administratora w zakresie zarządzania danymi.

Uprawnienia użytkowników w systemie ERP

 

Istotną kwestią związaną z wprowadzeniem przepisów RODO jest zapewnienie w systemie ERP podziału na rodzaje uprawnień użytkownikówdo dostępu do wybranych danych, poprzez przypisanie użytkownikom odpowiednich ról. Kolejnym elementem jest nadanie indywidualnych dostępów do systemu i haseł.

 

System Microsoft Dynamics NAV w kontekście wszystkich modułów zapewnia:

  • Dostęp do systemu poprzez nadany indywidualny identyfikator i hasło każdemu użytkownikowi;
  • Dostęp do odpowiednich danych na podstawie ustawionych ról.

Rejestracja różnego typu zgód zgodnych z RODO

W systemie Microsoft Dynamics NAV będzie możliwa rejestracja różnego typu zgód, pozyskanych w ramach działań sprzedażowych oraz marketingowych, zgodnych z Rozporządzeniem o Ochronie Danych Osobowych.

W systemie będzie możliwość rejestracji takich danych jak:

 

  • Typ zgody,
  • Osoba przyjmująca zgodę,
  • Data pozyskania zgody,
  • Automatycznie uzupełniana data i ID użytkownika, który zarejestrował zgodę,
  • Termin obowiązywania zgody.

 

Dodatkowo każdą zgodę będzie można w dowolnym momencie odwołać. Wówczas w systemie zarejestrowane zostaną takie dane jak:

  • Data odwołania zgody,
  • Automatycznie uzupełniana data i ID użytkownika, który odwołanie zarejestrował,
  • Typ odwołania.

Realizacja prawa do bycia zapomnianym z Personal Data Management Solution

Prawo do bycia zapomnianym (Prawo do usunięcia danych)

Rozporządzenie o Ochronie Danych Osobowych przyznaje osobom, których dane są przetwarzane, prawo ich usunięcia, a także prawo do bycia zapomnianym. Według nowych przepisów, osoba ta może żądać od Administratora natychmiastowego usunięcia swoich danych osobowych.

 

Dzięki wprowadzeniu prawa do bycia zapomnianym, istnieje możliwość żądania od Administratora przetwarzającego dane osobowe, by ten podjął wszelkie działania w celu poinformowania innych Administratorów, którzy te dane przetwarzają, o natychmiastowej potrzebie usunięcia danych.

 

Administrator danych ma obowiązek zapewnić właściwe techniczne oraz organizacyjne środki, które pozwolą całkowicie usunąć dane. W takim przypadku Rozporządzenie nakłada obowiązek usunięcia danych z takich miejsc jak serwery, poczta elektroniczna, nośniki danych, pliki Excel, Word, dyski przenośne oraz zewnętrzne. Muszą być one usunięte ze wszystkich kopii zapasowych oraz logów. Obowiązek usunięcia danych dotyczy również zniszczenia wersji papierowych.

 

Administrator ma obowiązek poinformowania podmiotów przetwarzających, jak na przykład dostawców lub firmy obsługujące newsletter, o konieczności usunięcia danych.

Personal Data Management Solution realizuje prawo do bycia zapomnianym

 

Za pośrednictwem gotowych ustawień, pozwala przeszukać system Microsoft Dynamics NAV w celu sprawdzenia, czy występują w nim wskazane do usunięcia dane osobowe. Umożliwia również dokonanie analizy, które z nich mogą być zapomniane, a także prowadzenie rejestracji zapomnianych danych. Rozwiązania zapewnia:

 

Efektywnie przeszukiwanie, analizę oraz usuwanie danych osobowych

 

Po wybraniu akcji Szukaj, w zaznaczonej tabeli głównej oraz w tabelach powiązanych, zostaną przeszukane pola, wskazane w ustawieniach jako pola do przeszukania. Jeśli w którymkolwiek przeszukiwanym polu zostanie odnaleziona wskazana fraza, wówczas informacja o tym zostanie wyświetlona. System pokaże komunikat z zapytaniem, czy wyczyścić dane. Po zatwierdzeniu zostaną wyczyszczone dane w tych polach, które zostały wybrane zarówno w tabeli głównej, jak i tabelach powiązanych jako pola do czyszczenia.

 

Możliwość określenia obowiązkowego okresu przechowywania danych osobowych

 

Podczas wyszukiwania danych system przejrzy zapisy tabeli głównej oraz tabel powiązanych w poszukiwaniu pól typu data, które zostały wskazane w ustawieniach modułu, w oknie „Pola z ograniczeniami daty”.
Dla każdej kartoteki (zapisu w tabeli głównej) zostanie określona najpóźniejsza data ograniczająca usuwanie (np. ostatnia transakcja z nabywcą). Jeśli użytkownik wyznaczy kartotekę do zapomnienia, system sprawdzi, czy od tej daty minęła odpowiednia ilość czasu, zgodna z ustawieniami (np. dla Nabywcy jest to pięć pełnych lat liczonych od końca roku, w którym nastąpiła ostatnia transakcja). W przypadku, gdyby wskazany okres nie upłynął, nie będzie możliwości zapomnienia czy usunięcia danych.

W sytuacji, gdy okres archiwizacji ustawiony dla danej tabeli głównej nie pozwoli zapomnieć danych osobowych, system wyświetli stosowny komunikat. Jeśli data obowiązku archiwizacji dokumentacji, ustawiona dla tabeli głównej minie, możliwe będzie poprawne przeprowadzenie akcji Zapomnij dane.

 

Prowadzenie Rejestru czyszczenia danych osobowych

 

Każdy proces usunięcia danych zapisywany jest w Rejestrze czyszczenia danych osobowych. Po przejściu do Rejestru widoczne są wszystkie rekordy powstałe po wybraniu akcji Zapomnij dane. Dla każdego wpisu w Rejestrze można przejrzeć zapisy, w których znajdują się informacje o tym, w jakich tabelach i polach zostały usunięte dane osobowe. Informacje zawarte w zapisach można również wydrukować w postaci raportu.

Realizacja prawa dostępu do danych z Personal Data Management Solution

Prawo dostępu do danych

Rozporządzenie o Ochronie Danych Osobowych gwarantuje każdej osobie prawo dostępu do danych, które ją dotyczą, a które są przetwarzane przez przedsiębiorstwo. Uzyskane informacje mogą dotyczyć:

 

  • Celu przetwarzania,
  • Kategorii danych osobowych,
  • Informacji o odbiorcach bądź kategoriach odbiorców,
  • Okresie przechowywania danych.

 

Każda osoba, która wnioskuje o prawo dostępu do swoich danych, powinna być poinformowana, że przysługuje jej prawo sprostowania, usunięcia, ograniczenia przetwarzania danych bądź możliwości wniesienia sprzeciwu wobec przetwarzania, a także o prawie do wniesienia skargi do organu nadzorczego, źródłach pochodzenia danych. Powinna również powinna uzyskać informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

 

Każda osoba, której dane są przetwarzane, ma prawo do uzyskania bezpośredniego dostępu do swoich danych, a Administrator ma obowiązek bezpłatnego przekazania kopii przetwarzanych danych w formie papierowej lub elektronicznej. Za kolejne kopie, o które zwróci się dany podmiot, Administrator może pobrać opłatę w rozsądnej wysokości, wynikającej z kosztów administracyjnych.

 

Przekazywane dane powinny być odpowiednio wyselekcjonowane, gdyż prawo do uzyskania kopii nie może negatywnie wpływać na prawa i wolności innych. Administrator ma obowiązek zadbania o to, jakie dane przekazuje. Muszą być one dobrane, tak by informacje nie zawierały danych innych podmiotów oraz nie naruszały tajemnicy handlowej lub własności intelektualnej, zwłaszcza praw autorskich chroniących oprogramowanie.

Personal Data Management Solution realizuje prawo dostępu

 

Personal Data Management Solution realizuje prawo dostępu do danych, zapewniając ich efektywne wyszukanie, ustalenie celu przetwarzania, okresu przechowywania danych, a także możliwość ich sprostowania, usunięcia bądź ograniczenia przetwarzanych danych. Rozwiązanie zapewnia:

 

Dostęp oraz analizę dostępnych w systemie danych osobowych

 

Realizując prawo dostępu do danych osobowych oraz informacji, w którym miejscu w systemie dane osobowe się znajdują, administrator danych ma możliwość przeszukania tabel w oknie Badanie danych osobowych, gdzie zostaną wyświetlone wiersze z tabelami, w których znaleziono szukane dane osobowe. Mając informacje, w jakich tabelach znajdują się dane osobowe zainteresowanego, można ręcznie dokonać zmian tych danych, wchodząc w poszczególne tabele – miejsca w systemie. Z okna Badanie danych osobowych można także zobaczyć rejestr zmian dokonanych w kontekście przetwarzania danych osobowych konkretnej osoby. 

 
Możliwość ograniczenia przetwarzania danych osobowych

 

W systemie będzie możliwa rejestracja różnego typu zgód, pozyskanych w ramach działań sprzedażowych oraz marketingowych, zgodnych z Rozporządzeniem o Ochronie Danych Osobowych, które będzie można odwołać bądź ograniczyć w dowolnym momencie.

 

 

Szczegółowy wgląd w działania realizowane w obszarze przetwarzania danych osobowych

 

System Dynamics NAV gwarantuje możliwość wglądu w przetwarzane dane osoby wnioskującej. W oknie Zapisy Dziennika Zmian znajdują się szczegółowe informacje, takie jak:

  • Data i godzina – informujące o okresie wprowadzenia danych osobowych;
  • Identyfikator użytkownika – określa osobę, która dokonała zmiany w danych osobowych;
  • Etykieta tabeli, Etykieta pola – które zawierają informacje, w jakiej tabeli (oknie) i w jakim polu została dokonana zmiana danych;
  • Typ zmiany – który określa jakiego typu zmiana miała miejsce (np. modyfikacja);
  • Poprzednia wartość/Poprzednia wartość (lokalna) – w tym miejscu znajduje się informacja o wartości znajdującej się w polu przed dokonaniem zmiany;
  • Nowa wartość/Nowa wartość (lokalna) – w tym miejscu znajduje się informacja o wartości znajdującej się w polu po dokonaniu zmiany.

Realizacja prawa przenoszalności danych z Personal Data Management Solution

Prawa przenoszalności danych

Każda osoba, której dane są przetwarzane przez przedsiębiorstwo, ma prawo zażądać:

  • Wydania ich w ustrukturyzowanym, powszechnie znanym formacie, który nadaje się do odczytu maszynowego, np. w formacie XML, CSV, JSON;
  • Samodzielnego przesłania danych innemu Administratorowi;
  • Przesłania danych z systemu informatycznego Administratora bezpośrednio do innego Administratora, jeśli jest to technicznie możliwe.

 

Prawo przenoszalności danych dotyczy jedynie tych danych, które dostępne są w systemach informatycznych (w sposób zautomatyzowany). Zakres danych osobowych, które podlegają przeniesieniu, obejmuje również dane poddane pseudonimizacji. W przypadku, gdy Administratorzy przetwarzają informacje zawierające dane kilku osób, nie powinni zbyt wąsko interpretować tego, kogo dane dotyczą i traktować taką informację, jako dane osoby wnioskującej.

 

Przykładem są rejestry połączeń telefonicznych lub przelewów bankowych. Pomimo że zawierają one dane nie tylko osoby, która wnioskuje o możliwość przeniesienia danych czy dokonującego przelewu, to abonent lub nadawca przelewu powinien mieć szansę ich otrzymania. Gdy przekazywane dane osobowe dotyczą osób trzecich, to nowy Administrator nie ma prawa ich wykorzystania do własnych celów. Dodatkowo przekazane dane osobowe nie mogą być nadmierne w stosunku do nowego celu przetwarzania.

Personal Data Management Solution realizuje prawo przenoszalości

 

Personal Data Management Solution realizuje prawo przenoszalności danych oraz przekazania ich osobie zainteresowanej w ustrukturyzowanym formacie XML, CSV lub w formie wydrukowanego raportu.

Korzyści dla przedsiębiorców

Sprawna komunikacja z klientem

Efektywne zarządzanie danymi osobowymi

Wyszukiwane danych

Anonimizacja danych

Ochrona danych zgodna z RODO

Zminimalizowane ryzyko kar finansowych

Sprawna komunikacja z klientem

Eksport danych w popularnym formacie

Możliwość przeniesienia danych

Kontrola dostępu

Oszczędność czasu i pieniędzy

Personal Data Management Solution nie jest rozwiązaniem wystarczającym, aby wdrożyć RODO, a jedynie wspierającym przedsiębiorstwo w prawidłowym zarządzaniu danymi osobowymi. Proces dostosowania do Rozporządzenia wymaga postępowania zgodnego ze spójnymi standardami i praktykami oraz wykorzystania umiejętności organizacyjnych.  Zgodnie z przewidywaniami, skutkiem wdrożenia RODO będzie konieczność zaktualizowania polityki dotyczącej ochrony danych osobowych, wdrożenia narzędzi kontrolnych oraz informacyjnych w zakresie naruszenia procedur, wprowadzenie transparentnej polityki i prowadzenia dalszych inwestycji w obszarze IT oraz szkoleń.

 

Klauzula o wyłączeniu odpowiedzialności

Niniejsze komentarze dotyczące Rozporządzenia o Ochronie Danych Osobowych odzwierciedlają interpretację spółki IT.integro na dzień publikacji. Zamieszczony opis nie należy traktować jako rekomendacji prawnych czy też wyznacznika zakresu zastosowania RODO w danej organizacji. Zachęcamy do korzystania z porad prawnych w celu określenia, w jakim zakresie Rozporządzenie znajduje zastosowanie w danej organizacji i jak powinno być wdrażane.

IT.integro nie udziela żadnych gwarancji (wyraźnych, dorozumianych i prawnych) dotyczących zamieszczonych informacji. Informacje i opinie dostępne w formie pisemnej, na stronie internetowej, lub w innych zasobach internetowych, mogą ulec zmianie bez uprzedniego powiadomienia.