Personal Data Management Solution: system ERP zgodny z RODO
19050
post-template-default,single,single-post,postid-19050,single-format-standard,ajax_fade,page_not_loaded,,qode-title-hidden,qode-child-theme-ver-1.0.0,qode-theme-ver-11.1,qode-theme-bridge,wpb-js-composer js-comp-ver-5.1.1,vc_responsive
Personal Data Management Solution

[Film] Personal Data Management Solution – sposób na system ERP zgodny z RODO

Ustawa o ochronie danych osobowych a RODO

Punktem wyjścia do Rozporządzenia o ochronie danych osobowych jest Ustawa o ochronie danych osobowych z 29 sierpnia 1997 roku i powołanie urzędu Głównego Inspektora Ochrony Danych Osobowych.

Do najważniejszych założeń, bezpośrednio wynikających z Ustawy, należą między innymi:

  • Obowiązek ochrony danych (zabezpieczenia ich przed dostępem osób trzecich);
  • Obowiązek informacyjny wobec osób, których dane posiadamy (informowania, że mamy te dane i do jakich celów je wykorzystujemy);
  • Obowiązek rejestracyjny (czyli zgłoszenia informacji o danych do rejestru prowadzonego przez GIODO);

Główną ideą przyświecającą Ustawie było założenie, że powierzone dane powinny być przede wszystkim chronione. Oznacza to, że na Procesorze danych – czyli firmie, która zbiera dane, leży odpowiedzialność za ich jakość, kompletność, aktualność i bezpieczeństwo.

Co zmienia RODO?

Celem Rozporządzenia o ochronie danych osobowych (ang. General Data Protection Regulation) jest doprowadzenie do pełnej harmonizacji prawa w ramach Unii Europejskiej i zapewnienie swobodnego przepływu danych osobowych pomiędzy poszczególnymi podmiotami przetwarzającymi je w krajach członkowskich. W swoim założeniu Rozporządzenie miało pozwolić mieszkańcom Unii na lepszą kontrolę danych oraz stanowić podstawę do modernizacji i ujednolicenia przepisów w tym zakresie, we wszystkich systemach prawnych państw członkowskich.

Celem prac nad RODO było ograniczenie zróżnicowania przepisów i aktów prawnych między poszczególnymi państwami członkowskimi. Z tego powodu zdecydowano się na regulacje prawne w formie rozporządzenia, a nie dyrektywy. Rozporządzenie wiąże w całości, jest stosowane bezpośrednio i nie wymaga swojej implementacji do porządków prawnych poszczególnych państw, które znajdują się pod jego jurysdykcją.

Wspomniane Rozporządzenie przyjęte zostało 27 kwietnia 2016 roku, a w momencie wejścia w życie, czyli po dwuletnim okresie przejściowym, zacznie obowiązywać we wszystkich krajach członkowskich bezpośrednio – bez potrzeby wydawania dodatkowych aktów prawnych wdrażających je do porządku krajowego.

Rozporządzenie dopuszcza pewne zmiany w swojej istocie, pewnego rodzaju adaptacje wprowadzane przed władze ustawodawcze w krajach członkowskich. W Polsce nad zmianami pracowało Ministerstwo Cyfryzacji. Konsekwencją tych prac była między innymi likwidacja Urzędu Generalnego Inspektora Danych Osobowych i zastąpienie go przez Prezesa Urzędu Ochrony Danych.

Nowe zasady

RODO wprowadza nowe zasady ochrony danych osobowych w organizacjach, które oferują towary i usługi dla obywateli Unii Europejskiej lub zbierają i analizują dane powiązane z obywatelami UE – niezależnie od tego, gdzie te organizacje się znajdują. Rozporządzenie wprowadza między innymi:

Rozszerzone prawa do prywatności​:

  • Dostępu do swoich danych​,
  • Poprawy swoich danych​,
  • Usunięcia swoich danych​,
  • Wstrzymania przetwarzania danych​,
  • Przeniesienia swoich danych​.

 

Rozszerzone obowiązki ochrony danych​:

  • Odpowiednią ochronę danych​,
  • Możliwość zgłoszenia naruszeń dotyczących danych​,
  • Potrzebę uzyskania zgody na zbieranie i przetwarzanie danych​,
  • Możliwość otrzymania szczegółowej informacji o przetwarzaniu danych​,
  • Możliwość przeniesienia danych​.

 

Obligatoryjne zgłaszanie naruszeń​:

  • W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki, ale nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, aby skutkowało ono ryzykiem naruszeniu praw lub wolności osób fizycznych​.

 

Dotkliwe kary za niezgodność z prawem​:

  • Za naruszenie ochrony danych osobowych przedsiębiorstwo odpowiada karą finansową do 10 000 000 euro lub 2% obrotu​,
  • Za niezapewnienie dostępu przy kontroli przedsiębiorstwo odpowiada karą finansową do 20 000 000 euro lub 4% obrotu​,
  • Ciężar dowodu zgodności spoczywa na przedsiębiorcy (zgodnie z 5.2. RODO – kryterium rozliczalności)​,
  • Matryca karania –18+ kryteriów (83.2. RODO)​,
  • Odpowiedzialność ponoszą: CEO; CIO/CSO/ABI; Pion Bezpieczeństwa​.

 

Podsumowując, nowe prawo ma zapewnić wszystkim osobom łatwiejszy dostęp do danych oraz informacji na temat zakresu i sposobu ich przetwarzania, a także gwarantować, że te informacje będą dostępne w przejrzysty i zrozumiały sposób.

Czym są dane osobowe?

Dane osobowe osób fizycznych, ponieważ to o nich traktuje Rozporządzenie, dzielimy na:

  • Dane strukturalne, które gromadzone w różnego typu bazach jak system Microsoft Dynamics NAV – w których są w odpowiedni sposób przechowywane oraz chronione. Zgodnie z przyjętymi założeniami i wymaganiami, zastosowane technologie pozwalają na sprawne deponowanie, przetwarzanie i ochronę danych osobowych;
  • Dane niestrukturalne to wszelkiego typu dane, które znajdują się wiadomościach e-mail, plikach dostępnych na dyskach, komputerach osobistych, pendrive’ach, telefonach komórkowych i innych nośnikach, które nie spełniają zasad prawidłowej ochrony, a sposób ich przechowywania stwarza niebezpieczeństwo naruszeń.​

Warto wprowadzić także podział na:

Dane osobowe „zwykłe”:

  • Imię i nazwisko;​
  • Adres;​
  • Wykształcenie;​
  • Numer PESEL;​
  • Adres poczty elektronicznej.​

 

Dane osobowe „wrażliwe”:

  • Dane rasowe lub etniczne;​
  • Poglądy polityczne;​
  • Przekonania religijne lub filozoficzne;​
  • Stan zdrowia;​
  • Przynależność partyjna, związkowa lub wyznaniowa;​
  • Kod genetyczny;​
  • Nałogi;​
  • Życie seksualne;​
  • Skazania i orzeczenia dotyczące mandatów i kar.​

 

Jakie dane podlegają ochronie?

Ochronie podlegają wszystkie formy treści, które pozwalają na identyfikację danej osoby takie jak:

  • Komunikaty w formie pisemnej (np. notatka pisemna);​
  • Fotografie, zdjęcia rentgenowskie, DNA;​
  • Komunikat lub inne treści w formie elektronicznej.​

Mogą to być również informacje, które w sposób pośredni lub bezpośredni pozwolą zidentyfikować właściciela jak:

  • Numery identyfikacyjne (np. NIP, PESEL, nr paszportu);​
  • Jeden lub kilka specyficznych czynników określających jego cechy fizyczne, fizjologiczne (DNA, wzór siatkówki, grupa krwi), umysłowe, ekonomiczne, kulturowe lub społeczne.​

Przykładowe dane osobowe to:​

  • Imię, nazwisko, adres osoby;​
  • NIP, PESEL;​
  • Linie papilarne, DNA, wzór siatkówki;​
  • Informacje o sytuacji finansowej osoby (zaległości, zadłużenia, stan konta);​
  • Adres mailowy będzie traktowany jako dane osobowe wówczas, gdy zawiera takie informacje, dzięki którym bez nadmiernych kosztów, działań i czasu możemy ustalić tożsamość osoby (jeśli zawiera np. imię i nazwisko osoby);
  • Adres IP komputera danej osoby.​

Dane osobowe dotyczą wyłącznie osoby fizycznej (a nie firm, stowarzyszeń, fundacji, samorządów lub administracji)​.

Zasady i kryteria przetwarzania danych osobowych

Rozporządzenie o ochronie danych osobowych bazuje na 5 podstawowych założeniach:

  1. Zgodności z prawem, prawidłowości, rzetelności i przejrzystości

Podstawową kwestią związaną z ochroną danych osobowych jest ta, że dane, które są gromadzone lub przetwarzane, muszą być poprawne, aktualne a ich przetwarzanie powinno przebiegać bez zakłóceń. Innymi słowy, regulacja nakłada na organizację wymóg posiadania wdrożonych środków technicznych i organizacyjnych pozwalających na modyfikację/korektę danych, zmniejszenie ryzyka błędów oraz usunięcie nieprawidłowych danych.​

  1. Ograniczenia celu

Dane osobowe mogą być zbierane tylko i wyłączenie w ściśle określonym celu, na który zgodę wyraża osoba, której dane będą przetwarzane. Każdy nowy cel przetwarzania danych osobowych, który nie był zawarty w bieżącej umowie pomiędzy stronami, wymaga uzyskania kolejnej akceptacji. Powyższe wymagania dotyczą również zgód marketingowych i profilowania danych.​

  1. Minimalizacji danych i ograniczenia przechowywania

Zakres pozyskiwanych danych musi być adekwatny i ograniczony do minimum niezbędnego dla realizacji wskazanego celu ma zawierać tylko niezbędne dane do realizacji danego celu oraz powinien zostać z góry zdefiniowany okres, w którym będą przetwarzane dane osobowe.​

  1. Integralności i poufności

Zasada integralności i poufności danych osobowych bezpośrednio odnosi się do bezpieczeństwa danych osobowych, które są przetwarzane przez organizacje. Aby firma spełniała założenia regulacji, powinna​:

  • zagwarantować odpowiedni poziom bezpieczeństwa przetwarzanych danych osobowych, ​
  • zagwarantować, że dane nie zostaną w sposób nieautoryzowany usunięte, dodane, zmodyfikowane czy ujawnione​
  • zagwarantować domyślną ochronę danych.​
  1. Rozliczalności

Administrator danych osobowych powinien umieć wykazać, że stosowane przez niego metody (wdrożone środki techniczne i/lub organizacyjne) są zgodne z Rozporządzeniem oraz są skuteczne. Jedną z podstawowych, ale nie najbardziej efektywnych metod jest tworzenie skrupulatnej dokumentacji, lecz w przypadku złożonych infrastruktur należałoby wdrożyć odpowiednie mechanizmy pozwalające usprawnić ten proces. Wdrożenie środków technicznych pozwala znacznie uprościć i zautomatyzować pracę administratora danych osobowych oraz ułatwić kontrolowanie przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). ​

Personal Data Management Solution

Personal Data Management Solution jest rozwiązaniem dostępnym w ramach platformy systemu Microsoft Dynamics NAV, które powstało z myślą o przepisach RODO. Zatem jest to funkcjonalność, która pozwala zrealizować część obowiązków nałożonych na Administratora Danych w obszarze realizacji:

  • Rejestracji i zarządzania zgodami marketingowymi;
  • Prawa do zapomnienia;
  • Prawa dostępu do danych;
  • Prawa przenoszalności danych.

 

Aby dowiedzieć się, jak działa Personal Data Management Solution w systemie Microsoft Dynamics NAV, zapraszamy do zapoznania się z nagraniem prezentującym rozwiązanie:

 

 

 

Podziel się
  • 5
  •  
  •  
  •  
  •  
    5
    Shares