25 maja 2018 roku weszło w życie rozporządzenie ogólne o ochronie danych osobowych, w skrócie określane jako RODO. Znowelizowane przepisy zmieniły sposób podejścia do ochrony danych osobowych.
Przedsiębiorstwa przetwarzające dane osobowe mają obowiązek dokonywania samodzielnej oceny ryzyka naruszenia bezpieczeństwa tych danych i odpowiedniego dostosowania do niego swojej polityki zarządzania przetwarzaniem danych osobowych. Tym, u których zostanie naruszone bezpieczeństwo danych osobowych, na przykład dane "wyciekną" a przedsiębiorstwo nie będzie w stanie udokumentować należytej staranności i dbałości o zabezpieczenie danych osobowych, grożą wysokie kary.
W związku z tym wszystkie firmy przetwarzające dane osobowe powinny wprowadzić w życie, adekwatną do zdiagnozowanego poziomu ryzyka, politykę zarządzania przetwarzaniem danych osobowych w przedsiębiorstwie. Powinna ona gwarantować odpowiedni poziom bezpieczeństwa przetwarzania danych osobowych.
Od 25 maja 2018 roku, każdy administrator danych osobowych oraz każdy podmiot przetwarzający dane osobowe, powinien móc również udokumentować, że monitoruje poziom ryzyka naruszenia bezpieczeństwa i integralności danych osobowych oraz, że prowadzi dostosowaną do niego politykę zarządzania bezpieczeństwem tych danych. Powinna ona być uzależniona od wielkości przedsiębiorstwa, od ilości oraz kategorii przetwarzanych danych osobowych. W małej firmie, świadczącej usługi dla osób prawnych, zatrudniającej kilku pracowników przyjęte organizacyjne oraz techniczne środki ochrony danych osobowych mogą być zdecydowanie prostsze niż na przykład w firmie handlowej posiadającej kilka sklepów internetowych, których oferta skierowana jest dla osób fizycznych lub w firmach przetwarzających, ze względu na profil świadczonej działalności, dane bardziej wrażliwe.
Zalecane jest aby przygotowanie firmy do RODO odbywało się przy udziale specjalisty do spraw ochrony danych jednak z pewnością wiele firm przygotowuje się samodzielnie. W związku z tym zwracamy uwagę aby bardzo dokładnie przeanalizować wspomniane ryzyko naruszenia bezpieczeństwa danych osobowych. Firma, w których do tej pory nie było żadnych incydentów naruszenia danych osobowych, bazując na swoim wieloletnim doświadczeniu może dojść do wniosku, że takiego ryzyka nie ma lub, że jest pomijalnie małe.
Ogólne rozporządzenie o ochronie danych osobowych RODO dotyczy oczywiście całokształtu ochrony danych osobowych, przetwarzanych elektroniczne oraz tych w formie papierowej ale to przetwarzanie danych osobowych w formie elektronicznej jest najbardziej narażone na możliwość naruszenia bezpieczeństwa. Pamiętajmy o stałym, bardzo szybkim rozwoju technologii IT, który to ryzyko stale zwiększa.
Podstawowym i najważniejszym problemem, z którym musi sobie poradzić każde przedsiębiorstwo jest techniczne zabezpieczenie zbiorów danych osobowych. Dotyczy to w takim samym stopniu zabezpieczenia baz danych, archiwów baz danych jak i pozostałych plików zawierających dane osobowe np. plików MS Excel, plików wymiany danych XML lub plików deklaracji podatku dochodowego osób fizycznych oraz innych. Osobom, które nie wiedzą jak technicznie zabezpieczyć zarządzane przez siebie dane osobowe, doradzamy aby skorzystały z wsparcia Partnerów Asseco WAPRO.
Poza zabezpieczeniem danych środkami technicznymi, należy pamiętać o środkach organizacyjnych takich jak odpowiednie przechowywania kopii zapasowych, bezpiecznym przenoszenie, tylko zabezpieczonych kopii danych, ze szczególnym uwzględnieniem przenoszenia danych poza siedzibą firmy ponieważ tam są najbardziej narażone, zabezpieczeniu serwerów, zabezpieczenia komputerów z dostępem do danych osobowych i innych.
RODO wymaga od administratorów danych oraz podmiotów przetwarzających dane osobowe również prowadzenie rejestrów dokumentujących sposób przetwarzania danych, wymaga również realizacji kilku nowych praw podmiotów danych to jest osób fizycznych, których dane są przetwarzane. Aby ułatwić pracę osobom odpowiedzialnym za bezpieczeństwo danych w firmach w oprogramowaniu WAPRO ERP zostanie wprowadzonych wiele modyfikacji.
W programach:
Rozbudowany zostanie system rejestrowania operacji przetwarzania danych kartotek pracowników oraz kontrahentów, od rejestrowania zmian w danych do rejestrowania operacji wydruków zawierających dane osobowe oraz wykonywanie operacji eksportu danych z powyższych kartotek do plików wymiany danych;
Dodane zostanie rejestrowanie historii uprawnień do przetwarzania danych w kartotekach kontrahentów oraz pracowników;
Dodana zostanie opcjonalna możliwość wymagania okresowej zmiany hasła oraz wymaganie odpowiedniej jego "siły";
Dodany zostanie wydruk danych osobowych oraz możliwość wyeksportowania tych danych do pliku XML;
Dodana zostanie operacja anonimizacji danych - po przekroczeniu obowiązkowych okresów przechowywania danych, tzw. okresów retencji danych, wynikających z przepisów prawa, będzie możliwość zanonimizowania danych wybranego pracownika lub kontrahenta;
W programach ograniczony zostanie do minimum zakres zapisywanych danych kontrahentów oraz pracowników, tylko do tych danych, które są wymagane do zrealizowania celu;
Poza powyższymi będzie możliwość tworzenia:
Rejestru czynności przetwarzania;
Rejestru zgód na przetwarzanie wraz z wycofywaniem zgody;
Rejestru upoważnień (uprawnień dostępu do danych w programach oraz udzielonych upoważnień dla podmiotów zewnętrznych)
Rejestru naruszeń
Rejestru żądań wglądu do danych;
Rejestr dokumentów (kopii elektronicznych dokumentów)
Autor: