SIMPLE.PROD - program ERP do zarządzania produkcją
Eksperckie Piątki: Czy Twój system jest gotowy na RODO?
Wejście od 25 maja 2018 roku w życie Rozporządzenia o Ochronie Danych Osobowych stawia przed każdą organizacją szereg wymagań, jakie nieznane były w dotychczasowych modyfikacjach prawa. Wyzwania te to nie tylko potrzeba dostosowania polityki zarządzania danymi osobowymi, czy też sporządzenia dokumentacji i szkolenia pracowników. Jakie jeszcze problemy będą napotykać pracodawcy, przetwarzający dane osobowe w swoich systemach informatycznych? Jak dostosować swój system do nowych wymogów prawnych?
O tym w dzisiejszym materiale Jarosława Sokalskiego – Eksperta SIMPLE oraz Product Managera obszaru Zarządzanie Personelem.
RODO - rewolucja.
Należy podkreślić, że RODO obowiązuje wszystkich – od międzynarodowych korporacji po niewielkie przedsiębiorstwa i instytucje państwowe. Jego najważniejszym założeniem jest modyfikacja i zmiana podejście do ochrony danych osobowych i sposobu ich przetwarzania. Przede wszystkim, jest to przeniesienie ciężaru odpowiedzialności na administratora danych przy bardzo elastycznym, ale też i ogólnikowym opisie wymagań ochrony przetwarzania informacji.
Pamiętać należy, że wdrożenie RODO odbywać powinno się na wielu płaszczyznach:
- organizacyjnej,
- dokumentacyjnej,
- procesowej,
- świadomościowej,
a na końcu:
- opartej na funkcjonalności systemów IT.
RODO – cele.
W myśl zapisów RODO z Art. 2.1 systemy informatyczne przetwarzające dane osobowe muszą we właściwy sposób interpretować pojęcia, takie jak:
- przetwarzanie danych – wszelkie operacje (czynności) wykonywane na danych osobowych, np. samo ich przechowywanie
- dane osobowe – informacje o zidentyfikowanych (konkretnych) lub możliwych do zidentyfikowania osobach fizycznych, np. imię, nazwisko, PESEL, numer telefonu
- całkowite lub częściowo zautomatyzowane przetwarzanie danych – przetwarzanie danych za pomocą systemów informatycznych
Dodatkowo muszą spełniać zasady opisane w RODO z Art. 5, czyli wspierać:
- zgodność z prawem, rzetelność i przejrzystość,
- ograniczenie celu przetwarzania danych,
- minimalizacja danych,
- prawidłowość danych,
- ograniczenie przechowywania danych,
- integralność i poufność,
- ROZLICZALNOŚĆ.
Całość rozwiązania musi być wpisana w politykę bezpieczeństwa przetwarzania danych w organizacji zawierając:
- analizę ryzyka,
- określenie celów i czynności przetwarzania danych,
- rejestr upoważnień i dostępów do danych.
Są to tylko niektóre problemy, jakie stawiane są administratorom danych osobowych podczas wdrażania nowego rozporządzenia.
RODO – dostosowanie systemów ERP
Wykorzystywany w każdej organizacji system przetwarzający dane osobowe musi być dostosowany do wymogów obowiązującej ustawy GIODO - pod kątem ochrony pracy na danych osobowych, logu przetwarzania danych, udostępniania danych pracownikowi w czytelnej formie, czy też możliwości dodania nowych danych kadrowych opisujących zgody lub wycofania przetwarzania danych osoby. To, co zmieni się teraz, dotyczy przede wszystkim szerszego ujęcia osoby fizycznej w całym systemie, nie tylko w części kadrowo-płacowej. Każdy system po 25 maja musi zostać wyposażony w wykazy administratora, inspektora i przetwarzającego dane, by można było wydrukować z niego różnego rodzaju zgody dla pracowników lub klauzule dla operatorów. Kluczowe jest również dodanie nowych danych dotyczących zgód i wycofań, przypisanych do obiektu osoby fizycznej. System musi zostać wyposażony w predefiniowane rejestry celów (procesy) przetwarzania danych oraz w funkcję do anonimizacji i pseudonimizacji danych pracownika.
Dodatkowo użytkownicy bardziej rozbudowanych rozwiązań mogą liczyć na wprowadzenie do systemów „miękkiego” podejścia do tematu wdrożenia RODO. Zapewniającego egzekwowanie praw użytkowników do opcji systemu, wg celów przetwarzania danych. Czy zawierającego rejestry dodatkowych zdarzeń lub naruszeń – będący wsparciem administratora danych. Rozbudowany system ERP to także szereg raportów wspomagających wdrożenie RODO, wykorzystujących już wprowadzone w systemie dane oraz dokumentacja opisująca zasady przetwarzania danych w systemie - zapewniająca wsad do dokumentacji opisującej politykę bezpieczeństwa organizacji.
Wszystkich Klientów zainteresowanych wprowadzeniem takich funkcjonalności i chcących rozbudować system również o „miękkie” podejście do wdrożenia RODO, zachęcamy do kontaktu i konsultacji z naszymi specjalistami.