zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

Każdego roku ustawodawca przygotowuje ponad

25 000 stron aktów prawnych

Podpowiemy Ci, jak poradzić sobie w gąszczu tak często zmieniających się przepisów. 

Zapisz się na Newsletter Prawny Sage

Jak system ERP może wspierać organizację w zgodności z RODO

Jak system ERP może wspierać organizację w zgodności z RODO

09 maja 2018

Jak system ERP może wspierać organizację w zgodności z RODO


Organizacje wykorzystujące zintegrowane systemy wspomagające zarządzanie powinny sprawdzić, czy sposób przetwarzania danych zapewnia im należyty poziom bezpieczeństwa i zgodność z RODO.


Przygotowanie przedsiębiorstwa do RODO to wyjątkowo złożone wyzwanie biznesowe, ponieważ wymaga od firm zmiany istniejącej kultury zarządzania danymi osobowymi. Dostosowywanie organizacji do nowych przepisów wiąże się nie tylko ze zmianą polityki bezpieczeństwa, szkoleniami pracowników i wdrożeniem odpowiednich procedur. Jednym z kluczowych zadań jest również analiza używanych rozwiązań IT, ponieważ to one odgrywają główną rolę w przetwarzaniu i udostępnianiu danych osobowych i tylko one mogą zapewnić w tym zakresie wysoką efektywność.


Na co firmy powinny zwrócić szczególną uwagę analizując funkcjonalność systemów ERP?



Przedsiębiorca sam określa, jakie rozwiązania są adekwatne do ryzyka

W odróżnieniu od wciąż jeszcze obowiązującej Ustawy o ochronie danych osobowych (UODO) z 1997 r. RODO wymusza na firmach zastosowanie nowego podejścia do zapewnienia obywatelom praw związanych z przetwarzaniem ich danych. Dotychczasowe praktyki biznesowe wynikające z UODO bazowały na wzorcach i szablonach; ich wdrożenie było stosunkowo łatwe, wręcz wystandaryzowane, natomiast nie w pełni odzwierciedlało faktyczne ryzyka różnego rodzaju naruszeń w obszarze przetwarzania danych. RODO wprowadza tu istotną zmianę. Nie ma wzorców, standardów ani szablonów – przedsiębiorca musi we własnym zakresie określić, jakie ryzyko wiąże się z przetwarzaniem przez niego danych, a następnie zastosować odpowiednie do niego środki. Na tym nie koniec, musi bowiem również udowodnić, że przyjęte przez niego środki są rzeczywiście właściwe i adekwatne do zidentyfikowanego ryzyka. Jeśli więc pytamy, na ile system ERP powinien być dostosowany do wspierania zasad RODO, odpowiedź zależy od analizy ryzyka, jakie towarzyszy przetwarzaniu danych w konkretnym modelu biznesowym przedsiębiorstwa. Należy przy tym pamiętać, że jednym ze źródeł ryzyka jest nadmiarowe gromadzenie danych osobowych, a także niewłaściwe zarządzanie zgodami na przetwarzanie.



Zasada minimalizacji danych, czyli uwaga na nadmiar danych

Przez dwie dekady obowiązywania UODO firmy przyzwyczaiły się do nadmiarowego gromadzenia danych o swoich obecnych i potencjalnych klientach. W zasadzie naturalną praktyką jest dziś profilowanie danych użytkowników sieci w celu m.in. udoskonalenia personalizowanej komunikacji (np. wyświetlania reklam w kontekstach, które interesują klienta). Dane z tego rodzaju działań pozostają w systemach informatycznych przedsiębiorstw. Podejście RODO do zarządzania danymi osobowymi zmieni praktyki w tym zakresie, m.in. dlatego, że rozporządzenie wprowadza zasadę minimalizacji danych. Mówi ona, że administrator może pozyskiwać i przetwarzać dane osobowe jedynie w takim zakresie, jaki jest mu niezbędny do realizacji ściśle określonego i prawnie uzasadnionego celu. Już samo pozyskiwanie danych w większym zakresie niż jest to konieczne stanowi naruszenie RODO. Dodatkowo, w myśl rozporządzenia administrator powinien usunąć dane po realizacji celu, w jakim je przetwarzał. Warto też dodać, że RODO uznaje profilowanie za czynność przetwarzania danych, na które osoba fizyczna musi wyrazić odrębną zgodę. Zasada minimalizacji danych niesie więc ze sobą dla firm różne rodzaje ryzyka.


Po pierwsze, przez lata firmy nagromadziły mnóstwo danych osobowych, które nie są im dziś potrzebne. W myśl RODO nie powinny być one przechowywane przez firmę, jeśli nie są niezbędne do realizacji prawnie uzasadnionych celów, wykonania zawartych umów czy np. zabezpieczenia przyszłych roszczeń. Zatem spore ilości danych, które firmy zebrały w przeszłości, powinny zostać usunięte z ich zasobów informacyjnych.


Po drugie, swoboda w gromadzeniu danych osobowych sprzyjała ich rozpraszaniu w strukturach organizacji – są one dziś przechowywane nie tylko w bazach danych, z których korzystają systemy ERP, ale też w kopiach zapasowych, na dyskach użytkowników, w programach poczty elektronicznej lub na nośnikach mobilnych, takich jak dyski przenośne czy smartfony pracowników. Oprócz tego dane mogą być zapisane na różnego rodzaju wydrukach, notatkach czy nawet wizytówkach. Skoro dane rezydują w silnym rozproszeniu, firmom jest bardzo trudno (niekiedy nie jest to możliwe) dokonać inwentaryzacji danych, która pozwoliłaby posegregować je na te niezbędne oraz te, które powinno się wykasować.


Po trzecie, wdrożenie zasady minimalizacji danych wymaga od firm szczególnych zabiegów operacyjnych, które trwale zmienią kulturę pozyskiwania i przetwarzania danych zgodnie z wymogami RODO – poczynając od szkoleń pracowników, przez zmianę formularzy pozyskiwania danych, po zastosowanie procedur, które rzeczywiście wprowadzą tę zasadę, aż do procesów biznesowych i komunikacji z klientami.



Sage

Spełniasz
wymogi
RODO?

Sprawdź



Właściwe zarządzanie zgodami

RODO to dla firm nie tylko konieczność ograniczenia apetytu na dane osobowe. Rozporządzenie przynosi także nowe regulacje dotyczące pozyskiwania od osób fizycznych zgód na przetwarzanie ich danych. Kluczowy jest tu fakt, że na każdy rodzaj przetwarzania wymagana jest odrębna zgoda oraz że procedurze pozyskania zgody musi towarzyszyć dopełnienie przez administratora określonych w RODO obowiązków informacyjnych. Odrębność zgód na przetwarzanie oznacza, że jeśli dana firma zamierza kontaktować się ze swoimi potencjalnymi klientami, np. za pomocą telefonu, poczty elektronicznej, lub chce im wysyłać oferty handlowe, mailingi albo newslettery, to na każdą z tych aktywności wymagana jest zgoda. Jak już wspomniano, w świetle RODO profilowanie to również czynność przetwarzania danych wymagająca pozyskania odrębnej zgody oraz poinformowania osoby fizycznej, w jakim celu i jak długo profilowanie będzie realizowane.


Nowe obowiązki informacyjne wymuszają na firmach, by w momencie pozyskiwania zgody wyraźnie przedstawiały cel i podstawę prawną pozyskiwania danych, a także w jaki sposób i jak długo będą te dane przetwarzane. Osoba fizyczna musi również zostać poinformowana o przysługujących jej prawach, np.: do wglądu w swoje dane, ich sprostowania, przeniesienia do innego podmiotu czy wykasowania (tzw. prawa do bycia zapomnianym). Ponadto administrator musi poinformować osobę wydającą zgodę na przetwarzanie o swojej tożsamości, przekazując swoją nazwę i adres, a jeśli w jego organizacji powołany został Inspektor Ochrony Danych, należy podać jego dane kontaktowe.



Jedna osoba o różnych statusach

Zauważmy, że w kontekście odrębności zgód na różne rodzaje przetwarzania nader często mogą zdarzać się sytuacje, w których jedna osoba fizyczna może mieć dla firmy różne statusy – może być byłym klientem, obecnym klientem lub potencjalnym klientem. W każdym z tych przypadków ewentualne działania podejmowane wobec tych osób, a związane z przetwarzaniem ich danych, wymagają odrębnych zgód, ponieważ działaniom tym przyświeca inny cel (inne cele realizuje serwis, inne realizowane są w trakcie wykonywania umowy, a jeszcze inne w przypadku reklamowania produktów, których klient jeszcze nie kupił). W tym kontekście firmy muszą sprawnie zarządzać zgodami na przetwarzanie danych, w czym może być pomocny również system ERP. Ważne, by móc przypisać każdą ze zgód do określonych kategorii działań czy procesów realizowanych w firmie lub np. wdrożyć mechanizmy powiadomień i alertów w przypadku chęci podejmowania działań wobec osób, które nie wyraziły zgody na określoną formę przetwarzania ich danych.


Łatwo sobie wyobrazić, jakie ryzyko niesie nieefektywne zarządzanie zgodami w odniesieniu do prowadzonych przez firmę procesów, a przecież każdy błąd oznacza rzeczywiste naruszenie rozporządzenia. Do tego dodajmy efektywność zarządzania zgodami. Trudno sobie wyobrazić, by w przypadku średnich i dużych firm robić to ręcznie. Ten proces musi być zautomatyzowany, tak by zminimalizować jego koszty operacyjne.


Sprawdzenie, czy system ERP wspiera działania organizacji w świetle przepisów RODO wymaga dogłębnej analizy ryzyka związanego z przetwarzaniem danych osobowych oraz modelu biznesowego, w jakim są one przetwarzane. W tym zakresie to dostawcy rozwiązania powinni zaoferować pomoc, odpowiednio modyfikując funkcjonalność pod kątem zgodności z przepisami. Firma Sage, dostarczając systemy ERP dla małych, średnich i dużych firm, wspiera użytkowników w zapewnieniu funkcjonalności adekwatnych zarówno do poziomu zidentyfikowanego ryzyka, jak i specyficznych wymagań związanych z profilem działalności przedsiębiorstwa.



Czy Twoje procesy biznesowe są optymalne i gotowe na zmiany, a Twój system wspiera wszystkie Twoje potrzeby?
Sprawdź i skorzystaj z bezpłatnego audytu procesów!



pokonaj bariery

/*gatedcontent/