ERP a RODO – jak przenieść
część ryzyka na dostawcę usług

Artykuły eksperckie | 13.12.2017 | Czas czytania: 3 minuty

W maju 2018 r. wchodzi w życie nowe rozporządzenie Unii Europejskiej dotyczące ochrony prywatności, które zmienia zasady gromadzenia i zarządzania danymi osobowymi obywateli UE przez firmy oferujące usługi i towary. Firmy z państw członkowskich UE mają czas na wdrożenie odpowiednich rozwiązań, umożliwiających zabezpieczenie danych przed ich wyciekiem, a także gwarantujących obywatelom kontrolę nad ich danymi. Postanowiliśmy w związku z tym przyjrzeć się zmianom, które czekają naszych klientów, pod kątem przygotowania systemów ERP do nowych regulacji prawnych. Dla użytkowników Microsoft Dynamics NAV przygotowaliśmy również informacje na temat działań firmy Microsoft, podjętych w celu dostosowania usług do wymogów RODO.

Regulacje RODO przewidują m.in.:

  • zapewnienia obywatelom większej kontroli nad ich danymi osobowymi,
  • przejrzystości procesów wykorzystywania danych,
  • obowiązki w zakresie zabezpieczeń i środków kontrolnych używanych w celu ochrony danych,
  • obowiązkowe zgłaszanie naruszeń do 72 godzin od ich wystąpienia.

Nowe przepisy prawne nakładają nowe obowiązki na administratorów danych oraz surowe kary za niewywiązanie się z nich. Kary finansowe przewidziane dla firm, które nie zastosują się do nowych wytycznych mogą sięgnąć nawet 20 mln EUR lub 4% rocznego globalnego dochodu firmy. Wdrożenie nowych rozwiązań, wynikających z rozporządzenia RODO, należy rozpocząć od zrozumienia, jakimi danymi dysponuje przedsiębiorstwo oraz ustalenia ich lokalizacji.

Dane osobowe przez rozporządzenie RODO są definiowane, jako dane zidentyfikowanej i możliwej do identyfikacji osoby (art.4. pkt 1 RODO). Dane te mogą znajdować się m.in. w:

  • bazie danych klientów lub w systemie CRM,
  • wiadomościach e-mail,
  • rejestrach programów lojalnościowych,
  • systemie Kadrowo-Płacowym,
  • oraz oczywiście w systemie ERP.

Podstawowymi zadaniami w zakresie gromadzenia i zarządzania danymi osobowymi, które służą do zapewnienia bezpieczeństwa jest:

  • inwentaryzacja i identyfikacja danych,
  • zarządzanie sposobem wykorzystywania i uzyskania dostępu do danych osobowych,
  • ochrona danych i wprowadzenie kontroli bezpieczeństwa,
  • oraz zgłaszanie ewentualnych naruszeń.

Usługi w chmurze a RODO

Ze względu na to, że nowe przepisy prawne zwiększają odpowiedzialność przedsiębiorców i ryzyko związane z finansowymi karami, większość z nich zostanie zmuszona do zainwestowania w narzędzia podnoszące poziom bezpieczeństwa w zakresie ochrony danych osobowych. Dla wielu firm najprostszym i najkorzystniejszym rozwiązaniem będzie skorzystanie ze środowiska chmurowego. Jest to szczególnie widoczne w przypadku systemów ERP, które są jednym z najpopularniejszych miejsc przetwarzania danych osobowych w firmach. W przypadku stacjonarnych systemów ERP, opartych na lokalnej infrastrukturze użytkownika, zadania w zakresie ochrony danych osobowych przed wyciekiem mogą być bardzo kosztowne.

Rozwiązania chmurowe ułatwiają więc dostosowanie się do wymagań RODO. Pod warunkiem oczywiście, że dostawca usług zapewnia bezpieczeństwo w tym zakresie. Zapytaliśmy więc przedstawicieli firmy Microsoft, jakie są ich rekomendacje dla użytkowników oferowanych przez nich usług i produktów. Poniżej przedstawiamy najważniejsze informacje.

Microsoft już w lutym 2017 roku ogłosił zgodność swoich usług chmurowych z wytycznymi RODO. Dzięki temu wszystkie systemy, które wykorzystują platformę Azure, posiadają funkcje zapewniające ochronę danych przed nieupoważnionym dostępem i wykorzystaniem przez osoby do tego nieuprawnione.

Dodatkowo w przypadku obowiązku inwentaryzacji danych, chmura Microsoft ułatwia lokalizację oraz monitorowanie danych osobowych, co usprawnia proces ich wyszukiwania i identyfikacji. Bardzo istotnym aspektem jest również to, że Microsoft umożliwia obecnie korzystanie ze wszystkich swoich systemów za pośrednictwem chmury, dzięki temu wszystkie dane tak naprawę znajdują się w jednym miejscu. Nie ma więc potrzeby przeprowadzania kosztowych integracji rozproszonych źródeł danych, w celu identyfikacji zawartych w nich danych osobowych.

Dodatkowo Microsoft udostępnia swoim klientom funkcje analizy możliwych zagrożeń, a także centralizuje i usprawnia procedury techniczne i administracyjne, służące do spełnienia wymogów przepisów, takich jak zachowanie należytej staranności oraz obsługa wniosków o dostęp do danych.

Certyfikaty bezpieczeństwa Microsoft

Microsoft postawiło sobie za cel świadczenie usług z zachowaniem oczekiwanego poziomu zabezpieczeń i poufności informacji. W związku z tym wdrożył i utrzymuje odpowiednie zabezpieczenia techniczne i organizacyjne, wewnętrzne mechanizmy kontroli oraz procedury ochrony informacji, ukierunkowane na ochronę danych przed przypadkową utratą, zniszczeniem lub modyfikacją, a także nieautoryzowanym ujawnieniem lub dostępem, albo nielegalnym zniszczeniem. Każdego roku niezależni audytorzy przeprowadzają kontrole w celu weryfikacji, czy firma przestrzega zasad i procedur związanych z zabezpieczeniami, zachowaniem poufności informacji, ciągłością oraz zgodnością z przepisami.

Usługi chmurowe Microsoft spełniają:

  • międzynarodową normę ochrony poufności danych w chmurze ISO 27018, co gwarantuje, że klient zachowuje kontrolę nad swoimi danymi,
  • międzynarodową normę ISO 22301, regulującą wymagania dotyczące systemów zarządzania ciągłością działania,
  • ISO/IEC 27001, który jest standardem systemu zarządzania zabezpieczeniami informacji, uwzględniającym ochronę prywatności, zachowanie poufności informacji, a także techniczne aspekty związane z zabezpieczeniami. W tych standardach uwzględniono setki potencjalnych mechanizmów kontroli.

Oznacza to, że użytkownik może przenieść część ryzyka, wynikającego z zadań i obowiązków ochrony danych osobowych na dostawcę usług, w tym przypadku Microsoft, co zwiększa bezpieczeństwo i pozwala na znaczące obniżenie kosztów. W przeciwnym wypadku konieczne będą inwestycje w kosztowne systemy zabezpieczające w celu zapewnienia zgodności ze wszystkimi regułami wprowadzanymi przez RODO.

Autorem wpisu jest

Dorota Puzio, JCommerce

ERP Account Manager

Specjalista ds. Obsługi Klienta z doświadczeniem zdobytym w branży IT. Specjalizuje się w utrzymywaniu długoterminowych relacji z kluczowymi dla biznesu klientami oraz budowaniu rozpoznawalności i pozytywnego wizerunku firmy. W JCommerce odpowiada za wdrożenia systemów klasy ERP i CRM.

Komentarze

  • aaaa dnia 2017-12-14 19:45:06
    Co to znaczy artykuł ekspercki, jakie jest jego źródło finansowania? Czy napiszą Państwo o rozwiązaniach z tej działki dla linuksa?
  • Paweł Brzeżek dnia 2017-12-15 07:16:29
    Dziękujemy za komentarz. Artykuł ekspercki oznacza, że jest to treść stworzona przez ekspertów JCommerce, którzy dzielą się swoją wiedzą w zakresie swojego doświadczenia domenowego. Nie są to treści sponsorowane, ani finansowane z zewnętrznych źródeł. Jeśli natomiast chodzi o kwestię RODO i Linuxa, nie jest to temat z obszaru naszej działalności, ale jeśli taki artykuł powstanie, będziemy o tym informować. Pozdrawiam
  • Jakub Zuber dnia 2018-05-02 15:02:52
    Bardzo przyjemnie się czyta Wasz artykuł ale proszę Was nie piszcie takich zbdur: "Oznacza to, że użytkownik może przenieść część ryzyka, wynikającego z zadań i obowiązków ochrony danych osobowych na dostawcę usług, w tym przypadku Microsoft". Za bezpieczeństwo danych odpowiada w 100% ADO (Administrator Danych Osobowych). Microsoft będący procesorem może się jedynie zgodzić na zapis w umowie mówiącym o tym, że jeżeli wyciek danych nastąpi z winy Microsoft to ADO po zapłaceniu kary administracyjnej może dochodzić zwrotu kosztów z tym związanych. Oznacza to w praktyce, że najpierw przyjdzie nam zapłacić karę a potem jeżeli firma będzie nadal istniała będzie wzywała Microsoft do zapłaty (regres). Nie chciałbym być złym prorokiem ale czy Państwo czytali kiedyś umowy z firmą Microsoft? Nawet duże korporacje nie są w stanie wpłynąć na treści umów nie mówiąc już o tak poważnych zapisach zabezpieczających jak odpowiedzialność za wyciek danych osobwych. Miłego dnia, Jakub Zuber
  • Karolina Sadowska dnia 2018-05-07 07:04:36
    Dziękujemy za komentarz. Bezsprzecznym pozostaje fakt, że niezależnie od stosowanych systemów, za przetwarzanie danych osobowych i rozliczania się z tego przed regulatorem odpowiada jedynie Administrator Danych Osobowych. To samo dotyczy odpowiedzialności finansowej za naruszenia. Niniejszym artykułem, chcieliśmy jedynie zwrócić uwagę, na fakt, że pewne narzędzia pomogą zminimalizować ryzyko i utrzymać właściwy poziom ochrony danych osobowych, np. zinwentaryzować dane, w celu wywiązania się z obowiązków wynikających z praw osób, których dane dotyczą – chociażby prawo do bycia zapomnianym, szczegółowo opisane w art. 18 RODO. Przeniesienie ryzyka nie jest dla nas tożsame z odpowiedzialnością za naruszenia, a jedynie wskazaniem tych funkcjonalności systemu ERP, które pozwolą nam to ryzyko zminimalizować.

Skontaktuj się z nami