W maju 2018 r. wchodzi w życie nowe rozporządzenie Unii Europejskiej dotyczące ochrony prywatności, które zmienia zasady gromadzenia i zarządzania danymi osobowymi obywateli UE przez firmy oferujące usługi i towary. Firmy z państw członkowskich UE mają czas na wdrożenie odpowiednich rozwiązań, umożliwiających zabezpieczenie danych przed ich wyciekiem, a także gwarantujących obywatelom kontrolę nad ich danymi. Postanowiliśmy w związku z tym przyjrzeć się zmianom, które czekają naszych klientów, pod kątem przygotowania systemów ERP do nowych regulacji prawnych. Dla użytkowników Microsoft Dynamics NAV przygotowaliśmy również informacje na temat działań firmy Microsoft, podjętych w celu dostosowania usług do wymogów RODO.

Regulacje RODO przewidują m.in.:

  • zapewnienia obywatelom większej kontroli nad ich danymi osobowymi,
  • przejrzystości procesów wykorzystywania danych,
  • obowiązki w zakresie zabezpieczeń i środków kontrolnych używanych w celu ochrony danych,
  • obowiązkowe zgłaszanie naruszeń do 72 godzin od ich wystąpienia.

Nowe przepisy prawne nakładają nowe obowiązki na administratorów danych oraz surowe kary za niewywiązanie się z nich. Kary finansowe przewidziane dla firm, które nie zastosują się do nowych wytycznych mogą sięgnąć nawet 20 mln EUR lub 4% rocznego globalnego dochodu firmy. Wdrożenie nowych rozwiązań, wynikających z rozporządzenia RODO, należy rozpocząć od zrozumienia, jakimi danymi dysponuje przedsiębiorstwo oraz ustalenia ich lokalizacji.

Dane osobowe przez rozporządzenie RODO są definiowane, jako dane zidentyfikowanej i możliwej do identyfikacji osoby (art.4. pkt 1 RODO). Dane te mogą znajdować się m.in. w:

  • bazie danych klientów lub w systemie CRM,
  • wiadomościach e-mail,
  • rejestrach programów lojalnościowych,
  • systemie Kadrowo-Płacowym,
  • oraz oczywiście w systemie ERP.

Podstawowymi zadaniami w zakresie gromadzenia i zarządzania danymi osobowymi, które służą do zapewnienia bezpieczeństwa jest:

  • inwentaryzacja i identyfikacja danych,
  • zarządzanie sposobem wykorzystywania i uzyskania dostępu do danych osobowych,
  • ochrona danych i wprowadzenie kontroli bezpieczeństwa,
  • oraz zgłaszanie ewentualnych naruszeń.

Usługi w chmurze a RODO

Ze względu na to, że nowe przepisy prawne zwiększają odpowiedzialność przedsiębiorców i ryzyko związane z finansowymi karami, większość z nich zostanie zmuszona do zainwestowania w narzędzia podnoszące poziom bezpieczeństwa w zakresie ochrony danych osobowych. Dla wielu firm najprostszym i najkorzystniejszym rozwiązaniem będzie skorzystanie ze środowiska chmurowego. Jest to szczególnie widoczne w przypadku systemów ERP, które są jednym z najpopularniejszych miejsc przetwarzania danych osobowych w firmach. W przypadku stacjonarnych systemów ERP, opartych na lokalnej infrastrukturze użytkownika, zadania w zakresie ochrony danych osobowych przed wyciekiem mogą być bardzo kosztowne.

Rozwiązania chmurowe ułatwiają więc dostosowanie się do wymagań RODO. Pod warunkiem oczywiście, że dostawca usług zapewnia bezpieczeństwo w tym zakresie. Zapytaliśmy więc przedstawicieli firmy Microsoft, jakie są ich rekomendacje dla użytkowników oferowanych przez nich usług i produktów. Poniżej przedstawiamy najważniejsze informacje.

Microsoft już w lutym 2017 roku ogłosił zgodność swoich usług chmurowych z wytycznymi RODO. Dzięki temu wszystkie systemy, które wykorzystują platformę Azure, posiadają funkcje zapewniające ochronę danych przed nieupoważnionym dostępem i wykorzystaniem przez osoby do tego nieuprawnione.

Dodatkowo w przypadku obowiązku inwentaryzacji danych, chmura Microsoft ułatwia lokalizację oraz monitorowanie danych osobowych, co usprawnia proces ich wyszukiwania i identyfikacji. Bardzo istotnym aspektem jest również to, że Microsoft umożliwia obecnie korzystanie ze wszystkich swoich systemów za pośrednictwem chmury, dzięki temu wszystkie dane tak naprawę znajdują się w jednym miejscu. Nie ma więc potrzeby przeprowadzania kosztowych integracji rozproszonych źródeł danych, w celu identyfikacji zawartych w nich danych osobowych.

Dodatkowo Microsoft udostępnia swoim klientom funkcje analizy możliwych zagrożeń, a także centralizuje i usprawnia procedury techniczne i administracyjne, służące do spełnienia wymogów przepisów, takich jak zachowanie należytej staranności oraz obsługa wniosków o dostęp do danych.

Certyfikaty bezpieczeństwa Microsoft

Microsoft postawiło sobie za cel świadczenie usług z zachowaniem oczekiwanego poziomu zabezpieczeń i poufności informacji. W związku z tym wdrożył i utrzymuje odpowiednie zabezpieczenia techniczne i organizacyjne, wewnętrzne mechanizmy kontroli oraz procedury ochrony informacji, ukierunkowane na ochronę danych przed przypadkową utratą, zniszczeniem lub modyfikacją, a także nieautoryzowanym ujawnieniem lub dostępem, albo nielegalnym zniszczeniem. Każdego roku niezależni audytorzy przeprowadzają kontrole w celu weryfikacji, czy firma przestrzega zasad i procedur związanych z zabezpieczeniami, zachowaniem poufności informacji, ciągłością oraz zgodnością z przepisami.

Usługi chmurowe Microsoft spełniają:

  • międzynarodową normę ochrony poufności danych w chmurze ISO 27018, co gwarantuje, że klient zachowuje kontrolę nad swoimi danymi,
  • międzynarodową normę ISO 22301, regulującą wymagania dotyczące systemów zarządzania ciągłością działania,
  • ISO/IEC 27001, który jest standardem systemu zarządzania zabezpieczeniami informacji, uwzględniającym ochronę prywatności, zachowanie poufności informacji, a także techniczne aspekty związane z zabezpieczeniami. W tych standardach uwzględniono setki potencjalnych mechanizmów kontroli.

Oznacza to, że użytkownik może przenieść część ryzyka, wynikającego z zadań i obowiązków ochrony danych osobowych na dostawcę usług, w tym przypadku Microsoft, co zwiększa bezpieczeństwo i pozwala na znaczące obniżenie kosztów. W przeciwnym wypadku konieczne będą inwestycje w kosztowne systemy zabezpieczające w celu zapewnienia zgodności ze wszystkimi regułami wprowadzanymi przez RODO.

Autorem wpisu jest:
Dorota Puzio

Specjalista ds. Obsługi Klienta z doświadczeniem zdobytym w branży IT. Specjalizuje się w utrzymywaniu długoterminowych relacji z kluczowymi dla biznesu klientami oraz budowaniu rozpoznawalności i pozytywnego wizerunku firmy. W JCommerce odpowiada za wdrożenia systemów klasy ERP i CRM.

Dodaj komentarz

Komentarze:

Skontaktuj się z nami

Chcesz dowiedzieć się więcej o naszych usługach? Napisz do nas – odpowiemy na każdą wiadomość.

Niniejszym wyrażam zgodę na przetwarzanie przez JCommerce Sp. z o.o. moich danych osobowych (dalej „dane osobowe”), takich jak: imię i nazwisko, adres e-mail, nr telefonu, firma, w celach handlowych.
Niniejszym wyrażam zgodę na przetwarzanie przez JCommerce Sp. z o.o. moich danych osobowych (dalej „dane osobowe”), takich jak: imię i nazwisko, adres e-mail, nr telefonu, firma, w celach marketingowych.
Niniejszym wyrażam zgodę na przetwarzanie przez JCommerce Sp. z o.o. moich danych osobowych (dalej „dane osobowe”), takich jak: imię i nazwisko, adres e-mail, nr telefonu, firma w celach rekrutacyjnych.
Niniejszym wyrażam zgodę na przetwarzanie przez JCommerce Sp. z o.o. moich danych osobowych (dalej „dane osobowe”), takich jak: imię i nazwisko, adres e-mail, nr telefonu, firma na potrzeby przyszłych rekrutacji.
W związku z obowiązującymi przepisami dotyczącymi ochrony danych osobowych tj. Ustawą o ochronie danych osobowych z dnia 10 maja 2018 roku, jak również treścią Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), informujemy, że: 1. Administratorem danych osobowych jest JCommerce Sp. z o.o. z siedzibą w Katowicach, ul. Ściegiennego 3, 40-114 Katowice (KRS: 00007393418).
2. Powyższe dane osobowe przetwarzane będą przez JCommerce Sp. z o.o. – w zależności od udzielonych przez Panią/Pana zgód (podstawa prawna przetwarzania: art. 6 ust. 1 pkt a) RODO):
• w celach handlowych,
• w celach marketingowych.
3. Podanie powyższych danych osobowych nie jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy. Nie jest Pan/Pani zobowiązany/a do podania powyższych danych osobowych, jednak brak ich podania uniemożliwi realizacje ww. celu.
4. Posiada Pan/ Pani prawo dostępu do treści swoich danych, w tym otrzymania ich kopii i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do sprzeciwu wobec przetwarzania, prawo do cofnięcia zgody w dowolnym momencie, jeśli została udzielona. Wycofanie zgody nie wpływa jednak na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem; oświadczenie o cofnięciu zgody na przetwarzanie danych osobowych należy złożyć w siedzibie JCommerce Sp. z o.o. lub przesłać na adres mailowy zgody@jcommerce.pl. Cofnięcie zgody na przetwarzanie danych osobowych skutkuje brakiem możliwości realizacji ww. celów przetwarzania;
5. Dane osobowe są udostępniane przez JCommerce Sp. z o.o. upoważnionym pracownikom i osobom współpracującym z JCommerce Sp. z o.o. na podstawie umów cywilnoprawnych, przez których realizowany jest cel przetwarzania;
6. Wszelkie pytania dotyczące ochrony danych osobowych oraz realizacje przysługujących praw, prosimy kierować na adres odo@jcommerce.pl;
7. W zależności od udzielonej zgody, dane osobowe będą przetwarzane przez czas niezbędny do realizacji ww. celów przetwarzania. W przypadku wniesienia sprzeciwu, JCommerce Sp. z o.o. przestanie przetwarzać Pani/Pana dane w ww. celu, chyba że będzie w stanie wykazać, że w stosunku do tych danych istnieją ważne prawnie uzasadnione podstawy, które są nadrzędne wobec Pana/Pani interesów, praw i wolności, lub niezbędne do ewentualnego ustalenia, dochodzenia lub obrony roszczeń;
8. Nie przekazujemy Pani/Pana danych poza teren Europejskiego Obszaru Gospodarczego oraz do organizacji międzynarodowych.
9. Pani/Pana dane osobowe nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.
10. Ma Pani/Pan prawo wniesienia skargi do organu nadzorczego gdy uzna Pan/Pani, iż przetwarzanie ww. danych osobowych narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.