Portal prowadzi Kancelaria
Babiaczyk Skrocki i Wspólnicy

Przygotowanie systemów ERP do zmian wynikających z GDPR

Dane osobowe 06.04.2017

W dniu 25 maja 2016 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwane dalej również: GDPR), które zacznie obowiązywać od dnia 25 maja 2018 r. Unijne regulacje wymuszą wiele zmian na wszystkich podmiotach, które gromadzą i przetwarzają dane osobowe. Dotyczyć one będą m.in. systemów informatycznych, działań marketingowych i obsługi klientów.

Obecnie najczęściej przetwarzanie odbywa się za pomocą systemów informatycznych, w tym również systemów klasy ERP (Enterprise Resource Planning). Przedsiębiorcy, którzy wykorzystują je w swojej działalności muszą zadbać, aby systemy te były bezpieczne i chroniły dane osobowe przed ingerencją osób nieupoważnionych. Przetwarzanie danych osobowych przy użyciu nowych technologii może bowiem spowodować ryzyko dla praw i wolności osób, których te dane dotyczą.

Systemy ERP często są modyfikowane i konfigurowane w taki sposób, by spełnić indywidualne potrzeby biznesowe konkretnego przedsiębiorcy. Najlepiej jest uwzględnić wymagania dotyczące ochrony danych osobowych wynikające z nowego rozporządzenia już na etapie projektowania rozwiązań technicznych systemu informatycznego. W przypadku systemów wcześniej wdrożonych w danym przedsiębiorstwie, konieczne będzie ich dostosowanie do wymagań wynikających z GDPR. Jak się okazuje, nie zawsze jest to proste.

Zgoda na przetwarzanie danych oraz prawo do informacji

Podmioty, które zbierają, przechowują i przetwarzają dane osobowe muszą otrzymać zgodę od podmiotu, którego te dane dotyczą. Ponadto, osoby, których dotyczą osobowe są przetwarzane, mają prawo do uzyskania informacji o tym, jakie konkretnie dane są przetwarzane oraz w jakim celu. Z tego powodu, niezwykle istotna jest możliwość szybkiego i sprawnego odszukania tych danych w systemie informatycznym, w którym są przechowywane.

Prawo do bycia zapomnianym

Kolejnym środkiem wprowadzonym przez ogólne rozporządzenie o ochronie danych osobowych w celu podniesienie poziomu ochrony danych osobowych osób fizycznych jest tzw. prawo do bycia zapomnianym, które polega na umożliwieniu osobie, której dane dotyczą, żądania od administratora niezwłocznego usunięcia danych, w przypadkach określonych w rozporządzeniu, np. po cofnięciu przez nią zgody na dalsze przetwarzanie danych czy w sytuacjach przetwarzania danych niezgodnie z prawem. Oznacza to, że administrator danych musi wdrożyć procedury pozwalające na szybkie i bezpieczne usuwanie danych bez względu na fakt, gdzie dane będą się znajdować – na komputerach, serwerach czy też w chmurze. Problemem jest przede wszystkim konstrukcja dotychczas tworzonego oprogramowania ERP, gdyż jednym z założeń był brak możliwości całkowitego usunięcia danych jako zabezpieczenie przed ich utratą.

Prawo do przenoszenia danych

Rozporządzenie wprowadza również tzw. prawo do przenoszenia danych, które oznacza, że osoba, której dane dotyczą ma prawo otrzymać w ustrukturyzowanym formacie nadającym się do odczytu maszynowego jej dane osobowe, które dostarczyła administratorowi oraz ma prawo przesłać te dane innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. Problemem w tym przypadku są różnice pomiędzy formatami baz danych używanymi przez poszczególnych przedsiębiorców, gdyż nie każde oprogramowanie akceptuje powszechnie używane formaty.

Privacy by design & privacy by default

Innym, nowym obowiązkiem będzie wdrożenie mechanizmów, które spowodują by domyślnie przetwarzane były tylko te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.

Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym

Podmiot przetwarzający dane osobowe zobowiązany jest do opracowania i wdrożenia polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Instrukcje zarządzania powinny normować takie kwestie jak rozpoczęcie i zakończenie pracy z systemem informatycznym czy stosowane metody i środki uwierzytelnienia. Nie należy zapomnieć o wprowadzeniu stopni dostępu do danych osobowych przetwarzanych w systemie informatycznym. Poszczególne osoby powinny mieć dostęp tylko do danych osobowych niezbędnych dla ich pracy, co powinno zostać uwzględnione na poziomie przyznawania uprawnień dostępowych. Z instrukcjami powinna zostać zapoznana każda osoba mająca dostęp do danych osobowych.

Polityka Bezpieczeństwa Informacji powinna za to wskazywać obszar przetwarzania danych osobowych oraz identyfikować zbiory danych osobowych i systemy informatyczne używane do ich przetwarzania. W przypadku gdy system zbudowany jest z wielu modułów programowych i moduły te mogą pracować niezależnie, wskazanie systemu powinno być wykonane z dokładnością do poszczególnych jego modułów.

Rozliczalność

GDPR stanowi, że każda operacja na danych osobowych dokonana w systemie informatycznym powinna być rozliczalna, co oznacza możliwość określenia kto i kiedy podjął konkretne działanie np. usunął dane osobowe.

Zabezpieczenie sieci

Sieć informatyczna powinna być zabezpieczona przed atakami z zewnątrz i kradzieżą danych np. poprzez zastosowanie systemów ochronnych (antywirusy, firewalle). Ponadto, bazy danych zawierające dane osobowe powinny być regularnie backupowane.

Zabezpieczenia fizyczne

Wdrożenie ochrony danych osobowych powinno łączyć się z zapewnieniem fizycznego bezpieczeństwa komputerów i innych urządzeń, na których przetwarzane są dane osobowe. Wszystkie komputery, na których przetwarzane są dane osobowe powinny być obowiązkowo zahasłowane. Administrator danych osobowych powinien również dbać, aby laptopy, pendrive’y czy inne urządzenia mobilne nie zostały zgubione. 

Wysokie kary finansowe

Mimo, że rozporządzenie o ochronie danych wejdzie w życie w maju 2018 roku, każda firma już dzisiaj powinna je mieć na uwadze. Tym, którzy nie dostosują się do wymogów rozporządzenia GDPR grożą duże kary finansowe, których wysokość może sięgnąć nawet 2–4 proc. rocznych obrotów całego przedsiębiorstwa.

Karina Wronka
Konsultant prawny w kancelarii BSiW