Systemy zgodne z RODO

Zarządzanie procesami finansowymi zakłada przetwarzanie newralgicznych danych dotyczących przedsiębiorstwa, jego partnerów biznesowych i klientów. Organizacje muszą zadbać o bezpieczeństwo takich informacji, szczególnie mając na uwadze zalecenia GDPR.

RODO/GDPR wskazuje, że dane osobowe mają być gromadzone i przetwarzane zgodnie z najwyższym standardem bezpieczeństwa. Wymogi nowej regulacji wychodzą jednak daleko poza dyskrecję operacji.

Ograniczaj i kontroluj

System przeznaczony do przetwarzania danych musi podlegać starannemu szyfrowaniu, co minimalizuje ryzyko potencjalnych naruszeń. Uprawnienia dostępowe do danych powinny dokładnie odpowiadać realizowanym działaniom i nie wykraczać poza niezbędny zakres. W praktyce oznacza to przykładowo, że osoba wprowadzająca faktury do systemu może mieć dostęp do pełnych danych podmiotów partnerskich lub klientów, których dotyczą rozliczenia, ale już specjalista prowadzący bilans przychodów i rozchodów nie musi, ponieważ do podsumowań wystarczą mu tylko kwoty i numery rachunków. „Narzędzie, z którego będziemy korzystali w firmie, musi pozwalać na ograniczenie dostępu do wybranego obszaru. Ważne jest, aby można było wyłączyć widok konkretnej kategorii danych dla pojedynczego użytkownika, np. pola z wartością ostatniej faktury dla osoby wysyłającej newsletter z informacjami dla klientów” – podkreśla Paweł Krajewski, prezes Intersys sp. z o.o. – „Dalej rozpoczyna się rola administratora, który ma za zadanie dostosować uprawnienia do ścieżki realizowania procesów związanych z danymi. Jednak to wybierając i implementując odpowiedni system IT, zapewniamy sobie techniczną zgodność z wymogami RODO i ułatwiamy zadanie administratorowi bezpieczeństwa informacji, który następnie zapewnia faktyczną zgodność z unijną regulacją” – dodaje.

Zobacz również:

W poszukiwaniu narzędzi

Paweł Krajewski, prezes Intersys sp. z o.o. zauważa, że Ustawodawca wyznaczył więc cele i warunki, które muszą zostać spełnione przez wybrany system IT, ale zrezygnował ze wskazania konkretnych narzędzi, którymi można je osiągnąć. Dlatego istotny jest wybór właściwego rozwiązania, które zapewni zgodność z RODO/GDPR

Paweł Krajewski, prezes Intersys sp. z o.o. zauważa, że Ustawodawca wyznaczył więc cele i warunki, które muszą zostać spełnione przez wybrany system IT, ale zrezygnował ze wskazania konkretnych narzędzi, którymi można je osiągnąć. Dlatego istotny jest wybór właściwego rozwiązania, które zapewni zgodność z RODO/GDPR

Obowiązek monitorowania statusu bezpieczeństwa systemu także został uwzględniony w rozporządzeniu RODO. Administrator danych musi zgłosić potencjalne naruszenie do organu nadzorującego w ciągu 72h od jego zaistnienia, czyli powinien dysponować narzędziem, które takie naruszenie wykryje, zdiagnozuje i poinformuje o odstępstwach od norm. Standard bezpieczeństwa nie został określony w formie szczegółów technicznych, a przytoczonych powyżej generalnych wymagań. To na ich podstawie należy poszukiwać narzędzia, które zapewni zgodność organizacji z RODO i pozwoli uniknąć kar przewidzianych Rozporządzeniem. A te mogą sięgnąć nawet 4 proc. rocznego globalnego przychodu lub 20 milionów euro. „Ustawodawca wyznaczył więc cele i warunki, które muszą zostać spełnione przez wybrany system IT, ale zrezygnował ze wskazania konkretnych narzędzi, którymi można je osiągnąć. To dlatego tak istotny jest wybór właściwego rozwiązania, które zapewni zgodność z RODO, ale też najwyższy standard bezpieczeństwa danych firmowych” - zwraca uwagę prezes Intersys.

Obowiązek rozliczalności

Na rynku jest wiele systemów zapewniających od razu po wdrożeniu zgodność z RODO/GDPR, jednym z nich jest Microsoft Dynamics NAV, który posługuje się bezpiecznym, szyfrowanym połączeniem z centrum danych. „Wdrożenie takiego systemu wymaga czasu, bo potrafi zająć nawet kilka miesięcy. Jest to również inwestycja finansowa, ale warto zainwestować w bezpieczeństwo i przestrzeganie wytycznych Rozporządzenia” – przekonuje Paweł Krajewski.– „Realizacja RODO będzie rozliczana bardzo szczegółowo. Przykładami punktów do spełnienia na liście kontrolnej mogą być: zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania czy też zapewnienie pseudonimizacji i szyfrowania danych. Microsoft Dynamics NAV spełnia te i pozostałe wymogi techniczne przewidziane Rozporządzeniem w ramach podstawowej specyfikacji. Przed wdrożeniem systemu wystarczy tylko dobrze przemyśleć ścieżki przepływu danych w firmie, a po jego implementacji – odpowiednio je skonfigurować. Można też oddać cały ten proces w ręce profesjonalistów, którzy po audycie potrzeb wdrożą i skonfigurują system i nie martwić się o wytyczne RODO” – podsumowuje prezes Intersys.