25 maja 2018 roku na terenie całej Unii Europejskiej zaczęło obowiązywać nowe rozporządzenie dotyczące ochrony danych osobowych, RODO. Rozporządzenie to kładzie ogromny nacisk na prawa osób do ochrony ich danych osobowych dając im prawo do niewyrażenia zgody na takie przetwarzanie, wglądu w przetwarzane dane i poprawianie w nich ewentualnych błędów, a także prawo do bycia zapomnianym.
RODO nakłada obowiązek ochrony danych osobowych na administratora tych danych. Nie precyzuje natomiast jak dane powinny być chronione przed nieautoryzowanym działaniem. Przyjęto więc system oceny zagrożeń oparty na ocenie i analizie ryzyka. Wnioski płynące z takiej analizy są przesłankami, na podstawie których firmy powinny wdrożyć własny system ochrony danych osobowych.
Poza środkami organizacyjnymi i technicznymi jakie firmy powinny zapewnić w celu jak najlepszej ochrony danych osobowych, RODO określa również sposoby przetwarzania danych. Wśród nich wymienia się minimalizację danych oraz ich pseudonimizację. Pierwszy z terminów oznacza wytyczną, według której administrator danych osobowych powinien zbierać tylko niezbędne mu dane. Przykładowo, wymaganie od pracownika dostarczenia do akt osobowych gromadzonych w dziale kadr aktu zawarcia związku małżeńskiego, jest zaprzeczeniem tej idei. Pseudonimizacja danych to z kolei operacja polegająca na pozbawieniu danych osobowych cech stanowiących, że tymi danymi są. W przeciwieństwie do anonimizacji danych, która również dane osobowe całkowicie pozbawia cech tych danych, pseudonimizacja danych jest procesem odwracalnym. Warunkiem prawidłowego zabezpieczenie danych osobowych przy zastosowaniu pseudonimizacji jest przechowywania klucza użytego w procesie w osobnym, odpowiednio zabezpieczonym miejscu.
Dostosowanie systemu ERP / CRM do RODO
Systemy informatyczne takie jak ERP czy CRM powinny iść z duchem czasu i dostosować mechanizmy swojego działania do nowych wytycznych RODO. W myśl nowych przepisów to nie firmy informatyczne są podmiotem odpowiedzialnym za ochronę danych osobowych. Podmiotem odpowiedzialnym jest administrator, czyli firma przetwarzająca dane we własnym zakresie. Firmy informatyczne wychodzą naprzeciw nowym wyzwaniom a ich wsparcie polega na dostarczeniu narzędzi i wiedzy jak dane powinny być chronione. Czy narzędzia i wiedza zostaną wykorzystane zależy już od administratora danych. Więcej informacji na temat RODO w kontekście systemów ERP / CRM można znaleźć pod adresem: https://odl.com.pl/rodo/
Zmiany prawne wprowadzone przez RODO mają przede wszystkim służyć jak najlepiej pojętemu dobru konsumentów. Aby wymusić stosowanie regulacji przez firmy rozporządzenie przewiduje drakońskie kary za nieprzestrzeganie nowych przepisów. Kara może wynieść nawet 20 mln euro lub 4 % rocznego obrotu firmy. W przypadku tak drastycznych sankcji warto rozważyć wprowadzenie polityki ochrony danych osobowych na poziomie zgodnym z wytycznymi RODO. Wydatki poniesione na ten cel z pewnością będą mniejsze niż ewentualne kary. Ponadto gra toczy się o dobro klientów, a to przecież powinien być ważny argument dla każdej firmy dbającej o dobre relacje z partnerami.
