Rozporządzenie ogólne o ochronie danych osobowych uchwalone przez Parlament Europejski
i odnoszące się do podmiotów gospodarczych w krajach członkowskich UE wejdzie w życie 25 maja 2018 roku. Przyjrzyjmy się jego założeniom w odniesieniu do procesów finansowych.

RODO oczekuje, że dane osobowe będą gromadzone i przetwarzane zgodnie z najwyższym standardem bezpieczeństwa. Wymogi nowej regulacji wychodzą jednak daleko poza dyskrecję operacji.

Bezpieczeństwo systemu informatycznego

System przeznaczony do przetwarzania danych musi podlegać starannemu szyfrowaniu,
co minimalizuje ryzyko potencjalnych naruszeń. Skoro jesteśmy przy systemie informatycznym,
z którego korzysta więcej niż jedna osoba, musi on być zaprojektowany zgodnie z zasadami bezpieczeństwa – wytyczne RODO mają zostać uwzględnione już na etapie jego planowania, dostosowania i implementacji.

Zakresy uprawnień dostępowych

Uprawnienia dostępowe do danych powinny dokładnie odpowiadać realizowanym działaniom i nie wykraczać poza niezbędny zakres. W praktyce oznacza to przykładowo, że osoba wprowadzająca faktury do systemu może mieć dostęp do pełnych danych podmiotów partnerskich lub klientów, których dotyczą rozliczenia, ale już specjalista prowadzący bilans przychodów i rozchodów już nie musi, bo do podsumowań wystarczą mu tylko kwoty i numery rachunków.

Monitorowanie zabezpieczeń

Obowiązek monitorowania statusu bezpieczeństwa systemu także został uwzględniony w RODO. Administrator danych musi zgłosić potencjalne naruszenie do organu nadzorującego w ciągu 72h
od jego zaistnienia, czyli powinien dysponować narzędziem, które takie naruszenie wykryje, zdiagnozuje i da znać, że coś jest nie tak.

Standard bezpieczeństwa nie został określony w formie szczegółów technicznych, a przytoczonych powyżej generalnych wymagań. To na ich podstawie należy poszukiwać narzędzia, które zapewni zgodność organizacji z RODO i pozwoli uniknąć kar przewidzianych Rozporządzeniem. A te mogą sięgnąć nawet 4% rocznego, globalnego przychodu lub 20 milionów euro. Nawet, jeśli te kwoty dotyczą jedynie największych, nie ma potrzeby narażać się na ryzyko.

Odpowiedź na RODO

Na rynku jest dziś wiele systemów, które po wdrożeniu praktycznie instant zapewniają zgodność
z RODO i spokojny sen. Paweł Krajewski, prezes Intersys sp. z o.o. przekonuje do skorzystania z Microsoft Dynamics NAV, który oprócz wielu przydatnych funkcji i zabezpieczeń, spełnia obowiązek rozliczalności określony w Rozporządzeniu. A ten oznacza, że każdy podmiot gospodarczy musi – na żądanie organu nadzorującego – wykazać zgodność swoich procedur z wytycznymi RODO.