RODO

Wersja 5.0.342

Funkcjonalności dostępne od wersji: 5.0.342.102

System Streamsoft Prestiż -> Instrukcje -> Informacje ogólne
Opis mechanizmów pomocnych w wypełnianiu zobowiązań wynikających z rozporządzenia RODO, które znajdują się w systemie ERP Streamsoft Prestiż. Dodatkowo szczegółowe opisy działania wybranych opcji znajdują się w osobnych artykułach. RODO (Rozporządzenie o Ochronie Danych Osobowych) – lub z angielskiego GDPIR (General Data Protection Regulation) – to rozporządzenie unijne, które od 25 maja 2018 roku będzie obowiązywać we wszystkich krajach członkowskich. Więcej: https://www.streamsoft.pl/rodo/
Mechanizmy konfigurowania bezpieczeństwa haseł

Zapewniają zgodność z wymogami rozporządzenia RODO pod względem tworzenia silnych haseł na odpowiednim poziomie bezpieczeństwa. Operatorzy systemu posiadają swoje indywidualne i niepowtarzalne loginy oraz hasła. Każdy operator przypisany jest do grupy użytkowników, która posiada definiowane prawa dostępu do danych i opcji. Nadawaniem i odbieraniem uprawnień zajmuje się administrator systemu lub inna osoba posiadająca uprawnienia.

Hasła ustalane przy zakładaniu operatora bazy danych można poddać regulacji w oparciu o opcję „Reguły haseł”, która dostępna jest w Module Administratora w menu „Słowniki”. Można w niej określić: okres ważności, minimalną długość hasła, czy nowe kolejne hasło ma być różne od poprzedniego, czy uwzględniać wielkość liter oraz czy wymusić podanie cyfr i znaków specjalnych w haśle – parametr „Mocne hasło”.

Rejestry

Nowo wprowadzone rejestry i opcje w systemie Streamsoft Prestiż znajdują się w menu „System – Dane osobowe”. Zostały zebrane w jednym miejscu w celu łatwego ich używania.

Dodatkowo nowe słowniki na bazach już istniejących mają zabrane prawo do uruchomienia w systemie praw, w „Module Administratora”.

Rejestr czynności przetwarzania danych osobowych

Zgodnie z rozporządzeniem ogólnym UE w sprawie ochrony danych osobowych niemal każdy administrator musi prowadzić rejestr czynności przetwarzana danych osobowych. Jest to dokument, który ma pokazywać w jakich procesach w organizacji są przetwarzane dane osobowe, w jakim celu, kogo dotyczą oraz jak są zabezpieczane.

Dokument taki musi zostać udostępniony na każde wezwanie RODO. Celem prowadzenia ww. rejestru jest możliwość pełnienia nadzoru i monitorowania procesów przetwarzania danych osobowych przez organ nadzorczy.

W systemie Streamsoft Prestiż opcja „Rejestr czynności przetwarzania danych osobowych”. znajduje się w menu „System – Dane osobowe”. W tej opcji, w standardowy dla Streamsoft Prestiż sposób, należy w odpowiednie pola wpisać informacje opisujące czynność przetwarzania danych osobowych. Rejestr pozwala na jednolity opis wszystkich procesów zachodzących w przedsiębiorstwie.

Rejestr upoważnień przetwarzania danych osobowych

Administrator danych jest zobowiązany do prowadzenia dokumentacji opisującej środki bezpieczeństwa zapewniające ochronę przetwarzanych danych osobowych. Każdy pracownik mający służbowy kontakt z danymi powinien być umieszczony w takim zestawieniu. Wymóg dotyczy więc zewidencjonowania wszystkich osób, które wykonują jakiekolwiek operacje na danych osobowych, takie jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Będą to też praktykanci czy stażyści.

Jeżeli osoba upoważniona do przetwarzania danych kończy zatrudnienie, lub z innych względów trzeba jej cofnąć lub zmienić upoważnienie, to wpisujemy datę takiego cofnięcia w kolumnę „data ustania upoważnienia”.

W systemie Streamsoft Prestiż w menu „System – Dane osobowe” znajduje się opcja „Rejestr upoważnień przetwarzania danych osobowych”. W tej opcji, w standardowy dla Streamsoft Prestiż sposób, w odpowiednie pola należy wpisać informacje jakim osobom nadano dostęp do jakich danych. Spis rejestruje także cofnięcie dostępu.

Rejestr udostępnień danych osobowych

Administrator danych powinien posiadać ewidencję udostępniania danych osobowych na zewnątrz firmy, np. na żądanie uprawnionych organów (np. sądu, prokuratury, firmy ubezpieczeniowej) oraz podmiotom z którymi współpracuje (np. osoby wykonujące działalność gospodarczą).

Rejestr taki musi zawierać informacje komu i w jakich okolicznościach firma udostępniła dane osobowe (zarówno w zakresie danych klientów, jak i własnych pracowników lub osób współpracujących, np. biuro rachunkowe). Ewidencjonowaniu powinny podlegać także wszystkie przypadki udostępniania danych wolontariuszom lub studentom.

W systemie Streamsoft Prestiż, w menu „System – Dane osobowe” znajduje się opcja „Rejestr udostępnień danych osobowych”. Dzięki niemu Administrator danych posiada możliwość sprawnej lokalizacji podmiotów i osób, którym udostępniono dane oraz dostęp do informacji o powodzie i okresie na jaki nastąpiło udostępnienie.

Wprowadzenie informacji o udostępnieniu danych odbywa się natomiast w module Kadry i płace, w oknie Danych kadrowych, na zakładce „12. Ochrona danych osobowych”.

Rejestr naruszeń przetwarzania danych osobowych

W przypadku ewentualnego wycieku danych osobowych w przedsiębiorstwie, administrator jest zobowiązany zgłosić ten fakt organowi nadzorującemu RODO bez zwłoki, w terminie maksymalnie 72 godzin po stwierdzeniu naruszenia. Zwolnienie z obowiązku zgłoszenia istnieje, jeżeli jest mało prawdopodobne, by wyciek danych skutkował ryzykiem naruszenia praw lub wolności osób fizycznych.

Jeżeli incydent dotyczący danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

W systemie Streamsoft Prestiż, w menu „System – Dane osobowe” znajduje się „Rejestr naruszeń przetwarzania danych osobowych”. Pozwala on w ustandaryzowany sposób zapisać ewentualne naruszenie przetwarzania danych wrażliwych osoby, której dane dotyczą oraz zaewidencjonować niezbędne dodatkowe informacje przydane przy naruszeniu.

Anonimizacja

RODO wprowadza nowy środek zabezpieczenia danych, tj. anonimizację. Polega ona na całkowitym usunięciu elementów identyfikujących osobę, by mimo dołożenia rozsądnych starań, ustalenie jej tożsamości stało się niemożliwe. Anonimizacja pozbawia więc informację charakteru danych osobowych.

W systemie Streamsoft Prestiż, w menu „System – Dane osobowe” znajduje się opcja „Anonimizacja informacji”, która pozwala dokonać anonimizacji dla wskazanych danych z systemu. Standardowo są to: Pracownik, Kontrahent, Osoba kontaktowa, Operator.

Opcja umożliwia także zdefiniowanie anonimizacji niestandardowych danych osobowych dodanych do systemu w trakcie wdrożenia. Np. jeśli na etapie wdrożenia wprowadzono spersonalizowane rozwiązanie, które przetwarza i zachowuje dane osobowe w własnych tabelach w bazie danych firmy, to wbudowany w system Streamsoft Prestiż mechanizm posiada możliwość zdefiniowania także anonimizacji takich danych osobowych.

Metoda i czas pozyskania danych osobowych

W systemie Streamsoft Prestiż można zarejestrować informację o źródle i dacie pozyskania wszystkich danych osobowych, do których firma zyskuje dostęp. Pozwala to poinformować właścicieli danych jak i kiedy zostały one nabyte. W słownikach kontrahentów, osób kontaktowych czy pracowników znajdują się pola „Źródło pozyskania danych” oraz „Data pozyskania danych”.

Dla kontrahenta można w konfiguracji ustalić domyślne wartości przy dodawaniu nowych danych „Ustawienia – Kontrahent – Wartości domyślne – Źródło pozyskania danych wrażliwych”. Słownik znajduje się w menu „System – Dane osobowe”.

Rejestr działań operatorów systemu

W systemie Streamsoft Prestiż prowadzony jest rejestr działań operatorów na wszelkich danych osobowych zaewidencjonowanych w systemie. Tylko operatorzy posiadający uprawnienia administratora, lub mający nadane uprawnienia do przeglądania rejestru operacji, mogą takie dane przeglądać.

W oknach słownikowych „Kontrahenci”, „Osoby kontraktowe” i „Pracownicy”, stojąc na konkretnym rekordzie po wybraniu z menu opcji „Rejestr operacji”, można zobaczyć jakie operacje przeprowadzono z tymi danymi. Dodatkowo w „Module administratora”, w opcji „Rejestry – Rejestr operacji” osoby z uprawnieniami posiadają możliwość zbiorczego przeglądania operacji przeprowadzonych na wyżej wspomnianych danych osobowych.

Definiowanie uprawnień dla operatorów

Opcja systemowa w Streamsoft Prestiż, która pozwala określić do jakiego poziomu danych osobowych w systemie posiada dostęp dany operator oraz do jakich działań z związanych z nimi jest uprawniony.

Takie nadawanie uprawnień odbywa się w „Module administratora”, w opcji „Słowniki – Grupy operatorów – Prawa do opcji (Ctrl+P)”. Strukturę danych i zależności operacji przedstawiono w postaci drzewa. Operator, używając opcji „Daj prawo” lub „Zabierz prawo”, ustala zakres dostępności do opcji i operacji dla grupy operatorów. W taką grupę operatorów jest następnie podpinany nowy operator (użytkownik), można także utworzyć nową grupę dla tych, którzy już są w systemie.

Dokumentacja struktur danych, architektury i komponentów systemu

Jest to opis architektury i struktur danych systemu Streamsoft Prestiż, ułatwiający orientację gdzie i jaki rodzaj danych jest przetwarzany. Wspomaga opracowanie strategii zabezpieczenia danych. Taka dokumentacja jest udostępniana przez autora systemu, czyli firmę Streamsoft, po wysłaniu prośby o dokumentację do serwisu firmy. Dane kontaktowe dostępne są na www.streamsoft.pl.

Anonimizacja danych

Anonimizacja standardowa Po wejściu w opcję, należy standardowo dodać proces anonimizacji, gdzie należy podać:
- Identyfikator – identyfikator operacji
- Źródło anonimizacji – określa jakie dane będą zanonimizowane. Standardowo są to: Pracownik, Kontrahent, Osoba kontaktowa, Operator.W systemie można również dodać własne źródło.Opis definiowania źródeł anonimizacji:
- Wiersz danych – wskazanie konkretnego wiersza danych, który zostanie zanonimizowany. System wywołuje okno słownika odpowiedniego dla tabeli ze „Źródła anonimizacji”
- Uwagi – dodatkowe pole do wpisania opcjonalnych uwag;

Po wypełnieniu danych i wybraniu opcji Anonimizuj, system dodatkowo zapyta użytkownika o potwierdzenie operacji:

Po zakończeniu operacji istnieje możliwość sprawdzenia w jaki sposób system zanonimizował rekord danych. Po wybraniu opcji „Pokaż dane źródłowe (Shift+F2)” uruchomione zostanie okno z wybranym kontrahentem/pracownikiem/osobą kontaktową/operatorem, gdzie można to sprawdzić.

Anonimizacja niestandardowa

Aby dokonać anonimizacji niestandardowych danych, należy najpierw zdefiniować nową procedurę definiowaną SQL o rodzaju „Anonimizacja danych”, następnie nowe źródło anonimizacji, a dopiero w ostatnim kroku przeprowadzić proces analogicznie jak pokazano wyżej.

Procedura definiowana dla anonimizacji niestandardowej

Taka procedura jest niezbędna do zdefiniowania nowego źródła anonimizacji. Odpowiada ona za zamazanie odpowiednich danych w bazie. Od autora procedury zależy jakie dane i w jaki sposób będą zanonimizowane. Procedura to inaczej przepis na zamazanie wybranego wiersza bazy danych i ewentualnych wierszy zależnych (np. anonimizując pracownika, zanonimizujemy także jego adres, czy członków rodziny – dane znajdują się bowiem w zależnych tabelach).

W systemie znajdują się już 4 predefiniowane procedury: „Anonimizacja danych kontrahenta”, „Anonimizacja danych operatora”, „Anonimizacja danych osoby kontaktowej” oraz „Anonimizacja danych pracownika”.

- Źródła anonimizacji

Źródło anonimizacji umożliwia zdefiniowanie źródła dla zamazania konkretnego wiersza bazy danych. Przy definiowaniu źródła należy wypełnić pola:

- Źródło – nazwa źródła
- Tabela danych – określa jaki wiersz danych jest wiodący dla anonimizacji. Nazwa tej tabeli skutkuje uruchomieniem odpowiedniego okna słownikowego
- Procedura anonimizacji – wskazanie na procedurę definiowaną rodzaju „Anonimizacja danych” (patrz wyżej)

przez Rafał Kozdęba