RODO (Rozporządzenie o Ochronie Danych Osobowych) – lub z angielskiego GDPIR (General Data Protection Regulation) – to rozporządzenie unijne, które od 25 maja 2018 roku obowiązuje we wszystkich krajach członkowskich.
Mechanizmy konfigurowania bezpieczeństwa haseł
Zapewniają one zgodność z wymogami rozporządzenia RODO pod względem tworzenia silnych haseł na odpowiednim poziomie bezpieczeństwa. Operatorzy systemu logując się do programu posiadają swoje indywidualne i niepowtarzalne loginy oraz hasła. Każdy operator przypisany jest do grupy użytkowników, która to grupa posiada definiowane prawa dostępu do danych i opcji w programie. Nadawaniem i odbieraniem takich uprawnień zajmuje się administrator systemy lub osoba posiadające uprawnienia do nadawania praw.
Hasła ustalane przy zakładaniu operatora bazy danych, można poddać regulacji w oparciu o opcję „Reguły haseł” dostępną w Module Administratora w menu „Słowniki”. Można w niej określić: okres ważności, minimalną długość hasła, czy nowe kolejne hasło ma być różne od poprzedniego, czy uwzględniać wielkość liter, oraz czy wymusić podanie cyfr i znaków specjalnych w haśle – parametr „Mocne hasło”.
Rejestry
Nowo wprowadzone poniższe rejestry i opcje w systemie Streamsoft Prestiż znajdują się w menu „System – Dane osobowe”. Dane zostały zebrane w 1 miejscu w celu łatwego ich używania.
Dodatkowo nowe słowniki na bazach już istniejących, mają zabrane prawo do uruchomienia, w systemie praw w „Module Administratora”.
Rejestr czynności przetwarzania danych osobowych
Zgodnie z rozporządzeniem ogólnym UE w sprawie ochrony danych osobowych, niemal każdy administrator musi prowadzić rejestr czynności przetwarzana danych osobowych. Jest to dokument, który ma pokazywać w szczególności w jakich procesach w organizacji są przetwarzane dane osobowe, w jakim celu, kogo dotyczą oraz jak są zabezpieczane. Dokument taki musi zostać udostępniony na każde wezwanie RODO. Celem prowadzenia ww. rejestru jest możliwości pełnienia nadzoru i monitorowania procesów przetwarzania danych osobowych przez organ nadzorczy. W systemie Streamsoft Prestiż w menu „System – Dane osobowe” znajduje się opcja „Rejestr czynności przetwarzania danych osobowych”. W tej opcji w standardowy dla Streamsoft Prestiż sposób, w odpowiednie pola należy wpisać informacje opisujące czynność przetwarzania danych osobowych. Rejestr ten pozwala na jednolity opis wszystkich procesów zachodzących w przedsiębiorstwie.
Rejestr upoważnień przetwarzania danych osobowych
Każdy administrator danych jest zobowiązany do prowadzenia dokumentacji opisującej środki bezpieczeństwa zapewniające ochronę przetwarzanych danych osobowych. Każdy pracownik, mający służbowy kontakt z danymi, powinien być umieszczony w takiej ewidencji. W ewidencji powinny znaleźć się wszelkie osoby, które wykonują jakiekolwiek operacje na danych osobowych, takie jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Będą to też praktykanci czy stażyści. Jeżeli osoba upoważniona do przetwarzania danych kończy zatrudnienie lub z innych względów trzeba jej cofnąć lub zmienić upoważnienie, to wpisujemy datę takiego cofnięcia w kolumnę „data ustania upoważnienia”. W systemie Streamsoft Prestiż w menu „System – Dane osobowe” znajduje się opcja „Rejestr upoważnień przetwarzania danych osobowych”. W tej opcji w standardowy dla Streamsoft Prestiż sposób, w odpowiednie pola należy wpisać informacje jakim osobom nadano dostęp do jakich danych. Spis rejestruje także cofnięcie dostępu.
Rejestr udostępnień danych osobowych
Administrator danych powinien posiadać ewidencję udostępniania danych osobowych na zewnątrz podmiotu, np. na żądanie uprawnionych organów (sądu, prokuratury, firmy ubezpieczeniowej), ale także firmom z którymi współpracuje (np. osoby wykonujące działalność gospodarczą). W takim rejestrze jest on zobowiązany do ewidencjonowania, komu i w jakich okolicznościach firma udostępniła dane osobowe, zarówno w zakresie danych klientów, jak i własnych pracowników lub osób współpracujących (np. biuro rachunkowe). Ewidencjonowane muszą być także wszystkie przypadki udostępniania danych wolontariuszom lub studentom. W systemie Streamsoft Prestiż w menu „System – Dane osobowe” znajduje się opcja „Rejestr udostępnień danych osobowych”. Dzięki takiemu rejestrowi Administrator danych posiada możliwość sprawnej lokalizacji podmiotów i osób, którym udostępniono dane oraz informacje o powodzie, a także na jaki okres nastąpiło udostępnienie.
Rejestr naruszeń przetwarzania danych osobowych
W przypadku naruszenia ochrony danych osobowych w przedsiębiorstwie, administrator danych bez zwłoki, w terminie 72 godzin po stwierdzeniu naruszenia, jest zobowiązany zgłosić takie naruszenie organowi nadzorującemu RODO. Zwolnienie z obowiązku zgłoszenia naruszenia, organowi nadzorczemu możliwe jest, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. W systemie Streamsoft Prestiż w menu „System – Dane osobowe” znajduje się opcja „Rejestr naruszeń przetwarzania danych osobowych”. Pozwala on w ustandaryzowany sposób zapisać ewentualne naruszenie przetwarzania danych wrażliwych, osoby której dane dotyczą oraz zaewidencjonować niezbędne dodatkowe informacje przydane przy naruszeniu.
Anonimizacja
RODO wprowadza nowy środek zabezpieczenia danych, tj. anonimizację. Anonimizacja polega na całkowitym usunięciu elementów identyfikujących osobę, przez co, mimo dołożenia rozsądnych starań, ustalenie jej tożsamości staje się niemożliwe. Anonimizacja pozbawia informację charakteru danych osobowych. W systemie Streamsoft Prestiż w menu „System – Dane osobowe” znajduje się opcja „Anonimizacja informacji”. Opcja pozwala dokonać anonimizacji dla wskazanych danych z systemu. Standardowo to Pracownik, Kontrahent, Osoba kontaktowa, Operator. Opcja umożliwia także zdefiniowanie anonimizacji niestandardowych danych osobowych dodanych do systemu w trakcie wdrożenia. Np. na etapie wdrożenia wprowadzono spersonalizowane rozwiązanie, które przetwarza i zachowuje dane osobowe w własnych tabelach w bazie danych firmy. Wbudowana w system Streamsoft Prestiż opcja anonimizacji posiada możliwość zdefiniowania także anonimizacji takich danych osobowych.
Metoda i czas pozyskania danych osobowych
Przy wprowadzaniu danych osobowych w systemie Streamsoft Prestiż można zarejestrować informację o źródle i dacie pozyskania wszystkich danych osobowych, do których firma zyskuje dostęp. Pozwala to poinformować właścicieli danych jak i kiedy zostały one nabyte. W słownikach kontrahentów, osób kontaktowych czy pracowników znajdują się pola „Źródło pozyskania danych” oraz „Data pozyskania danych”. Dla kontrahenta można w konfiguracji ustalić domyślne wartości przy dodawaniu nowych danych „Ustawienia – Kontrahent – Wartości domyślne – Źródło pozyskania danych wrażliwych”. Słownik znajduje się w menu „System – Dane osobowe”.
Rejestr działań operatorów systemu
W systemie Streamsoft Prestiż prowadzony jest rejestr działań operatorów na wszelkich danych osobowych zaewidencjonowanych w systemie. Tylko operatorzy posiadający uprawnienia administratora lub mający nadane uprawnienia do przeglądania rejestru operacji, mogą takie dane przeglądać. W oknach słownikowych „Kontrahenci”, „Osoby kontraktowe” i „Pracownicy” stojąc na wybranym rekordzie, po wybraniu z menu opcji „Rejestr operacji”, można zobaczyć jakie operacje przeprowadzono z tymi danymi. Dodatkowo w „Module administratora” w opcji „Rejestry – Rejestr operacji”, osoby z uprawnieniami, posiadają możliwość zbiorczego przeglądania operacji przeprowadzonych na wyżej wspomnianych danych osobowych.
Definiowanie uprawnień dla operatorów
Opcja systemowa w Streamsoft Prestiż, która pozwala określić do jakiego poziomu danych osobowych w systemie, posiada dostęp dany operator, oraz do jakich działań z związanych z nimi jest uprawniony. Takie nadawanie uprawnień odbywa się w „Module administratora” w opcji „Słowniki – Grupy operatorów – Prawa do opcji (Ctrl+P)”. Struktura danych i zależności operacji przedstawiono w postaci drzewa. Operator używając opcji „Daj prawo” lub „Zabierz prawo” ustala zakres dostępności do opcji i operacji dla grupy operatorów. Taką grupę operatorów następnie łączy się z użytkownikiem przy dodawaniu nowego lub łączy się z już istniejącym operatorem.
Pseudonimizacja
RODO wprowadza również pojęcie pseudonimizacji, które oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie, której one dotyczą, bez użycia dodatkowego „klucza”. Mówiąc prościej, to użycie zamiast np. imienia i nazwiska – liczby albo dowolnego ciągu znaków. Wymóg jest jeden, klucz z właściwymi danymi do odszyfrowania powinny być przechowywane osobno. Dzięki czemu nawet jeśli doszłoby do wycieku, osoba nieupoważniona niewiele by się z tych danych dowiedziała. W systemie Streamsoft Prestiż pseudonimizację zrealizowano w taki sposób, że nieupoważnionym użytkownikom, w miejsce wybranych danych osobowych prezentowany jest ciąg znaków „######”. Np. w miejsce imienia i nazwiska wyświetlany jest ciąg ######.
Cele i zgody przetwarzania danych osobowych
Cele i zgody przetwarzania danych osobowych kontrahenta to opcje umożliwiające określenie zgód i celów posiadania danych kontrahenta, wydruk „Klauzuli informacyjnej przetwarzania danych osobowych” dla kontrahenta, oraz określenie, czy i kiedy takie dane są przeterminowane. Zaimplementowane rozwiązanie składa się z słownik systemowego wraz z opcjami w słowniku kontrahentów.