Streamsoft gotowy na RODO !


Już od maja zmiany w ochronie danych osobowych

Streamsoft gotowy na RODO !


Już od maja zmiany w ochronie danych osobowych

RODO w pigułce

RODO (Rozporządzenie o Ochronie Danych Osobowych) ­- lub z angielskiego GDPR (General Data Protection Regulation) – to rozporządzenie unijne, które od 25 maja 2018 roku będzie obowiązywać we wszystkich krajach członkowskich.

  • Po co nowe przepisy?
  • Kogo dotyczy RODO?
  • Jakie będą zasady przetwarzania danych?
  • Jakie uprawnienia mają podmioty, których dane są przetwarzane?
  • Jakie ogólne powinności kładzie RODO na przedsiębiorców?
  • Jak przygotować firmę do wejścia w życie rozporządzenia?

Po co nowe przepisy?

Systemy ustawodawcze krajów członkowskich wspólnoty bardzo różnie regulowały przepisy dotyczące ochrony danych. Nie istniały wytyczne gwarantujące jednolity stopień ochrony danych na terenie całej UE, a ten brak spójności i przejrzystości negatywnie odbijał się choćby na gwarancji swobodnego przepływu pracy i ludzi między członkami unii. Stąd ujednolicenie przepisów stało się oczywistą koniecznością. W założeniu pomysłodawców to właśnie RODO ma gwarantować równorzędny stopień ochrony danych osobowych w całej UE.

Kogo dotyczy RODO?

Przepisy dotyczą wszystkich podmiotów, które w związku z prowadzoną działalnością przetwarzają dane osobowe. Niezależnie od ich wielkości, skali działania i formy prawnej. Tu warto jednocześnie zaznaczyć, że rozporządzenie wskazuje na zasady wg których dane mają być chronione, ale już nie na konkretny sposób tej ochrony. Innymi słowy, nowe przepisy nie dają gotowych rozwiązań, które mają być zastosowane w celu wdrożenia nowych zasad prawnych.

Jakie będą zasady przetwarzania danych?

Dokument RODO wskazuje na pewne podstawowe zasady, którymi trzeba kierować się przetwarzając dane. Wyróżnia się ich siedem:

  1. Zasada minimalizacji danych

Przetwarzanie należy ograniczyć do niezbędnego minimum. Rodzaje zbieranych danych mają odpowiadać jasno określonym celom. Ponadto należy je okresowo – zgodnie z ustalonym terminarzem – przeglądać i usuwać.

  1. Zasada integralności i poufności

Przetwarzanie musi się odbywać w sposób gwarantujący bezpieczeństwo. Dane muszą być odpowiednio chronione przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą czy zniszczeniem.

  1. Zasada zgodności z prawem, rzetelności i przejrzystości

Przetwarzanie musi odbywać się zgodnie z prawem i rzetelnie. Do tego zawsze w sposób przejrzysty dla osoby, której dane dotyczą.

  1. Zasada ograniczenia celu przetwarzania danych

Dane muszą być zbierane w konkretnych i prawnie uzasadnionych celach. Nie mogą też być przetwarzane dalej w sposób niezgodny z tymi celami.

  1. Zasada prawidłowości danych

Zgodnie z nią muszą być zapewnione wszelkie działania, by dane które były stale prawidłowe i aktualne. Te, które nie są prawidłowe w kontekście celów ich przetwarzania, powinny być od razu skorygowane lub usunięte.

  1. Zasada ograniczenia przechowania danych

Dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą i nie mogą być przechowywane dłużej niż jest to niezbędne do celów, w których są one przetwarzane. Zezwala się na dłuższe przechowanie tylko w celach archiwalnych w interesie publicznym, do badań naukowych lub historycznych, a także w celach statystycznych (ale także tylko pod warunkiem wdrożenia środków technicznych i organizacyjnych w celu ochrony praw tych, których dotyczą).

  1. Zasada rozliczalności

Podług niej administrator danych musi być w stanie wykazać w toku kontroli, że podejmowane przez niego działania są zgodne ze wszystkim powyższymi zasadami.

Jakie uprawnienia mają podmioty, których dane są przetwarzane?

By pozostać w zgodzie z rozporządzeniem należy zwrócić szczególną uwagę na uprawnienia, jakie na mocy rozporządzenia posiadają podmioty fizyczne, których dane osobowe podlegają gromadzeniu i przetwarzaniu. Spore znaczenie mają:

  • prawo do bycia zapomnianym (usunięcie danych z systemów)
  • prawo do przeniesienia danych do innego podmiotu
  • prawo do sprzeciwu wobec przetwarzania danych
  • prawo do uzupełniania i żądania korekty danych

Ma to ogromne znaczenie ze względu na fakt, iż w zamyśle ustawodawcy cała filozofia RODO opiera się na przekonaniu, że podmioty przetwarzające dane powinny widzieć je nie tylko w kategorii wartości czy źródła przychodu, ale przede wszystkim z perspektywy poszanowania prawa do prywatności.

UWAGA! Ten duch prawa podparty jest realnymi sankcjami. Nieprzestrzeganie ustaleń rozporządzenia grozi nałożeniem kary administracyjnej nawet w wysokości 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu firmy z poprzedniego roku (zastosowanie ma wyższa kwota).

Jakie obowiązki kładzie RODO na przedsiębiorców?

  • Budowa systemu ochrony danych zgodnie z wymogami RODO

Przedsiębiorstwa nie będą już musiały rejestrować w GIODO swoich baz danych. Będą natomiast miały obowiązek zbudowania systemu ochrony danych osobowych zgodnie z wymogami RODO. Musi on uwzględniać 3 główne zasady:

privacy by design – „prywatność od podstaw”; ochrona danych ma być wbudowywana w produkt/usługę już na etapie ich projektowania

privacy by default – „prywatność domyślna”; ochrona ma być aktywna domyślnie, bez potrzeby podejmowania dodatkowych działań ze strony osoby, której dotyczy

privacy impact assessment – „ocena wpływu na prywatność”; wg tej zasady administrator ma obowiązek dokonywać oceny procesu przetwarzania danych dla ich ochrony. Ocena taka ma uwzględniać: charakter, zakres, kontekst, cel przetwarzania oraz wykorzystaną technologię.

  • Inspektor Ochrony Danych (w firmach pow. 250 osób)

Wymóg jego zatrudnienia będą miały firmy o liczbie pracowników powyżej 250. Zastąpi on dotychczasowego Administratora Bezpieczeństwa Informacji. Będzie miał za zadanie stałą kontrolę nad zgodnością prowadzonych działań z prawem, na nim będzie też ciążyć obowiązek kontaktów z Urzędem Ochrony Danych Osobowych. Inspektorem może zostać zarówno pracownik firmy (także wcześniejszy ABI), zespół osób pod kierownictwem, jak i osoba z zewnątrz.

  • Przygotowanie zaplecza technicznego i proceduralnego

Ogólnie rzecz ujmując nowe zasady wymagają dostosowania do nich całego środowiska pracy i procedur działania. Począwszy od sposobu przechowywania dokumentacji papierowej, przez tą zgromadzoną na nośnikach przenośnych, po środowisko IT. Bez właściwego zaplecza nie da się w pełni  zagwarantować zgodność z RODO. Streamsoft – jako producent oprogramowania dla biznesu – jest gotowy na wprowadzenie mechanizmów wspomagających w swoje produkty w zakresie, który dotyczy możliwości technicznych związanych z wypełnianiem obowiązków RODO

Jak przygotować firmę do wejścia w życie rozporządzenia?

Wskazaliśmy na najczęstsze kwestie, z którymi firmy spotkają się przy wdrożeniu RODO. Zaznaczmy jednak raz jeszcze, że rozporządzenie określa ramy, a nie konkretnie właściwe dla danej firmy działania. Z czego to wynika?

Otóż każde przedsiębiorstwo ma swoją odrębną specyfikę, która wyraża się w odmiennych procesach i procedurach obecnych w związku z przetwarzaniem danych osobowych. To właśnie od tej specyfiki zależy w jakim zakresie działać i jakie środki zapewnić, by w pełni spełnić wymagania RODO.

Jeśli – mimo zgłębienia treści rozporządzenia – kierownictwo i management firmy mają problem z ustaleniem wytycznych, warto rozważyć współpracę ze specjalistyczną firmą wdrożeniową, która posiada ekspercką wiedzę oraz doświadczenie w budowaniu systemów ochrony danych osobowych. Po przeprowadzeniu audytu, pomoże ona w pełni przygotować całość struktury firmy na wejście w życie nowych przepisów.

W produktach Streamsoft znajdziesz mechanizmy pomocne w wypełnianiu zobowiązań wynikających
z rozporządzenia RODO:

Mechanizmy konfigurowania bezpieczeństwa haseł

zapewniają zgodność z wymogami rozporządzenia RODO pod względem tworzenia silnych haseł na odpowiednim poziomie bezpieczeństwa

Rejestr czynności przetwarzania danych osobowych

zezwala na jednolity opis wszystkich procesów – czynności zachodzących
w przedsiębiorstwie – w których obecne są dane wrażliwe

Rejestr upoważnień przetwarzania danych osobowych

umożliwia utworzenie spisu jakim osobom nadano dostęp do jakich danych. Spis rejestruje także cofnięcie dostępu

Rejestr udostępnień danych osobowych

czyli możliwość sprawnej lokalizacji podmiotów i osób, którym udostępniono dane oraz informacje o powodzie, a także na jaki okres nastąpiło udostępnienie

Rejestr naruszeń przetwarzania danych osobowych

pozwala zapisać ewentualny wyciek danych wrażliwych, o których właściciel danych i organ państwowy muszą być powiadomieni w ciągu 72h

Anonimizacja informacji

czyli mechanizm, który umożliwia trwałe zamazanie danych osobowych w bazie. Odbywa się ono na żądanie osoby uprawnionej, pod warunkiem zgodności
z prawem

Metoda i czas pozyskania danych osobowych

rejestrowanie informacji o źródle i dacie pozyskania wszystkich danych osobowych, do których firma zyskuje dostęp. Pozwala informować właścicieli danych jak i kiedy zostały one nabyte

Rejestr działań operatorów systemu

umożliwia prowadzenie ewidencji wszystkich działań, jakich dokonują operatorzy systemu w zakresie przetwarzania danych osobowych,
np. jakich zmian czy wydruków dokonali

Definiowanie uprawnień dla operatorów

pozwala określić do jakiego poziomu danych osobowych w systemie posiada dostęp dany operator oraz do jakich działań z związanych z nimi jest uprawniony

Dokumentacja struktur danych, architektury i komponentów systemu

opis architektury i struktur danych systemu, ułatwiający orientację gdzie i jaki rodzaj danych jest przetwarzany, wspomaga opracowanie strategii zabezpieczenia

Umów bezpłatną prezentację systemu

Umów się z naszym konsultantem na bezpłatną prezentację systemu ERP.

Przedstawimy oferowane przez nas rozwiązania, dobrane pod kątem specyfiki branży, w której działa firma. Prezentacja jest jedną z najbardziej efektywnych form uzyskania informacji o możliwościach systemu ERP i korzyściach po jego wdrożeniu.

Wypełnij poniższy formularz:

Informacje o firmie

Nazwa firmy Branża Miejscowość

Dane kontaktowe

Imię i nazwisko Numer telefonu

Twoich danych użyjemy tylko do kontaktu z Tobą.

Dodatkowe informacje

W polu poniżej możesz zostawić wiadomość dla naszego konsultanta.


Chcę otrzymywać informacje marketingowe i merytoryczne dotyczące produktów Streamsoft z wykorzystaniem: adresu e-mailnumeru telefonu



Obowiązek informacyjny wynikający z RODO:
Administrator Danych | Uzyskanie informacji o przetwarzaniu danych osobowych | Pozyskanie danych i cel ich przetwarzania | Odbiorcy danych | Czas przechowywania danych | Uprawnienia w zakresie przetwarzanych danych i dobrowolność podania danych | Przetwarzanie danych osobowych w sposób zautomatyzowany |