RODO – o wdrażaniu systemu bez narażania się na kary

Za niewiele ponad rok wejdzie w życie unijne rozporządzenie o ochronie danych osobowych (RODO). Jeśli myślimy o wdrożeniu nowego systemu IT w najbliższym czasie lub rozważamy aktualizacje czy zmiany w dotychczasowym, jest to najwyższa pora, żeby zastanowić się, czy nasz CRM spełnia (i czy będzie spełniał) założenia unijnego rozporządzenia oraz polskiego prawa. Bo 25 maja 2018 roku musimy być gotowi.

Ogólne Rozporządzenie o Ochronie Danych Osobowych w UE

Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO) w UE wraz z dyrektywą w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych zostały przyjęte rok temu przez Parlament Europejski. Powodem ich powstania była potrzeba ujednolicenia poziomu ochrony danych w krajach Wspólnoty. Najważniejsze dla firm informacje, które określa RODO:

  • warunek wyrażenia zgody na przetwarzanie danych prywatnych,
  • prawo do przenoszenia danych w całości do innego usługodawcy,
  • konieczność zawiadomienia właściciela danych osobowych o naruszeniu ich ochrony w terminie do 72 godzin oraz powiadomienia o zaistniałym naruszeniu Generalnego Inspektora Ochrony Danych Osobowych,
  • obowiązek transparentności procesów przetwarzania danych wobec osób, których one dotyczą,
  • wysokie kary pieniężne za nieprzestrzeganie przepisów ujętych w RODO (do 4% całkowitego rocznego, światowego obrotu naszego przedsiębiorstwa).

Tym samym, RODO:

  • zwiększa nacisk na zapewnienie bezpieczeństwa baz danych,
  • poszerza katalog praw osób, których dane są przechowywane,
  • nakłada nowe obowiązki na administratorów (czyli nas) oraz kary za niewywiązanie się z nich.

Dane osobowe a polskie prawo

Już teraz prawo do prywatności i ochrony danych osobowych jest gwarantowane przez polskie prawo. Nasz klient ma możliwość uzyskania informacji o tym, jakie dane do niego należące są przetwarzane, może również je edytować. Na administratorze systemu spoczywa obowiązek stworzenia wewnętrznych procedur dla zapewnienia bezpieczeństwa informacji, jak i pozyskania zgody na ich przetwarzanie. Dba o to Konstytucja RP i Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Od 2018 roku Rozporządzenie Parlamentu Europejskiego rozszerzy zakres ochrony danych osobowych, jak i nasze – czyli Administratorów – obowiązki wobec klientów. Warto już teraz zacząć się do tego przygotowywać, bo z jednej strony do 25 maja 2018 pozostał nam nieco ponad rok i ta data wydaje się komfortowo odległa, ale z drugiej – od tego dnia włącznie procedury ochrony danych osobowych w naszej firmie muszą być zgodne z RODO, a przystosowanie systemu do szczegółowych wymogów Rozporządzenia zajmie nam trochę czasu.

Wdrażając system służący do gromadzenia i analizowania danych o naszych klientach, musimy mieć pewność, że dane będą:

  • bezpieczne,
  • przetwarzane zgodnie z prawem (a przetwarzanie oznacza również gromadzenie danych, nawet jeśli dane zgromadzone są w zakurzonym segregatorze w archiwum w piwnicy koło pomieszczenia technicznego),
  • modyfikowane i usuwane na żądanie osoby, której dotyczą (prawo do bycia zapomnianym),
  • pozyskane za zgodą osoby, której dotyczą,
  • przetwarzane zgodnie z wyrażonym pozwoleniem (bo zgoda na przetwarzanie danych w celach marketingowych to jedno, a zgoda na przekazywanie danych firmom trzecim to inna sprawa).

21.1

Wymagania wobec systemu

Wśród oczekiwań wobec systemu (czy to w postaci usystematyzowanego zapytania ofertowego, czy wyrażonych w trakcie spotkania sprzedażowego) znajdują się pytania o zgodność z Ustawą o ochronie danych osobowych z 1997 roku oraz możliwość ograniczenia wglądu w dane w zależności od roli w firmie. O ile zgodność z ustawą nie może być bezpośrednio i wyłącznie realizowana przez system, i w dużej mierze zależy od polityki naszej firmy, o tyle ograniczenie dostępu do danych w systemie to jedna ze stałych części wdrożenia systemu.

Dostęp do danych w CRM

Dynamics 365 (CRM) to system, do którego dostęp mają osoby (lub urządzenia) o odpowiednich licencjach  i uprawnieniach.  Naszą rolą jest zadbanie o to, aby uprawnienia użytkownika:

  • korespondowały z jego licencją (musimy je określić na podstawie licencji, bo uprawnienia nie są determinowane wprost przez licencję),
  • były zgodne z wewnętrzną polityką firmy.

Osoby bez uprawnień nie mają możliwości zalogowania się do systemu i nie zobaczą danych w nim przechowywanych. Nie będą mogli tych danych przetwarzać ani edytować. Nasze dane pozostają bezpiecznie na naszym serwerze (jeśli optujemy za wersją On-Premises) lub w Centrum danych Microsoft (jeśli optujemy za wersją Online).

Bezpieczeństwo danych w Centrum danych Microsoft

Dane przechowywane w Dynamics 365 Online znajdują się na serwerach umieszczonych w jednym z centrów danych Microsoft. Technologiczny gigant zapewnia bezpieczeństwo informacji zarówno w kontekście dostępu do nich, jak i zapobiegania ich utracie oraz nieautoryzowanemu rozpowszechnianiu.  Aby centrum danych mogło przechowywać dane Dynamics 365, musi przejść kompleksowy proces certyfikowania.

21.2

Bezpieczeństwo danych na wewnętrznym serwerze

Rozwiązania chmurowe wzbudzają w nas wciąż pewne obawy i nierzadko decydujemy się na rozwiązanie On-Premises – instalujemy system na własnych serwerach. Za bezpieczeństwo naszych serwerów odpowiadamy sami. To, czy utworzymy kopie zapasowe oraz opracujemy plan odzyskiwania danych w razie katastrofy, zależy wyłącznie od nas.

Niezależnie od tego, gdzie instalujemy nasz system, Dynamics 365 wyposażony jest w mechanizmy monitorowania logowań, przepływu danych, ich statusu. Pozwala nam na inspekcję zmian w systemie – administrator systemu w każdej chwili może włączyć i wyłączyć monitorowanie modyfikacji. Dzięki temu, w każdej chwili będziemy mogli sprawdzić, kto dokonał zmian. Zyskamy możliwość szybkiej reakcji na nadużycia w firmie.

21.3

Bezpieczeństwo danych w naszej firmie – czyli kto co widzi

Bezpieczeństwo danych to nie tylko zapewnienie, że do bazy (lub jej części będą miały dostęp osoby do tego uprawnione, czyli nasi współpracownicy. To również dbałość o to, aby informacje szczególnie wrażliwe czy finansowe (jeśli ich przetwarzanie jest konieczne w naszym przedsiębiorstwie) były dostępne tylko dla tych, którym jest to niezbędne do pracy. System Dynamics 365 jest wyposażony w mechanizmy pozwalające nam na określenie, które dane maja być widoczne dla wszystkich, a do których danych dostęp będą mieli odpowiedni użytkownicy.

21.4

Do danych klienta bardzo często dostęp musi mieć wiele osób z różnych działów. Chcemy, aby zarówno osoby zajmujące się zamówieniami i wystawianiem faktur dla klienta, jak i ci odpowiedzialni za bezpośrednią komunikacje z nim widzieli jego podstawowe informacje. Ale pamiętajmy, że Kasia z księgowości nie musi widzieć, jak na kampanie marketingową zareagował pan Jan. Dla niej najważniejsza informacja to fakt, czy klient dokonał płatności na czas i jakie jest jego saldo. Natomiast Marek z marketingu nie powinien wiedzieć, że pan Jan nie zapłacił ostatniej faktury w terminie. On chce wiedzieć, czy pan Jan otworzył maila z newsletterem.

Dlaczego warto wcześniej przystosować się do RODO?

Przede wszystkim, zapewnimy sobie spokój. Unikniemy kar finansowych (w skrajnych przypadkach nawet 4% globalnego, rocznego przychodu naszej firmy lub do 20 milionów euro). Zyskamy przewagę nad konkurencją, która zwleka ze zmianami. Zapewnimy naszym klientom obsługę na najwyższym poziomie i unikniemy ich retencji w wyniku niezadowolenia z powodu metod przechowywania danych.