Dostosowanie procesów finansowych do wymogów RODO
Rozporządzenie ogólne o ochronie danych osobowych uchwalone przez Parlament Europejski i odnoszące się do podmiotów gospodarczych w krajach członkowskich UE wejdzie w życie 25 maja 2018 roku. Przyjrzyjmy się jego założeniom w odniesieniu do procesów finansowych.
RODO oczekuje, że dane osobowe będą gromadzone i przetwarzane zgodnie z najwyższym standardem bezpieczeństwa. Wymogi nowej regulacji wychodzą jednak daleko poza dyskrecję operacji.
Bezpieczeństwo systemu informatycznego
System przeznaczony do przetwarzania danych musi podlegać starannemu szyfrowaniu, co minimalizuje ryzyko potencjalnych naruszeń. Skoro jesteśmy przy systemie informatycznym, z którego korzysta więcej niż jedna osoba, musi on być zaprojektowany zgodnie z zasadami bezpieczeństwa – wytyczne RODO mają zostać uwzględnione już na etapie jego planowania, dostosowania i implementacji.
Zakresy uprawnień dostępowych
Uprawnienia dostępowe do danych powinny dokładnie odpowiadać realizowanym działaniom i nie wykraczać poza niezbędny zakres. W praktyce oznacza to przykładowo, że osoba wprowadzająca faktury do systemu może mieć dostęp do pełnych danych podmiotów partnerskich lub klientów, których dotyczą rozliczenia, ale już specjalista prowadzący bilans przychodów i rozchodów już nie musi, bo do podsumowań wystarczą mu tylko kwoty i numery rachunków.
Monitorowanie zabezpieczeń
Obowiązek monitorowania statusu bezpieczeństwa systemu także został uwzględniony w RODO. Administrator danych musi zgłosić potencjalne naruszenie do organu nadzorującego w ciągu 72h od jego zaistnienia, czyli powinien dysponować narzędziem, które takie naruszenie wykryje, zdiagnozuje i da znać, że coś jest nie tak.
Standard bezpieczeństwa nie został określony w formie szczegółów technicznych, a przytoczonych powyżej generalnych wymagań. To na ich podstawie należy poszukiwać narzędzia, które zapewni zgodność organizacji z RODO i pozwoli uniknąć kar przewidzianych Rozporządzeniem. A te mogą sięgnąć nawet 4% rocznego, globalnego przychodu lub 20 milionów euro. Nawet, jeśli te kwoty dotyczą jedynie największych, nie ma potrzeby narażać się na ryzyko.
Odpowiedź na RODO
Na rynku jest dziś wiele systemów, które po wdrożeniu praktycznie instant zapewniają zgodność z RODO i spokojny sen. Jednym z nich jest Microsoft Dynamics NAV, który posługuje się bezpiecznym, szyfrowanym połączeniem z centrum danych. Platforma obsługująca system opiera się na technologii Azure AD, która zapewnia bezpieczeństwo procedury uwierzytelniania danych osoby, która loguje się do systemu. Uprawnienia osób lub grup osób można swobodnie dostosowywać do bieżących potrzeb i zadań, modyfikując dostępy w czasie rzeczywistym. Możliwe jest również tworzenie zamkniętych baz danych i/lub osób związanych z określonymi celami, dzięki czemu ograniczamy ryzyko dostania się informacji w niepowołane ręce do absolutnego minimum.
„Wdrożenie takiego systemu wymaga czasu, bo potrafi zająć nawet kilka miesięcy. Jest to również inwestycja finansowa, ale warto zainwestować w bezpieczeństwo i przestrzeganie wytycznych Rozporządzenia” – przekonuje Paweł Krajewski, prezes Intersys sp. z o.o. – „System zapewnia też płynność i przejrzystość rozliczeń finansowych, łatwość zarządzania procesami i sprawną komunikację między działami w firmie.”
Co również istotne, Microsoft Dynamics NAV oferuje nam jeszcze jedną istotną kwestię w związku z wytycznymi RODO. Jego specyfikacja spełnia obowiązek rozliczalności określony w Rozporządzeniu. A ten oznacza, że każdy podmiot gospodarczy musi – na żądanie organu nadzorującego – wykazać zgodność swoich procedur z wytycznymi RODO.
Intersys