25 maja 2018 rozpocznie się egzekwowalność Rozporządzenia o Ochronie Danych Osobowych przyjętego przez Parlament Europejski i Radę UE w kwietniu 2016 roku. Nowa regulacja dotyczy każdego przedsiębiorstwa, instytucji i osoby, która w swojej działalności wykorzystuje i przetwarza informacje dotyczące osób.
Przetwarzanie danych osobowych w świetle przepisów RODO stanie się ściśle regulowane pod względem celowości, niejawności i sposobów korzystania z informacji. Szczególny nacisk położony został na aspekt rozliczalności z uprawnień dostępowych do wykorzystywanych danych oraz wykrywalności potencjalnie zaistniałych naruszeń.
Personalizacja dostępów
Rozporządzenie o Ochronie Danych Osobowych narzuca ograniczenie dostępu do przetwarzanych informacji wyłącznie do minimalnego grona osób, których obowiązki służbowe bezwzględnie wymagają ich wykorzystania. Uprawnienia muszą być precyzyjnie określone i dotyczyć dokładnie tych elementów i użytkowników, które są wykorzystywane w konkretnym celu.
W osiągnięciu takiego stanu rzeczy znakomicie pomoże nowoczesny system klasy CRM, który pozwala na indywidualne przyznawanie uprawnień dostępowych w odniesieniu do konkretnych grup materiałów zgromadzonych w systemie. Wgląd w informacje nadawany jest imiennie i w odniesieniu do konkretnego celu przetwarzania danych. System oferuje również możliwość swobodnej manipulacji dostępami oraz kontroli dokonanych modyfikacji danych. Funkcjonalności te zapewniają wypełnienie zasady celowości oraz rozliczalności dostępu do informacji.
Informacja pod kontrolą
RODO nakłada obowiązek sprawowania pełnej kontroli nad informacją, jej statusem oraz miejscami przechowywania, jak również łatwego odszukania dowolnej danej osobowej w razie potrzeby i jej sprawnej modyfikacji bądź usunięcia. Taka organizacja procesu zarządzania informacją pozwala na spełnienie wymogu rozliczalności i realizację obowiązków informacyjnych wobec podmiotów, których dane są przetwarzane.
Zgodność z RODO w tym, pozornie trudnym do realizacji zakresie, jest łatwa do osiągnięcia. Narzędzia IT zawarte w pakietach Microsoft Office 365 umożliwiają automatyczną analizę danych w ramach wielu struktur przechowywania i błyskawiczne wychwytywanie wszystkich rekordów związanych z konkretnym kontaktem. Jest to szczególnie istotna funkcjonalność w razie konieczności natychmiastowego usunięcia bądź zmodyfikowania informacji. Pozwalają również na definiowanie parametrów przetwarzania danych wrażliwych, przypisywanie użytkownikom ról opartych na indywidualnych uprawnieniach i generowanie raportów dotyczących ich bieżącego statusu. Takich możliwości dostarcza narzędzie eDiscovery.
Z kolei Azure Information Protection pozwala na klasyfikowanie danych na podstawie ich statusu poufności, jednocześnie stale skanując zgromadzone dane i dokumenty, chroniąc je. AIP dostarcza również możliwości szyfrowania informacji.
Obsługa zgłoszeń
Obowiązkiem narzucanym przez RODO jest również reagowanie na zgłoszenia związane z przetwarzaniem danych osobowych, które wpływają ze strony klientów lub partnerów biznesowych. Mogą to być zarówno zapytania i prośby dotyczące przechowywanych informacji oraz celów ich przetwarzania, jak również reklamacje odnośnie faktu i zakresu operacji związanych z danymi, a także zawiadomienia o naruszeniach bezpieczeństwa informacji. Rozporządzenie precyzyjnie określa czas reakcji na każdy z rodzajów zgłoszeń.
System pozwala na pełną obsługę zgłoszeń związanych z przetwarzaniem danych osobowych. Umożliwia przyjmowanie i rejestrowanie złożonych zapytań związanych z administrowaniem informacjami. Przypisywanie zadań indywidualnie do użytkowników usprawnia zarządzanie realizacją zgłoszeń i ułatwia sprawowanie kontroli nad zachowaniem zgodności z wytycznymi RODO nawet w przypadku wielu jednoczesnych zgłoszeń.
Notyfikacje o zdarzeniach
Wytyczne Rozporządzenia nakazują stałe monitorowanie uprawnień dostępowych do informacji, modelu korzystania z nich oraz aktualnego stanu bezpieczeństwa przechowywanych danych. Wszelkie naruszenia powinny być natychmiast wychwytywane, analizowane i neutralizowane. Obowiązkiem stanie się również rejestracja wszystkich potencjalnych zagrożeń dla przechowywanych informacji.
RODO poza systemem
Oprócz wytycznych, które są możliwe do zrealizowania dzięki wykorzystaniu narzędzi informatycznych, osiągnięcie zgodności z RODO wymaga oczywiście także wprowadzenia odpowiednich procedur i dostosowania operacyjnej działalności przedsiębiorstwa do wytycznych Rozporządzenia.
RODO w systemie
Pod względem systemów informatycznych do spełnienia wytycznych Rozporządzenia o Ochronie Danych Osobowych warto skorzystać z kombinacji Microsoft Dynamics 365 for Customer Service oraz narzędzi Microsoft Office 365 ze szczególnym uwzględnieniem eDiscovery oraz Azure Information Protection.