Płace w firmie

» wyszukiwanie zaawansowane
Aby skorzystać
z pełnej wersji serwisu
Jeśli już jesteś naszym czytelnikiem zaloguj się

Numery on-line

Numer 188 - sierpień 2018 r.

Jak dostosować do RODO system informatyczny obsługujący działy kadrowo-płacowe

Jedną z najistotniejszych zmian wprowadzonych 25 maja 2018 r. jest uszczelnienie ochrony danych. Z powodu  postępującej cyfryzacji dotychczasowa ustawa nie dawała już bowiem pełnej gwarancji dostatecznej ochrony. Wymusza to na przedsiębiorcach konieczność zmian w istniejących w firmie systemach informatycznych.

Przepisy RODO są elastyczne w zakresie wymogów technicznych związanych z ochroną danych. Znajduje się tam jedynie zalecenie dotyczące wdrażania, w zależności od konkretnego przypadku, pewnych środków technicznych i organizacyjnych, które zapewniają stopień bezpieczeństwa odpowiadający zarządzanemu ryzyku. Należy do nich:

  • pseudonimizacja i szyfrowanie danych osobowych,
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzania.

Do operacji przetwarzania danych, które mogą według RODO przykładowo powodować wysokie ryzyko ich przetwarzania, zalicza się operacje, w ramach których zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia.

W praktyce to administrator danych odpowiada za ich bezpieczeństwo i powinien on wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, Co więcej, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, powyższe środki mają objąć wdrożenie przez administratora odpowiednich polityk ochrony danych.

Ustawodawca nie przewiduje uszczegółowienia wymogów bezpieczeństwa w innych aktach prawnych. Sprawdźmy zatem, jakie  mechanizmy będą niezbędne w systemie informatycznym obsługującym działy kadrowo-płacowe w przedsiębiorstwie.

Samodzielnie

Przedsiębiorcy muszą sami znaleźć odpowiednie rozwiązania organizacyjne i techniczne, które zapewnią należyte przechowywanie i ochronę danych osobowych. Dotychczas katalog warunków przechowywania danych określał ustawodawca, teraz warunek jest jeden – muszą być one zgodne z zasadami wynikającymi z RODO.

Starannie

RODO nakłada na przedsiębiorców wymóg należytej staranności.

Przewidująco

Nowe przepisy nakładają na przedsiębiorców obowiązek wprowadzenia mechanizmów, które umożliwią ocenę tego, co się stanie, jeżeli ktoś się włamie do systemu, ukradnie dane i posłuży się nimi.

Co to oznacza w praktyce

Rozszerzone obowiązki administratora danych i  rozszerzone prawa osób, których dane osobowe są przekazywane, wymagają w zakresie systemów informatycznych:

  • zweryfikowania wewnętrznych procesów pod kątem bezpieczeństwa informacji,wdrożenia odpowiedniej infrastruktury informatycznej oraz
  • przeszkolenia pracowników mających dostęp do danych osobowych.

Audyt

Wszystkie firmy zatrudniające co najmniej 250 osób oraz podmioty przetwarzające dane wrażliwe, a także wszystkie podmioty przetwarzające dane w sposób inny niż sporadyczny, sązobowiązane do prowadzenie rejestru czynności przetwarzania.

KONTROLA W FIRMIE

W tym celu wskazane jest dokonanie  audytu dotyczącego przechowywania, przetwarzania i ochrony danych osobowych, który odpowie na pytania:  jakie dane osobowe są przetwarzane, na jakiej podstawie prawnej, czy i komu są udostępniane, jak są zabezpieczane itp.

Przeglądowi muszą podlegać komputery i systemy informatyczne. Należy dokonać oceny, czy obecny poziom bezpieczeństwa systemu IT jest wystarczający, aby zapewnić ochronę przed nieuprawnionym przetwarzaniem i utratą danych. Sieć musi być tak przygotowana, żeby uniemożliwiała uszkodzenie, nieuprawniony dostęp, rozprowadzanie złośliwych kodów czy kradzież danych osobowych.

Plan postępowania w przypadku incydentów związanych z naruszeniem danych osobowych 

Nowym obowiązkiem wprowadzonym do ustawy przez rozporządzenie unijne jest zgłaszanie do właściwego organu nadzoru (Prezes UODO) incydentów związanych z naruszeniem danych osobowych w ciągu 72 godzin od chwili wydarzenia.

 

KONTROLA W FIRMIE

W firmie powinien istnieć przejrzysty plan reagowania na takie incydenty, aby zgłaszanie przebiegało szybko i sprawnie. Plan powinien zawierać szczegółową dokumentację opisującą procesy i procedury postępowania oraz sposoby komunikowania o incydentach.

Należy pamiętać, że  przedsiębiorstwo  ma obowiązek powiadomienia o wycieku osobę, której dane osobowe zostały naruszone, zwłaszcza w przypadku  cyberprzestępstwa, np. ataku hakerskiego a niedopełnienie tego obowiązku może  skutkować karą  finansową.

Użytkowanie systemu

  • Regularna  ocena   skuteczności systemów  IT Administrator danych osobowych (ADO) ma obowiązek regularnego monitorowania  skuteczności środków technicznych pod względem bezpieczeństwa danych, jeśli rodzaj przetwarzania, w tym stosowana technologia, mogłyby spowodować ryzyko naruszenia prywatności. To oznacza, że przedsiębiorstwa muszą wprowadzić mechanizmy, które umożliwią ocenę tego, co się stanie, jeżeli ktoś się włamie do systemu, ukradnie dane i posłuży się nimi.  

W przypadku utraty nośnika z danymi, firma musi być udowodnić, że  dane i systemy są bezpieczne. Chodzi zwłaszcza o takie środki jak szyfrowanie uniemożliwiające osobom nieuprawnionym dostęp do danych osobowych.

Bezpieczne przetwarzanie

Jak bezpiecznie przetwarzać dane osobowe?Administrator danych powinien sam zaprojektować politykę bezpieczeństwa uzależnioną od czynności przetwarzania, których dokonuje. Warto jednak uwzględniać wskazówki znajdujące się  w art. 32 RODO, który podpowiada przykładowe rozwiązania:

- pseudonimizacja – przetwarzanie danych osobowych w taki sposób, aby nie można było przypisać ich konkretnej osobie, której dotyczą, bez użycia dodatkowych informacji (pod warunkiem jednak, że takie informacje są przechowywane osobno i objęte są środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej osobie fizycznej) i szyfrowanie danych osobowych;

- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

- zdolność do szybkiego przywrócenia dostępności danych i dostępu do nich w razie incydentu fizycznego lub technicznego,

- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

Rozszerzone prawa osób a dostosowanie systemów IT

Zmiany dotyczące rozszerzonych praw osób, które udostępniły swoje dane, wiążą się z koniecznością zmian w systemach informatycznych, których aktualizacja i dostosowanie może pociągać dodatkowe koszty.  System informatyczny musi być przygotowany do nowych wymogów jak:

  • realizacja prawa do „bycia zapomnianym”,
  • realizacja  prawa do przeniesienia danych,
  • zapewnienie takiej konfiguracji systemów, która domyślnie zapewnia ochronę danych.

Realizacja prawa do „bycia zapomnianym

Osoba ma prawo zażądać od administratora niezwłocznego usunięcia jej danych, w przypadkach określonych w RODO.

 

KONTROLA W FIRMIE

Muszą zatem istnieć  procedury pozwalające na szybkie i bezpieczne usuwanie danych bez względu na fakt, gdzie te dane będą się znajdują – na komputerach, serwerach czy też w chmurze. Dotyczy to także kopii i linków, które powinny być skasowane i usunięte.

Może to być dla ADO czynność czasochłonna i kosztowna. Osoba fizyczna nie musi składać wniosku pisemnego o usunięcie jej danych, natomiast ADO musi przedstawić poświadczenie usunięcia.

Realizacja prawa do przeniesienia danych

Osoba może zażądać przekazania wszystkich swoich danych osobowych nowemu administratorowi. Przekazanie musi się odbyć z zachowaniem procedury ochrony danych.  Może to wiązać się z koniecznością stworzenia kompatybilnych platform wymiany danych na wzór istniejących w prawie bankowym w zakresie przenoszenia rachunków albo w prawie telekomunikacyjnym w zakresie przenoszenia numerów telefonicznych.

Zapewnienie takiej konfiguracji systemów, która domyślnie zapewnia ochronę danych

Szkolenia 

Dla bezpieczeństwa przetwarzania danych osobowych przetwarzanych w  działach kadrowo-placowych przedsiębiorstwa ważne są nie tylko odpowiednie systemy informacyjne ale także podniesienie świadomości pracowników tych działów i podnoszenie ich umiejętności w zakresie bezpiecznego korzystania z systemu informatycznego. Szkolenie pracowników działów płacowo-kadrowych zwłaszcza w zakresie wprowadzonych zmian wydaje się niezbędne.

Jak zabezpieczyć system infrastruktury IT

Zabezpieczenie systemu informatycznego pod kątem ochrony danych osobowych jest jednym z najważniejszych wymogów RODO.  Za wdrożenie zabezpieczeń infrastruktury IT powinien odpowiadać Administrator Systemu Informatycznego (ASI). Jest nim informatyk, czy kierownik działu informatycznego w firmie albo osoba z firmy zewnętrznej, która świadczy takie usługi. W przypadku jednoosobowej działalności gospodarczej lub jeśli administrator danych w firmie nie wyznacza ASI, automatycznie sam podejmuje się tej roli.

KONTROLA W FIRMIE

RODO nie wskazuje dokładnie, jaką dokumentację musimy prowadzić, chcąc zabezpieczyć przetwarzane dane. W przypadku systemów informatycznych nowe przepisy pozostawiają pewną swobodę, co ma na celu dopasowanie ochrony do indywidualnych potrzeb w zakresie przetwarzania danych. Tym niemniej przy zabezpieczaniu infrastruktury IT można korzystać również z dotychczas wypracowanych rozwiązań. Nie zwalnia nas to jednak z dopasowania procedur do specyfiki działalności naszej firmy (uwzględniając postęp technologiczny), toteż poniższe rozwiązania mają charakter przykładowy.

Zabezpieczenia informatyczne w firmie powinny być opisane w „Instrukcji zarządzania systemem informatycznym”, służącym do przetwarzania danych osobowych.

Podstawowe środki zabezpieczenia systemu informatycznego

Zabezpieczenie systemu informatycznego musi obejmować: 

  • fizyczne zabezpieczenie pomieszczeń, w których znajdują się komputery, serwer i centra energetyczne;
  • mechanizmy kontroli dostępu do danych. Dostęp taki powinien być możliwy wyłącznie  po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia;
  • stosowanie mechanizmów wymuszających częstotliwość zmiany haseł. Przykładowo, hasło powinno składać się z co najmniej ośmiu znaków, zawierać w sobie małe i duże litery oraz cyfry lub znak specjalny i powinno być zmieniane nie rzadziej niż co 30 dni;
  • zabezpieczenie systemu informatycznego przed awarią zasilania;
  • stosowanie zawsze aktualnego antywirusa i włączonej zapory sieciowej; tworzenie kopii bezpieczeństwa. W jaki sposób i jak często tworzyć kopie decyduje ASI w zależności od możliwości, ważne aby kopie przechowywać w innym pomieszczeniu niż to, w którym są robione;
  • w przypadku stosowania przenośnych urządzeń przetwarzających dane osobowe oraz pracy mobilnej na odległość, przy której pracownik ma dostęp do danych, należy wykorzystywać środki kryptograficznej ochrony danych. Szyfrowane protokoły muszą też być stosowane w procesie uwierzytelniania, np. logowania się na stronach WWW;
  • monitory powinny być ustawione tak, aby nie miały do nich wglądu osoby nieupoważnione;
  • zawsze powinny być stosowane wygaszacze ekranów zabezpieczone hasłem. 

 

KONTROLA W FIRMIE

RODO nakazuje, aby do ochrony danych osobowych wykorzystywać najnowsze rozwiązania techniczne i dostosowywać środki bezpieczeństwa odpowiednie do wagi danych i potencjalnego zagrożenia.

Instrukcja zarządzania systemem informatycznym

Instrukcje opracować powinien Administrator Systemu Informatycznego. Po   zatwierdzeniu przez Administratora Danych Osobowych  powinna być ona przyjęta do stosowania w przedsiębiorstwie  jako obowiązujący dokument.

Dla kogo jakie wytyczne

Procedury i wytyczne zawarte w instrukcji powinny być przekazane osobom odpowiedzialnym w firmie za ich realizację stosownie do ich uprawnień, zakresu obowiązków i odpowiedzialności.

- zasady i procedury nadawania uprawnień do przetwarzania danych osobowych, prowadzenia ewidencji osób zatrudnionych przy tym przetwarzaniu powinny być przekazane osobom zarządzającym przetwarzaniem danych;

- sposób rozpoczęcia i zakończenia pracy, sposób użytkowania systemu, zasady zmiany haseł – wszystkim użytkownikom systemu;                                                                                                                                               –  zasady ochrony antywirusowej, procedury wykonywania kopii zapasowych  – osobom zajmującym się techniczną eksploatacją i utrzymaniem ciągłości pracy systemu.  

Jakie informacje w instrukcji:

  • ogólne – o systemie informatycznym;  
  • o zbiorach danych osobowych, które są przetwarzane;
  • o zastosowanych rozwiązaniach technicznych;
  • o procedurach nadawania uprawnień do przetwarzania danych i rejestrowania ich  w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  • o środkach i sposobach uwierzytelniania;
  • o procedurach  rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników  systemu;
  • o procedurach tworzenia kopii zapasowych zbiorów danych;
  • o procedurach wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania.

Gdy wykorzystywanych jest kilka systemów informatycznych

Jeśli administrator do przetwarzania danych wykorzystuje kilka systemów informatycznych, wówczas stosownie do podobieństwa zastosowanych rozwiązań powinien opracować jedną, ogólną instrukcję zarządzania lub oddzielne instrukcje dla każdego z użytkowanych systemów.

KONTROLA W FIRMIE

Inny będzie zakres zagadnień opracowanych w instrukcji w małych firmach, w których dane osobowe przetwarzane są przy pomocy jednego lub kilku komputerów, a inny w dużych przedsiębiorstwach, w których funkcjonują rozbudowane lokalne sieci komputerowe z dużą liczbą serwerów i stacji roboczych przetwarzających dane przy użyciu wielu systemów informatycznych.

Autor:

Marcin Sierpień
specjalista w zakresie ochrony danych osobowych

Ocena: 0.0/10 (0 głosów)

Słowa kluczowe: ochrona danych osobowych | rodo |
  • W serwisie:

    Aktualny numer Aktualny numer Archiwum numerów Archiwum numerów Tematyka Tematyka O poradniku O poradniku Regulamin Regulamin Kontakt Kontakt Reklama Reklama Aktualny numer Archiwum numerów Tematyka O poradniku Regulamin Kontakt Reklama
  • Wip:

    www.wip.pl www.wip.pl www.wiedzaipraktyka.pl www.wiedzaipraktyka.pl www.efaktura.wip.pl www.efaktura.wip.pl www.KadryiPlace.wip.pl www.KadryiPlace.wip.pl www.wip.pl www.wiedzaipraktyka.pl www.efaktura.wip.pl www.KadryiPlace.wip.pl
  • Publikacje papierowe komplementarne:

    Serwis ZUS Serwis ZUS Ubezpieczenia społeczne Ubezpieczenia społeczne Zeszyty US Zeszyty US Serwis ZUS Ubezpieczenia społeczne Zeszyty US
  • Portale:

    Portal Kadrowy Portal Kadrowy Portal Oświatowy Portal Oświatowy Portal BHP Portal BHP Portal ZP Portal ZP Portal FK Portal FK Portal ZUS Portal ZUS Portal Spółka z o.o. Portal Spółka z o.o. Portal RB Portal RB Portal Kadrowy Portal Oświatowy Portal BHP Portal ZP Portal FK Portal ZUS Portal Spółka z o.o. Portal RB
Copyright © Płace w firmie

Strona używa plików cookies.

Kliknij tutaj, żeby dowiedzieć się jaki jest cel używania cookies oraz jak zmienić ustawienia cookie w przeglądarce.
Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies, zgodnie z bieżącymi ustawieniami przeglądarki.