24.04.2018

Procesy back office zgodne z RODO

Na co zwrócić uwagę podczas dostosowania procesów biznesowych związanych z przetwarzaniem i przechowywaniem informacji do nowych wymogów?

Według badania Kantar Public na zlecenie GIODO 72 proc. firm nie zna szczegółów zmian, które są konieczne do wdrożenia w związku z wejściem w życie ustawy o RODO. Na co zwrócić uwagę podczas dostosowania procesów biznesowych związanych z przetwarzaniem i przechowywaniem informacji do nowych wymogów?

Rozporządzenie o Ochronie Danych Osobowych rozszerza ochronę danych osobowych, zdefiniowaną w dotychczas obowiązującej ustawie.
Z punktu widzenia podmiotów przetwarzających i przechowujących dane klientów zmieniają się przede wszystkim dwa aspekty: wprowadzenie możliwości „bycia zapomnianym” oraz ograniczenie przechowywania i przetwarzania danych do minimum niezbędnego do prowadzenia danego rodzaju działalności. Niedozwolone będzie gromadzenie informacji wykraczających poza zakres niezbędny np. do przygotowania oferty kredytu, likwidacji szkody czy realizacji usługi telekomunikacyjnej. To, co jednak najbardziej niepokoi przedsiębiorców, to znacząco wyższy poziom kar za naruszenie nowych regulacji.

Jak interpretować przepisy?

Po wejściu w życie przepisów RODO każda osoba fizyczna będzie mogła
zażądać usunięcia swoich danych, przechowywanych zarówno w formie papierowej, jak i elektronicznej, ze wszystkich systemów i nośników wykorzystywanych przez daną firmę. Od tej zasady istnieć będzie jednak
wyjątek. W przypadkach, kiedy nie upłynął okres związany z możliwością dochodzenia roszczeń, dany podmiot będzie mógł nadal przetwarzać dane osobowe, ale tylko w stopniu odpowiadającym rzeczywistym potrzebom.

Mimo, że RODO zacznie obowiązywać już 25 maja 2018 roku, w Polsce nie zostały jeszcze uchwalone przepisy wprowadzające czy zmieniające ustawy dziedzinowe. Według ostatnich informacji ustawa wprowadzająca ma się pojawić w lipcu, ale np. regulacje do 160 ustaw dotyczących sektora ubezpieczeniowego prawdopodobnie zostaną zatwierdzone dopiero pod koniec roku.

To dodatkowe utrudnienie dla biznesu. Do czasu wejścia w życie RODO firmy muszą usunąć wszystkie dane, których okres przechowywania upłynął. Z powodu braku precyzyjnych wytycznych ten wymóg budzi jednak sporo wątpliwości – mówi Dagmara Sender, business development manager w ArchiDoc z Grupy OEX.

Dotychczasowe przepisy dotyczące archiwizacji dokumentów papierowych definiowały minimalny okres ich przechowywania, RODO natomiast reguluje maksymalny czas takiego procesu.

Nasi klienci najczęściej podejmują decyzję o usunięciu dokumentów, w przypadku których mają pewność, że nie mogą być dłużej przechowywane. Rynek wciąż jednak czeka na jednoznaczne wytyczne w tym zakresie. Często spotykam się z sytuacją, w której firmy z tej samej branży mają odmienne wytyczne ze strony prawników, dotyczące tych samych kwestii – dodaje Dagmara Sender.

Zmiana w podejściu do archiwizacji z „nie krócej niż” na „nie dłużej niż” wymusza zmianę sposobu pakowania dokumentów papierowych. W celu optymalizacji procesu warto umieszczać je w opakowaniach archiwalnych zgodnie z okresami retencji, np. razem pakować te wymagające 5- letniego okresu przechowywania, a osobno te, które muszą być archiwizowane przez 10 lat. Status każdego dokumentu może się jednak zmienić w trakcie przechowywania, jeśli będzie on wykorzystany np. do spraw sądowych.

Dane anonimowe

W przypadku danych elektronicznych firmy zostały zobligowane do wprowadzenia zabezpieczeń, które często wymagają poniesienia znacznych inwestycji w sprzęt czy prace informatyczne. Zwiększenie ochrony danych osobowych mają zagwarantować m.in. pseudonimizacja i anonimizacja, czyli takie przetworzenie informacji, aby nie umożliwiły one identyfikacji konkretnej osoby. Pseudonimizacja jest odwracalna, natomiast anonimizacja to działanie nie pozwalające na późniejsze odtworzenie danych. Takie działania należy uwzględnić także w przypadku wykorzystywanych lub dopiero wdrażanych w firmach systemach workflow.

Przy definiowaniu obiegu dokumentów należy pamiętać, aby w każdym procesie w odpowiednim momencie zapewnić anonimizację określonych danych klienta – mówi Dagmara Sender.

Wsparcie specjalistów

W dostosowaniu procesów związanych z przetwarzaniem danych i dokumentów do nowych regulacji firmy wspierają podmioty wyspecjalizowane w obsłudze back-office. W ramach takich działań prowadzona jest szczegółowa analiza danego procesu, rodzajów dokumentacji i systemów informatycznych.

Każda firma i branża ma swoją specyfikę. Kluczowe jest opracowanie optymalnego modelu pracy z dokumentami, który nie tylko będzie zgodny z regulacjami RODO, ale także umożliwi klientowi dalszy rozwój biznesu – dodaje Dagmara Sender.

Firmy zewnętrzne zajmują się także wsparciem w zakresie fizycznych prac związanych z przygotowaniem dokumentów do nowych przepisów, np. rejestracją czy wydzieleniem z zasobu archiwalnego dokumentów przeznaczonych do zniszczenia.

Udostępnij