Analiza i dostosowanie SAP do GDPR (RODO)

Co to jest RODO?

RODO to skrót od Rozporządzania o Ochronie Danych Osobowych. Jest to zestaw nowych wymogów, ujednoliconych dla wszystkich organizacji w Unii Europejskiej (we wszystkich krajach członkowskich), których główną ideą jest ochrona danych osobowych, przetwarzanych przez systemy wewnątrz organizacji.

CO TO JEST RODO DLA SAP?

RODO dla SAP jest zestawem narzędzi, które pomagają wspierać zarządzanie związane z dostępem do danych osobowych w środowisku SAP. To nie tylko zarządzanie uprawnieniami dostępu do konkretnych porcji danych osobowych, ale również między innymi:
  • monitorowanie wyświetlanie danych na ekranie komputera (ścisłe logowanie wszelkich wyświetleń w SAP HCM),
  • monitorowanie pobrań do plików krytycznych danych osobowych (np. pobranie listy danych osobowych Klientów do pliku Excel),
  • logowanie i monitorowanie dostępu do niebezpiecznych transakcji w SAP modyfikacja oraz wyświetlenia danych osobowych np. SE16, PA30, PR05 itp),
  • rozwiązania wspierające zarządzanie dostępem do danych (identyfikacja konfliktów uprawnień,  zautomatyzowana procedura przypisywania nowych uprawnień, automatyczna detekcja naruszeń),
  • kontrola interfejsów wymiany danych osobowych pomiędzy SAP a innymi systemami,
  • identyfikacja ryzyk związanych z nieuprawnionym dostępem do danych osobowych.

Znasz odpowiedzi na te pytania?

Czy Twój system SAP pozwala na monitorowanie dostępu (wyświetlenia) do danych HR?

Czy Twój system SAP pozwala na monitorowanie krytycznych pobrań danych do plików (np. pobranie listy danych osobowych do pliku Excel)?

Czy Twój system SAP pozwala na logowanie niebezpiecznych transakcji w SAP (modyfikacja oraz wyświetlenie danych
osobowych np. PA30, SA/SE38, VA01, PR05)?

Czy zarządzasz dostępami użytkowników do danych w sposób usystematyzowany (czy masz wdrożoną politykę dostępu oraz zidentyfikowane konflikty uprawnień)?

Czy kontrolujesz wszystkie interfejsy wymiany danych pomiędzy SAP a innymi systemami?

Czy masz zidentyfikowane ryzyka związane z nieuprawnionym dostępem do danych?

JEŚLI NA KTÓREKOLWIEK Z POWYŻSZYCH PYTAŃ ODPOWIEDZIAŁEŚ „NIE” – SKONTAKTUJ SIĘ Z NAMI.

Chętnie omówimy sposób, w jaki akquinet jest w stanie pomóc Tobie w dostosowaniu SAP do RODO.

Jesteś zainteresowany? Skontaktuj się z nami!

WIĘCEJ INFORMACJI O RODO

SKĄD SIĘ WZIĘŁO GDPR (RODO)?

Parlament Europejski 14 kwietnia 2016 przyjął pakiet legislacyjny, który wprowadza nowe wymogi prawne dotyczące ochrony danych osobowych. General Data Protection Regulation (po polsku Rozporządzenie o Ochronie Danych Osobowych – RODO) to zestaw regulacji, które ujednolicają zarządzanie danymi osobowymi w całej Unii Europejskiej. Każda organizacja w UE musi podporządkować się do wymogów rozporządzenia do końca maja 2018. Zostało zatem niewiele czasu, by dostosować organizację do restrykcyjnych wymogów RODO. Sam zestaw wymogów nie precyzuje natomiast wprost jakie konkretne działania organizacja musi zrealizować, by wymogi spełnić. Ponad 150-stronicowy dokument opisuje na ogólnym poziomie to, w jaki sposób organizacja ma zarządzać danymi osobowymi przetwarzanymi we wszystkich systemach.

DLACZEGO RODO JEST WAŻNE?

Ponieważ wymaga wdrożenia szeregu procedur związanych z zarządzaniem danymi osobowymi. Oprócz warstwy proceduralnej – konieczne jest wdrożenie odpowiednich rozwiązań technologicznych na systemy przetwarzające dane osobowe. Jednym z najistotniejszych elementów RODO jest ten związany z ewentualnymi karami związanymi z nieodpowiednim wdrożeniem. Niewątpliwie kary mogące sięgać 20 mln Euro (lub 4% obrotu rocznego na świecie) to wartość, która powoduje, że obok GDPR nie należy przejść obojętnie.

OGÓLNE WYMAGANIA

RODO przewiduje między innymi:
  • wymaganie dotyczące zgody na przetwarzanie danych prywatnych,
  • konieczność zgłaszania (w ciągu 72 godzin) każdego naruszania dostępu do danych osobowych (włącznie z poinformowaniem osoby, której wyciek dotyczył)
  • konieczność monitorowania dostępów do danych osobowych oraz identyfikacja wszystkich źródeł przetwarzania danych osobowych,
  • zmieniono status oraz rolę ABI – nowa pozycja Inspektor Ochrony Danych (IOD),
  • doprecyzowana została definicja danych wrażliwych (dodatkowo w skład których wchodzą dane genetyczne i biometryczne),
  • wprowadzono możliwość decydowania o przetwarzaniach danych osobowych dzieci przez rodziców,
  • kary sięgające 20 mln Euro (lub 4% obrotu rocznego na świecie).