Jak zbudować ochronę naszych procesów biznesowych w zakresie RODO – inspiracje w obszarze outsourcingu i zleceń terenowych

Mirosław Wnuk, dyrektor rozwoju obszaru windykacji




Wejście w życie Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO) zbliża się wielkimi krokami. W wielu przypadkach przepisy unijne kojarzą się nam z bardzo szczegółowymi regulacjami, w skrajnej formie mówiące o tym ile centymetrów i jaką krzywiznę ma mieć unijny banan[1]. Ale nie tym razem.  

Dlaczego możemy mówić o kreatywnym podejściu
Obecne przepisy unijne regulujące ochronę danych osobowych obowiązują od 1995 roku. Ponad 20 lat w dobie bardzo szybkiego rozwoju technologii i postępującej cyfryzacji codziennego życia to bardzo długo. To, co mogło nas chronić dwie dekady temu dziś przestało być aktualne i skuteczne. Intencją unijnych urzędników było nie tylko unowocześnienie regulacji o ochronie danych osobowych, ale uczynienie ich jak najbardziej odpornymi na postęp technologiczny i specyfikę różnych branż. Dlatego w nowym unijnym rozporządzeniu nie znajdujemy konkretnych wytycznych. Są za to wymienione nowe obowiązki i uprawnienia, jednak jak zapewnimy ich realizację w naszym przedsiębiorstwie zależy wyłącznie od nas. I tu zaczyna się obszar, w którym przyda się pewna doza kreatywności, aby zaprojektować system ochrony i przetwarzania danych w naszych procesach biznesowych.

Inspiracje w obszarze outsourcingu i zleceń terenowych
Jednym z obszarów, które wymagają szczególnej uwagi jest outsourcing czynności na zewnątrz naszej organizacji. Musimy mieć pewność, że ochrona danych osobowych w firmach, do których zlecamy wykonywanie działań w naszym imieniu np. czynności windykacyjnych, są równie dobrze chronione jak w naszej organizacji, ponieważ to na nas spoczywa odpowiedzialność za wybór podmiotu świadczącego usługi. Zatem ważne jest, aby cały proces powierzenia i przetwarzania danych przez usługodawcę  i jego podwykonawców był nadzorowany i audytowany. Usługodawca powinien zapewnić, że zadania, zakresy odpowiedzialności i rozliczalność działań wszystkich podwykonawców, agentów, pośredników i osób, które mają dostęp do danych i są zaangażowane w ich obsługę lub przetwarzanie, są transparentne i mogą być jasno identyfikowane przez podmiot nadzorowany na każdym kroku. Takie wymagania nie są możliwe do zrealizowania bez odpowiedniego wsparcia narzędziowego.

Przykładem wymagającym szczególnego nadzoru jest proces obsługi zleceń terenowych w procesie windykacji należności. Dane naszych klientów są przekazywane do osób wykonujących wizytę terenową w celu wykonania określonych działań w określonym czasie. W naszym interesie jest, aby ten proces był transparentny i audytowalny, co za tym idzie monitowany z poziomu systemu informatycznego.

Innym przykładem wymagającym naszej kreatywności i znalezienia rozwiązania dla  możliwości audytowania procesu jest bezpośredni dostęp do baz danych, które funkcjonują w organizacji. Zdarza się, że pracownicy w celach weryfikacyjnych np. reklamacji, czy zgłaszanych problemów, mają dostęp do narzędzi, które bezpośrednio pobierają dane (w tym osobowe) z baz danych.  W tym wypadku mamy dwa wyjścia.  Pierwszym rozwiązaniem jest budowanie w każdym narzędziu mechanizmów audytu takiego procesu (kto, kiedy, co pobrał). Drugim zbudowanie narzędzia, które zapewni audytowalność procesu i posłuży pracownikom jako spójne narzędzie do pobierania danych z naszych zbiorów.  Takie rozwiązanie jednocześnie porządkuje nam uprawnienia, daje możliwość zlecania zapytań tylko poza godzinami pracy systemów produkcyjnych, etc.

Warto przy okazji badania naszej organizacji w zakresie zgodności z RODO zastanowić się jak uporządkować nasze procesy i dotychczasowe działania.

[1] Według UE banany powinny być: zielone i niedojrzałe, w stanie nienaruszonym, twarde, niezepsute (wyklucza się produkt rozkładający się lub butwiejący w stopniu uniemożliwiającym jego spożycie), o nienaruszonej łodydze, bez zgięć, szkód wyrządzonych przez grzyby, z usuniętymi słupkami, wolny od złego ukształtowania lub nieprawidłowej krzywizny, w sposób rzeczywisty wolny od obtłuczenia…



W przypadku dodatkowych pytań

napisz do nas na podany adres mailowy