Intuicyjny dashboard z kompletem informacji
Program RODOprotektor posiada interaktywny dashboard, który pozwala na monitorowanie kluczowych informacji w systemie, w tym terminów wygaśnięcia upoważnień oraz zgłoszonych incydentów. System pozwala na przejrzenie statusów wniosków podmiotów, dzięki czemu w szybki i intuicyjny sposób otrzymujemy informację o terminach wymaganych zgodnie z art. 17 ust. 1 RODO.
Zalety korzystania z dashboardu programu RODOprotektor:
- możliwość bezpośredniego przejścia do upoważnienia, które traci ważność, tak aby zaktualizować wygenerowany dokument,
- wnioski podmiotów z automatycznie generowanym czasem – zgodnie z art. 17 ust. 1 RODO w terminie, w jakim podmiot powinien sprostać żądaniom bez zbędnej zwłoki, ale nie dłuższym niż miesiąc,
- dashboard pokazuje ilość wniosków o nadanie uprawnień, dzięki czemu możliwe jest śledzenie czasu realizacji danego wniosku,
- oszczędność czasu – system podpowiada daty, zatem nie ma konieczności uruchamiania/przeglądania wszystkich raportów, tak aby sprawdzić daty ich wygaśnięcia,
- możliwość dostosowania opcji wyświetlania – podział na definiowany przez użytkownika zakres czasu,
- praktyczny moduł wyszukiwania – system kieruje użytkownika bezpośrednio do dokumentów, które zostały wygenerowane przez lub dla konkretnego pracownika bądź wnioskodawcy,
- dashboard pokazuje, ile rejestrów oraz incydentów znajduje się w systemie – z jego poziomu możemy bezpośrednio przejść do odpowiedniej zakładki.
Wzory dokumentów wygenerowane z RODOprotektor
Niniejsze dokumenty są dokumentami przykładowymi. Każdy z dokumentów może zostać dowolnie zmodyfikowany przez użytkownika systemu. Można tworzyć samodzielnie własne szablony za pomocą wbudowanego edytora raportów.
Upoważnienia do przetwarzania danych osobowych
W oparciu o dane zawarte w RODOprotektor osoba odpowiedzialna udziela elektronicznego upoważnienia wybranym pracownikom do przetwarzania wybranych danych osobowych w zakresie adekwatnym do ich potrzeb, wskazując m.in. kategorię danych, cel przetwarzania. Udzielenie elektronicznego upoważnienia wymaga zaakceptowania przez IODO, następnie dokument można wydrukować i przedłożyć pracownikowi oraz do akt. Upoważnienie jest zapisywane w elektronicznym rejestrze upoważnień.
Z poziomu oprogramowania RODOprotektor możemy wygenerować upoważnienie do :
- czynności przetwarzania,
- zbiorów danych.
Rejestr czynności przetwarzania
Rejestr czynności przetwarzania danych osobowych jest głównym repozytorium programu RODOprotektor. Informacje znajdujące się w rejestrze zawierają szereg relacji pozwalających na uzyskanie przekrojowych informacji i raportów niezbędnych ADO. Rejestr zawiera informacje o celach przetwarzania danych osobowych, zakresie danych osobowych, systemach (programach, zbiorach, bazach danych), w których przetwarzane są dane osobowe.
Rejestr kategorii przetwarzania
Rejestr kategorii przetwarzania danych osobowych jest repozytorium służącym do ewidencji przetwarzania danych, które zostały powierzone przez inny (obcy) podmiot do przetwarzania. Rejestr może być nazywany Rejestrem podmiotu przetwarzającego dane – tzw. Procesora. Konstrukcja rejestru jest zbliżona do rejestru operacji przetwarzania, ale nie jest to ten sam rejestr. Na uwagę zasługują elementy takie jak: „Termin usunięcia kategorii przetwarzanych danych”, „Zasady zakończenia współpracy z przekazującym dane do przetworzenia” (np. zwrot danych, usunięcie itp.), „Okres przetwarzania danych”, „Podstawy przetwarzania danych”.
Rejestr umów powierzenia
Rejestr umów powierzenia jest zbiorem (rejestrem) wszystkich danych powierzanych do przetwarzania innym podmiotom. Rejestr zapewnia spełnienie wymagania RODO w zakresie nadzoru nad podmiotami, którym dane osobowe zostały (zostaną) powierzone. Rejestr pozwala Inspektorowi Ochrony Danych Osobowych w łatwy sposób kontrolować do kogo, na jak długo i dlaczego (cel) dane osobowe zostały powierzone. Umowy powierzenia powinny być zweryfikowane zgodnie z obowiązującą procedurą. Fakt weryfikacji umowy powierzenia jest rejestrowany w systemie. Program posiada możliwość generowania przypomnień, np. o kończącym się terminie umowy powierzenia danych osobowych, co umożliwi Inspektorowi Ochrony Danych Osobowych podjęcie kroków wymaganych prawnie we właściwym terminie.
Rejestr udostępnień danych osobowych
Rejestr udostępnień danych osobowych jest pomocniczym (opcjonalnym) rejestrem w RODO. Wiele podmiotów stosuje ten rejestr dla zapewnienia rozliczalności. Rejestr zawiera informacje o udostępnieniu (kto, kiedy, komu), jakie zbiory udostępniono, celu i podstawie udostępnienia.
Rejestr zgód
Aby podmiot mógł przetwarzać dane osobowe, musi wyrazić na to zgodę. Jeśli zgoda ta nie wynika na podstawie zwartej umowy lub przepisów prawa, to zgodnie z uwarunkowaniami formalnymi, należy posiadać zgodę podmiotu danych. Rejestr zgód wskazuje listę zgód, które zostały wyrażone przez osobę, której dane dotyczą. Wykaz obejmuje zgody wyrażone poprzednio oraz obowiązujące aktualnie. Oprogramowanie RODOprotektor umożliwia filtrowanie treści według statusu zgód, które zostały wyrażone – aktywne, nieaktywne oraz wycofane.
Rejestr zgód posiada możliwość importu danych ze wskazanych źródeł wraz z możliwością importu metadanych z pliku .csv, Excel, za pomocą Microsoft SQL Server, MySQL oraz PostgreSQL.
Wycofanie zgody marketingowej na otrzymywanie informacji za pomocą wiadomości SMS oraz podczas rozmów telefonicznych.
Rejestr naruszeń danych osobowych (incydenty)
RODOprotektor umożliwia rejestrację, obsługę i nadzór nad naruszeniami danych osobowych. Każda z osób upoważnionych może dokonać zgłoszenia naruszenia bezpieczeństwa danych osobowych. Zgłoszenia można dokonać kanałami: z formularza www, za pośrednictwem poczty e-mailowej lub telefonicznie. Odpowiednia konfiguracja systemu pozwala na automatyczne przygotowanie zrzutu ekranu. Zgłoszenia automatycznie są odnotowane
w systemie i są dalej przetwarzane przez IOD. Inspektor powinien zgodnie z procedurami dokonać analizy zgłoszenia, przyjąć je jako zgłoszenie formalne lub odrzucić jako nieistotne. W obu przypadkach informacja o tym procesie jest ewidencjonowana w rejestrze naruszeń danych osobowych.
Zgodnie z art.33 ust.5 RODO „ Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym:
- okoliczności naruszenia ochrony danych osobowych,
- jego skutki oraz
- podjęte działania zaradcze.
Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania niniejszego artykułu.
Zgodnie z ust. 1 art. 33 „W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.”
Ocena wagi naruszeń
Czy każdy incydent należy zgłaszać? Jak stwierdzić, czy dane naruszenie kwalifikować się będzie do zgłoszenia, czy nie, czy należy zawiadomić osoby, których dane dotyczą czy też nie?
Dla ułatwienia realizacji trudnego zadania oceny ryzyka do oprogramowania RODOprotektor wprowadziliśmy metodologię, która pozwoli krok po kroku dokonać wartościowania incydentów i kwalifikacji ich jako naruszenia.
Metoda oceny wagi naruszenia
WN=(DO+CS)*MI+ON+IK
- Waga Naruszenia –WN
- Kryterium dane osobowe + Kryterium specyfiki naruszenia– (DO+CS) – główny czynnik określający poziom krytyczności zestawu naruszonych danych, w określonym kontekście przetwarzania
- Kryterium możliwości identyfikacji- MI- czynnik korygujący (DO+CS), który może obniżyć wynik. Prawdopodobieństwo (łatwość) identyfikacji osoby na podstawie naruszonych danych dla osób, które uzyskały dostęp do nich.
- Kryterium okoliczności naruszenia – ON – czynnik, który odnosi się do okoliczności naruszenia, które wystąpiły lub nie w danym przypadku.
- Kryterium Inne kryterium – IK
Kryterium dane osobowe + Kryterium specyfiki naruszenia– (DO+CS)
- Podstawowe dane osobowe = 0,5
- Dane dotyczące zachowań osoby = 1
- Dane finansowe = 1,5
- Dane szczególnie chronione = 2
- Szeroki zakres danych osobowych = 1
- Specyficzne cechy Administratora danych = 1
- Charakter danych = -1
- Charakter danych = 1
- Wysoka waga negatywnych skutków naruszenia dla osoby fizycznej = 1
- Publiczna dostępność danych = -1
- Nieprawidłowość danych = -1
- Inne czynniki = -1
- Inne czynniki = 1
Kryterium możliwości identyfikacji- MI
- Incydent nie stanowi naruszenia praw i wolności osoby, której dane dotyczą = 0
- Znikoma możliwość identyfikacji osoby, której dane dotyczą = 0,25
- Ograniczona możliwość identyfikacji osoby, której dane dotyczą = 0,5
- Wysokie prawdopodobieństwo identyfikacji osoby, której dane dotyczą = 0,75
- Maksymalne prawdopodobieństwo identyfikacji osoby, której dane dotyczą = 1
Kryterium okoliczności naruszenia – ON
- Naruszenie poufności – niskie prawdopodobieństwo naruszenia = 0
- Znany odbiorca danych = 0,25
- Nieznana liczba podmiotów, którym ujawniono dane osobowe = 0,5
- Naruszenie integralności bez prawidłowego przetwarzania zmienionych danych = 0,75
- Nieprawidłowe przetwarzanie- możliwość poprawiania danych osobowych = 0,25
- Brak możliwości poprawiania danych osobowych = 0,5
- Naruszenie dostępności można odzyskać = 0
- Naruszenie dostępności dane można odzyskać, ale wymaga to długiego czasu = 0,75
- Naruszenie poufności – prawdopodobieństwo naruszenia = 0,5
Kryterium Inne kryterium – IK
- Celowe naruszenie = 1
- Niegodny zaufania odbiorca danych = 1
- Duża liczba osób, których dotyczy incydent (osób 100+) = 1
- Zaufany odbiorca danych = -1
- Dane niedostępne z powodu szyfrowania = 1
- Bardzo mała liczba osób, których dane dotyczą (<20) = -1
- Inne istotne czynniki naruszenia = 1
Rejestr żądań podmiotów danych
Rejestr żądań podmiotów danych pozwala na ewidencję wszystkich żądań podmiotów danych w zakresie:
- DDO – Żądanie uzyskania dostępu do danych osobowych
- SDO – Żądanie sprostowania danych osobowych
- ZPDO – Żądanie zaprzestania przetwarzania wobec sprzeciwu
- OPDO – Żądanie ograniczenia przetwarzania
- UDO – Żądanie usunięcia
- PDO – Żądanie przeniesienia danych osobowych do odczytu maszynowego (CSV, XML)
- ODO – Żądanie otrzymania danych osobowych
- WDO – Żądanie wglądu do danych osobowych
- I – Inne żądanie
Żądania są odnotowywane, system pilnuje i przypomina o upływającym terminie zrealizowania żądania (wykonanie / odpowiedź),
zgodnie z Rozporządzeniem.
Rejestr klauzul informacyjnych
Rejestr klauzul informacyjnych pozwala na dopełnienie obowiązku informacyjnego wraz z możliwością generowania klauzul informacyjnych dla osób, od których zbierane są dane o szeregu informacji dotyczących administratora oraz o prawach przysługujących tym osobom. Rejestr zawiera w sobie informacje o administratorze danych, IOD, celu oraz podstawie przetwarzania, wykaz praw i konsekwencji dla osób, których dane dotyczą, odbiorców danych, przekazanie danych do państw trzecich i organizacji międzynarodowych oraz informację o profilowaniu.
Analiza ryzyka
Analiza ryzyka wbudowana do oprogramowania RODOprotektor ma na celu realizację wytycznych UE dotyczących ochrony danych osobowych (RODO) w zakresie przeprowadzenia analizy ryzyka.
Program przewidziany jest jako narzędzie pomocnicze dla administratora danych oraz Inspektora Ochrony Danych. Pozwala na przeprowadzenia analizy ryzyka według metody rozszerzonej wg PN-ISO/IEC-27005.
W systemie zastosowano metodę zarządzania ryzykiem w systemach zarządzania bezpieczeństwem informacji w urzędach administracji rządowej w zakresie zagrożeń pochodzących z cyberprzestrzeni, rekomendowanej przez Komitet Rady Ministrów ds. Cyfryzacji w listopadzie 2015 r. Metoda ta pozwala na wykonanie pełnej analizy ryzyka dla wszystkich (lub wybranych) procesów przetwarzania danych osobowych zarówno w rejestrze czynności przetwarzania, jak i kategorii przetwarzania.
Definiowalne mechanizmy ryzyka (prawdopodobieństwo oraz skutek) pozwalają sprostać specyfice każdego podmiotu oraz uwzględnią zakres, cele przetwarzania, rodzaj danych, a także wielkość, strukturę oraz możliwości organizacyjne, techniczne i finansowe podmiotu.
Ocena skutków dla ochrony danych
Jeżeli na etapie szacowania i oceny ryzyka (analiza ryzyka) ustalono wysokie wartości ryzyka zdefiniowane jako „Krytyczne” oraz „Wysokie” (lub ocena wymagana jest wg odrębnych przepisów) należy przeprowadzić ocenę skutków przetwarzania w zakresie ochrony praw i wolności osób, których dane są przetwarzane.
Dla każdego procesu przetwarzania przeprowadza się prostą i kompleksową ocenę, poprzez zdefiniowanie zagrożeń i ustalenie dla nich poziomów ryzyka pozwalającego na podjęcie globalnej decyzji w zakresie kontynuacji bądź zaprzestania przetwarzania danych.
Każda pozycja oceny posiada opis akceptacji lub braku akceptacji (uzasadnienie).
System Obsługi Wniosków
- Zarządzanie obiegiem wniosków
- Kontrola uprawnień
- Dowolna liczba administratorów
- Powiadomienia e-mail
- Łatwość obsługi
- Tworzenie uprawnień z szablonów
- Podgląd uprawnień bieżących
- Akceptacja wniosków przez e-mail
Wnioskowanie o uprawnienia
Po zarejestrowaniu pracownika można wnioskować o nadanie mu uprawnień do systemów informatycznych oraz uprawnień do przetwarzania danych osobowych.
Powiadomienia i akceptacja wniosków z poziomu e-mail
System oferuje możliwość wysyłania powiadomień o statusie realizacji wniosku do wszystkich osób biorących udział w procesie akceptacji. Akceptacja wniosku przez e-mail pozwala na szybkie zatwierdzenie wniosku.
Pozostałe funkcje
- Dodawanie oraz edycja definicji uprawnień
- Śledzenie statusu wniosków
- Tworzenie i modyfikacja szablonów zatwierdzeń
- Tworzenie i modyfikacja definicji uprawnień
- Generowanie raportów zawierających informacje dot. czasu realizacji wniosku oraz osoby odpowiedzialnej za realizację wniosku
Więcej informacji o Systemie obsługi wniosków znajdziesz tutaj: System obsługi wniosków
Co warto wiedzieć o systemie obsługi wniosków (SOW)?
Baza wiedzy / Aktualności
RODOprotektor zawiera bazę wiedzy o przepisach i interpretacjach dotyczących RODO. Aktualnie w bazie zawarte są:
- filmy dotyczące RODO,
- artykuły o RODO,
- pomocne linki do materiałów na www.
Zapoznaj się z najpopularniejszymi filmami o RODO. Program RODOprotektor.
Wydruki i raporty
RODOprotektor zawiera generator wydruków i raportów oparty o wbudowane silniki raportujące nowej generacji.
Dostępne funkcjonalności:
- wykorzystanie gotowych wzorów raportów,
- modyfikacja wzorów (tworzenie nowych raportów),
- raporty parametryczne,
- profesjonalny / wbudowany webowy edytor raportów.
Rozwój systemu RODOprotektor
W ramach rozwoju systemu wszystkim użytkownikom zapewniamy:
- bieżącą, w pełni automatyczną aktualizację systemu,
- modyfikacje systemu stosownie do zmian przepisów i pojawiających się interpretacji,
- modyfikacje systemu na indywidualne potrzeby użytkowników – o ile te zmiany nie naruszają logiki systemu i mogą zostać wykorzystane przez inne podmioty,
- wsparcie merytoryczne.
Wersja RODOprotektor IOD do jednoczesnej (komercyjnej) obsługi wielu podmiotów:
W związku z dużym zainteresowaniem udostępniono wersję przeznaczoną do jednoczesnej obsługi wielu podmiotów, np. szkół z danego regionu, małych podmiotów gospodarczych, grup kapitałowych itp. Więcej informacji znajdziesz tutaj.
Chcesz dowiedzieć się więcej o naszym oprogramowaniu do zarządzania danymi osobowymi zgodnie z RODO?
Zachęcamy do kontaktu!