Funkcjonalności aplikacji do RODO – zarządzaj danymi w bezpieczny sposób

Wzory dokumentów wygenerowane z RODOprotektor

Niniejsze dokumenty są dokumentami przykładowymi. Każdy z dokumentów może zostać dowolnie zmodyfikowany przez użytkownika systemu. Można tworzyć samodzielnie własne szablony za pomocą wbudowanego edytora raportów.

Upoważnienia do przetwarzania danych osobowych

W oparciu o dane zawarte w RODOprotektor osoba odpowiedzialna udziela elektronicznego upoważnienia wybranym pracownikom do przetwarzania wybranych danych osobowych w zakresie adekwatnym do ich potrzeb, wskazując m.in. kategorię danych, cel przetwarzania. Udzielenie elektronicznego upoważnienia wymaga zaakceptowania przez IODO, następnie dokument można wydrukować i przedłożyć pracownikowi oraz do akt. Upoważnienie jest zapisywane w elektronicznym rejestrze upoważnień.

Z poziomu oprogramowania RODOprotektor możemy wygenerować upoważnienie do :

• czynności przetwarzania,

• zbiorów danych.

Rejestr czynności przetwarzania

Rejestr czynności przetwarzania danych osobowych jest głównym repozytorium programu RODOprotektor. Informacje znajdujące się w rejestrze zawierają szereg relacji pozwalających na uzyskanie przekrojowych informacji i raportów niezbędnych ADO. Rejestr zawiera informacje o celach przetwarzania danych osobowych, zakresie danych osobowych, systemach (programach, zbiorach, bazach danych), w których przetwarzane są dane osobowe.

Rejestr kategorii przetwarzania

Rejestr kategorii przetwarzania danych osobowych jest repozytorium służącym do ewidencji przetwarzania danych, które zostały powierzone przez inny (obcy) podmiot do przetwarzania. Rejestr może być nazywany Rejestrem podmiotu przetwarzającego dane – tzw. Procesora. Konstrukcja rejestru jest zbliżona do rejestru operacji przetwarzania, ale nie jest to ten sam rejestr. Na uwagę zasługują elementy takie jak: „Termin usunięcia kategorii przetwarzanych danych”, „Zasady zakończenia współpracy z przekazującym dane do przetworzenia” (np. zwrot danych, usunięcie itp.), „Okres przetwarzania danych”, „Podstawy przetwarzania danych”.

Rejestr umów powierzenia

Rejestr umów powierzenia jest zbiorem (rejestrem) wszystkich danych powierzanych do przetwarzania innym podmiotom. Rejestr zapewnia spełnienie wymagania RODO w zakresie nadzoru nad podmiotami, którym dane osobowe zostały (zostaną) powierzone. Rejestr pozwala Inspektorowi Ochrony Danych Osobowych w łatwy sposób kontrolować do kogo, na jak długo i dlaczego (cel) dane osobowe zostały powierzone. Umowy powierzenia powinny być zweryfikowane zgodnie z obowiązującą procedurą. Fakt weryfikacji umowy powierzenia jest rejestrowany w systemie. Program posiada możliwość generowania przypomnień, np. o kończącym się terminie umowy powierzenia danych osobowych, co umożliwi Inspektorowi Ochrony Danych Osobowych podjęcie kroków wymaganych prawnie we właściwym terminie.

Rejestr udostępnień danych osobowych

Rejestr udostępnień danych osobowych jest pomocniczym (opcjonalnym) rejestrem w RODO. Wiele podmiotów stosuje ten rejestr dla zapewnienia rozliczalności. Rejestr zawiera informacje o udostępnieniu (kto, kiedy, komu), jakie zbiory udostępniono, celu i podstawie udostępnienia.

Rejestr zgód

Aby podmiot mógł przetwarzać dane osobowe, musi wyrazić na to zgodę. Jeśli zgoda ta nie wynika na podstawie zwartej umowy lub przepisów prawa, to zgodnie z uwarunkowaniami formalnymi, należy posiadać zgodę podmiotu danych. Rejestr zgód wskazuje listę zgód, które zostały wyrażone przez osobę, której dane dotyczą. Wykaz obejmuje zgody wyrażone poprzednio oraz obowiązujące aktualnie. Oprogramowanie RODOprotektor umożliwia filtrowanie treści według statusu zgód, które zostały wyrażone – aktywne, nieaktywne oraz wycofane.

Rejestr zgód posiada możliwość importu danych ze wskazanych źródeł wraz z możliwością importu metadanych z pliku .csv, Excel, za pomocą Microsoft SQL Server, MySQL oraz PostgreSQL.

Wycofanie zgody marketingowej na otrzymywanie informacji za pomocą wiadomości SMS oraz podczas rozmów telefonicznych.

Rejestr naruszeń danych osobowych (incydenty)

RODOprotektor umożliwia rejestrację, obsługę i nadzór nad naruszeniami danych osobowych. Każda z osób upoważnionych może dokonać zgłoszenia naruszenia bezpieczeństwa danych osobowych. Zgłoszenia można dokonać kanałami: z formularza www, za pośrednictwem poczty e-mailowej lub telefonicznie. Odpowiednia konfiguracja systemu pozwala na automatyczne przygotowanie zrzutu ekranu. Zgłoszenia automatycznie są odnotowane
w systemie i są dalej przetwarzane przez IOD. Inspektor powinien zgodnie z procedurami dokonać analizy zgłoszenia, przyjąć je jako zgłoszenie formalne lub odrzucić jako nieistotne. W obu przypadkach informacja o tym procesie jest ewidencjonowana w rejestrze naruszeń danych osobowych.

Zgodnie z art.33 ust.5 RODO „ Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym:

• okoliczności naruszenia ochrony danych osobowych,
• jego skutki oraz
• podjęte działania zaradcze.

Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania niniejszego artykułu.
Zgodnie z ust. 1 art. 33 „W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.”

Ocena wagi naruszeń

Czy każdy incydent należy zgłaszać? Jak stwierdzić, czy dane naruszenie kwalifikować się będzie do zgłoszenia, czy nie, czy należy zawiadomić osoby, których dane dotyczą czy też nie?

Dla ułatwienia realizacji trudnego zadania oceny ryzyka do oprogramowania RODOprotektor wprowadziliśmy metodologię, która pozwoli krok po kroku dokonać wartościowania incydentów i kwalifikacji ich jako naruszenia.

Metoda oceny wagi naruszenia
WN=(DO+CS)*MI+ON+IK

• Waga Naruszenia –WN
• Kryterium dane osobowe + Kryterium specyfiki naruszenia– (DO+CS) – główny czynnik określający poziom krytyczności zestawu naruszonych danych, w określonym kontekście przetwarzania
• Kryterium możliwości identyfikacji- MI- czynnik korygujący (DO+CS), który może obniżyć wynik. Prawdopodobieństwo (łatwość) identyfikacji osoby na podstawie naruszonych danych dla osób, które uzyskały dostęp do nich.
• Kryterium okoliczności naruszenia – ON – czynnik, który odnosi się do okoliczności naruszenia, które wystąpiły lub nie w danym przypadku.
• Kryterium Inne kryterium – IK

Kryterium dane osobowe + Kryterium specyfiki naruszenia– (DO+CS)

• Podstawowe dane osobowe = 0,5
• Dane dotyczące zachowań osoby = 1
• Dane finansowe = 1,5
• Dane szczególnie chronione = 2
• Szeroki zakres danych osobowych = 1
• Specyficzne cechy Administratora danych = 1
• Charakter danych = -1
• Charakter danych = 1
• Wysoka waga negatywnych skutków naruszenia dla osoby fizycznej = 1
• Publiczna dostępność danych = -1
• Nieprawidłowość danych = -1
• Inne czynniki = -1
• Inne czynniki = 1

Kryterium możliwości identyfikacji- MI

• Incydent nie stanowi naruszenia praw i wolności osoby, której dane dotyczą = 0
• Znikoma możliwość identyfikacji osoby, której dane dotyczą = 0,25
• Ograniczona możliwość identyfikacji osoby, której dane dotyczą = 0,5
• Wysokie prawdopodobieństwo identyfikacji osoby, której dane dotyczą = 0,75
• Maksymalne prawdopodobieństwo identyfikacji osoby, której dane dotyczą = 1

Kryterium okoliczności naruszenia – ON

• Naruszenie poufności – niskie prawdopodobieństwo naruszenia = 0
• Znany odbiorca danych = 0,25
• Nieznana liczba podmiotów, którym ujawniono dane osobowe = 0,5
• Naruszenie integralności bez prawidłowego przetwarzania zmienionych danych = 0,75
• Nieprawidłowe przetwarzanie- możliwość poprawiania danych osobowych = 0,25
• Brak możliwości poprawiania danych osobowych = 0,5
• Naruszenie dostępności można odzyskać = 0
• Naruszenie dostępności dane można odzyskać, ale wymaga to długiego czasu = 0,75
• Naruszenie poufności – prawdopodobieństwo naruszenia = 0,5

Kryterium Inne kryterium – IK

• Celowe naruszenie = 1
• Niegodny zaufania odbiorca danych = 1
• Duża liczba osób, których dotyczy incydent (osób 100+) = 1
• Zaufany odbiorca danych = -1
• Dane niedostępne z powodu szyfrowania = 1
• Bardzo mała liczba osób, których dane dotyczą (<20) = -1
• Inne istotne czynniki naruszenia = 1

Rejestr żądań podmiotów danych

Rejestr żądań podmiotów danych pozwala na ewidencję wszystkich żądań podmiotów danych w zakresie:

• DDO – Żądanie uzyskania dostępu do danych osobowych
• SDO – Żądanie sprostowania danych osobowych
• ZPDO – Żądanie zaprzestania przetwarzania wobec sprzeciwu
• OPDO – Żądanie ograniczenia przetwarzania
• UDO – Żądanie usunięcia
• PDO – Żądanie przeniesienia danych osobowych do odczytu maszynowego (CSV, XML)
• ODO – Żądanie otrzymania danych osobowych
• WDO – Żądanie wglądu do danych osobowych
• I – Inne żądanie

Żądania są odnotowywane, system pilnuje i przypomina o upływającym terminie zrealizowania żądania (wykonanie / odpowiedź),
zgodnie z Rozporządzeniem.

Rejestr klauzul informacyjnych

Rejestr klauzul informacyjnych pozwala na dopełnienie obowiązku informacyjnego wraz z możliwością generowania klauzul informacyjnych dla osób, od których zbierane są dane o szeregu informacji dotyczących administratora oraz o prawach przysługujących tym osobom. Rejestr zawiera w sobie informacje o administratorze danych, IOD, celu oraz podstawie przetwarzania, wykaz praw i konsekwencji dla osób, których dane dotyczą, odbiorców danych, przekazanie danych do państw trzecich i organizacji międzynarodowych oraz informację o profilowaniu.

Analiza ryzyka

Analiza ryzyka wbudowana do oprogramowania RODOprotektor ma na celu realizację wytycznych UE dotyczących ochrony danych osobowych (RODO) w zakresie przeprowadzenia analizy ryzyka.

Program przewidziany jest jako narzędzie pomocnicze dla administratora danych oraz  Inspektora Ochrony Danych. Pozwala na przeprowadzenia analizy ryzyka według metody rozszerzonej wg PN-ISO/IEC-27005.

W systemie zastosowano metodę zarządzania ryzykiem w systemach zarządzania bezpieczeństwem informacji w urzędach administracji rządowej w zakresie zagrożeń pochodzących z cyberprzestrzeni, rekomendowanej przez Komitet Rady Ministrów ds. Cyfryzacji w listopadzie 2015 r. Metoda ta pozwala na wykonanie pełnej analizy ryzyka dla wszystkich (lub wybranych) procesów przetwarzania danych osobowych zarówno w rejestrze czynności przetwarzania, jak i kategorii przetwarzania.

Definiowalne mechanizmy ryzyka (prawdopodobieństwo oraz skutek) pozwalają sprostać specyfice każdego podmiotu oraz uwzględnią zakres, cele przetwarzania, rodzaj danych, a także wielkość, strukturę oraz możliwości organizacyjne, techniczne i finansowe podmiotu.

Ocena skutków dla ochrony danych

Jeżeli na etapie szacowania i oceny ryzyka (analiza ryzyka) ustalono wysokie wartości ryzyka zdefiniowane jako „Krytyczne” oraz „Wysokie”  (lub ocena wymagana jest wg odrębnych przepisów) należy przeprowadzić ocenę skutków przetwarzania w zakresie ochrony praw i wolności osób, których dane są przetwarzane.

Dla każdego procesu przetwarzania przeprowadza się prostą i kompleksową ocenę, poprzez zdefiniowanie zagrożeń i ustalenie dla nich poziomów ryzyka pozwalającego na podjęcie globalnej decyzji w zakresie kontynuacji bądź zaprzestania przetwarzania danych.

Każda pozycja oceny posiada opis akceptacji lub braku akceptacji (uzasadnienie).

System Obsługi Wniosków

Baza wiedzy / Aktualności

RODOprotektor zawiera bazę wiedzy o przepisach i interpretacjach dotyczących RODO. Aktualnie w bazie zawarte są:

• filmy dotyczące RODO,
• artykuły o RODO,
• pomocne linki do materiałów na www.

Zapoznaj się z najpopularniejszymi filmami o RODO. Program RODOprotektor.

Wydruki i raporty

RODOprotektor zawiera generator wydruków i raportów oparty o wbudowane silniki raportujące nowej generacji.

Dostępne funkcjonalności:

• wykorzystanie gotowych wzorów raportów,
• modyfikacja wzorów (tworzenie nowych raportów),
• raporty parametryczne,
• profesjonalny / wbudowany webowy edytor raportów.

Edytor raportów

RODOprotektor zawiera wbudowany webowy edytor raportów.

Dostępne funkcjonalności:

• modyfikacja wzorów,
• tworzenie własnych raportów i zestawień,
• wsparcie dla raportów parametrycznych,
• eksport raportów do kilkudziesięciu formatów
• wysyłanie raportów mailem (w tym harmonogram).