Jak wdrożyć oprogramowanie do RODO? Podpowiadamy, jak w zaledwie czterech krokach wdrożyć skuteczne narzędzie do zarządzania danymi zgodnie z RODO.
RODO (w krajach zachodnich znane jako GDPR) to akt prawa unijnego, opracowany w celu ujednolicenia zasad przetwarzania danych osobowych w Unii Europejskiej. Od 25 maja 2018 r. te same przepisy zaczęły obowiązywać we wszystkich krajach członkowskich. RODO w szczególności dąży do zmiany naszego podejścia na bardziej aktywne w zakresie przetwarzania i ochrony danych osobowych. Od 25 maja każdy administrator jest odpowiedzialny za wdrożenie „właściwych” procedur oraz „odpowiednich” zabezpieczeń, które będzie musiał zdefiniować samodzielnie, w oparciu o przeprowadzoną analizę ryzyka. Co za tym idzie – większość administratorów poszukuje wsparcia i pomocy przy wdrożeniu RODO w postaci narzędzia ułatwiającego pracę ADO i IOD.
Za pomocą oprogramowania RODOprotektor zaledwie w kilku krokach wskażemy Państwu, jak wdrożyć oprogramowanie wspierające pracę ADO i IOD.
Artykuł 32 RODO wprowadza wymóg stosowania procesu szacowania ryzyka w przypadku wdrażania organizacyjnych oraz technicznych środków bezpieczeństwa przetwarzania danych. Jednocześnie – zgodnie z art. 35 – w przypadku, gdy dane są przetwarzane w szczególności z wykorzystaniem nowych technologii, co może powodować wysokie ryzyko naruszenia praw lub wolności osób, konieczne jest przeprowadzanie oraz udokumentowanie oceny skutków dla ochrony danych OSOD (ang. DPIA – Data Protection Impact Asessment).
Ocena poziomu ryzyka RODO może zostać wyrażona w sposób ilościowy, jakościowy lub mieszany w zależności od specyfiki danej organizacji. Najczęściej stosowana jest metoda jakościowa, w której prawdopodobieństwo oraz wpływ definiowany są w sposób opisowy, przyjmując wartości np. niski, średni, wysoki. Zaletą takiego podejścia jest łatwość zrozumienia.
Analiza ryzyka w oprogramowaniu RODOprotektor
W systemie zastosowano metodę zarządzania ryzykiem w systemach zarządzania bezpieczeństwem informacji w urzędach administracji rządowej w zakresie zagrożeń pochodzących z cyberprzestrzeni, rekomendowanej przez Komitet Rady Ministrów ds. Cyfryzacji w listopadzie 2015 r. Metoda ta pozwala na wykonanie pełnej analizy ryzyka dla wszystkich (lub wybranych) procesów przetwarzania danych osobowych zarówno w rejestrze czynności przetwarzania, jak i kategorii przetwarzania.
Definiowalne mechanizmy ryzyka (prawdopodobieństwo oraz skutek) pozwalają sprostać specyfice każdego podmiotu oraz uwzględnią zakres, cele przetwarzania, rodzaj danych, a także wielkość, strukturę oraz możliwości organizacyjne, techniczne i finansowe podmiotu.
Ocena skutków dla ochrony danych osobowych w oprogramowaniu RODOprotektor:
Jeśli na etapie szacowania i oceny ryzyka (analiza ryzyka) ustalono wysokie wartości ryzyka zdefiniowane jako „Krytyczne” oraz „Wysokie” (lub ocena wymagana jest zgodnie z odrębnymi przepisami), należy przeprowadzić ocenę skutków przetwarzania w zakresie ochrony praw i wolności osób, których dane są przetwarzane. Dla każdego procesu przetwarzania przeprowadza się prostą i kompleksową ocenę, poprzez zdefiniowanie zagrożeń i ustalenie dla nich poziomów ryzyka pozwalającego na podjęcie globalnej decyzji w zakresie kontynuacji, bądź zaprzestania przetwarzania danych. Każda pozycja oceny posiada opis akceptacji lub braku akceptacji (uzasadnienie).
- Zweryfikuj i utwórz listę osób uprawnionych do dostępu do oprogramowania RODOprotektor
- Zweryfikuj i utwórz listę Pracowników, którzy będą przetwarzać dane osobowe
Po weryfikacji osób uprawnionych do przetwarzania danych osobowych możesz wprowadzać wskazane osoby do aplikacji RODOprotektor. W tym celu przejdź do zakładki Ustawienia -> Użytkownicy. Wprowadź powyższe osoby i dla wybranych pracowników nadaj dostęp do oprogramowania RODOprotektor.
Oprogramowania daje możliwość wprowadzenia osób na trzy różne sposoby:
1. Możliwość ręcznego dodania użytkowników
2. Możliwość importu użytkowników z Active Directory
3. Możliwość importu użytkowników z poziomu wbudowanego importera
Nadaj uprawnionym pracowników dostęp do korzystania z oprogramowania RODOprotektor. Dostęp możemy ograniczyć do odczytu, zapisu i kasowania poszczególnych zasobów systemu.
Przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenie dyrektywy 95/46/WE (dalej RODO) nie wskazują wprost, tak jak dotychczasowa ustawa o ochronie danych osobowych, obowiązku upoważniania do przetwarzania danych osobowych. Jednakże z przepisów art. 5 RODO wynika konieczność zapewnienia rozliczalności przetwarzanych danych, w tym zapewnienie kontroli nad tym, kto, kiedy i w jakim zakresie przetwarza dane w imieniu administratora. Jednocześnie art. 29 RODO wymaga, aby każde przetwarzanie danych odbywało się na wyraźne polecenie administratora.
W celu wygenerowania upoważnienia dla pracownika uprawniającego go do przetwarzania danych osobowych, należy przejść do zakładki Rejestry -> Rejestr upoważnień.
- Manualne dodawanie upoważnień
- Możliwość importu upoważnień historycznych, bądź aktualnie ważnych.
Po uzupełnieniu rejestru upoważnień oprogramowanie umożliwia:
- Automatyczne wygenerowanie wydruku upoważnienia – wzory upoważnień są modyfikowalne, dzięki czemu każdy administrator może modyfikować upoważnienia zgodnie z wymogami firmowymi.
- Wygenerowane upoważnienie można wydrukować, bądź przesłać na wskazany adres e-mail.
W odniesieniu do szeroko rozumianej dokumentacji przetwarzania danych osobowych, należy sporządzić w szczególności:
- Informacje udzielane osobom, których dane osobowe przetwarzamy.
Klauzula informacyjna możliwa do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr klauzul informacyjnych.
Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania go na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.
- Klauzule zgód na przetwarzanie danych osobowych, w tym w celach marketingowych.
Klauzula informacyjna możliwa jest do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr zgód.
Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.
- Procedury postępowania w przypadku wystąpienia naruszeń zasad przetwarzania danych osobowych oraz incydentów z tym związanych.
Oprogramowanie umożliwia wprowadzenie dokumentacji w formie pliku do repozytorium ze wskazaniem, którzy pracownicy mogą mieć dostęp do danych dokumentów.
- Rejestr naruszeń ochrony danych osobowych, w którym należy odnotowywać wszystkie występujące naruszenia.
Rejestr naruszeń jest możliwy do prowadzenia z poziomu oprogramowania RODOprotektor.
Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania go na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.
- Rejestr czynności przetwarzania danych osobowych
Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, wynikający z art. 30 RODO, spoczywa na administratorze danych oraz podmiocie przetwarzającym dane lub – jeżeli ma to zastosowanie – na przedstawicielach tych podmiotów.
Art. 82 RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru:
- Zachowanie przez administratora i podmiot przetwarzający zgodności z RODO – możliwość stałej weryfikacji swojej działalności w zakresie przetwarzania danych osobowych oraz poddawania ocenie każdego nowo wprowadzanego lub modyfikowanego procesu już na jego najwcześniejszym etapie.
- Umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania – na żądanie organu nadzorczego informacje o prowadzonym przez administratora i podmiot przetwarzający przetwarzaniu będą udostępniane organowi w sposób jednolity, czytelny i uproszczony, umożliwiający dokonanie ich szybkiego przeglądu i wstępnej weryfikacji.
Rejestr czynności przetwarzania możliwy jest do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr czynności przetwarzania.
Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.
- Rejestr kategorii czynności przetwarzania danych osobowych w przypadku, gdy przyjmujemy dane osobowe w powierzenie.
Kategoria czynności przetwarzania (kategoria przetwarzań) to rodzaj usługi realizowanej przez podmiot przetwarzający na zlecenie administratora związanej ze zleconymi czynnościami przetwarzania.
Rejestr kategorii czynności przetwarzania jest możliwy do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr kategorii przetwarzania.
Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku bądź przesłania go na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.
- Rejestr umów powierzenia
Przepis art. 28 RODO wskazuje jednoznacznie, jakiego rodzaju kwestie powinny zostać uregulowane w umowie powierzenia przetwarzania danych.
Powinna ona określać:
- przedmiot przetwarzania,
- czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj danych osobowych,
- kategorie osób, których dane dotyczą,
- obowiązki i prawa administratora.
Umowa powierzenia powinna regulować także zakres obowiązków podmiotu przetwarzającego (procesora). Zobowiązany on jest m.in.: do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie przedsiębiorcy (administratora), wdrażania odpowiednich środków technicznych i organizacyjnych, tak aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane są przetwarzane.
Rejestr umów powierzenia jest możliwy do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr umów powierzenia.
Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.
- Realizacja żądań podmiotów danych
Osoba, której dane są przetwarzane przez administratora lub procesora, na mocy ogólnego rozporządzenia o ochronie danych (RODO) uzyskała wiele nowych praw. Artykuł 15 RODO uprawnia taką osobę (tzw. podmiot danych), m.in. do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli tak, to jest uprawniona do uzyskania dostępu do nich oraz takich informacji jak np.:
- cele przetwarzania,
- kategorie przetwarzanych danych osobowych,
- informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
- planowany okres przechowywania danych osobowych (w miarę możliwości),
- informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
- informacje o prawie wniesienia skargi do organu nadzorczego,
- jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
Rejestr żądań podmiotów danych jest możliwy do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr żądań podmiotów danych.
Oprogramowanie podpowiada, ile czasu pozostało na realizację żądań podmiotów danych.
Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania na wskazany adres e-mail.
- Wykaz udostępnień danych osobowych
Udostępnienie danych osobowych – oznacza ujawnienie danych przez jednego administratora danych innemu administratorowi. Z udostępnieniem danych osobowych mamy do czynienia, gdy ich odbiorca posiada własną podstawę prawną legitymizującą go do przetwarzania danych osobowych, która nie wywodzi się z uprawnienia administratora danych, który dane te ujawnia.
Wykaz udostępnień danych osobowych nie jest wymaganym rejestrem w kontekście RODO, niemniej jego założenie może być przydatne dla administratora danych. Może być on bowiem pomocny przy realizacji innych obowiązków administratora wynikających z przepisów prawa:
- administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawnił dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku – dzięki rejestrowi łatwo zidentyfikować grupę odbiorców,
- rejestr udostępnień pozwala także wykazać sposób załatwienia poszczególnych wniosków, co może być niezbędne w przypadku sporu bądź kontroli.
Rejestr udostępnień danych możliwy jest do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr udostępnień.
Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania go na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.
