Jak wdrożyć oprogramowanie do RODO? Podpowiadamy, jak w zaledwie czterech krokach wdrożyć skuteczne narzędzie do zarządzania danymi zgodnie z RODO.

RODO (w krajach zachodnich znane jako GDPR) to akt prawa unijnego, opracowany w celu ujednolicenia zasad przetwarzania danych osobowych w Unii Europejskiej. Od 25 maja 2018 r. te same przepisy zaczęły obowiązywać we wszystkich krajach członkowskich. RODO w szczególności dąży do zmiany naszego podejścia na bardziej aktywne w zakresie przetwarzania i ochrony danych osobowych. Od 25 maja każdy administrator jest odpowiedzialny za wdrożenie „właściwych” procedur oraz „odpowiednich” zabezpieczeń, które będzie musiał zdefiniować samodzielnie, w oparciu o przeprowadzoną analizę ryzyka. Co za tym idzie – większość administratorów poszukuje wsparcia i pomocy przy wdrożeniu RODO w postaci narzędzia ułatwiającego pracę ADO i IOD.

Za pomocą oprogramowania RODOprotektor zaledwie w kilku krokach wskażemy Państwu, jak wdrożyć oprogramowanie wspierające pracę ADO i IOD.

Artykuł 32 RODO wprowadza wymóg stosowania procesu szacowania ryzyka w przypadku wdrażania organizacyjnych oraz technicznych środków bezpieczeństwa przetwarzania danych. Jednocześnie – zgodnie z art. 35 – w przypadku, gdy dane są przetwarzane w szczególności z wykorzystaniem nowych technologii, co może powodować wysokie ryzyko naruszenia praw lub wolności osób, konieczne jest przeprowadzanie oraz udokumentowanie oceny skutków dla ochrony danych OSOD (ang. DPIA – Data Protection Impact Asessment).

Ocena poziomu ryzyka RODO może zostać wyrażona w sposób ilościowy, jakościowy lub mieszany w zależności od specyfiki danej organizacji. Najczęściej stosowana jest metoda jakościowa, w której prawdopodobieństwo oraz wpływ definiowany są w sposób opisowy, przyjmując wartości np. niski, średni, wysoki. Zaletą takiego podejścia jest łatwość zrozumienia.

Analiza ryzyka w oprogramowaniu RODOprotektor

W systemie zastosowano metodę zarządzania ryzykiem w systemach zarządzania bezpieczeństwem informacji w urzędach administracji rządowej w zakresie zagrożeń pochodzących z cyberprzestrzeni, rekomendowanej przez Komitet Rady Ministrów ds. Cyfryzacji w listopadzie 2015 r. Metoda ta pozwala na wykonanie pełnej analizy ryzyka dla wszystkich (lub wybranych) procesów przetwarzania danych osobowych zarówno w rejestrze czynności przetwarzania, jak i kategorii przetwarzania.

Definiowalne mechanizmy ryzyka (prawdopodobieństwo oraz skutek) pozwalają sprostać specyfice każdego podmiotu oraz uwzględnią zakres, cele przetwarzania, rodzaj danych, a także wielkość, strukturę oraz możliwości organizacyjne, techniczne i finansowe podmiotu.

Aplikacja do RODO RODOprotektor - Macierz ryzyka

Ocena skutków dla ochrony danych osobowych w oprogramowaniu RODOprotektor:

Jeśli na etapie szacowania i oceny ryzyka (analiza ryzyka) ustalono wysokie wartości ryzyka zdefiniowane jako „Krytyczne” oraz „Wysokie” (lub ocena wymagana jest zgodnie z odrębnymi przepisami), należy przeprowadzić ocenę skutków przetwarzania w zakresie ochrony praw i wolności osób, których dane są przetwarzane. Dla każdego procesu przetwarzania przeprowadza się prostą i kompleksową ocenę, poprzez zdefiniowanie zagrożeń i ustalenie dla nich poziomów ryzyka pozwalającego na podjęcie globalnej decyzji w zakresie kontynuacji, bądź zaprzestania przetwarzania danych. Każda pozycja oceny posiada opis akceptacji lub braku akceptacji (uzasadnienie).

Aplikacja do RODO RODOprotektor – Ocena skutków dla ochrony danych osobowych
  • Zweryfikuj i utwórz listę osób uprawnionych do dostępu do oprogramowania RODOprotektor
  • Zweryfikuj i utwórz listę Pracowników, którzy będą przetwarzać dane osobowe

Po weryfikacji osób uprawnionych do przetwarzania danych osobowych możesz wprowadzać wskazane osoby do aplikacji RODOprotektor. W tym celu przejdź do zakładki Ustawienia -> Użytkownicy. Wprowadź powyższe osoby i dla wybranych pracowników nadaj dostęp do oprogramowania RODOprotektor.

Aplikacja do RODO RODOprotektor Zakładka ustawienia

Oprogramowania daje możliwość wprowadzenia osób na trzy różne sposoby:

1. Możliwość ręcznego dodania użytkowników

Aplikacja do RODO RODOprotektor – manualne dodawanie użytkowników do programu

2. Możliwość importu użytkowników z Active Directory

Aplikacja do RODO RODOprotektor – import użytkowników z Active Directory

3. Możliwość importu użytkowników z poziomu wbudowanego importera

Aplikacja do RODO RODOprotektor - Import danych

Nadaj uprawnionym pracowników dostęp do korzystania z oprogramowania RODOprotektor. Dostęp możemy ograniczyć do odczytu, zapisu i kasowania poszczególnych zasobów systemu.

Aplikacja do RODO RODOprotektor – nadawanie uprawnień użytkownikom

Przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenie dyrektywy 95/46/WE (dalej RODO) nie wskazują wprost, tak jak dotychczasowa ustawa o ochronie danych osobowych, obowiązku upoważniania do przetwarzania danych osobowych. Jednakże z przepisów art. 5 RODO wynika konieczność zapewnienia rozliczalności przetwarzanych danych, w tym zapewnienie kontroli nad tym, kto, kiedy i w jakim zakresie przetwarza dane w imieniu administratora. Jednocześnie art. 29 RODO wymaga, aby każde przetwarzanie danych odbywało się na wyraźne polecenie administratora.

W celu wygenerowania upoważnienia dla pracownika uprawniającego go do przetwarzania danych osobowych, należy przejść do zakładki Rejestry -> Rejestr upoważnień.

  • Manualne dodawanie upoważnień

Aplikacja do RODO - RODOprotektor Rejestr upoważnień

  • Możliwość importu upoważnień historycznych, bądź aktualnie ważnych.

Aplikacja do RODO RODOprotektor - Import danych

Po uzupełnieniu rejestru upoważnień oprogramowanie umożliwia:

  • Automatyczne wygenerowanie wydruku upoważnienia – wzory upoważnień są modyfikowalne, dzięki czemu każdy administrator może modyfikować upoważnienia zgodnie z wymogami firmowymi.
  • Wygenerowane upoważnienie można wydrukować, bądź przesłać na wskazany adres e-mail.

Aplikacja do RODO RODOprotektor - Upoważnienie do przetwarzania danych osobowych

W odniesieniu do szeroko rozumianej dokumentacji przetwarzania danych osobowych, należy sporządzić w szczególności:

  • Informacje udzielane osobom, których dane osobowe przetwarzamy.

Klauzula informacyjna możliwa do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr klauzul informacyjnych.

Aplikacja do RODO RODOprotektor – Klauzula informacyjna

Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania go na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.

Aplikacja do RODO RODOprotektor – rejestr klauzul informacyjnych

  • Klauzule zgód na przetwarzanie danych osobowych, w tym w celach marketingowych.

Klauzula informacyjna możliwa jest do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr zgód.

Aplikacja do RODO RODOprotektor – Rejestr zgód

Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.

Aplikacja do RODO RODOprotektor – Rejestr zgód
  • Procedury postępowania w przypadku wystąpienia naruszeń zasad przetwarzania danych osobowych oraz incydentów z tym związanych.

Oprogramowanie umożliwia wprowadzenie dokumentacji w formie pliku do repozytorium ze wskazaniem, którzy pracownicy mogą mieć dostęp do danych dokumentów.

Aplikacja do RODO RODOprotektor – wprowadzanie danych
  • Rejestr naruszeń ochrony danych osobowych, w którym należy odnotowywać wszystkie występujące naruszenia.

Rejestr naruszeń jest możliwy do prowadzenia z poziomu oprogramowania RODOprotektor.

Aplikacja do RODO RODOprotektor - Incydenty

Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania go na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.

Aplikacja do RODO RODOprotektor - Rejestr incydentów

  • Rejestr czynności przetwarzania danych osobowych

Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, wynikający z art. 30 RODO, spoczywa na administratorze danych oraz podmiocie przetwarzającym dane lub – jeżeli ma to zastosowanie – na przedstawicielach tych podmiotów.

Art. 82 RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru:

  • Zachowanie przez administratora i podmiot przetwarzający zgodności z RODO – możliwość stałej weryfikacji swojej działalności w zakresie przetwarzania danych osobowych oraz poddawania ocenie każdego nowo wprowadzanego lub modyfikowanego procesu już na jego najwcześniejszym etapie.
  • Umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania – na żądanie organu nadzorczego informacje o prowadzonym przez administratora i podmiot przetwarzający przetwarzaniu będą udostępniane organowi w sposób jednolity, czytelny i uproszczony, umożliwiający dokonanie ich szybkiego przeglądu i wstępnej weryfikacji.

Rejestr czynności przetwarzania możliwy jest do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr czynności przetwarzania.

Aplikacja do RODO RODOprotektor – rejestr czynności przetwarzania

Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.

Aplikacja do RODO RODOprotektor – rejestr czynności przetwarzania

  • Rejestr kategorii czynności przetwarzania danych osobowych w przypadku, gdy przyjmujemy dane osobowe w powierzenie.

Kategoria czynności przetwarzania (kategoria przetwarzań) to rodzaj usługi realizowanej przez podmiot przetwarzający na zlecenie administratora związanej ze zleconymi czynnościami przetwarzania.

Rejestr kategorii czynności przetwarzania jest możliwy do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr kategorii przetwarzania.

Aplikacja do RODO RODOprotektor – rejestr kategorii przetwarzania

Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku bądź przesłania go na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.

  • Rejestr umów powierzenia

Przepis art. 28 RODO wskazuje jednoznacznie, jakiego rodzaju kwestie powinny zostać uregulowane w umowie powierzenia przetwarzania danych.

Powinna ona określać:

  • przedmiot przetwarzania,
  • czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych,
  • kategorie osób, których dane dotyczą,
  • obowiązki i prawa administratora.

Umowa powierzenia powinna regulować także zakres obowiązków podmiotu przetwarzającego (procesora). Zobowiązany on jest m.in.: do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie przedsiębiorcy (administratora), wdrażania odpowiednich środków technicznych i organizacyjnych, tak aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane są przetwarzane.

Rejestr umów powierzenia jest możliwy do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr umów powierzenia.

Aplikacja do RODO RODOprotektor – rejestr umów powierzenia

Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.

Aplikacja do RODO RODOprotektor – rejestr umów powierzenia
  • Realizacja żądań podmiotów danych

Osoba, której dane są przetwarzane przez administratora lub procesora, na mocy ogólnego rozporządzenia o ochronie danych (RODO) uzyskała wiele nowych praw. Artykuł 15 RODO uprawnia taką osobę (tzw. podmiot danych), m.in. do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli tak, to jest uprawniona do uzyskania dostępu do nich oraz takich informacji jak np.:

  • cele przetwarzania,
  • kategorie przetwarzanych danych osobowych,
  • informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
  • planowany okres przechowywania danych osobowych (w miarę możliwości),
  • informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
  • informacje o prawie wniesienia skargi do organu nadzorczego,
  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Rejestr żądań podmiotów danych jest możliwy do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr żądań podmiotów danych.

Aplikacja do RODO RODOprotektor – rejestr żądań podmiotów danych

Oprogramowanie podpowiada, ile czasu pozostało na realizację żądań podmiotów danych.

Aplikacja do RODO RODOprotektor Status żądania

Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania na wskazany adres e-mail.

Aplikacja do RODO RODOprotektor – rejestr żądań podmiotów danych

  • Wykaz udostępnień danych osobowych

Udostępnienie danych osobowych – oznacza ujawnienie danych przez jednego administratora danych innemu administratorowi. Z udostępnieniem danych osobowych mamy do czynienia, gdy ich odbiorca posiada własną podstawę prawną legitymizującą go do przetwarzania danych osobowych, która nie wywodzi się z uprawnienia administratora danych, który dane te ujawnia.

Wykaz udostępnień danych osobowych nie jest wymaganym rejestrem w kontekście RODO, niemniej jego założenie może być przydatne dla administratora danych. Może być on bowiem pomocny przy realizacji innych obowiązków administratora wynikających z przepisów prawa:

  • administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawnił dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku – dzięki rejestrowi łatwo zidentyfikować grupę odbiorców,
  • rejestr udostępnień pozwala także wykazać sposób załatwienia poszczególnych wniosków, co może być niezbędne w przypadku sporu bądź kontroli.

Rejestr udostępnień danych możliwy jest do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr udostępnień.

Aplikacja do RODO RODOprotektor – rejestr udostępnień

Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania go na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.

Aplikacja do RODO RODOprotektor – rejestr udostępnień

Jeśli masz pytania dotyczące funkcjonalności programu RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość