Jak wdrożyć oprogramowanie do RODO? Podpowiadamy, jak w zaledwie czterech krokach wdrożyć skuteczne narzędzie do zarządzania danymi zgodnie z RODO.

RODO (w krajach zachodnich znane jako GDPR) to akt prawa unijnego, opracowany w celu ujednolicenia zasad przetwarzania danych osobowych w Unii Europejskiej. Od 25 maja 2018 r. te same przepisy zaczęły obowiązywać we wszystkich krajach członkowskich. RODO w szczególności dąży do zmiany naszego podejścia na bardziej aktywne w zakresie przetwarzania i ochrony danych osobowych. Od 25 maja każdy administrator jest odpowiedzialny za wdrożenie „właściwych” procedur oraz „odpowiednich” zabezpieczeń, które będzie musiał zdefiniować samodzielnie, w oparciu o przeprowadzoną analizę ryzyka. Co za tym idzie – większość administratorów poszukuje wsparcia i pomocy przy wdrożeniu RODO w postaci narzędzia ułatwiającego pracę ADO i IOD.

Za pomocą oprogramowania RODOprotektor zaledwie w kilku krokach wskażemy Państwu, jak wdrożyć oprogramowanie wspierające pracę ADO i IOD.

Wdrożenie RODO z programem RODOprotektor – krok 1: Analiza ryzyka i ocena skutków dla ochrony danych osobowych

Artykuł 32 RODO wprowadza wymóg stosowania procesu szacowania ryzyka w przypadku wdrażania organizacyjnych oraz technicznych środków bezpieczeństwa przetwarzania danych. Jednocześnie – zgodnie z art. 35 – w przypadku, gdy dane są przetwarzane w szczególności z wykorzystaniem nowych technologii, co może powodować wysokie ryzyko naruszenia praw lub wolności osób, konieczne jest przeprowadzanie oraz udokumentowanie oceny skutków dla ochrony danych OSOD (ang. DPIA – Data Protection Impact Asessment).

Ocena poziomu ryzyka RODO może zostać wyrażona w sposób ilościowy, jakościowy lub mieszany w zależności od specyfiki danej organizacji. Najczęściej stosowana jest metoda jakościowa, w której prawdopodobieństwo oraz wpływ definiowany są w sposób opisowy, przyjmując wartości np. niski, średni, wysoki. Zaletą takiego podejścia jest łatwość zrozumienia.

Analiza ryzyka w oprogramowaniu RODOprotektor

W systemie zastosowano metodę zarządzania ryzykiem w systemach zarządzania bezpieczeństwem informacji w urzędach administracji rządowej w zakresie zagrożeń pochodzących z cyberprzestrzeni, rekomendowanej przez Komitet Rady Ministrów ds. Cyfryzacji w listopadzie 2015 r. Metoda ta pozwala na wykonanie pełnej analizy ryzyka dla wszystkich (lub wybranych) procesów przetwarzania danych osobowych zarówno w rejestrze czynności przetwarzania, jak i kategorii przetwarzania.

Definiowalne mechanizmy ryzyka (prawdopodobieństwo oraz skutek) pozwalają sprostać specyfice każdego podmiotu oraz uwzględnią zakres, cele przetwarzania, rodzaj danych, a także wielkość, strukturę oraz możliwości organizacyjne, techniczne i finansowe podmiotu.

Ocena skutków dla ochrony danych osobowych w oprogramowaniu RODOprotektor:

Jeśli na etapie szacowania i oceny ryzyka (analiza ryzyka) ustalono wysokie wartości ryzyka zdefiniowane jako „Krytyczne” oraz „Wysokie” (lub ocena wymagana jest zgodnie z odrębnymi przepisami), należy przeprowadzić ocenę skutków przetwarzania w zakresie ochrony praw i wolności osób, których dane są przetwarzane. Dla każdego procesu przetwarzania przeprowadza się prostą i kompleksową ocenę, poprzez zdefiniowanie zagrożeń i ustalenie dla nich poziomów ryzyka pozwalającego na podjęcie globalnej decyzji w zakresie kontynuacji, bądź zaprzestania przetwarzania danych. Każda pozycja oceny posiada opis akceptacji lub braku akceptacji (uzasadnienie).

Wdrożenie RODO z programem RODOprotektor – krok 2: Weryfikacja osób uprawnionych do przetwarzania danych osobowych

Zweryfikuj i utwórz listę osób uprawnionych do dostępu do oprogramowania RODOprotektor
Zweryfikuj i utwórz listę Pracowników, którzy będą przetwarzać dane osobowe

Po weryfikacji osób uprawnionych do przetwarzania danych osobowych możesz wprowadzać wskazane osoby do aplikacji RODOprotektor. W tym celu przejdź do zakładki Ustawienia -> Użytkownicy. Wprowadź powyższe osoby i dla wybranych pracowników nadaj dostęp do oprogramowania RODOprotektor.

Oprogramowania daje możliwość wprowadzenia osób na trzy różne sposoby:

1. Możliwość ręcznego dodania użytkowników

2. Możliwość importu użytkowników z Active Directory

3. Możliwość importu użytkowników z poziomu wbudowanego importera

Nadaj uprawnionym pracowników dostęp do korzystania z oprogramowania RODOprotektor. Dostęp możemy ograniczyć do odczytu, zapisu i kasowania poszczególnych zasobów systemu.

Wdrożenie RODO z programem RODOprotektor – krok 3: Wygeneruj upoważnienia do przetwarzania danych osobowych

Przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenie dyrektywy 95/46/WE (dalej RODO) nie wskazują wprost, tak jak dotychczasowa ustawa o ochronie danych osobowych, obowiązku upoważniania do przetwarzania danych osobowych. Jednakże z przepisów art. 5 RODO wynika konieczność zapewnienia rozliczalności przetwarzanych danych, w tym zapewnienie kontroli nad tym, kto, kiedy i w jakim zakresie przetwarza dane w imieniu administratora. Jednocześnie art. 29 RODO wymaga, aby każde przetwarzanie danych odbywało się na wyraźne polecenie administratora.

W celu wygenerowania upoważnienia dla pracownika uprawniającego go do przetwarzania danych osobowych, należy przejść do zakładki Rejestry -> Rejestr upoważnień.

Manualne dodawanie upoważnień

Możliwość importu upoważnień historycznych, bądź aktualnie ważnych.

Po uzupełnieniu rejestru upoważnień oprogramowanie umożliwia:

Automatyczne wygenerowanie wydruku upoważnienia – wzory upoważnień są modyfikowalne, dzięki czemu każdy administrator może modyfikować upoważnienia zgodnie z wymogami firmowymi.
Wygenerowane upoważnienie można wydrukować, bądź przesłać na wskazany adres e-mail.

Wdrożenie RODO z programem RODOprotektor – krok 4: Opracowanie dokumentacji

W odniesieniu do szeroko rozumianej dokumentacji przetwarzania danych osobowych, należy sporządzić w szczególności:

Informacje udzielane osobom, których dane osobowe przetwarzamy.

Klauzula informacyjna możliwa do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr klauzul informacyjnych.

Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania go na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.

Klauzule zgód na przetwarzanie danych osobowych, w tym w celach marketingowych.

Klauzula informacyjna możliwa jest do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr zgód.

Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.

Procedury postępowania w przypadku wystąpienia naruszeń zasad przetwarzania danych osobowych oraz incydentów z tym związanych.

Oprogramowanie umożliwia wprowadzenie dokumentacji w formie pliku do repozytorium ze wskazaniem, którzy pracownicy mogą mieć dostęp do danych dokumentów.

Rejestr naruszeń ochrony danych osobowych, w którym należy odnotowywać wszystkie występujące naruszenia.

Rejestr naruszeń jest możliwy do prowadzenia z poziomu oprogramowania RODOprotektor.

Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania go na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.

Rejestr czynności przetwarzania danych osobowych

Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, wynikający z art. 30 RODO, spoczywa na administratorze danych oraz podmiocie przetwarzającym dane lub – jeżeli ma to zastosowanie – na przedstawicielach tych podmiotów.

Art. 82 RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru:

Zachowanie przez administratora i podmiot przetwarzający zgodności z RODO – możliwość stałej weryfikacji swojej działalności w zakresie przetwarzania danych osobowych oraz poddawania ocenie każdego nowo wprowadzanego lub modyfikowanego procesu już na jego najwcześniejszym etapie.
Umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania – na żądanie organu nadzorczego informacje o prowadzonym przez administratora i podmiot przetwarzający przetwarzaniu będą udostępniane organowi w sposób jednolity, czytelny i uproszczony, umożliwiający dokonanie ich szybkiego przeglądu i wstępnej weryfikacji.

Rejestr czynności przetwarzania możliwy jest do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr czynności przetwarzania.

Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.

Rejestr kategorii czynności przetwarzania danych osobowych w przypadku, gdy przyjmujemy dane osobowe w powierzenie.

Kategoria czynności przetwarzania (kategoria przetwarzań) to rodzaj usługi realizowanej przez podmiot przetwarzający na zlecenie administratora związanej ze zleconymi czynnościami przetwarzania.

Rejestr kategorii czynności przetwarzania jest możliwy do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr kategorii przetwarzania.

Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku bądź przesłania go na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.

Rejestr umów powierzenia

Przepis art. 28 RODO wskazuje jednoznacznie, jakiego rodzaju kwestie powinny zostać uregulowane w umowie powierzenia przetwarzania danych.

Powinna ona określać:

przedmiot przetwarzania,
czas trwania przetwarzania,
charakter i cel przetwarzania,
rodzaj danych osobowych,
kategorie osób, których dane dotyczą,
obowiązki i prawa administratora.

Umowa powierzenia powinna regulować także zakres obowiązków podmiotu przetwarzającego (procesora). Zobowiązany on jest m.in.: do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie przedsiębiorcy (administratora), wdrażania odpowiednich środków technicznych i organizacyjnych, tak aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane są przetwarzane.

Rejestr umów powierzenia jest możliwy do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr umów powierzenia.

Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.

Realizacja żądań podmiotów danych

Osoba, której dane są przetwarzane przez administratora lub procesora, na mocy ogólnego rozporządzenia o ochronie danych (RODO) uzyskała wiele nowych praw. Artykuł 15 RODO uprawnia taką osobę (tzw. podmiot danych), m.in. do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli tak, to jest uprawniona do uzyskania dostępu do nich oraz takich informacji jak np.:

cele przetwarzania,
kategorie przetwarzanych danych osobowych,
informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
planowany okres przechowywania danych osobowych (w miarę możliwości),
informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
informacje o prawie wniesienia skargi do organu nadzorczego,
jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Rejestr żądań podmiotów danych jest możliwy do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr żądań podmiotów danych.

Oprogramowanie podpowiada, ile czasu pozostało na realizację żądań podmiotów danych.

Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania na wskazany adres e-mail.

Wykaz udostępnień danych osobowych

Udostępnienie danych osobowych – oznacza ujawnienie danych przez jednego administratora danych innemu administratorowi. Z udostępnieniem danych osobowych mamy do czynienia, gdy ich odbiorca posiada własną podstawę prawną legitymizującą go do przetwarzania danych osobowych, która nie wywodzi się z uprawnienia administratora danych, który dane te ujawnia.

Wykaz udostepnień danych osobowych nie jest wymaganym rejestrem w kontekście RODO, niemniej jego założenie może być przydatne dla administratora danych. Może być on bowiem pomocny przy realizacji innych obowiązków administratora wynikających z przepisów prawa:

administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawnił dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku – dzięki rejestrowi łatwo zidentyfikować grupę odbiorców,
rejestr udostępnień pozwala także wykazać sposób załatwienia poszczególnych wniosków, co może być niezbędne w przypadku sporu bądź kontroli.

Rejestr udostępnień danych możliwy jest do wygenerowania z poziomu oprogramowania RODOprotektor po wejściu w zakładkę Rejestry -> Rejestr udostępnień.

Po uzupełnieniu odpowiednich pól, oprogramowanie umożliwia opcję wygenerowania raportu do wydruku, bądź przesłania go na wskazany adres e-mail. Wzór jest w pełni modyfikowalny.

Jeśli masz pytania dotyczące funkcjonalności programu RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość

The post Oprogramowanie do RODO – jak wdrożyć RODO? appeared first on RODOprotektor – Program do RODO.

Jak wdrożyć oprogramowanie do RODO? Podpowiadamy, jak w zaledwie czterech krokach wdrożyć skuteczne narzędzie do zarządzania danymi zgodnie z RODO.

Wdrożenie RODO z programem RODOprotektor – krok 1: Analiza ryzyka i ocena skutków dla ochrony danych osobowych

Analiza ryzyka w oprogramowaniu RODOprotektor

Ocena skutków dla ochrony danych osobowych w oprogramowaniu RODOprotektor:

Wdrożenie RODO z programem RODOprotektor – krok 2: Weryfikacja osób uprawnionych do przetwarzania danych osobowych

Wdrożenie RODO z programem RODOprotektor – krok 3: Wygeneruj upoważnienia do przetwarzania danych osobowych

Wdrożenie RODO z programem RODOprotektor – krok 4: Opracowanie dokumentacji

Jeśli masz pytania dotyczące funkcjonalności programu RODOprotektor – wyślij nam wiadomość!

BTC Sp. z o.o.

email

info@btc.com.pl

adres

ul. 1 Maja 38
71-627 Szczecin
PL9552061116

O BTC

Kim jesteśmy
Misja
Historia
Nagrody i wyróżnienia

Materiały dla mediów

PRODUKTY

eAuditor
Hyprovision DLP
RODOprotektor
eHelpDesk
System dla Sygnalistów
Zarządzanie IAM
BTC AI

BTC AI

Website Classification
Process Classification
Image to Text AI
Image Classification
Document Classification

KARIERA

Oferty pracy
Świadczenia
Praktyki i staże
Szkolenia

Jak wdrożyć oprogramowanie do RODO? Podpowiadamy, jak w zaledwie czterech krokach wdrożyć skuteczne narzędzie do zarządzania danymi zgodnie z RODO.

Analiza ryzyka w oprogramowaniu RODOprotektor

Ocena skutków dla ochrony danych osobowych w oprogramowaniu RODOprotektor:

Jeśli masz pytania dotyczące funkcjonalności programu RODOprotektor – wyślij nam wiadomość!

Udostępnij ten wpis!

BTC Sp. z o.o.

email

info@btc.com.pl

adres

ul. 1 Maja 38 71-627 Szczecin PL9552061116

O BTC

PRODUKTY

BTC AI

KARIERA

ul. 1 Maja 38
71-627 Szczecin
PL9552061116