Wiele firm i organizacji przygotowując się do spełnienia obowiązków wynikających z RODO, rozpoczęło proces przeglądu swoich procesów i procedur, aby sprawdzić, czy są zgodne z wymaganiami. Okazało się niejednokrotnie, że jest wiele obszarów biznesu, gdzie brakuje dokumentacji, a nierzadko wiedzy i kontroli, gdzie i jakie dane przetwarzamy. Zatem wdrożenie założeń RODO to doskonały moment do uporządkowania tych obszarów, pytanie czy mamy odpowiednie narzędzia i zaangażowane osoby, które mogłyby zaprowadzić porządek w tej dokumentacji? Przygotowaliśmy narzędzie, które będzie wspierać inspektorów danych osobowych w ich codziennej pracy.
Integracja procesów i dokumentacji
All for One GDPR Manager tworzy wszechstronne środowisko pracy dla IOD, wspiera zarządzanie danymi osobowymi wszelkiego typu (w tym danymi pracowników, klientów, odbiorców informacji marketingowych, dostawców i innych), daje możliwość efektywnego zarządzania dostępami do danych osobowych od strony wymaganej dokumentacji oraz umożliwia ciągłe doskonalenie procesów zabezpieczania danych osobowych.
Funkcje i możliwości All for One GDPR Manager:
- prowadzenie rejestrów czynności przetwarzania,
- prowadzenie rejestru pełnomocnictw i upoważnień wraz ze szczegółowym raportowaniem,
- automatyczne generowanie dokumentów, np. pełnomocnictw i upoważnień dla pracowników,
- kontrola i weryfikacja umów z kontrahentami wraz z rejestrowaniem wszystkich akcji w procesie obiegu dokumentu,
- zaprojektowanie i przeprowadzenie procesu analizy ryzyka dla poszczególnych czynności przetwarzania wraz z porównywalnością danych w czasie,
- planowanie programów szkoleniowych.
All for One GDPR Manager to aplikacja gotowa do pracy, dostępna w chmurze (SaaS) lub jako instalacja on premise.
Rola Inspektora Ochrony Danych Osobowych (IOD)
Wraz z panelem do zarządzania rejestrami i zgłoszeniami, IOD otrzymuje dostęp do panelu prezentującego kluczowe parametry procesów RODO, przydatnego w przypadku raportowania postępu prac związanych z redukcją ryzyka, ciągłego doskonalenia, czy po prostu śledzenia ilości zgłoszeń spływających do organizacji w celach informacji, czy też z prośbą o usunięcie danych osobowych.
Aby móc definiować kluczowe parametry systemu, trzeba najpierw zasilić narzędzie danymi. Z czasem panel pozwoli na analizę tych danych. Potencjał rozwoju tego narzędzia w głównej mierze zależy od aktywności Inspektora Danych Osobowych.
Analiza ryzyka
To, co wyróżnia All for One GDPR Manager, to możliwość śledzenia „szarych stref” naszych organizacji, poprzez przeprowadzanie cyklicznych analiz ryzyka. Ryzyko, to możliwość wystąpienia zdarzenia, które będzie miało negatywny wpływ na bezpieczeństwo danych osobowych w trakcie ich przetwarzania. Zatem analiza wymaga subiektywnej oceny skutków, na podstawie zebranych informacji o bieżącym stanie naszych zabezpieczeń. Analizy wykonywane cyklicznie pozwolą organizacji na śledzenie postępów w kierunku redukcji ryzyka.
Analiza polega na przypisaniu do każdej czynności przetwarzania danych osobowych, zdefiniowanej w rejestrze przetwarzania, następujących wartości atrybutów:
- Listę zagrożeń (np. nieuprawnionego dostępu, przerwania kanału komunikacyjnego, uszkodzenia stacji roboczej).
- Podatności (awaria sprzętu, pracownik, kanał komunikacyjny)
- IPD (Integralność, Poufność, Dostępność)
Następnie ocenia się ryzyko jako wartość wynikającą z iloczynu wartości zbioru (w przypadku RODO może to być koszt ewentualnych roszczeń z tytułu kary za niedopilnowanie danych osobowych) i prawdopodobieństwa wystąpienia zagrożenia. Po przeanalizowaniu istniejących zabezpieczeń, można określić ryzyko szczątkowe. Istniejące zabezpieczenia powinny redukować ryzyko pierwotne do zera. Jeśli tak nie jest, możemy zaplanować plany naprawcze, które je zniwelują.
Każda analiza jest rejestrowana jako osobny raport obrazujący bieżący stan, w jakim znajduje się nasz biznes, gdyż procesy przetwarzania i ryzyka z nim związane zmieniają się w czasie. Ma na to wpływ status prac związanych z wdrażaniem zabezpieczeń, czy to przez polityki przetwarzania, czy fizyczne i techniczne zabezpieczenia. Zatem All for One GDPR Manager może okazać się cennym narzędziem, które pomoże w raportowaniu wydatków poniesionych przez organizację i ocenę ich efektywności oraz planowanie wydatków związanych z wdrażaniem kolejnych zabezpieczeń. Plany naprawcze śledzone w All for One GDPR Managerze można wiązać nie tylko z ryzykiem, ale także z ewentualnymi incydentami, kiedy nastąpi utrata, przekłamanie lub udostępnienie danych osobowych. Po wystąpieniu zdarzenia i opisaniu jego okoliczności, możemy wybrać plan naprawczy, który zniweluje w przyszłości skutki lub wyeliminuje kolejne zdarzenia.
Ustawiczny rozwój
Koncepcją RODO jest przejście do otwartego modelu zabezpieczeń, które zakłada ustawiczny rozwój i ulepszanie tych procesów. Dlatego All for One GDPR Manager to bardziej framework do obsługi RODO, aniżeli zamknięte narzędzie. Dzięki silnikowi ECM, na którym to narządzie zostało zbudowane, możemy w łatwy sposób modyfikować te modele, a co za tym idzie, podążać za potrzebami biznesu. Dodatkowo oprócz samej definicji czynności przetwarzania danych osobowych część z tych zbiorów fizycznie może być przechowywana w samym archiwum ECM, w postaci elektronicznej (teczki pracownicze, umowy, wnioski itd.)
Skoro RODO wymusza na organizacji tworzenie własnych definicji i modeli przetwarzania danych osobowych, to All for One GDPR Manager koncentruje się właśnie na procesach i określeniu ich kluczowych parametrów. „Szare strefy” to właśnie brak tych definicji w naszej organizacji. Warto poświęcić czas na ich zdefiniowanie, bo wnioski, które wyniesiemy z tych działań zawsze przyczyniają się podnoszenia jakości usług. Wykorzystajmy tę szansę.
SNP Poland (aktualnie All for One Poland) korzysta z narzędzia GDPR Manager
Zgodnie z wytycznymi RODO, SNP Poland wdrożyło dla własnych potrzeb rozwiązanie All for One GDPR Manager. Dzięki nowemu narzędziu wspieramy naszego Inspektora Ochrony Danych osobowych w prowadzeniu rejestrów czynności przetwarzania, obsługi zgłoszeń i incydentów oraz planowaniu cyklów szkoleniowych w zakresie Ochrony Danych Osobowych. Dzięki niemu ułatwiamy też komunikację z kontrahentami, w ramach procesów udzielenia zgód na powierzenie danych osobowych do przetwarzania przez SNP Poland w ramach naszych usług.
Rafał Grześkowiak, Lider Zespołu Projektów IT, All for One Poland