W przypadku analizy i dostosowania zasobów uczestniczących w przetwarzaniu danych osobowych (w tym środowiska teleinformatycznego), odpowiedź wydaje się być oczywista. Zastanówmy się w takim razie nad pozostałymi elementami. Początkowa faza przygotowań zazwyczaj obejmuje audyt, badanie stanu realizacji wymogów formalno-prawnych, oraz badanie zgodności obszaru środowiska teleinformatycznego. W dużym uproszczeniu możemy powiedzieć, że jego wynikiem jest ocena stopnia zgodności z RODO oraz ocena ryzyk związanych z przetwarzaniem danych osobowych. W kontekście organizacji oraz samej realizacji audytu zalecam posiłkować się wskazówkami zawartymi w normach ISO (27001, 19011). Wykorzystanie dedykowanego oprogramowania pozwala odkryć miejsca występowania danych osobowych w firmie i to zarówno w zbiorach danych ustrukturyzowanych (bazy danych) jak i nieustrukturyzowanych (pliki, poczta).
Ważne
Inwentaryzacja danych osobowych polega na wyszukaniu lokalizacji danych określonego typu, np.: numerów PESEL, NIP, REGON itp.
W wyniku działania programu, uzyskujemy wykaz miejsc z podziałem na typy danych osobowych. Zalety wykorzystania narzędzi IT na tak wczesnym etapie to:
- Eliminacja konieczności analizy dokumentacji pod kątem występowania danych osobowych w firmie (lub weryfikacja aktualności dokumentacji),
- Znacznie bardziej szczegółowa analiza, również ta w oparciu o stan wiedzy pracowników firmy. Na tym etapie mogą pojawić się bardziej szczegółowe pytania, co będzie miało przełożenie na zidentyfikowane ryzyka przetwarzania danych i wytyczenie lepszej drogi osiągnięcia zgodności z RODO.
W trakcie monitorowania i utrzymania zgodności z RODO (pkt 3) warto także korzystać z rozwiązań softwarowych. Weźmy np. pod uwagę zgody klientów na przetwarzanie danych osobowych w określonych celach. Sposoby pozyskiwania zgód, ich wersje oraz miejsca przechowywania mogą być różne. Warto więc wykorzystać narzędzie, które umożliwi integrację z wykorzystywanymi w firmie systemami. Dzięki temu obsługa zgód i celów przetwarzania dostępna będzie w centralnym rejestrze, którego możliwości niejednokrotnie przewyższają funkcjonalności dostępne w systemach źródłowych. Na uwagę zasługują takie udogodnienia jak:
- prezentacja stanu zgód na wskazany dzień,
- obsługa załączników,
- lista zadań do wykonania,
- powiadomienia o wygasających zgodach.
Ważne
Oprócz rejestru zgód, RODO wprowadza konieczność prowadzenia szeregu innych rejestrów. Między innymi są to: rejestr czynności przetwarzania (osobny dla danych własnych i danych powierzonych) czy rejestr naruszeń danych osobowych (wewnętrznych i zewnętrznych). Pożądane jest także posiadanie rejestru wniosków o zapomnienie czy zmianę danych osobowych oraz innych (uprawnień, szkoleń itp.).
Monitorowanie i utrzymanie zgodności z RODO zawsze będzie wymagało zaangażowania człowieka, jednak dedykowane oprogramowanie może ułatwić to zadanie. Postarajmy się wskazać przykłady takich ułatwień:
- Upoważnienia do przetwarzania danych osobowych: Zgodnie z RODO, mogą być nadane drogą mailową, pod warunkiem zachowania zasady rozliczalności. Zakładając wykorzystanie dedykowanego oprogramowania, możemy ten proces w znacznym stopniu zautomatyzować, np. po zarejestrowaniu zbioru danych i przypisaniu do niego użytkowników, system mógłby sprawdzić, czy poszczególni użytkownicy odbyli odpowiednie szkolenia, wysłać (po potwierdzeniu przez wyznaczoną osobę) drogą mailową upoważnienia lub informacje o wymaganym przeszkoleniu, a mailowa informacja zwrotna zarejestrowana również w systemie, byłaby dowodem nie tylko na wysłanie wiadomości, ale również na jej odczytanie (zgodnie z zasadą rozliczalności).
- Wnioski np. o realizację prawa do bycia zapomnianym: Obecnie dostępne systemy najczęściej nie realizują jeszcze procesu zapomnienia. Starsze i mniejsze rozwiązania prawdopodobnie nigdy nie zostaną wzbogacone o taką funkcjonalność. W związku z powyższym to człowiek musi o to zadbać. Zadanie nie jest łatwe, poczynając od fizycznej realizacji tego procesu, kończąc na fakcie, że jeden wniosek o zapomnienie może być rozłożony na kilka zadań, które powinny być wykonane w przeciągu kilku a nawet kilkudziesięciu lat. Rejestrując wniosek o zapomnienie w dedykowanej aplikacji, wygenerowane zostaną automatycznie zadania przypisane do odpowiednich administratorów. Ci z kolei zostaną powiadomieni w odpowiednim czasie o zbliżającym się terminie ich realizacji.
- Monitorowanie: w ramach tego procesu między innymi chcemy uzyskać odpowiedź na pytanie: czy przetwarzamy dane Klientów zgodnie ze zgodami, które wyrazili? Z punktu widzenia RODO ważne jest abyśmy nie przetwarzali danych, jeśli nie jesteśmy do tego uprawnieni. Posiadając jednak odpowiednie narzędzia, możemy dowiedzieć się również, czy przetwarzamy wszystkie dane, które mamy prawo przetwarzać. Być może okaże się, że nie wykorzystujemy w pełni potencjału danych, którymi dysponujemy. Realizacja tak postawionego zadania możliwa jest dzięki porównaniu rejestru zgód i celów przetwarzania z indeksem danych osobowych. O rejestrze zgód już wspominaliśmy, wyjaśnienia wymaga natomiast indeks.
Ważne
Indeks danych osobowych to odpowiednio ustrukturyzowana kopia danych osobowych ze wszystkich systemów wykorzystywanych w firmie. Centralny indeks pozwala analizować dane osobowe bez obciążania systemów źródłowych. Dzięki temu jesteśmy w stanie bardzo szybko sprawdzić, gdzie (pośrednio: w jakich celach) przetwarzane są dane konkretnej osoby, a system może przedstawić nam raport porównujący ten wynik z celami przetwarzania dostępnymi w rejestrze zgód.
Funkcjonalność ta ma szczególne znaczenie w przypadku wniosku o zaprzestanie przetwarzania danych lub wniosku o zapomnienie. Posiadając wiele systemów, administratorzy biznesowi każdego z nich muszą poświęcić dużo czasu aby przeanalizować przetwarzane dane w poszukiwaniu konkretnych podmiotów. Dzięki centralnemu indeksowi, możemy w szybki sposób określić zakres i umiejscowienie danych, których poszukujemy, co pozwala na znaczne zmniejszenie zaangażowania pracowników w obsługę procesu.
Proces wdrożenia i utrzymania RODO, szczególnie w dużych organizacjach, jest czasochłonny i wielowymiarowy, dlatego warto skorzystać ze wsparcia nie tylko firmy doradczej, ale również postawić na odpowiednie oprogramowanie. Bazując na naszych doświadczeniach, jak również próbach znalezienia oprogramowania wspierającego cały proces, jak i późniejsze monitorowanie i utrzymanie systemu ochrony danych osobowych, zdecydowaliśmy się na współpracę z firmą Sygnity Business Solutions S.A.
Funkcjonalności opisane w artykule oraz inne, dostępne są w oprogramowaniu QDataDiscovery. Jest to autorskie rozwiązanie Sygnity Business Solutions S.A. dedykowane wsparciu do przygotowania się jak też monitorowania i utrzymania zgodności z RODO. Oprogramowanie to można podzielić na trzy główne moduły: inwentaryzacji, indeksacji i rejestrów, które są sprzedawane niezależnie. Oprogramowanie pisane było zgodnie z wytycznymi RODO. Szczególną uwagę przyłożono do bezpieczeństwa danych, wykorzystując m.in. szyfrowanie danych, rozbudowane role dostępu, audyt oraz logowanie.