Home       Strefa Klienta      Praca       Kontakt    

BPM RODO -RODO

Rejestr Czynności Przetwarzania
... i nie tylko!
 

Moduł Dane Osobowe BPM to kompleksowe narzędzie wsparcia wdrożenia wymagań prawnych w zakresie przetwarzania danych osobowych zgodnie z wymaganiami RODO.

Moduł umożliwia pełne spełnienie wymagań wynikających z Rozporządzenia  General Data Protection Regulations GDPR - RODO

 

Opis

Dzięki swej prostocie i użyteczności moduł jest szeroko wykorzystywany przez polskich przedsiębiorców i organizacje administracji publicznej w zakresie zarządzania danymi osobowymi oraz upoważnieniami do przetwarzania danych osobowych i uprawnieniami do systemów IT.

W artykule 5 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) dalej zwanym RODO, jest mowa o tym, że Administrator Danych Osobowych jest odpowiedzialny za zapewnienie, że:

  • Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą
  • Dane osobowe muszą być  zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami
  • Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane
  • Dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane
  • Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane

Przetwarzanie musi odbywać się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych

Ten szereg wymogów nakładanych na ADO, w dużej organizacji, jest niemalże nie możliwy do spełnienia bez wsparcia dedykowanym systemem informatycznym, który umożliwi np. szybką weryfikację celów przetwarzania, identyfikację miejsc przetwarzania wskazanych danych osobowych czy potwierdzenie zasadności przetwarzania.

Należy pamiętać, żę RODO jest skupione na kompleksowej ochronie danych osobowych, a nie jedynie na zapewnieniu ich poufności. Zgodności z nowymi regulacjami unijnymi wymaga więc działań proaktywnych i daleko idącego wysiłku organizacyjnego.

Opisany poniżej System BPM RODO jest narzędziem kompleksowo wspierającym zarówno proces przystosowania i jak i utrzymania Organizacji w zgodności z wymaganiami Rozporządzenia.


Rejestr czynności przetwarzania

System BPM RODO posiada możliwość prowadzenia elektronicznego rejestru czynności przetwarzania, który stanowi główną bazę informacji umożliwiającą zapewnienie zgodności z wymaganiami RODO. To informacjami zawartymi w rejestrze czynności przetwarzania automatycznie uzupełniać się będą pozostałe wymagane prawem zapisy np. upoważnienia do przetwarzania danych osobowych, wzory spełnienia obowiązku informacyjnego czy zgody na przetwarzanie danych osobowych. Zaprojektowany w Systemie rejestr pozwala również na realizację praw, osób których przetwarzane dane osobowe dotyczą. Moduł BPM RODO będzie umożliwiał w prosty sposób pozyskanie informacji o celach, zakresie, czy systemach, w których przetwarzane są dane osobowe

W rejestrze uwzględnione zostały informacje takie jak:

  • opis kategorii osób, których dane dotyczą,
  • cel przetwarzania danych osobowych,
  • podstawa prawna przetwarzania,
  • źródło danych osobowych,
  • zakres przetwarzanych danych,
  • informacja o przetwarzaniu danych wrażliwych,
  • lokalizacje, w których przetwarzane są dane osobowe ,
  • systemy teleinformatyczne, w których przetwarzane są dane osobowe ,
  • informacja o przetwarzaniu danych osobowych w formie papierowej,
  • planowany termin usunięcia danych osobowych,
  • stosowane zabezpieczenia organizacyjne i techniczne,
  • informacje o podmiotach, którym powierzono lub dokonano dalszego powierzenia danych osobowych,
  • informacje o podmiotach, którym udostępniono dane osobowe ,
  • informacje o przekazaniu danych osobowych do państwa trzeciego,
  • komórka organizacyjna przetwarzająca dane osobowe we wskazanej kategorii 
  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów a także, gdy ma to zastosowanie – Przedstawiciela administratora oraz IODO.

System posiada możliwość utworzenia słowników dzięki którym uzupełnienie rejestru nawet nietypowymi rodzajami danych osobowych jest szybkie i łatwe. Możliwość filtrowania danych po dowolnej kolumnie oraz ich szybkiego wyszukiwania dodatkowo usprawnia pracę. Ponadto rejestr pozwala na przypisanie danych komórek organizacyjnych do poszczególnych kategorii danych osobowych i celów ich przetwarzania oraz odnotowuje datę wprowadzania w nim zmian (wersjonowanie rejestrów).

Rejestr umów powierzenia

Rejestr umów powierzenia jest powiązany z rejestrem czynności przetwarzania, zapewnia spełnienie wymagania RODO w zakresie nadzoru nad podmiotami, którym dane osobowe są powierzane. Rejestr pozwoli Inspektorowi Ochrony Danych Osobowych w łatwy sposób kontrolować do kogo, na jak długo i dlaczego dane osobowe zostały powierzone.

System posiada możliwość generowania przypomnień np. o kończącym się terminie umowy powierzenia danych osobowych, co umożliwi Inspektorowi Ochrony Danych Osobowych podjąć wymagane prawem kroki we właściwym terminie.

Upoważnienia do przetwarzania danych osobowych

Funkcjonalność wydawania upoważnień do przetwarzania danych osobowych pozwala zagwarantować, że pracownicy upoważniani są do przetwarzania danych osobowych w zakresie adekwatnym do ich potrzeb (spełnienie wymogów RODO mówiących o minimalizacji przetwarzanych danych ). Korzystając z intuicyjnego formularza, przełożony pracownika wybierają z zamkniętej listy (wynikającej z rejestru czynności przetwarzania) do jakich kategorii danych osobowych i w jakim celu dany pracownik powinien zostać upoważniony. Taki wniosek zatwierdza, bądź odrzuca Inspektor Ochrony Danych Osobowych. Po zatwierdzeniu wniosku automatycznie generowane jest upoważnienie dla wskazanego pracownika i uzupełniany jest rejestr wydanych upoważnień.

 Zarządzanie uprawnieniami w systemach IT

Ściśle powiązane z upoważnieniami do przetwarzania danych osobowych jest proces zarządzania uprawnieniami w systemach IT. Dzięki połączeniu obu tych funkcjonalności w BPM RODO możemy zagwarantować, że każda zmiana uprawnień w systemie IT znajdzie swoje odzwierciedlenie w upoważnieniu do przetwarzania danych osobowych. Takie rozwiązanie daje również możliwość Inspektorowi Ochrony Danych Osobowych bieżącą weryfikację czy spełniane są wymagania RODO odnośnie procesu przetwarzania jak np. zapewnienie zgodności z prawem, celem przetwarzania czy minimalizacją przetwarzanych danych. Dzięki bardzo dużej elastyczności w Systemie BPM możemy samodzielnie zamodelować przepływ informacji podczas procesu zarządzania uprawnieniami w systemach IT.

Ocena skutków przetwarzania (analiza ryzyka)

System BPM RODO posiada funkcjonalność wspierającą realizację oceny skutków przetwarzania danych osobowych. Moduł ten dzięki opracowanej przez konsultantów Blue Energy metodyce pozwala w szybki i skuteczny sposób oszacować, czy dana operacja przetwarzania może nieść wysokie ryzyko naruszenia praw bądź wolności osób, których dane dotyczą. Moduł został zaprojektowany tak, aby zapewnić maksymalną automatyzację. W większości dane pobierane są przez system z rejestru czynności przetwarzania. Do zadań pracownika będzie należało wyłącznie oszacowanie prawdopodobieństwa dla danego ryzyka. Realizację oceny poprzedza weryfikacja zakresu, zasadności oraz celu przetwarzania danych osobowych

Udostępnianie danych osobowych

Unijne Rozporządzenie o ochronie danych osobowych wymaga by nadzorować proces udostępniania danych osobowych. System BPM RODO posiada moduł, który umożliwi szybką komunikację z IODO na wypadek konieczności udostępnienia danych oraz pozwoli zarejestrować wymagane informacje takie jak:

  • podmiot któremu udostępniono dane osobowe,
  • data udostępnienia,
  • nr udostępnienia,
  • podstawa prawna udostępnienia,
  • opis udostępnionych kategorii danych,
  • dane podmiotu, któremu dane zostały udostępnione,
  • zakres udostępnionych danych
  • kopię wniosku o udostępnienie oraz udzielonej odpowiedzi.

Naruszenia ochrony danych osobowych (incydenty)

Kolejną funkcjonalnością jest rejestracja i nadzór nad naruszeniami ochrony danych osobowych. System umożliwi łatwe zgłoszenie przez użytkownika (pracownika) możliwego naruszenia bezpieczeństwa danych osobowych. Takie zgłoszenie trafia do Inspektora Ochrony Danych Osobowych wraz z niezbędnymi załącznikami w celach dowodowych. Inspektor analizuje zaistniałą sytuację i zgłasza zaistnienie danego naruszenia lub je odrzuca. Niezależnie od wyboru, sam fakt zgłoszenia naruszenia zostanie wraz z niezbędnymi informacjami odnotowany w rejestrze naruszeń danych osobowych. Jeśli klasyfikowane jest jako naruszenie ochrony danych osobowych, system umożliwia zaadresowanie i nadzorowanie działań doskonalących.

Opiniowanie umów

W związku z koniecznością zapewnienia, że podmiot któremu powierzamy do przetwarzania dane osobowe, spełnia wymagania RODO niezbędne jest by, każda umowa, w której może dojść do powierzenia danych odosobowych była skonsultowana z IODO. Wyposażaliśmy więc BPM moduł RODO w funkcjonalność opiniowania zawieranych umów. Dzięki mechanizmowi wersjonowania identyfikacji zmian oraz zatwierdzania przez poszczególne osoby System zagwarantuje spełnienie wymagań RODO.