Techne sp. o.o.
Produkty

Panel administratora danych osobowych (ADO)

TechneSystem jest środowiskiem, w którym prawie zawsze przetwarzane są dane osobowe.

Zdarza się, że instancja TechneSystem dla konkretnego Klienta przetwarza kilka zbiorów danych jednocześnie. Użytkownicy mogą być osobami upoważnionymi do przetwarzania danych osobowych i jednocześnie mogą znajdować się w poszczególnych zbiorach.
Panel ADO, jak zresztą cała platforma TechneSystem, jest oprogramowaniem wielodostępnym i wieloużytkownikowym, gdzie każdy użytkownik poprzez przynależność do określonej grupy uzyskuje dostęp do dedykowanych mu zasobów.

 

Panel ADO wspiera organizację ochrony danych, w szczególności danych osobowych. To narzędzie dla osób decydujących o celach, stosowanych środkach technicznych i rozwiązaniach organizacyjnych służących ich osiągnięciu. W praktyce to podstawowe narzędzie dla pracowników zajmujących się ochroną danych. Panel ADO to również źródło informacji i narzędzie dla Inspektora Ochrony Danych (dawniej Administratora Bezpieczeństwa Informacji). Znajdzie tu wszystko, co jest potrzebne do nadzoru realizacji wymogów prawnych w organizacji.

 

Procesy systemu zarządzania bezpieczeństwem informacji (SZBI) wspierane przez panel ADO

I Procesy organizacyjne (planowanie):

  1. inwentaryzacja zasobów związanych z ochroną danych osobowych (cele, zbiory, podmioty zaangażowane w proces, umowy powierzenia, lokalizacje zasobów). Wynikiem tego procesu są rejestry czynności przetwarzania i wszystkich kategorii przetwarzania;
  2. utrzymanie dokumentacji SZBI (polityki, regulaminy, instrukcje).

II Procesy operacyjne - dnia codziennego:

  1. nadzór nad szkoleniami pracowników - ukończenie szkolenia może warunkować możliwość wystawienia upoważnienia i ewentualnie oświadczeń osoby upoważnionej.
  2. wnioskowania o przygotowanie i wystawianie upoważnień do przetwarzania danych (3 różne metody);
  3. nadzór nad udostępnianiem danych innym podmiotom poprzez prowadzenie rejestru udostępnień, a nawet generowanie pism zawierających udostępniane dane;
  4. nadzór nad naruszeniami, a w połączeniu z innym modułem platformy - nadzór nad incydentami;
  5. powierzanie i przyjmowanie danych do przetwarzania z wydrukiem umów opartych na wzorcach;
  6. obsługa zgód i innych oświadczeń woli;
  7. realizacja obowiązku informacyjnego poprzez generowanie klauzul informacyjnych;
  8. rejestrowania i obsługa żądań osób, których dane są przetwarzane.

Platforma, poza panelem ADO, może wspierać również inne procesy istotne dla ochrony danych:

  1. komunikacji w zakresie SZBI (i nie tylko)
  2. procesy szkolenia pracowników (zarówno tworzenie jak i prowadzenie szkoleń);
  3. proces obsługi incydentów;
  4. procesy zarządzania ryzykiem (w zgodzie z normą ISO);
  5. wdrożenia projektów;
  6. prowadzenie audytu - na poziomie konkretnego działania audytowego i całego programu,
  7. akwizycje informacji;
  8. ewidencjonowania aktywów pomocniczych (środki przetwarzania itp);
  9. proces nadzoru nad korespondencją (np z wykorzystaniem rejestrów korespondencji).

W dalszej części artykułu będziemy omawiać krok po kroku wyłącznie działania w panelu ADO.

 

Funkcjonalności panelu ADO

Ewidencja administratorów danych osobowych

Panel ADO TechneSystem pozwala ewidencjonować jednocześnie wielu administratorów danych osobowych (ADO), choć najczęściej jest nim tylko właściciel platformy oraz podmioty, którym powierzył przetwarzanie swoich danych oraz tych, których dane przetwarza.

W zakresie wyboru administratora danych osobowych, czy też podmiotu przetwarzającego dane, panel ADO współpracuje z modułem CRM TechneSystem. Stwarza to komfortowe warunki pracy dla podmiotów obsługujących wielu ADO - w module CRM odkłada się może cała korespondencja z klientem.

Wśród parametrów  opisujących administratora są miedzy innymi dane Inspektora Ochrony Danych (IOD) oraz miejsce na opis technicznych i organizacyjnych środków ochrony danych osobowych.

Po wprowadzeniu podmiotów, które są z przetwarzaniem danych osobowych związane, dla każdego z nich możemy prowadzić odrębne ewidencje i rejestry opisane poniżej.

Ewidencja celów przetwarzania danych oraz oświadczeń woli

Dla każdego z ADO należy (a przynajmniej dla jednego trzeba) zdefiniować cele przetwarzania danych. Rejestr celów jest w uproszczeniu podstawą dla rejestru czynności przetwarzania jakiego od administratora wymaga RODO.

Celem przetwarzania danych jest np. "realizacja umowy" czy "świadczenie usług edukacyjnych". Aby zrealizować cele ADO przetwarza dane w konkretnych zbiorach (zasobach o czym za chwilę). Z celem przetwarzania danych związane są oświadczenia woli, jakie użytkownik platformy może wyrazić dla ADO i z jakich Platforma TechneSystem może korzystać w trakcie interakcji z użytkownikiem. Czasami cel jest tożsamy z oświadczeniem woli, czasami powinien być traktowany odrębnie.

Oświadczeniem woli jest np. "Zgoda na otrzymywanie korespondencji elektronicznej" lub "Zgoda na przetwarzanie danych osobowych w określonym celu".

Cele mogą być współdzielone pomiędzy kilku ADO - RODO pozwala na takie rozwiązania. Panel ADO oczywiście też. Cele mogą być wykorzystane w konstrukcji treści upoważnień do przetwarzania danych. Z celem może być związana ocena skutków, którą na naszej Platformie można przeprowadzić w module do zarządzania ryzykiem.

Ewidencja zbiorów danych osobowych

Mając w bazie danych administratorów danych osobowych i cele, w jakich przetwarzane są dane osobowe można wprowadzić do TechneSystem zbiory danych przetwarzane przez konkretnego ADO. Nazwa może być trochę myląca. Zbiory w istocie są aktywami ADO, do których możliwe jest wykonanie analizy ryzyka, są zasobami, w których przechowujemy dane.

Wśród parametrów wprost  opisujących zbiór są miedzy innymi:

  • opis kategorii osób, których dane są przetwarzane oraz opis kategorii tych danych;
  • opis technicznych i organizacyjnych środków ochrony specyficznych dla danego zbioru;

Wśród parametrów pośrednio opisujących zbiór znajdują się cele jego przetwarzania. Dopinamy je korzystając z celów wprowadzonych w ewidencji, o której pisaliśmy powyżej. Tym samym zbiór definiowany jest poprzez cele, którym służy. Po zdefiniowaniu zbioru możliwe jest jego powierzenie do przetwarzania. Zbiór może być również współdzielony pomiędzy kilku ADO (skoro mają wspólne cele to mogą mieć również wspólne zbiory). Podobnie jak i cele lista zbiorów może być pomocna w tworzeniu treści upoważnienia do przetwarzania.

Kategorie przetwarzań dokonywanych na danych osobowych

Każdy administrator może być jednocześnie processorem, któremu inny ADO powierzył dane do przetwarzania. W takich wypadkach muszą być ściśle określone kategorie przetwarzań jakie może na powierzonych danych wykonywać. Taką kategorią może być np. łączenie danych z dwóch zbiorów lub usuwanie duplikujących się danych ze zbioru czy też wydruk zaproszeń. Rejestru wszystkich kategorii przetwarzania wymaga od processora RODO. Jeśli nie otrzymujemy danych do przetwarzania takiego rejestru oczywiście nie prowadzimy. Panel ADO pozwala ewidencjonować kategorie przetwarzań przy okazji ewidencji umów.

Ewidencja umów dotyczących danych osobowych

Ewidencja umów powiązana jest z konkretnym ADO. Można w nim określać kategorie przetwarzań i w zasadzie przygotować kompletne umowy powierzenia przetwarzania danych osobowych, zgodnie z definiowalnymi wzorcami. System umożliwia powierzanie danych do przetwarzania oraz dalsze ich podpowierzanie - odzwierciedla cały graf powiązań pomiędzy wszystkimi administratorami / processorami. Prowadzenie ewidencji umów automatycznie tworzy raport wszystkich kategorii czynności przetwarzania.

Rejestr udostępnień danych osobowych

Tworzony przez osoby upoważnione do przetwarzania danych osobowych, pozwala kontrolować kto kiedy i na jakiej podstawie udostępnił dane osobowe podmiotowi zewnętrznemu. W dużych podmiotach takie udostępnienia mogą być rejestrowane na wielu stanowiskach pracy, a rejestr staje się dla IOD'a niezastąpionym źródłem informacji o tym co dzieje się w organizacji.

Rejestr pomieszczeń, w których przetwarzane są dane osobowe

Wbrew nazwie w ramach rejestru możliwe jest również ewidencjonowanie obszarów przetwarzania danych. Rejestr może być dowolnie skonfigurowany - posiadać inną strukturę dla każdego ADO. Choć rejestr ten nie jest wymagany przez RODO to trudno nie zgodzić się z potrzebą jego posiadania. Bez znajomości fizycznej lokalizacji zbiorów / zasobów trudno jest mówić o jakiejkolwiek ochronie danych.

Rejestr naruszeń

Zgłoszenia incydentów oraz rejestr naruszeń służą odnotowaniu zdarzeń mających negatywny wpływ na bezpieczeństwo danych osobowych. Jest to system dwustopniowy. Każdy użytkownik może zgłosić incydent, ale tylko niektóre incydenty trafią do rejestru naruszeń. Rejestr naruszeń prowadzony jest przez osoby mające dostęp do panelu ADO. Przepisy nakładają na ADO obowiązek informowania organów nadzorujących o naruszeniach, które mają istotny wpływ na bezpieczeństwo danych osobowych.

Raporty i wydawnictwa elektroniczne

Rejestr czynności przetwarzania danych oraz rejestr kategorii przetwarzań dokonywanych na danych osobowych - dwa zestawienia wymagane przez RODO są w panelu ADO raportami wydobywającymi odpowiednie informacje ze zgromadzonych w systemie danych. Są one gotowe do przekształcenia w wydawnictwa elektroniczne. Praktycznie każdy rejestr czy ewidencja są eksportowane w formacie CSV.

Klauzule informacyjne

Tworząc ewidencję celów mamy możliwość wiązać cel z profilem osób, których dane osobowe przetwarzamy. Przykładowo takim profilem mogą być pracownicy, klienci, kandydaci do pracy, uczniowie czy studenci. W rezultacie system przygotowuje nam klauzule informacyjne właściwe dla każdej grupy odbiorców. W panelu ulokowanym na dedykowanej danemu klientowi platformie TechneSystem, profile te związane są z grupami systemowymi i prezentowane są użytkownikom.

Repozytorium dokumentów

W repozytorium zamieszczamy wszystkie dokumenty związane z organizacją ochrony danych osobowych. Polityki bezpieczeństwa, deklaracje stosowania, instrukcje zarządzania systemami informatycznymi, regulaminy itd. Każdy dokument ma historię wersji. Dokumenty mogą być publikowane w ramach stron WWW naszego CMS.

Rejestr zmian

Każda zmiana na każdym istotnym elemencie repozytorium znajduje swoje odzwierciedlenie w globalnym rejestrze zmian, który zapewnia pełną kontrolę nad danymi w panelu ADO. A w zasadach przetwarzania danych RODO, w artykule 5 czytamy: Administrator jest odpowiedzialny za przestrzeganie przepisów [...] i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Rejestr zmian jest w tym bardzo pomocny. Panel Ado jeszcze bardziej.

 

Jak skorzystać z panelu ADO?

Panel ADO jako pierwszy nasz produkt dostępny jest w publicznej chmurze, w której każdy Klient ma własną prywatną dedykowaną sobie część. Panel ADO został tam połączony z różnymi kursami dotyczącymi ochrony danych osobowych. Jest to najprostszy i najtańszy sposób skorzystania  z możliwości panelu (Platforma rodo.cafe). Podmioty zajmujące się komercyjnie organizacją ochrony danych osobowych (IOD do wynajęcia) oraz większe organizacje, zainteresowane wyłącznie organizacją ochrony danych osobowych, powinny zainteresować się konfiguracją platformy dedykowaną podmiotom świadczącym komercyjnie usługi w zakresie organizacji ochrony danych osobowych (ABI toolbox). Podmiotom zainteresowanym szerszym wykorzystaniem możliwości platformy polecamy nasz portal korporacyjny.