Zaloguj się Wypróbuj

GDPR Risk Tracker – narzędzie Legal Tech

GDPR Risk Tracker - dla administratorów, procesorów, audytorów, IOD i kancelarii prawnych świadczących wsparcie z zakresu ODO

Podstawą dla przyjętej w RODO konstrukcji obowiązków nałożonych na administratorów i podmioty przetwarzające jest podejście oparte na ryzyku.

Prawodawca unijny odchodząc od sztywnych wymogów dotyczących rozwiązań technicznych czy dokumentacyjnych, które muszą wdrożyć przedsiębiorcy by być zgodnym z przepisami o ochronie danych osobowych zdecydował się uelastycznić regulację pozostawiając im decyzję jakie środki i rozwiązania zastosować. Decyzję taką należy podjąć na podstawie analizy ryzyka wynikającego z przetwarzania danych dla osób, których dane te dotyczą.

Dla skutecznego przeprowadzenia analizy ryzyka niezbędne jest uprzednie ustalenie kontekstu przetwarzania danych osobowych, tj. zebrania informacji na temat procesów, w których przetwarzane są dane, wydzielenia i opisania jak przebiegają, a zatem kto jest w nie zaangażowany, w jakim celu i przy wykorzystaniu jakich narzędzi są realizowane.

Zebranie tych danych w sposób kompletny i holistyczny z punktu widzenia organizacji jest kluczowe dla prawidłowości analizy.

Z tych względów wybór, przyjęcie i konsekwentne stosowanie metody audytowej, weryfikacji i analizy danych będzie miało pierwszorzędne znaczenie.

Należy odpowiedzieć m.in. na następujące pytania:

  1. W jaki sposób zbierane będą dane – zdanie, lokalnie(wywiady)?
  2. Jak utrwalane będą te dane?
  3. Czemu te dane będą miały służyć – czy wyłącznie dokumentacji – np. stworzeniu rejestru czynności przetwarzania lub rejestru kategorii przetwarzania, czy też pełnej analizie ryzyka lub ocenie skutków dla ochrony danych?
  4. Jak zapewnimy rozliczalność w zakresie zgodności analizy z zebranymi danymi?
  5. Jak będziemy weryfikować potencjalne zmiany w organizacji i oceniać ich wpływ na wnioski z analizy ryzyka?
  6. Czy w proces analizy będą zaangażowane podmioty zewnętrzne np. audytorzy, doradcy, kancelarie prawne, IOD i jak zapewniony zostanie im dostęp do informacji?

Aby ułatwić zarówno zebranie danych, jak i prowadzenie analizy ryzyka, oceny skutków dla ochrony danych, w tym w sposób zdalny, nadzorowany lub konsultowany przez doradców zewnętrznych (audytorów, doradców ds. bezpieczeństwa, kancelarie prawne, IOD) opracowane zostało przez zespół prawników i informatyków kancelarii Lubasz i Wspólnicy, specjalizującej się w prawie ochrony danych i bezpieczeństwa informacji, opracował aplikację do analizy ryzyka - GDPR Risk Tracker. Jej celem jest zautomatyzowane przeprowadzenie i udokumentowanie, w sposób jednolity i zobiektywizowany, danych na temat przetwarzania danych osobowych, ich weryfikacji i oceny zgodności oraz przeprowadzenia analizy ryzyka zgodnej z przepisami RODO.

Analizę prowadzi się dla poszczególnych czynności przetwarzania (procesów przetwarzania) wyodrębnionych u administratora, przy uwzględnieniu m.in. charakteru czynności, zakresu zbieranych danych, ich wagi, zaangażowanych zasobów, zagrożeń i zastosowanych zabezpieczeń.

Aplikacja przeznaczona jest zarówno do samodzielnego wykorzystania przez administratorów i podmioty przetwarzające, bowiem nie wymaga specjalistycznej wiedzy.

Stanowi także narzędzie wykorzystywane przez podmioty świadczące usługi z zakresu ODO, w celu ułatwienia przeprowadzenia prac audytowych, zebrania danych, ich oceny, sporządzania raportów audytowych zawierających rekomendacje wdrożeniowe i wreszcie sporządzanie dokumentacji m.in. w postaci rejestrów czynności przetwarzania i rejestrów kategorii czynności przetwarzania.

GDPR Risk Tracker jest zatem narzędziem do zarządzania wdrożeniem i audytami RODO, przeprowadzaniem analizy ryzyka i oceny skutków dla ochrony danych oraz prowadzeniem dokumentacji.

Umożliwia wykonywanie analizy dla dowolnej liczby administratorów i podmiotów przetwarzających oraz dowolnej liczby procesów. Dzięki temu znajduje zastosowanie zarówno dla małych administratorów lub podmiotów przetwarzających, jak i dla grup kapitałowych, a także dla audytorów, Inspektorów Ochrony Danych, zespołów ODO i kancelarii prawnych świadczących usługi w zakresie wdrażania i audytów RODO.

Dzięki zgromadzeniu w jednym miejscu wszystkich kluczowych informacji związanych z przetwarzaniem danych osobowych, GDPR Risk Tracker pozwala m.in.:

  1. Zweryfikować prawną i formalną poprawność przetwarzania danych, tj.
    1. Minimalizację danych
    2. Podstawy prawne przetwarzania
    3. Przejrzystość
    4. Ograniczenie celu
    5. Prawidłowość
    6. Ograniczenie czasowe przetwarzania
  2. Określić obowiązki ADO w zakresie
    1. Prowadzenia Rejestru Czynności Przetwarzania (RCP)
    2. Konieczności powołania Inspektora Ochrony Danych
    3. Konieczności wykonania oceny skutków przetwarzania
  3. Zweryfikować i zewidencjonować
    1. Kategorie osób
    2. Źródła pozyskania danych
    3. Odbiorców danych
    4. Okresy przechowywania danych
  4. Wykonać właściwą analizę ryzyka poprzez
    1. Określenie występujących w procesie zagrożeń i prawdopodobieństw ich materializacji
    2. Określenie zabezpieczeń przeciwdziałających zagrożeniom
    3. Ocenę skutku wystąpienie ryzyka
    4. W razie konieczności wykonanie DPIA poprzez pogłębioną ocenę skutków
  5. Wygenerować kompleksowy raport dla każdej czynności zawierający
    1. Szczegółowy opis legalności przetwarzania
    2. Kompletne dane rejestrowe
    3. Właściwą analizę ryzyka
    4. DPIA
    5. Rekomendacje
  6. Prowadzić i generować w dowolnym momencie:
    1. Rejestr Czynności Przetwarzania
    2. Rejestr Kategorii Czynności Przetwarzania

Podsumowując GDPR Risk Tracker umożliwia:

  1. zarządzanie wdrożeniem RODO zarówno przez administratorów, podmioty przetwarzające, jak i przez audytorów, prawników oraz zespoły ODO,
  2. przeprowadzanie audytów RODO,
  3. weryfikację wdrożenia RODO oraz analizy ryzyka i DPIA przez Inspektorów Ochrony Danych,
  4. przeprowadzenie kompleksowej analizy ryzyka oraz oceny skutków przetwarzania (DPIA),
  5. prowadzenie dokumentacji w szczególności rejestru czynności przetwarzania, rejestru kategorii czynności przetwarzania, ewidencji odbiorców, transferów, retencji,
  6. zapewnienie administratorom rozliczalności zgodności,
  7. przeprowadzanie administratorom audytów podmiotów przetwarzających,
  8. wykazanie podmiotom przetwarzających odpowiedniego poziomu bezpieczeństwa wobec administratorów oraz przekazanie odpowiednich danych do analizy ryzyka w procesach powierzonych.