Zaloguj się Wypróbuj

Wykazywanie zgodności z RODO i bezpieczeństwa danych przez agencje marketingowe względem klientów i potencjalnych klientów

GDPR Risk Tracker jako narzędzie automatyzujące proces wykazywania zgodności i bezpieczeństwa danych

Agencja jako podmiot przetwarzający

Każdy podmiot, któremu zlecane są czynności wymagające operacji na danych pochodzących o klienta, który takie czynności zleca, jest podmiotem przetwarzającym w rozumieniu przepisów RODO.

Klasycznym przykładem takich podmiotów są agencje świadczące usługi marketingowe w różnych obszarach.

Gwarancje bezpieczeństwa i audyty RODO

Pozyskanie klientów na usługi marketingowe przez agencje wymaga wykazania się przed klientami gwarancjami bezpieczeństwa przetwarzania powierzanych agencjom danych. Jest to związane z wymogiem nałożonych na klientów agencji by powierzały dane jedynie podmiotom takie gwarancje bezpieczeństwa przetwarzania dającym.

Z tych względów klienci agencji stosują różne metody weryfikacji, przede wszystkim jednak związane z wypełnianiem formularzy zgodności, ankiet, raportów, okazaniem określonych dokumentów, czy przeprowadzaniem audytów. Każdy z takich klientów ma inną koncepcję, inne formularze, inny zakres żądanych danych.

Każdorazowa procedura zawierania umowy, związana z taką weryfikacją, wymaga zaangażowania po stronie agencji służb odpowiedzialnych za ochronę danych i bezpieczeństwo informacji, w szczególności IOD, działów IT, prawników, specjalistów do spraw bezpieczeństwa i wreszcie personelu merytorycznego opracowującego ostateczną ofertę.

Na ofertowaniu jednak nie koniec. Klienci powierzający dane agencji uprawnieni są do dokonywania audytów bezpieczeństwa przetwarzania danych w ciągu trwania umowy, co dodatkowo angażuje personel agencji.

Jak to zrobić?

Z RODO nie wynikają szczegółowe wytyczne jak wykazywanie gwarancji bezpieczeństwa i przeprowadzenie audytów ma wyglądać. W RODO prawodawca odchodząc od sztywnych wymogów dotyczących rozwiązań technicznych czy dokumentacyjnych, które muszą wdrożyć przedsiębiorcy by być zgodnym z przepisami o ochronie danych osobowych zdecydował się uelastycznić regulację pozostawiając im decyzję jakie środki i rozwiązania zastosować.

Decyzję taką należy podjąć na podstawie analizy ryzyka wynikającego z przetwarzania danych.

Jeśli zatem agencja nie przyjęła własnych metod manifestowania zgodności z RODO to zdana jest na każdorazowe żądania klientów, każdorazowo różne co do zakresu, szczegółowości, sposobu dostarczenia, a także co do formy i sposobu przeprowadzania audytów.

GDPR RIsk Tracker jako narzędzie do wykazywania gwarancji bezpieczeństwa i prowadzenia audytów

Aby ułatwić ten proces zespół prawników i programistów kancelarii Lubasz i Wspólnicy, specjalizującej się w prawie ochrony danych i bezpieczeństwie informacji, opracował aplikację  GDPR Risk Tracker. 

Jej celem jest zautomatyzowane przeprowadzenia i udokumentowanie, w sposób jednolity i zobiektywizowany, informacji na temat przetwarzania danych osobowych, ich weryfikacji i oceny zgodności oraz przeprowadzenia analizy ryzyka zgodnej z przepisami RODO.

Aplikacja przeznaczona jest również do samodzielnego wykorzystania przez administratorów i podmioty przetwarzające, bowiem nie wymaga specjalistycznej wiedzy.

Stanowi jednak także narzędzie wykorzystywane przez podmioty świadczące usługi z zakresu ODO, w celu ułatwienia przeprowadzenia prac audytowych, zebrania danych, ich oceny, sporządzania raportów audytowych zawierających rekomendacje wdrożeniowe i wreszcie sporządzanie dokumentacji m.in. w postaci rejestrów czynności przetwarzania i rejestrów kategorii czynności przetwarzania, z których zwłaszcza ten drugi musi prowadzić agencja, której powierzane są dane.

GDPR Risk Tracker jest narzędziem do zarządzania wdrożeniem i audytami RODO, przeprowadzaniem analizy ryzyka i oceny skutków dla ochrony danych oraz prowadzeniem dokumentacji.

Umożliwia wykonywanie analizy dla dowolnej liczby administratorów i podmiotów przetwarzających oraz dowolnej liczby procesów.

Dzięki temu znajduje zastosowanie zarówno dla małych administratorów lub podmiotów przetwarzających, jak i dla grup kapitałowych, a także dla audytorów, Inspektorów Ochrony Danych, zespołów ODO i kancelarii prawnych świadczących usługi w zakresie wdrażania i audytów RODO.

Z perspektywy agencji, jako podmiotów przetwarzających, dla wykazania gwarancji bezpieczeństwa wobec klienta, zamiast wypełniania ankiet, przekazywania dokumentacji itp., wystarczy umożliwić dostęp do aplikacji GDPR Risk Tracker do analizy ryzyka adekwatnego procesu, w którym powierzenie następuje, tj. danej usługi marketingowej ocenionej w aplikacji. Dzięki temu klient samodzielnie może pozyskać wszelkie informacje, o które prosiłby wypełniając ankiety. Może pobrać raport z analizy ryzyka, wskazujący zastosowane przez agencję środki bezpieczeństwa. Ponadto może w bieżący sposób, tak długo jak agencja zapewnia mu dostęp do narzędzia, weryfikować (audytować) zgodność działania agencji z RODO w obszarze bezpieczeństwa.

  1. W ten sposób nie jest już potrzebne wypełnienie jakichkolwiek ankiet, raportów czy formularzy.
  2. Wszelkie informacje są stale dostępne i mogą być aktualizowane w razie potrzeby i będą od razu dostępne dla wszystkich klientów agencji, którym udzieliła ona dostęp do aplikacji.
  3. Agencja zapewnia pełną transparentność działania i zgodności z RODO budując zaufanie.
  4. Wykazywanie zgodności działania z RODO, wykazania gwarancji bezpieczeństwa zostaje zautomatyzowane i nieangażujące szerokiego personelu do każdorazowego wypełniania ankiet i raportów, co oczywiście oszczędza czas.

Kluczowe funkcjonalności tej aplikacji to:

  1. zarządzanie wdrożeniem RODO zarówno przez administratorów, procesorów, jak i przez audytorów, prawników oraz zespoły ODO,
  2. przeprowadzanie audytów RODO,
  3. weryfikację wdrożenia RODO oraz analizy ryzyka i DPIA przez Inspektorów Ochrony Danych,
  4. przeprowadzenie kompleksowej analizy ryzyka oraz oceny skutków przetwarzania (DPIA),
  5. prowadzenie dokumentacji w szczególności rejestru czynności przetwarzania, rejestru kategorii czynności przetwarzania, ewidencji odbiorców, transferów, retencji,
  6. zapewnienie administratorom rozliczalności zgodności,
  7. przeprowadzanie administratorom audytów procesorów,
  8. wykazanie procesorom odpowiedniego poziomu bezpieczeństwa wobec administratorów oraz przekazanie odpowiednich danych do analizy ryzyka w procesach powierzonych.

Zgodność z RODO jako przewaga konkurencyjna

Oszczędność czasu i kosztów związanych ze zmniejszeniem zaangażowania szerokiego zespołu w proces ofertowania i istotne skrócenie tego procesu to jedno, drugie to odpowiedź na rosnące oczekiwania rynku, użytkowników, konsumentów by dane ich były bezpieczne, a także a może przede wszystkim na wizerunkowe aspekty incydentów bezpieczeństwa i wreszcie sankcje ze strony Prezesa Urzędu Ochrony Danych Osobowych.