Wykazywanie zgodności z RODO i bezpieczeństwa danych
Zapraszamy do lektury pierwszego z artykułów na temat, jak GDPR Risk Tracker wspiera firmy i branże w uzyskaniu zgodności z RODO.
GDPR Risk Tracker jako narzędzie automatyzujące proces wykazywania zgodności i bezpieczeństwa danych
Agencja jako podmiot przetwarzający
Każdy podmiot, któremu zlecane są czynności wymagające operacji na danych pochodzących o klienta, który takie czynności zleca, jest podmiotem przetwarzającym w rozumieniu przepisów RODO.
Klasycznym przykładem takich podmiotów są agencje świadczące usługi marketingowe w różnych obszarach.
Gwarancje bezpieczeństwa i audyty RODO
Pozyskanie klientów na usługi marketingowe przez agencje wymaga wykazania się przed klientami gwarancjami bezpieczeństwa przetwarzania powierzanych agencjom danych. Jest to związane z wymogiem nałożonych na klientów agencji by powierzały dane jedynie podmiotom takie gwarancje bezpieczeństwa przetwarzania dającym.
Z tych względów klienci agencji stosują różne metody weryfikacji, przede wszystkim jednak związane z wypełnianiem formularzy zgodności, ankiet, raportów, okazaniem określonych dokumentów, czy przeprowadzaniem audytów. Każdy z takich klientów ma inną koncepcję, inne formularze, inny zakres żądanych danych.
Każdorazowa procedura zawierania umowy, związana z taką weryfikacją, wymaga zaangażowania po stronie agencji służb odpowiedzialnych za ochronę danych i bezpieczeństwo informacji, w szczególności IOD, działów IT, prawników, specjalistów do spraw bezpieczeństwa i wreszcie personelu merytorycznego opracowującego ostateczną ofertę.
Na ofertowaniu jednak nie koniec. Klienci powierzający dane agencji uprawnieni są do dokonywania audytów bezpieczeństwa przetwarzania danych w ciągu trwania umowy, co dodatkowo angażuje personel agencji.
Jak to zrobić?
Z RODO nie wynikają szczegółowe wytyczne jak wykazywanie gwarancji bezpieczeństwa i przeprowadzenie audytów ma wyglądać. W RODO prawodawca odchodząc od sztywnych wymogów dotyczących rozwiązań technicznych czy dokumentacyjnych, które muszą wdrożyć przedsiębiorcy by być zgodnym z przepisami o ochronie danych osobowych zdecydował się uelastycznić regulację pozostawiając im decyzję jakie środki i rozwiązania zastosować.
Decyzję taką należy podjąć na podstawie analizy ryzyka wynikającego z przetwarzania danych.
Jeśli zatem agencja nie przyjęła własnych metod manifestowania zgodności z RODO to zdana jest na każdorazowe żądania klientów, każdorazowo różne co do zakresu, szczegółowości, sposobu dostarczenia, a także co do formy i sposobu przeprowadzania audytów.
GDPR RIsk Tracker jako narzędzie do wykazywania gwarancji bezpieczeństwa i prowadzenia audytów
Aby ułatwić ten proces zespół prawników i programistów kancelarii Lubasz i Wspólnicy, specjalizującej się w prawie ochrony danych i bezpieczeństwie informacji, opracował aplikację GDPR Risk Tracker.
Jej celem jest zautomatyzowane przeprowadzenia i udokumentowanie, w sposób jednolity i zobiektywizowany, informacji na temat przetwarzania danych osobowych, ich weryfikacji i oceny zgodności oraz przeprowadzenia analizy ryzyka zgodnej z przepisami RODO.
Aplikacja przeznaczona jest również do samodzielnego wykorzystania przez administratorów i podmioty przetwarzające, bowiem nie wymaga specjalistycznej wiedzy.
Stanowi jednak także narzędzie wykorzystywane przez podmioty świadczące usługi z zakresu ODO, w celu ułatwienia przeprowadzenia prac audytowych, zebrania danych, ich oceny, sporządzania raportów audytowych zawierających rekomendacje wdrożeniowe i wreszcie sporządzanie dokumentacji m.in. w postaci rejestrów czynności przetwarzania i rejestrów kategorii czynności przetwarzania, z których zwłaszcza ten drugi musi prowadzić agencja, której powierzane są dane.
GDPR Risk Tracker jest narzędziem do zarządzania wdrożeniem i audytami RODO, przeprowadzaniem analizy ryzyka i oceny skutków dla ochrony danych oraz prowadzeniem dokumentacji.
Umożliwia wykonywanie analizy dla dowolnej liczby administratorów i podmiotów przetwarzających oraz dowolnej liczby procesów.
Dzięki temu znajduje zastosowanie zarówno dla małych administratorów lub podmiotów przetwarzających, jak i dla grup kapitałowych, a także dla audytorów, Inspektorów Ochrony Danych, zespołów ODO i kancelarii prawnych świadczących usługi w zakresie wdrażania i audytów RODO.
Z perspektywy agencji, jako podmiotów przetwarzających, dla wykazania gwarancji bezpieczeństwa wobec klienta, zamiast wypełniania ankiet, przekazywania dokumentacji itp., wystarczy umożliwić dostęp do aplikacji GDPR Risk Tracker do analizy ryzyka adekwatnego procesu, w którym powierzenie następuje, tj. danej usługi marketingowej ocenionej w aplikacji. Dzięki temu klient samodzielnie może pozyskać wszelkie informacje, o które prosiłby wypełniając ankiety. Może pobrać raport z analizy ryzyka, wskazujący zastosowane przez agencję środki bezpieczeństwa. Ponadto może w bieżący sposób, tak długo jak agencja zapewnia mu dostęp do narzędzia, weryfikować (audytować) zgodność działania agencji z RODO w obszarze bezpieczeństwa.
- W ten sposób nie jest już potrzebne wypełnienie jakichkolwiek ankiet, raportów czy formularzy.
- Wszelkie informacje są stale dostępne i mogą być aktualizowane w razie potrzeby i będą od razu dostępne dla wszystkich klientów agencji, którym udzieliła ona dostęp do aplikacji.
- Agencja zapewnia pełną transparentność działania i zgodności z RODO budując zaufanie.
- Wykazywanie zgodności działania z RODO, wykazania gwarancji bezpieczeństwa zostaje zautomatyzowane i nieangażujące szerokiego personelu do każdorazowego wypełniania ankiet i raportów, co oczywiście oszczędza czas.
Kluczowe funkcjonalności tej aplikacji to:
- zarządzanie wdrożeniem RODO zarówno przez administratorów, procesorów, jak i przez audytorów, prawników oraz zespoły ODO,
- przeprowadzanie audytów RODO,
- weryfikację wdrożenia RODO oraz analizy ryzyka i DPIA przez Inspektorów Ochrony Danych,
- przeprowadzenie kompleksowej analizy ryzyka oraz oceny skutków przetwarzania (DPIA),
- prowadzenie dokumentacji w szczególności rejestru czynności przetwarzania, rejestru kategorii czynności przetwarzania, ewidencji odbiorców, transferów, retencji,
- zapewnienie administratorom rozliczalności zgodności,
- przeprowadzanie administratorom audytów procesorów,
- wykazanie procesorom odpowiedniego poziomu bezpieczeństwa wobec administratorów oraz przekazanie odpowiednich danych do analizy ryzyka w procesach powierzonych.
Zgodność z RODO jako przewaga konkurencyjna
Oszczędność czasu i kosztów związanych ze zmniejszeniem zaangażowania szerokiego zespołu w proces ofertowania i istotne skrócenie tego procesu to jedno, drugie to odpowiedź na rosnące oczekiwania rynku, użytkowników, konsumentów by dane ich były bezpieczne, a także a może przede wszystkim na wizerunkowe aspekty incydentów bezpieczeństwa i wreszcie sankcje ze strony Prezesa Urzędu Ochrony Danych Osobowych.