iDPO – ochrona danych osobowych
Moduł systemu iDPO przeznaczony jest do kompleksowej obsługi zadań inspektora ochrony danych lub innej osoby odpowiedzialnej za bezpieczeństwo danych. Zapewnia prowadzenie wymaganych przepisami rejestrów czynności przetwarzania (oraz kategorii czynności przetwarzania) oraz innych ewidencji, które pozwalają na przestrzeganie zasady rozliczalności. System posiada katalogi zbiorów danych oraz procesów przetwarzania gotowe do ponownego wykorzystania.
w tym:
Rejestr czynności przetwarzania | w większości podmiotów jego prowadzenie stanowi wymóg prawa, w pozostałych pozwala administratorowi na większą kontrolę nad przetwarzanymi danymi w kontekście powierzania danych i przetwarzania danych na polecenie administratora |
Rejestr wszystkich kategorii czynności przetwarzania | poza wymogami RODO, rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora bardzo często stanowi wymóg zawieranych umów, w których przyjmujemy na siebie rolę podmiotu przetwarzającego |
Wykaz odebranych oświadczeń o zachowaniu tajemnicy | odbieranie oświadczeń o zachowaniu tajemnicy może się odbywać się tradycyjnie, na podstawie wydrukowanego projektu oświadczenia lub w systemie iDPO, który pozwala na określenie timestamp i IP urządzenia, z którego nastąpiło oświadczenie; dzięki prowadzonemu wykazowi oświadczeń osoby odpowiedzialne na bieżąco mogą nadzorować zarówno zakres oświadczeń jak i fakt złożenia oświadczenia przez każdego członka personelu |
Wykaz upoważnień do przetwarzania danych | upoważnienie do przetwarzania danych stanowi emanację przetwarzania danych na polecenie administratora danych; nadawanie upoważnień poza formą tradycyjną, może odbywać się również w systemie iDPO, co eliminuje konieczność włączania dokumentu do akt osobowych pracownika |
Ewidencja udostępniania danych | udostępnianie danych stanowi odrębną od przetwarzania danych w imieniu i na polecenie administratora formę przetwarzania, z którą mamy najczęściej do czynienia w przypadku żądań podmiotów publicznych, organów ścigania itp. Aby ustrzec się od odpowiedzialności prawnej za ujawnienie danych nieuprawnionemu odbiorcy należy zadbać o pełną rozliczalność przepływu danych; temu służy ewidencja udostępniania danych |
Wykaz umów powierzenia | system iDPO generuje projekty umów powierzenia na podstawie danych wymaganych art. 28 ust. 3 ogólnego rozporządzenia, ale również umowy powierzenia przetwarzania danych zawierające standardowe klauzule umowne zgodnie z decyzją wykonawczą Komisji (UE) 2021/915 z dn. 04.06.2021 r. Poza generowaniem projektów umów, system umożliwia ustanowienie relacji z właściwym procesem przetwarzania (zbiorem danych osobowych) |
Wykaz umów poufności (NDA) | umowy o poufności danych pozwalają na zwiększenie ochrony danych poprzez zobowiązanie kontrahenta do zachowania tajemnicy na podstawie przepisów z dnia z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji; system iDPO pozwala na automatyczne generowanie wymaganych umów dla określonych kontekstów przetwarzania |
Rejestr zagrożeń i naruszeń prawa | prowadzony w systemie iDPO rejestr zagrożeń stanowi podstawowy materiał analityczny wykonywanych przez inspektora ochrony danych zadań; pozwala na podjęcie działań korekcyjnych przed wystąpieniem incydentu noszącego znamiona naruszenia ochrony danych; raporty dostępne są dla administratorów systemu, co eliminuje konieczność ich drukowania i dostarczania |
Wykaz zbiorów danych osobowych / procesów przetwarzania | zidentyfikowane w podmiotach zbiory danych, czy to na podstawie prac administratora bezpieczeństwa informacji, czy też na podstawie jednolitego rzeczowego wykazu akt stanowią punkt wyjściowy do opracowania wartościowego wykazu procesów przetwarzania; system iDPO umożliwia skorelowanie zbiorów danych z odpowiednimi procesami przetwarzania oraz upoważnieniami nadanymi przez administratora dla personelu przetwarzającego dane osobowe |
Ewidencja osób upoważnionych do przetwarzania danych | prowadzona na bieżąco ewidencja osób przetwarzających dane na polecenie administratora zapewnia możliwość przeszkolenia personelu za pośrednictwem dedykowanej platformy szkoleniowej wchodzącej w skład systemu iDPO, przygotowanie i odebranie oświadczeń oraz nadanie przez administratora upoważnienia do przetwarzania danych w odpowiednim zakresie i w odpowiednich zbiorach (procesach); konta użytkowników zapewniają dostęp do aktualnego zakresu upoważnienia, treści złożonych oświadczeń, treści klauzul informacyjnych oraz zgód, które użytkownik wyraził administratorowi; ewidencja umożliwia również analizowanie aktywności użytkowników na platformie szkoleniowej |
Wykaz budynków, pomieszczeń lub części pomieszczeń – obszar przetwarzania | ochrona danych osobowych przetwarzanych zwłaszcza w tradycyjnej (papierowej) formie wymaga zapewnienia właściwych środków technicznych w celu zabezpieczenia danych przed naruszeniem; zdefiniowanie obszaru przetwarzania danych wraz z przypisaniem zastosowanych zabezpieczeń techniczno-ochronnych również dla urządzeń przetwarzających dane w formie cyfrowej ułatwia prowadzenie postępowań wyjaśniających oraz czynności audytowych przez inspektora ochrony danych |
Rejestr realizacji praw osób, których dane dotyczą | moduł systemu iDPO pozwala na nadzorowanie realizacji praw osób, których dane dotyczą, a które przysługują im na mocy RODO; prowadzony rejestr zabezpieczenia przed przekroczeniem terminów wskazanych przepisami prawa na realizację wniosków |
Wykaz dodatkowych polityk ochrony danych | przygotowane przez nasz zespół procedury i polityki ochrony danych zapewniają właściwą ochronę danych osobowych w niemal wszystkich podmiotach, niezależnie od ich struktury organizacyjnej oraz ilości kontekstów przetwarzania; jednak zmieniające się przepisy prawa nie zawsze pozwalają na włączenie nowych procedur do opracowanej przez nas Księgi polityk; w tych przypadkach przygotowujemy rozwiązania, które mogą zostać fakultatywnie włączone do systemu ochrony danych osobowych przez najwyższe kierownictwo |
Rejestr klauzul informacyjnych | realizacja obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO to nie tylko kwestia przygotowania właściwych informacji dla konkretnego celu przetwarzania, ale również fizyczne umieszczenie treści klauzuli na stronie WWW; iDPO pozwala na wykorzystanie stron generowanych przez system, które poza umieszczonym kodem QR mogą zostać umieszczone na stronie WWW administratora za pomocą unikalnego linku |
Rejestr klauzul zgody | rejestr systemu iDPO pozwala na zbudowanie bazy danych osób (pracowników, klientów) wraz z przypisaniem wersji klauzuli zgody oraz klauzuli zgody; cofnięcie zgody przez osobę, której dane dotyczą inicjuje procedurę zgodną z RODO zarówno wobec administratora jak i innych podmiotów, którym dane zostały powierzone |
Każdy rejestr, wykaz i ewidencja pozwalają na dokonywanie wydruków dokumentów, wprowadzanie modyfikacji oraz nadanie uprawnień administratorskich zgodnie z rzeczywistą potrzebą. Prowadzenie ww. narzędzi ewidencyjnych w formie elektronicznej jest w pełni zgodne z przepisami ogólnego rozporządzenia o ochronie danych (RODO).
Wszystkie rejestry, wykazy i ewidencje przyporządkowane są do określonych procedur i/lub polityk ochrony danych, które zebrane są w Księgę polityk. Do każdej procedury i polityki dostępne są formularze i wzory, za pośrednictwem których w zaledwie kilka chwil można przygotować gotowy do podpisu projekt umowy powierzenia lub odebrać w systemie oświadczenie o zachowaniu tajemnicy oraz nadać w wersji elektronicznej upoważnienie do przetwarzania danych w zakresie wynikającym ze zidentyfikowanego wykazu zbiorów danych, procesów przetwarzania.
Wypełnianie zadań z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania, możliwe jest w systemie iDPO z wykorzystaniem narzędzi do tworzenia analiz ryzyka oraz oceny skutków dla ochrony danych.