Ogół działań zarządzania zgodnością z RODO/GDPR można podzielić na 4 główne obszary. Prezentujemy je poniżej wraz z listą działań i zagadnień wymagających weryfikacji, modyfikacji lub wdrożenia.
- Odzyskiwanie danych osobowych
- lokalizacja w procesie biznesowym
- legalność pochodzenia
- cel
- zgoda – jej zakres i aktualność
- minimalizacja
- forma
- klasa retencji
- klasa ochrony
- Zarządzanie danymi osobowymi
- role, uprawnienia oraz stan przeszkolenia osób i podmiotów odpowiedzialnych za administrowanie i przetwarzanie
- inwentaryzacja procesów biznesowych
- klasyfikacja danych osobowych
- cele
- inwentaryzacja zbiorów – zasoby i ich lokalizacja
- wzorce zgody
- polityki retencji
- polityki ochrony (minimalizacja, ograniczenia dostępu, pseudonimizacja, szyfrowanie)
- raportowanie danych do usunięcia
- usuwanie danych
- obsługa żądań wglądu, korekty i usunięcia (zapomnienia)
- przekazywanie danych
- Ochrona danych osobowych
- wytyczne data protection by design dla tworzenia i weryfikacji systemów i aplikacji
- uprawnienia dostępu
- pewność tożsamości
- polityka ochrony – pseudonimizacja i szyfrowanie
- pseudonimizacja
- szyfrowanie
- ochrona dostępu do zasobów służących przetwarzaniu
- identyfikacja i analiza incydentów niezgodności (wycieku, braku zgody, i legalności)
- Raportowanie
- postępy wdrożenia RODO
- bieżąca zgodność z RODO
- bieżący poziom ryzyka
- raportowanie zdarzeń przetwarzania wraz z jego podstawą (zgoda, ew. wymogi ustawowe)
- raportowanie incydentów niezgodności
Jak wynika z powyższej listy, działania związane z RODO mają obszerny i zróżnicowany zakres, którego nie da się obsłużyć jednym narzędziem informatycznym. Mamy tu do czynienia z całym procesem zarządczym, realizowanym lub wspieranym przez wiele systemów i aplikacji. Organizacja może już posiadać większość z nich. Wtedy wystarczy jedynie dokonać modyfikacji w sposobie ich używania i dokumentowania. W pozostałych przypadkach, konieczna może być zmiana w kodzie lub wdrożenie nowych, uzupełniających systemów.
W kolejnych artykułach przedstawimy, w jaki sposób wykorzystać narzędzia informatyczne do realizacji działań i procesów kluczowych dla zapewnienia zgodności z RODO. Omówimy między innymi:
- jak wykorzystać systemy SIEM dla ochrony danych osobowych i raportowania incydentów;
- jak zminimalizować ilość koniecznych modyfikacji w systemach biznesowych, a jednocześnie spełnić nowe wymogi rejestracji i raportowania zdarzeń przetwarzania danych osobowych.
RODO wchodzi w życie już 25 maja 2018 roku. Zważywszy na szeroki zakres wymagań, ich wdrożenie w tak krótkim czasie to ogromne wyzwanie, nawet gdy istotną część wysiłku przeniesiemy na prawników i menedżerów procesów biznesowych.
Zagadnienie ma jednak swoją drugą, pozytywną stronę. Odpowiednie podejście do zgodności z RODO może przynieść organizacjom realne korzyści biznesowe.
Jak trafnie ujęła to Sherine Yap, Global Head of CRM w Shell Retail podczas tegorocznego DataIQ Summit w Londynie:
Musimy zweryfikować wiele uprawnień i zgód na przetwarzanie danych osobowych. Jednak myślę, że będzie to dla nas korzystne. Znikną z naszych baz danych „martwe dusze” i wiele nieistotnych informacji. Osoby, które udzielą nam nowej zgody i powierzą swoje dane, przypuszczalnie będą bardziej skłonne do budowania z nami relacji. Tym samym dane, które posiadamy, będą bardziej wartościowe.