RODO (GDPR) jako proces zarządczy

RODO (GDPR) jako proces zarządczy

Ogół działań zarządzania zgodnością z RODO/GDPR można podzielić na 4 główne obszary. Prezentujemy je poniżej wraz z listą działań i zagadnień wymagających weryfikacji, modyfikacji lub wdrożenia.

  • Odzyskiwanie danych osobowych

    • lokalizacja w procesie biznesowym
    • legalność pochodzenia
    • cel
    • zgoda – jej zakres i aktualność
    • minimalizacja
    • forma
    • klasa retencji
    • klasa ochrony
  • Zarządzanie danymi osobowymi

    • role, uprawnienia oraz stan przeszkolenia osób i podmiotów odpowiedzialnych za administrowanie i przetwarzanie
    • inwentaryzacja procesów biznesowych
    • klasyfikacja danych osobowych
    • cele
    • inwentaryzacja zbiorów – zasoby i ich lokalizacja
    • wzorce zgody
    • polityki retencji
    • polityki ochrony (minimalizacja, ograniczenia dostępu, pseudonimizacja, szyfrowanie)
    • raportowanie danych do usunięcia
    • usuwanie danych
    • obsługa żądań wglądu, korekty i usunięcia (zapomnienia)
    • przekazywanie danych
  • Ochrona danych osobowych

    • wytyczne data protection by design dla tworzenia i weryfikacji systemów i aplikacji
    • uprawnienia dostępu
    • pewność tożsamości
    • polityka ochrony – pseudonimizacja i szyfrowanie
    • pseudonimizacja
    • szyfrowanie
    • ochrona dostępu do zasobów służących przetwarzaniu
    • identyfikacja i analiza incydentów niezgodności (wycieku, braku zgody, i legalności)
  • Raportowanie

    • postępy wdrożenia RODO
    • bieżąca zgodność z RODO
    • bieżący poziom ryzyka
    • raportowanie zdarzeń przetwarzania wraz z jego podstawą (zgoda, ew. wymogi ustawowe)
    • raportowanie incydentów niezgodności

Jak wynika z powyższej listy, działania związane z RODO mają obszerny i zróżnicowany zakres, którego nie da się obsłużyć jednym narzędziem informatycznym. Mamy tu do czynienia z całym procesem zarządczym, realizowanym lub wspieranym przez wiele systemów i aplikacji. Organizacja może już posiadać większość z nich. Wtedy wystarczy jedynie dokonać modyfikacji w sposobie ich używania i dokumentowania. W pozostałych przypadkach, konieczna może być zmiana w kodzie lub wdrożenie nowych, uzupełniających systemów.

W kolejnych artykułach przedstawimy, w jaki sposób wykorzystać narzędzia informatyczne do realizacji działań i procesów kluczowych dla zapewnienia zgodności z RODO. Omówimy między innymi:

  • jak wykorzystać systemy SIEM dla ochrony danych osobowych i raportowania incydentów;
  • jak zminimalizować ilość koniecznych modyfikacji w systemach biznesowych, a jednocześnie spełnić nowe wymogi rejestracji i raportowania zdarzeń przetwarzania danych osobowych.

RODO wchodzi w życie już 25 maja 2018 roku. Zważywszy na szeroki zakres wymagań, ich wdrożenie w tak krótkim czasie to ogromne wyzwanie, nawet gdy istotną część wysiłku przeniesiemy na prawników i menedżerów procesów biznesowych.

Zagadnienie ma jednak swoją drugą, pozytywną stronę. Odpowiednie podejście do zgodności z RODO może przynieść organizacjom realne korzyści biznesowe.

Jak trafnie ujęła to Sherine Yap, Global Head of CRM w Shell Retail podczas tegorocznego DataIQ Summit w Londynie:

Musimy zweryfikować wiele uprawnień i zgód na przetwarzanie danych osobowych. Jednak myślę, że będzie to dla nas korzystne. Znikną z naszych baz danych „martwe dusze” i wiele nieistotnych informacji. Osoby, które udzielą nam nowej zgody i powierzą swoje dane, przypuszczalnie będą bardziej skłonne do budowania z nami relacji. Tym samym dane, które posiadamy, będą bardziej wartościowe.

Tags

top