Rozporządzenie RODO, które weszło w życie w maju roku 2018, systematyzuje zasady przetwarzania danych osobowych. Rozporządzenie 2016/679 (Rozporządzenie) zastępuje dotychczas obowiązującą dyrektywę 95/46/WE, a w konsekwencji również ustawę o ochronie danych osobowych z 1997 r. Na podmioty przetwarzające dane osobowe nakłada szereg obowiązków, a podmiotom danych daje szereg praw. Aby być zgodnym z rozporządzeniem kluczowym jest zrozumienie m.in. jakie dane osobowe są przetwarzane, w jakim celu, czy cel jest adekwatny do zakresu przetwarzanych danych, gdzie i czy w bezpieczny sposób dane osobowe są przetwarzane, czy i jaka jest podstawa formalno–prawna, czy jesteśmy w stanie dopełnić obowiązków informacyjnych, czy jesteśmy w stanie obsługiwać zapytania osób których dane przetwarzamy, przygotowanie odpowiednich rejestrów, etc.
Aby odpowiedzieć na powyższe pytania oraz ocenić ryzyka związane z przetwarzaniem danych osobowych bardzo często niezbędna jest wielowymiarowa analiza. Analiza taka jest mocno utrudniona lub wręcz niemożliwa bez zinwentaryzowania stanu obecnego. Portal eGDPRBay pozwala na zinwentaryzowanie w usystematyzowany sposób m.in.:
- celów przetwarzania danych osobowych
- podstaw prawnych
- systemów IT w których przetwarzane są dane osobowe
- technicznych i organizacyjnych środków ochrony
- kwestii organizacyjno-proceduralnych związanych z zarządzaniem danych osobowych
Zinwentaryzowane dane wspomagają wielowymiarową analizę ryzyka, zarządzanie kwestiami/zadaniami, przygotowanie raportów oraz obligatoryjnych rejestrów, zarządzanie typami i metadanymi powiadomień (ang. notification types and metadata management), incydentami/naruszeniami związanymi z danymi osobowymi czy też obsługę zgłoszeń/zapytań podmiotów danych (ang. data subjects).
W celu usystematyzowania w/w zagadnień zostały wprowadzone pojęcia trzech perspektyw:
- Perspektywa KONTEKSTÓW
- Perspektywa ZARZĄDZANIA ZGODNOŚCIĄ
- Perspektywa OPERACYJNA
Wysokopoziomową koncepcję systemu eGDPRBay ilustruje rysunek nr 1.
Konteksty perspektywy kontekstów:
- Kontekst Zarządzania Typami Danych Osobowych oraz Zarządzania Retencją Danych (ang. Personal Data Types and Retention Management Context).
- Kontekst Zarządzania Celami Przetwarzania Danych Osobowych (ang. Personal Data Purposes Management Context),
- Kontekst Podstaw Formalno-Prawnych (ang. Lawful Basis Management Context),
- Kontekst Systemów IT (ang. IT Systems Context),
- Kontekst Kategorii Podmiotów Danych (ang. Data Subjects Categories (GDPR Actors) Context),
- Kontekst Miar Technicznych i Organizacyjnych (ang. Technological & Organisational Security Measures),
- Kontekst Zarządczo-Proceduralno-Organizacyjny (ang. Personal Data Governance Context),
Obszary perspektywy ZARZĄDZANIA ZGODNOŚCIĄ:
- Obszar Zarządzania Ryzykiem (ang. Risk Management),
- Obszar Zarządzania Kwestiami/Zadaniami (ang. Issues/Tasks Management),
- Obszar Raportów (ang. Reports Management)
- Obszar Rejestrów Obligatoryjnych (ang. Mandatory Registers)
- Obszar Rejestrów Opcjonalnych (ang. Optional Registers)
- Obszar Zarządzania Typami oraz metadanymi Powiadomień (ang. Notifications Types and Metadata Management)
- Obszar Zarządzania Typami Naruszeń/Incydentów związanych z przetwarzaniem danych osobowych (ang. Personal Data Breaches/Incident Management),
- Obszar Zarządzania Typami Zgłoszeń Podmiotów Danych (ang. Data Subjects Request Types Management).
Obszary perspektywy OPERACYJNEJ:
- Zarządzanie Czynnościami i Kategoriami Czynności Przetwarzania (ang. Activities and Activities Categories Management)
- Operacyjne Zarządzanie Naruszeniami (ang. Breaches Management)
- Operacyjne Zarządzanie Zgłoszeniami Podmiotów Danych (ang. Data Subjects Requests Management)
- Zarządzanie raportami operacyjnymi (ang. Operational Reports Management)
- Rejestr/Ewidencja Podmiotów Danych (Data Subjects Register/Evidence)
- Zarządzanie Kategoriami Produktów/Usług (ang. Products/Services Categories Management)
- Operacyjne Zarządzanie Produktami/Usługami (Products/Services Management)
- Operacyjne Zarządzanie Powiadomieniami (ang. Operational Notifications Management)
Perspektywa KONTEKSTÓW
Perspektywa kontekstów stanowi trzon rozwiązania. Zebrane w niej dane oraz relacje wykorzystywane są we wszystkich perspektywach. W celu zapewnienia adekwatności zakresu wprowadzanych danych do potrzeb i kosztów większość pól jest opcjonalna. To klient decyduje jakie dane chce, czy też jest w stanie wprowadzić do systemu.
W powiązaniu z elastycznym modelem danych umożliwia to dostosowanie systemu niemalże do każdej wielkości Firmy. Zakres wprowadzonych danych determinuje możliwości późniejszej wielowymiarowej analizy przetwarzania danych osobowych i powiązanych ryzyk. Początkowy, minimalny zakres powinien umożliwić przeprowadzenie rzetelnej analizy ryzyk oraz wygenerowanie/przygotowanie obligatoryjnych rejestrów m.in..:
- Rejestru Czynności przetwarzania (jeśli Firma jest administratorem danych osobowych),
- Rejestru Kategorii Czynności Przetwarzania (jeśli Firma jest procesorem danych osobowych).
Wymienione wyżej rejestry znajdują się w systemie w perspektywie ZARZĄDZANIA ZGODNOŚCI DANYCH w obszarze Rejestrów obligatoryjnych. Rejestry te mogą zostać wygenerowane automatycznie o ile klient wprowadzi w perspektywie KONTEKSTÓW odpowiednie dane.
W wielu branżach procesy zarządcze czy też wspomagające mają podobny zakres i cele przetwarzania, dlatego Operator dąży do tego, aby klient w ramach wdrożenia systemu modyfikował zakres predefiniowanych danych przygotowany przez Operatora, a nie musiał wprowadzać dla takich celów/procesów danych od podstaw. Celem jest optymalizacja wysiłku/kosztów klienta we wdrożeniu systemu. Przykładem mogą być procesy HR.
Istotnym kontekstem jest kontekst Zarządczo-Organizacyjno-Proceduralny, który jest niezbędny do efektywnego nadzoru nad zgodnością z obowiązującymi aktami prawnymi w obszarze zarządzania danymi osobowymi.
Konteksty składające się na PERSPEKTYWĘ KONTEKSTÓW zostały zilustrowane na Rysunku nr 1. Opis poszczególnych kontekstów znajduje się w sekcji Konteksty Perspektywy KONTEKSTÓW. Wszystkie konteksty, oznaczone kolorem niebieskim, znajdują się w wersji „Basic” abonamentu.
Perspektywa ZARZĄDZANIA ZGODNOŚCIĄ
Na bazie danych zebranych w perspektywie KONTEKSTÓW możliwe jest zarządzania zgodnością z aktami prawnymi zidentyfikowanymi w kontekście Zarządzania Podstawami Formalno-Prawnymi oraz przygotowanie obligatoryjnych rejestrów. W perspektywie ZARZĄDZANIA ZGODNOŚCIĄ system umożliwia m.in..:
- Zarządzanie Ryzykami
- Prowadzenie/wygenerowanie rejestrów (np. rejestrów czynności czy też kategorii czynności przetwarzania, rejestru upoważnień, szkoleń)
- Zarządzanie Kwestiami i Zadaniami (jeśli stan obecny wymaga działań, które powinny być nadzorowane i rozliczane)
- Zarządzanie Typami Powiadomień w kontekście Kategorii Podmiotów Danych
- Zarządzanie Typami Zgłoszeń Podmiotów Danych w kontekście Kategorii Podmiotów Danych
- Zarządzanie Typami Naruszeń oraz szablonami dokumentów/formularzy/procesów
- Generowanie raportów na bazie danych zebranych w perspektywie KONTEKSTÓW, które wspomagają pozostałe obszary, w szczególności analizę ryzyk
Perspektywa OPERACYJNA
Perspektywa OPERACYJNA umożliwia, na bazie wcześniej zdefiniowanych perspektyw, operacyjne zarządzanie takimi obszarami jak:
- Zarządzanie Kategoriami Czynności Przetwarzania (np. Przetwarzanie Danych Osobowych procesu rekrutacji otwartej)
- Zarządzanie Kategoriami Produktów/Usług wytwarzanych w ramach procesów biznesowych i zawierających konkretne dane osobowe (np. CV, jako kategoria/typ dokumentu, procesu rekrutacji)
- Operacyjne Zarządzanie Produktami/Usługami (np. ewidencja konkretnych CV, konkretnych Podmiotów Danych/Kandydatów wraz z informacją o czasie retencji)
- Operacyjne Zarządzanie Naruszeniami związanymi z przetwarzaniem danych osobowych, w szczególności notyfikacjami do regulatora i Podmiotów Danych
- Operacyjne Zarządzanie Zgłoszeniami Podmiotów Danych (obsługa zgłoszeń konkretnych Podmiotów zarówno w obszarze procesowo-proceduralnym jak i merytorycznym na bazie kontekstów/obszarów perspektywy KONTEKSTÓW i ZARZĄDZANIA ZGODNOŚCIĄ)
- Rejestr/Ewidencja Podmiotów Danych, zawierający dane konkretnych Podmiotów Danych niezbędnych np. do realizacji zgłoszeniami i naruszeniami*.
- Operacyjne Zarządzanie Powiadomieniami realizowanymi wobec Podmiotów Danych stanowiących podstawę skutecznej realizacji obowiązku informacyjnego
- Zarządzanie Raportami Operacyjnymi z obszarów perspektywy OPERACYJNEJ.
* Każdorazowo wymaga analizy w kontekście administratora i potwierdzenia podstaw formalno-prawnych.
Zakres abonamentu:
Dostępność poszczególnych kontekstów i/lub obszarów jest pochodną wybranego abonamentu. Kolory na rysunku nr 1 odzwierciedlają przypisanie do danej wersji abonamentu:
- „Basic” – kolor niebieski
- „Premium” – kolor pomarańczowy
- „Premium Plus” – kolor zielony**
** API dostępne jest w abonamencie “Premium Plus”
Konteksty perspektywy kontekstów
- Kontekst Zarządzania Typami Danych Osobowych oraz Retencją (KZTDOR)
Kontekst został wprowadzony w celu usystematyzowania i wspólnego zrozumienia typów i kategorii danych osobowych (w szczególności na: zwykłe i szczególne kategorie), którymi zarządza organizacja oraz zarządzania retencją tych danych. W kontekście tym inwentaryzowane są wszystkie typy i kategorie danych osobowych do których odnoszą się pozostałe konteksty i obszary. Istotnym elementem tego kontekstu jest również mechanizm schematów retencji, który (o ile jest to możliwe) pozwala na wyliczanie czasów przetwarzania i ew. usunięcia danych osobowych.
- Kontekst Podstaw Formalno-Prawnych (KPFP)
Kontekst KPFP umożliwia inwentaryzację wraz z relacjami podstaw prawnych na podstawie których przetwarzane są dane osobowe, dozwolonego zakresu przetwarzania danych osobowych per podstawa formalno-prawna oraz identyfikację możliwych schematów retencji. Wprowadzony w tym kontekście zakres i schematy są dziedziczone bezpośrednio lub pośrednio w pozostałych kontekstach i obszarach systemu, w szczególności w Kontekście Zarządzania Celami Przetwarzania Danych Osobowych. Wprowadzone mechanizmy mają na celu wyeliminowanie sytuacji w których dane osobowe przetwarzane byłyby bez podstawy formalno-prawnej, a więc bezprawnie.
- Kontekst Zarządzania Celami Przetwarzania Danych Osobowych (KZCPDO)
Przetwarzanie danych osobowych bez zdefiniowanego i osadzonego w realiach działalności przedsiębiorstwa celu i podstawy prawnej jest bezprawne. Cele przetwarzania danych osobowych zwykle powiązane są z procesami (w szczególności procesami biznesowymi) przedsiębiorstwa. Kontekst KZCPDO umożliwia m.in. zinwentaryzowanie celów przetwarzania w odniesieniu do tych procesów oraz ról, które w ramach procesu przetwarzają dane osobowe oraz podstaw prawnych. Opisany w KPFP mechanizm dziedziczenia uniemożliwia przypisanie do celu innego zakresu typów/kategorii danych osobowych niż te na które pozwalają przypisane podstawy formalnoprawne. Wprowadzenie ról w odniesieniu do celów przetwarzania umożliwia m.in. realizację zasady minimalizacji dostępu do danych. W abonamencie z perspektywą OPERACYJNĄ system umożliwia np. identyfikację kto w jakiej roli ma lub miał dostęp do jakich typów/kategorii danych osobowych.
Przykładowe przypadki użycia:
- Analiza ryzyk przetwarzania danych osobowych w kontekście celu przetwarzania
- Weryfikacja podstaw prawnych i adekwatności zakresu przetwarzanych danych osobowych per cel przetwarzania
- Weryfikacja adekwatności środków techniczno-organizacyjnych per cel przetwarzania
- Wspomaganie analizy przyczyn i wpływu w przypadku naruszenia per cel przetwarzania w kontekście procesu(ów) oraz rola w procesie
- Wspomaganie efektywnego zarządzania zgłoszeniami Podmiotów Danych
- Wspomaganie wypełniania obowiązku informacyjnego (jak cel, jaka rola, jaki obowiązek informacyjny)
Po zdefiniowaniu celów przetwarzania system umożliwia utworzenie wielowymiarowych relacji z danymi wprowadzanymi w pozostałych kontekstach, w szczególności z podstawami prawnymi w oparciu, o które przetwarzane są dane osobowe.
- Kontekst Systemów IT (KSIT)
W obecnych czasach dane osobowe w większości przypadków są przechowywane i przetwarzane w systemach IT. Kontekst ten pozwala na inwentaryzację systemów IT, odpowiedzialnych osób, stosowanych środków techniczno-organizacyjnych, kanałów wymiany danych, zakresu typów/kategorii przetwarzanych danych osobowych w kontekście Kategorii Podmiotów Danych.
Przykładowe przypadki użycia:
- Analiza ryzyk przetwarzania danych osobowych w kontekście konkretnych systemów IT w których przetwarzane są dane osobowe
- Weryfikacja podstaw prawnych i adekwatności zakresu przetwarzanych danych osobowych per podstawa formalno-prawna, cel przetwarzania i systemów IT (np. w kontekście systemów które znajdują się poza Europejskim Obszarem Gospodarczym lub w ramach grupy kapitałowej)
- Weryfikacja adekwatności środków techniczno-organizacyjnych per cel przetwarzania i typy/kategorie danych osobowych
- Wspomaganie analizy przyczyn i wpływu w przypadku naruszenia lub zmian per system IT w kontekście procesu(ów) oraz ról w procesie
- Wspomaganie efektywnego zarządzania zgłoszeniami Podmiotów Danych w szczególności w kontekście realizacji prawa do przenoszalności danych***
*** system umożliwia wygenerowanie raportu. Przygotowanie paczki konkretnych danych jest realizowane poza systemem eGDPRBay. Udostępnienie paczki będzie możliwe w ramach obszaru Zarządzania Zgłoszeniami Podmiotów Danych PERSPEKTYWY OPERACYJNEJ.
- Kontekst Kategorii Podmiotów Danych
GDPR/RODO wprowadza termin Kategorii Podmiotów Danych (nazywanych również w systemie aktorami GDPR/RODO). Aby możliwa była realizacja kwestii odnoszących się do Kategorii Podmiotów Danych wprowadzony został dedykowany kontekst. Kontekst ten jest blisko związany z kontekstem Celów przetwarzania i ról, albowiem Kategorie Podmiotów Danych zazwyczaj są istotnym interesariuszem realizowanych przez Firmę procesów (np. Klient usług/produktów).
- Analiza ryzyk przetwarzania danych osobowych w kontekście konkretnych Kategorii Podmiotów Danych
- Weryfikacja podstaw prawnych i adekwatności zakresu przetwarzanych danych osobowych per podstawa formalno-prawna, cel przetwarzania, systemów IT (np. w kontekście systemów które znajdują się poza Europejskim Obszarem Gospodarczym lub w ramach grupy kapitałowej) oraz Kategorii Podmiotów Danych
- Weryfikacja adekwatności środków techniczno-organizacyjnych per cel przetwarzania, typy/kategorie danych osobowych oraz Kategorie Podmiotów Danych
- Wspomaganie analizy przyczyn i wpływu w przypadku naruszenia lub zmian per system IT w kontekście procesu(ów), ról w procesie w kontekście poszczególnych Kategorii Podmiotów Danych
- Wspomaganie efektywnego zarządzania Zgłoszeniami Podmiotów Danych poprzez przygotowanie odpowiednich procesów/procedur per Kategoria Podmiotów Danych
- Kontekst Miar/Środków Technicznych i Organizacyjnych (KMTO)
Artykuł 32 Rozporządzenia stanowi „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku …”. Kontekst Miar/Środków Technicznych i Organizacyjnych zawiera otwarty katalog takich miar/środków, a możliwość ich analizy w relacji do pozostałych kontekstów pozwala np. ocenić ryzyko wiążące się z przetwarzaniem oraz czy stopień bezpieczeństwa jest odpowiedni.
Przykładowe przypadki użycia:
- Wspomaganie analiza ryzyk przetwarzania danych osobowych lub analizy wpływu zmian w organizacji w kontekście Miar/Środków Technicznych i Organizacyjnych w odniesieniu do pozostałych kontekstów PERSPEKTYWY KONTEKSTÓW, w szczególności w stosunku do szczególnych kategorii danych osobowych, czy też danych przetwarzanych poza Europejskim Obszarem Gospodarczym,
- Wspomaganie analizy ryzyka oraz wpływu w przypadku naruszeń – szczególnie istotne wobec wymogu czasowego określonego w artykule 33 Rozporządzenia, który stanowi, iż „administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.” .
- Kontekst Zarządczo-Proceduralno-Organizacyjny (KZPO)
W kontekście tym ewidencjonowane są role zdefiniowane w ramach organizacji odpowiadającej za ochronę danych osobowych, polityki i procedury związane z ochroną danych osobowych. Odpowiednie ramy zarządcze umożliwiają wprowadzenie mechanizmów odpowiedzialności i rozliczalności za przetwarzanie danych osobowych oraz role/osoby kontaktowe.
Przykładowe przypadki użycia:
- Analiza ryzyk przetwarzania danych osobowych w kontekście odpowiedzialności i rozliczalności za zgodność z aktami prawnymi na odstawie których przetwarzane są dane osobowe,
- Wspomaganie analizy przyczyn i wpływu w przypadku naruszeń lub zmian w organizacji w kontekście procesu(ów), ról w procesie w kontekście obowiązujących polityk oraz osób odpowiedzialnych za ochronę danych osobowych i podejmowanie decyzji,
- Wspomaganie efektywnego zarządzania Zgłoszeniami Podmiotów Danych poprzez przygotowanie odpowiednich procesów/procedur per Kategoria Podmiotów Danych.
Obszary perspektywy ZARZĄDZANIA ZGODNOŚCIĄ
- Obszar Zarządzania Ryzykiem (OZR)
Rozporządzenie wprowadza model zarządzania i ochrony danych oparty na podejściu bazującym na ryzyku (ang. risk-based approach). Świadomość ryzyk związanych z przetwarzaniem danych osobowych, zarówno tych leżących po stronie organizacji jak i po stronie Podmiotów Danych jest kluczowe dla administratora jak i podmiotu przetwarzającego. Obszar OZR umożliwia ewidencjonowanie i zarządzanie zidentyfikowanymi ryzykami – począwszy od identyfikacji (z uwzględnieniem kontekstu), poprzez szacowanie (identyfikacja, analiza, ocena), następnie traktowanie i środki zaradcze aż do monitorowania. Istotnym elementem zarządzania ryzykiem są raporty z Obszaru Zarządzania Raportami generowane na bazie danych i relacji z PERSPEKTYWY KONTEKSTÓW. Zarządzanie ryzykiem jest realizowane w oparciu o metodykę ISO 31000.
- Obszar Zarządzania Kwestiami/Zadaniami (OZKZ)
Obszar ten umożliwia zarządzanie kwestiami i zadaniami z uwzględnieniem wielowymiarowych relacji pomiędzy obszarami i kontekstami, priorytetów i mechanizmów rozliczalności.
- Obszar Rejestrów Obligatoryjnych (OROB)
Na bazie danych zebranych w PERSPEKTYWIE KONTEKSTÓW możliwe jest wygenerowanie rejestrów czynności oraz kategorii czynności przetwarzania, które są obligatoryjne odpowiednio dla administratora oraz podmiotu przetwarzającego.
- Obszar Rejestrów Opcjonalnych (OROP)
W obszarze tym znajdują się rejestry opcjonalne, które administrator lub podmiot przetwarzający może prowadzić. Na chwilę obecną są to:
- Rejestr/ewidencja upoważnień do przetwarzania danych osobowych
- Rejestr Szkoleń związanych z ochroną danych osobowych
- Obszar Zarządzania Typami oraz Metadanymi Powiadomień (OZTMP)
Obszar umożliwia ewidencję typów powiadomień oraz przygotowanie szablonów/typów powiadomień w kontekście poszczególnych Kategorii Podmiotów Danych. Szablony są przygotowywane na bazie danych zebranych w PERSPEKTYWIE KONTEKSTÓW.
- Obszar Zarządzania Typami Naruszeń/Incydentów (OZTNI)
Obszar umożliwia ewidencję typów naruszeń w kontekście celów przetwarzania i w odniesieniu do realizowanego procesu, typów/kategorii danych osobowych, systemów IT oraz poszczególnych Kategorii Podmiotów Danych. Dane do wstępnej analizy są przygotowywane na bazie danych zebranych w PERSPEKTYWIE KONTEKSTÓW. W razie potrzeby możliwe jest wygenerowanie raportów pomocniczych z Obszaru Raportów.
- Obszar Zarządzania Typami Zgłoszeń Podmiotów Danych (OZTZPD)
Obszar umożliwia ewidencję typów zgłoszeń oraz przygotowanie szablonów/typów odpowiedzi na zgłoszenia w kontekście poszczególnych Kategorii Podmiotów Danych. Szablony są przygotowywane na bazie danych zebranych w PERSPEKTYWIE KONTEKSTÓW.