Wprowadzenie RODO znacznie podniosło świadomość znaczenia danych osobowych, ale też nałożyło na przedsiębiorców uciążliwe obowiązki. Mimo, iż od wejścia przepisów w życie mijają kolejne lata, wiele przedsiębiorstw w dalszym ciągu rejestr posiadanych danych osobowych prowadzi w arkuszu kalkulacyjnym, a same informacje przetwarza bez większego wsparcia technologicznego.
Ochrona danych osobowych może w takich przypadkach pochłaniać zupełnie nieproporcjonalne środki. Warto zatem rozważyć automatyzację tego obszaru za pomocą odpowiedniego programu dla IOD (inspektor danych osobowych) i ADO (administrator danych osobowych).
Czym jest RODO/dane osobowe?
RODO to rozporządzenie wydane przez Parlament Europejski i Radę Unii Europejskiej, które reguluje przetwarzanie danych osobowych przez firmy i inne osoby prawne. Od momentu wprowadzenia, skrót RODO stał się synonimem wszystkich przepisów dotyczących ochrony danych osobowych – krajowych, unijnych i wynikających z umów międzynarodowych.
W myśl tego ustawodawstwa dane osobowe to każde informacje, które pozwalają zidentyfikować konkretną osobę. Mogą to więc być: imię i nazwisko, numer PESEL, numer dowodu osobistego lub prawa jazdy, dane do logowania się lub materiał wideo. Jeśli dane wystarczają do wskazania konkretnej osoby, która się za nimi kryje – są danymi osobowymi.
Bardzo szeroka definicja oznacza, że praktycznie każda firma przetwarza dane osobowe. Mogą to być informacje na temat:
- pracowników,
- udziałowców i właścicieli firmy,
- kontrahentów i dostawców,
- klientów, także tych potencjalnych,
- odbiorców newslettera,
- a nawet zupełnie innych, nie związanych z firmą osób.
Powody, by automatyzować RODO
RODO należy do aspektów działalności firmy, które warto zautomatyzować jak najszybciej, ponieważ:
1. Danych w firmie jest dużo.
Dane, w tym dane osobowe stanowią pokaźną część aktywów firm, a ich rola stale rośnie. Przedsiębiorstwa chętnie zbierają dane, niechętnie się natomiast z nimi rozstają. Oznacza to, że przechowywanych i przetwarzanych danych osobowych jest coraz więcej. Zwiększa się zarówno liczba osób, których one dotyczą, jak i sam zakres danych. Oznacza to, że obsługa danych osobowych pochłania coraz więcej środków, przynajmniej póki nie zostanie zautomatyzowana.
2. Dane w firmie gromadzone są w ustandaryzowanej formie, warto to wykorzystać.
Większość firm przetwarza dane osobowe dające się przypisać do prostych kategorii. Przykładowo: call center może mieć dostęp do danych potencjalnych klientów w postaci: imienia, nazwiska, emaila, numeru telefonu, numeru klienta i historii dotychczasowych zakupów. Oprogramowanie wciąż najlepiej radzi sobie właśnie z takimi, dobrze uporządkowanymi, bazami danych. Na pewno więc automatyzacja w tym zakresie jest możliwa.
3. Istnieje obowiązek rejestrowania czynności przetwarzania.
Firma musi prowadzić rejestr czynności przetwarzania danych osobowych dokumentujący przede wszystkim operacje wykonywane na tych danych, ale również m.in. opis kategorii osób, których dane dotyczą czy też cele ich przetwarzania i w razie kontroli, okazać go organowi nadzorczemu. Inspektor Ochrony Danych powinien dbać, aby rejestr był w razie konieczności na bieżąco aktualizowany. Dlaczego więc program dla IOD nie miałby być połączony z pulpitem pozwalającym na zarządzanie rejestrami?
4. System IT ochroni przed pomyłkami – automatyzacja oznacza większe bezpieczeństwo.
Czynnik ludzki jest odpowiedzialny za większą część wycieków danych osobowych oraz błędów ich przetwarzaniu i usuwaniu. Konieczność ręcznego aktualizowania baz danych i rejestrów stanowi dla pracowników przykry obowiązek, o którym łatwo zapomnieć, narażając firmę na straty wizerunkowe i finansowe. Kontrola nad danymi osobowymi i zbiorami danych zapewniona przez dedykowany system IT (np. RODO Productive24) uchroni przed wpisaniem danych w nieodpowiednią rubrykę, powtórzeniem rekordów lub zdublowaniem całych baz.
5. Informowanie osoby fizycznej o jej danych, które są przetwarzane, jest łatwiejsze.
Zgodnie z przepisami RODO, każda osoba ma prawo zapytać o to jakie jej dane osobowe są przetwarzane przez firmę. Odpowiedź powinna zostać udzielona na piśmie lub w formie elektronicznej, a firma ma na jej udzielenie ograniczony czas. Oprogramowanie znacznie ułatwia jej udzielenie, odnotuje także zlecenie zmiany zakresu ich przewarzania.
6. Usuwanie danych jest łatwiejsze.
Żądanie usunięcia danych osobowych to dla wielu firm „groźba”, z którą niekoniecznie potrafią się uporać. Przedsiębiorstwo musi de facto wymazać swoją wiedzę o danej osobie, jeśli nie ma istotnego interesu prawnego w zachowaniu danych. Nawet wtedy wolno zachować wyłącznie te dane, które są niezbędne – w takiej sytuacji musi być to również odpowiednio uzasadnione. W sytuacji, gdy dane osobowe znajdują się w różnych e-mailach, plikach i folderach sieciowych, jest to ogromnym wyzwaniem.
System RODO Productive24
RODO Productive24 to system informatyczny zbudowany na bazie platformy Productive24, który pozwala w bezpieczny i efektywny sposób zarządzać obszarem przetwarzania danych osobowych w organizacji. Dzięki temu, że system został zbudowany na bazie platformy Productive24, możliwe jest jego błyskawiczne i elastyczne modyfikowanie oraz dokładne dostosowanie do potrzeb danego przedsiębiorstwa, a także do zmieniających się wymogów prawa czy jego nowych interpretacji. RODO Productive24 zapewnia:
- Łatwy dostęp do danych
- System powiadomień
- Zarządzanie upoważnieniami i żądaniami.
- Zarządzanie ryzykiem.
- Rejestry związane z przetwarzaniem danych osobowych.
W jakim stopniu można zautomatyzować RODO w firmie z rozwiązaniem Productive24?
Program RODO Productive24 może odciążyć pracowników przetwarzających dane osobowe na kilka sposobów. Już na etapie wprowadzania danych informacje mogą być zaciągane do systemu automatycznie (np. z formularzy www). Ogromna korzyść z automatyzacji pojawia się także w momencie, gdy firma zaczyna operować na danych. W takiej sytuacji możliwe jest całkowite zautomatyzowanie wszelkich procesów przetwarzania, w tym ewentualne błyskawiczne usuwanie bądź zanonimizowanie danych osobowych. Oprogramowanie do RODO może dokonać też zmiany we wszystkich przypisanych do niego bazach danych, gdy w jednej z nich dane konkretnej osoby zostaną zaktualizowane. Bardzo ułatwi to np. działania marketingowe, sprzedażowe czy pracę działów HR.
System „pamięta” też, do kiedy poszczególne dane mogą być przechowywane lub przetwarzane. Może zatem (po upływie określnego czasu) przypomnieć o wygasającym terminie pozwalającym na gromadzenie i przetwarzanie danych, dając szansę na wystąpienie o przedłużenie stosownych zgód lub przypominając o konieczności ich usunięcie lub anonimizacji.
O możliwościach i zastosowaniach RODO Productive24 więcej w artykule: „Productive24 w praktyce: bezpieczne zarządzanie danymi osobowymi”.
