Każdym obszarem zgodności powinno zarządzać się w sposób ciągły, a zakończenie wdrożenia nie oznacza zakończenia działań związanych z tym obszarem. Dlatego nie mniej ważnym etapem po wdrożeniu RODO jest operacyjne zarządzanie RODO. W tym tekście chcielibyśmy zwrócić uwagę na kilka krytycznych obszarów w zarządzaniu RODO.
Kto jest „właścicielem” czynności i zadań retencyjnych
Za obszar RODO odpowiada inspektor danych osobowych, jednak zwłaszcza we większych organizacjach bez zaangażowania osób odpowiedzialnych za poszczególne obszary, w których dane są przetwarzane nie sposób egzekwować wielu działań. Do takich z pewnością należy okresowa weryfikacja czynności przetwarzania oraz informowanie o nowych działaniach, w ramach których przetwarza się dane. Dlatego funkcjonalność Rejestr czynności pozwala na dodawanie do czynności osoby będącej właścicielem biznesowym. Podobna sytuacja ma miejsce w przypadku okresowego usuwania danych osobowych. System umożliwia w ramach harmonogramu dodawania do każdego zdefiniowanego okresu retencji osoby odpowiedzialnej za usunięcie danych. Funkcjonalności te istotnie usprawniają bieżące zarządzanie RODO.
Zatrudnianie, zwalnianie i awanse
Rotacja pracowników jest procesem stałym, dlatego podobnie jak funkcjonują obszary związane z kadrami powinien funkcjonować obszar związany z nadawaniem, modyfikowaniem i odbieraniem upoważnień do przetwarzania danych. System iGDPR umożliwia stworzenie hierarchii, w ramach której przełożeni będą mogli realizować takie obowiązki względem podwładnych. Realizację takiego działania można przeprowadzić w module Konfiguracja, obszar Konfiguracja systemu, funkcjonalność Użytkownicy i role. System pozwala na generowanie powiadomień do przełożonych i pracowników oraz pokazuje zbliżające się terminy na Pulpicie.
Naruszenia
Naruszenie danych osobowych oznacza naruszenie bezpieczeństwa, prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Art. 33 ust. 5 RODO wymaga udokumentowania stanu faktycznego naruszenia, jego skutków oraz podjętych działań naprawczych, a w określonych przypadkach zgłoszenia go organowi. System iGDPR umożliwia wygenerowanie zgłoszenia zgodnego z wzorem UODO i wygenerowanie go w formie pdf. Umożliwi to przesłanie go natychmiast w wersji elektronicznej bądź tradycyjnej do organu. (Moduł Ryzyko, funkcjonalność Naruszenia).
Podmioty współpracujące i umowy powierzenia
W bieżącym zarządzaniu RODO ważne jest posiadanie ewidencji podmiotów współpracujących. Niezależne jest to od tego, czy jest to administrator, współadministrator, podmiot przetwarzający czy odbiorca. W module Operacje i funkcjonalności Podmioty współpracujące można wprowadzić i zarządzać wszystkimi podmiotami, które w jakikolwiek sposób uczestniczą w procesie przetwarzania danych. Ten rejestr systemu iGDPR zasila inne rejestry, w tym w szczególności rejestr czynności przetwarzania danych osobowych.
Umowa powierzenia przetwarzania danych osobowych to prawnie wiążący dokument, który administrator powinien zawrzeć w formie pisemnej lub elektronicznej z każdym podmiotem przetwarzającym dane osobowe. Umowa reguluje zakres i cel przetwarzania danych osobowych oraz relację między administratorem a podmiotem przetwarzającym. Umowę powierzenia opisano w art. 28, 32 i 82 RODO. System iGDPR w ramach modułu Operacje pozwala wygenerować i/lub zarejestrować wszystkie umowy powierzenia z podmiotami przetwarzającymi. Można w nim monitorować kompletność umów, jakie twój podmiot powinien zawrzeć.
Zarządzanie klauzulami informacyjnymi
Jednym z głównych obowiązków nałożonych na administratorów danych osobowych przez przepisy RODO jest obowiązek informacyjny. W określonych sytuacjach musi być spełniony w stosunku do osoby, której dane dotyczą (art. 13 oraz art. 14 RODO). Osoba, której dane rozpoczynamy przetwarzać, musi odpowiednio wcześnie otrzymać pełną wiedzę na temat administratora danych, celu ich przetwarzania, odbiorców danych czy praw, które jej w związku z tym przysługują. System iGDPR w module Operacje pozwala tworzyć i zarządzać klauzulami informacyjnymi.
Terminowa realizacja praw podmiotów, których dane dotyczą
Żądanie osoby, której dane dotyczą (ang. DSR, data subject request) to żądanie podmiotu danych skierowane do administratora danych z prośbą o informację, zmianę, usunięcie danych osobowych, bądź inne działanie związane z realizacją jego praw określonych w RODO. Prawa osób, których dane dotyczą, dalsze wymagania dotyczące realizacji tych praw i trybów postępowania określono w art. 7, 13, 14, 15, 16, 17, 18, 19, 20, 21 i 22 RODO. Warto zauważyć, że Realizacja tychże praw obłożona jest rygorem czasowym, a jej nieterminowa realizacja może skutkować zawiadomieniem do UODO. Dlatego ten obszar powinien być szczególnie dobrze zarządzany w ramach operacyjnego zarządzania RODO, a terminowa realizacja żądań monitorowana. Takie funkcjonalności oferuje system iGDPR w module Żądania.
By dowiedzieć się więcej na temat operacyjnego zarządzania RODO zapraszamy do rejestracji w bezpłatnych webinarach o systemie iGDPR.
