System do zarządzania ochroną danych osobowych
Aplikacja porządkuje, automatyzuje i wspiera procesy związane z ochroną danych osobowych (RODO)
Moduł RIG GDPR
Wspiera w realizacji wymogów RODO poprzez uzyskiwanie i utrzymywanie rejestrów
Rejestr czynności przetwarzania
Funkcjonalność pozwala na zbudowanie rejestru czynności:
- W pełni zgodnego z przepisami oraz z zaleceniami Urzędu Ochrony Danych Osobowych
- Opartego na słownikach wykorzystywanych równocześnie w wielu miejscach w aplikacji, co pozwala na ustandaryzowanie zapisów i przyspieszenie pracy
- Pozwalającego na wykazanie, które zasoby w firmie są wykorzystywane w procesie realizacji poszczególnych czynności przetwarzania
- Zawiera system automatycznie uzupełniający techniczne i organizacyjne środki bezpieczeństwa, poprzez ich powiązanie z aktywami
- Zawiera system automatycznie uzupełniający takie dane jak podmioty przetwarzające, kategorie odbiorców, państwa trzecie, zabezpieczenia w przypadku przekazywania danych poza EOG –na podstawie ich powiązań zbudowanych w słownikach
Ogólna ocena ryzyka
Moduł realizuje wymagania art. 24 oraz 32 RODO. Jest to najbardziej jak to możliwe zautomatyzowana funkcjonalność systemu, pozwalająca na zestawienie wszystkich wykonywanych czynności przetwarzania z dotyczącymi ich zagrożeniami, poprzez wykorzystywane aktywa wspierające (zasoby). Taki układ, w postaci tabeli, dla każdej kombinacji zagrożenie-aktywo wspierające-czynność przetwarzania pozwala na:
- Wskazanie właścicieli zasobów oraz właścicieli ryzyka.-Określenie podatności zasobów, mogących przyczynić się do urzeczywistnienia zagrożeń oraz wskazanie posiadanych przez te zasoby zabezpieczeń, które tym zagrożeniom mogą przeciwdziałać
- Ocenę prawdopodobieństwa urzeczywistnienia się zagrożenia i utraty przez dane określonego atrybutu bezpieczeństwa: poufności, integralności, dostępności, zgodności z prawem
- Oszacowanie wartości ryzyka, na podstawie oceny prawdopodobieństwa oraz oceny powagi skutków dla osób, których dane dotyczą, wyprowadzonej dla każdej z czynności przetwarzania w odrębnym panelu
- Opracowanie szczegółowego planu postępowania z ryzykiem dla poszczególnych zagrożeń, aktywów lub czynności, w tym przypisanie jednego planu do wielu kombinacji
- Wykonanie prognozy wpływu planu postępowania z ryzykiem na wartość ryzyka z pierwotnego szacowania
- Ocenę konieczności przeprowadzenia oceny skutków dla ochrony danych na podstawie wyników szacowania ryzyka. Dzięki funkcji edycji grupowej, każdą z wyżej wymienionych operacji można przeprowadzać równocześnie nawet dla kilkuset rekordów
Ocena skutków dla ochrony danych (DPIA)
Funkcjonalność ta pozwala na przeprowadzenie pełnej oceny skutków dla ochrony danych poprzez:
- Ocenę czy istnieją przesłanki nakazujące lub zwalniające z obowiązku przeprowadzenia oceny skutków dla ochrony danych.
- Ocenę prawdopodobieństwa wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.
- Zebranie wszystkich niezbędnych informacji koniecznych do przeprowadzenia oceny:
– Opis planowanych operacji przetwarzania
– Ocena proporcjonalności i niezbędności
– Ocena ryzyka naruszenia praw i wolności
– Opis środków planowanych w celu zaradzenia ryzyk
– Dokumentację wszelkich konsultacji, w tym konsultacji z organem nadzorczym.
Rejestr kategorii czynności przetwarzania
Funkcjonalność służy do opracowania w pełni zgodnego z wymaganiami Urzędu Ochrony Danych rejestru kategorii czynności przetwarzania, w którym organizacja ewidencjonuje czynności wykonane w imieniu innych podmiotów. Moduł umożliwia zdefiniowanie kategorii i wielokrotne jej przepisywanie dla wielu administratorów (jeśli usługa o tym samym zakresie jest oferowana wielu podmiotom).
Rejestr upoważnień
Funkcjonalność pozwala na błyskawiczne generowanie gotowych do druku dokumentów upoważnień do przetwarzania danych osobowych.
- Moduł wykorzystuje powiązanie upoważnień z czynnościami przetwarzania i zakresem danych w nich przetwarzanych.
- Posiada elastyczne mechanizmy ułatwiające tworzenie kolejnych upoważnień na podstawie zdefiniowanych wcześniej modeli.
- Pełna kontrola nad aktualnością upoważnień, dzięki powiązaniu z rejestrem czynności przetwarzania oraz systemowi statusów.
Oceny uzasadnionego interesu
Funkcjonalność służy do oceny i udokumentowania, czy podstawą prawną do realizacji danej czynności przetwarzania może być prawnie uzasadniony interes administratora lub strony trzeciej, wymieniony w art. 6 ust. 1 lit. f) RODO. Ocena ta, zgodnie z wytycznymi, przeprowadzana jest poprzez:
- Wykonanie Testu Interesu
- Wykonanie Testu Niezbędności
- Wykonanie Testu Równowagi
- Wykonanie pełnego raportu oceny.
Rejestr umów powierzenia / Rejestr umów współadministrowania
Funkcjonalności pozwalające na:
- Ewidencjonowanie umów powierzenia
- Przeprowadzenie weryfikacji procesora
- Przechowywanie kopii, skanów, projektów umów
- Ewidencjonowanie, archiwizowanie i nadzorowanie umów pomiędzy współadministratorami.
Repozytorium dokumentów / Repozytorium dokumentów RIG
Funkcjonalności pozwalają na:
- Przechowywanie i ewidencjonowanie polityk, procedur, wzorów oraz wszelkich innych dokumentów firmy, związanych z ochroną danych osobowych.
- Korzystanie z wzorów dokumentów przygotowanych przez RED INTO GREEN.
Rejestr incydentów i naruszeń
Funkcjonalność pozwala na:
- Ocenę zdarzenia i jego kwalifikację jako incydent bezpieczeństwa lub naruszenie ochrony danych.
- Ocenę ryzyka w przypadku naruszenia ochrony danych osobowych i określenie rekomendowanego postępowania, odnośnie zgłoszenia do organu nadzorczego, poinformowania administratora oraz osób, których dane dotyczą.
- Ocenę ryzyka naruszenia dwiema metodami –ENISA oraz DAPR.
- Automatyczne przygotowanie zgłoszenia do organu nadzorczego, komunikatu dla administratora danych oraz osób, których dane dotyczą, w formularzu oceny RIG.
- Ewidencjonowanie incydentów bezpieczeństwa oraz naruszeń ochrony danych osobowych.
- Przechowywanie dokumentacji związanej z incydentem/naruszeniem.
Rejestr realizacji praw osób, których dane dotyczą
Funkcjonalność pozwala na:
- Ewidencjonowanie i klasyfikowanie żądań osób, których dane dotyczą.
- Nadzór nad terminową realizacją żądania – w momencie dodania nowego żądania automatycznie nadawany jest odpowiedni termin rozpatrzenia.
- Porównywanie poszczególnych żądań pomiędzy sobą.
- Przechowywanie dokumentów związanych z żądaniem, takich jak skany, treści odpowiedzi i inne.
Rejestr udostępnień danych osobowych
Funkcjonalność pozwala na:
- Ewidencjonowanie wszelkich udostępnień danych osobowych, dokonywanych przez organizację.
- Klasyfikowanie rodzaju odbiorcy oraz odnotowywanie rodzajów danych i wielkości udostępnianych zbiorów.
- Przechowywanie dokumentów z podstawą udostępnienia, np. wniosków, umów.
Dziennik IOD
Funkcjonalność pozwala na:
- Prowadzenie dokładnej ewidencji działań w zakresie realizacji funkcji inspektora ochrony danych, zapewniającej rozliczalność.
- Przechowywanie dokumentów potwierdzających wykonanie działań.
- Planowanie działań IOD.
- Gromadzenie informacji o zrealizowanych szkoleniach, audytach, przygotowanych rekomendacjach wraz z możliwością przechowywania ich dokumentacji.
Raporty
Funkcjonalność pozwala na:
- Wyeksportowanie w postaci pliku w formacie xlsx zbiorczych zestawień danych ze wszystkich występujących w aplikacji kluczowych funkcjonalności dla celów archiwizacyjnych lub audytowych.
- Przygotowanie przejrzystych i czytelnych raportów, dających obraz procesów, zasobów i zagrożeń generujących najwyższe wartości ryzyka w organizacji. Raporty wspierają także opracowanie skutecznych planów postępowania.
- Opracowanie raportów, które wspomagają analityczne spojrzenie na procesy zachodzące w firmie. Umożliwiają lokalizację zagrożeń i ich ocenę oraz wprowadzenie odpowiednich zmian w działaniach zarządczych.
- Raporty generowane są w przejrzystej i czytelnej formie, gotowej do druku i przedstawienia kierownictwu organizacji w postaci tzw. mapy ciepła.
- Raporty rozszerzone zawierają analityczne mapy zagrożeń, umożliwiające dalszą szczegółową analizę (tzw. drill-down).
- Wygenerowanie raportu przedstawiającego rozmieszczenie ryzyk w firmie wg jednostek organizacyjnych.
- Możliwość łatwego przeglądania ryzyk wg dowolnych kryteriów, dzięki tabelom przestawnym(np. sprawdzenia na które czynności przetwarzania wpłynie awaria firmowego serwera).
Rozbudowany system pomocy
Obszerny, zawierający ponad 300 artykułów, zbiór instrukcji do każdego z modułów, pełniący nie tylko rolę opisu działania poszczególnych funkcjonalności, ale także opisu przyjętej metodyki oraz cennego źródła wiedzy na temat zasad ochrony danych osobowych. Pomoc stanowi platformę dla rozległego know-how, przekazywanego przez DAPR sp. z.o.o użytkownikom aplikacji. Poszczególne artykuły krok po kroku prowadzą użytkownika przez funkcjonalności, obejmując od razu także ich uzasadnienie merytoryczne, co jest kluczowe z perspektywy zapewnienia rozliczalności.
Jeżeli chcesz poznać produkt, szczegóły związane z abonamentem, ceną, dostępami lub masz inne pytania, zarejestruj się!
FAQ
W jaki sposób metodyka RED INTO GREEN wspiera Inspektora Ochrony Danych?
- IOD widzi wyniki analizy ryzyka w formie przejrzystych raportów.
- Wysoki stopień automatyzacji pracy (system pozwala zaoszczędzić wiele godzin pracy przy jednoczesnym podniesieniu jakości przeprowadzanej analizy).
- IOD działa w środowisku przypominającym Excel
- Możliwość wprowadzania danych przez wiele osób
- Logiczna, przejrzysta metodyka przeprowadzenia analizy ryzyka pod kątem RODO, w tym szacowania ryzyka i oceny skutków (DPIA).
- Intuicyjna obsługa rejestrów czynności przetwarzania funkcjonalnie połączona z analizą ryzyka.
- Raporty, które umożliwiają priorytetyzację zadań przypisanych do odpowiednich funkcji, w tym do Inspektora Ochrony Danych.
- Pełne uzasadnienie merytoryczne do każdego modułu aplikacji.
Co dają raporty RIG GDPR? Czy same rejestry nie wystarczą?
Same rejestry i inne moduły konieczne, aby być zgodnym z wymaganiami RODO wystarczą nam w zupełności, ale… Skoro już zadaliśmy sobie tyle trudu, poświęciliśmy czas kilku lub kilkunastu osób, aby zebrać informacje o zachodzących w firmie procesach, czynnościach to…. Mamy właściwie pełne dane o infrastrukturze informatycznej, zabezpieczeniach technicznych i wiele innych cennych informacji. Dlaczego ich nie wykorzystać w sposób jeszcze bardziej produktywny? Podać w sposób zagregowany informacje decydentom, wykorzystać je, aby doskonalić organizację, wesprzeć jej rozwój? No i niekiedy uchronić przed wpadką, związaną np. z brakiem jakiegoś prostego zabezpieczenia? A może ulepszyć któryś z procesów? Wszystkie konieczne do tego dane są w raportach. Wystarczy do nich zajrzeć lub pomyśleć jaki kolejny raport „przydałby się” organizacji. My go dla Państwa zestawimy.
Jak długo trwa wdrożenie modułu RIG GDPR?
Już od 1 tygodnia od podpisania kontraktu Klient może być w pełni operacyjny w pracy z modułem RIG GDPR
D+0 – podpisanie kontraktu, określenie użytkowników systemu.
D+1 – uruchomienie nowej instancji, skonfigurowanie kont użytkowników (rzeczywisty czas zależny od zaangażowania działu IT Klienta; statystycznie, pracochłonność zamyka się w czasie poniżej 4h).
D+2/D+3– szkolenie z obsługi (1-2 dniowe).
D+3/D+4 – rozpoczęcie przez Klienta pracy w aplikacji, przy stałej dostępności wsparcia technicznego i merytorycznego RED INTO GREEN.
W jaki sposób RIG ułatwia pracę Inspektorowi Ochrony Danych?
Aby pracę ułatwić i pozwolić, by większość pracy wykonywały osoby, nie będące zawodowo związane z RODO – na każdym etapie pracy z aplikacją stosujemy system podpowiedzi, składający się z informacji: dlaczego czynność jest wykonywana – jakie przepisy prawa wypełniamy, jak daną czynność wykonać, aby była wykonana prawidłowo. Chcemy, aby aplikacja odciążyła IOD’ów i pozwoliła, aby dane potrzebne do analizy ryzyka wprowadzali specjaliści na co dzień opiekujący się objętymi nią obszarami działalności firmy.