System do zarządzania ochroną danych osobowych

Aplikacja porządkuje, automatyzuje i wspiera procesy związane z ochroną danych osobowych (RODO)

Moduł RIG GDPR

Wspiera w realizacji wymogów RODO poprzez uzyskiwanie i utrzymywanie rejestrów 

Rejestr czynności przetwarzania

Funkcjonalność pozwala na zbudowanie rejestru czynności:

  • W pełni zgodnego z przepisami oraz z zaleceniami Urzędu Ochrony Danych Osobowych
  • Opartego na słownikach wykorzystywanych równocześnie w wielu miejscach w aplikacji, co pozwala na ustandaryzowanie zapisów i przyspieszenie pracy
  • Pozwalającego na wykazanie, które zasoby w firmie są wykorzystywane w procesie realizacji poszczególnych czynności przetwarzania
  • Zawiera system automatycznie uzupełniający techniczne i organizacyjne środki bezpieczeństwa, poprzez ich powiązanie z aktywami
  • Zawiera system automatycznie uzupełniający takie dane jak podmioty przetwarzające, kategorie odbiorców, państwa trzecie, zabezpieczenia w przypadku przekazywania danych poza EOG –na podstawie ich powiązań zbudowanych w słownikach
Repozytorium dokumentów

Ogólna ocena ryzyka

Moduł realizuje wymagania art. 24 oraz 32 RODO. Jest to najbardziej jak to możliwe zautomatyzowana funkcjonalność systemu, pozwalająca na zestawienie wszystkich wykonywanych czynności przetwarzania z dotyczącymi ich zagrożeniami, poprzez wykorzystywane aktywa wspierające (zasoby). Taki układ, w postaci tabeli, dla każdej kombinacji zagrożenie-aktywo wspierające-czynność przetwarzania pozwala na:

  • Wskazanie właścicieli zasobów oraz właścicieli ryzyka.-Określenie podatności zasobów, mogących przyczynić się do urzeczywistnienia zagrożeń oraz wskazanie posiadanych przez te zasoby zabezpieczeń, które tym zagrożeniom mogą przeciwdziałać
  • Ocenę prawdopodobieństwa urzeczywistnienia się zagrożenia i utraty przez dane określonego atrybutu bezpieczeństwa: poufności, integralności, dostępności, zgodności z prawem
  • Oszacowanie wartości ryzyka, na podstawie oceny prawdopodobieństwa oraz oceny powagi skutków dla osób, których dane dotyczą, wyprowadzonej dla każdej z czynności przetwarzania w odrębnym panelu
  • Opracowanie szczegółowego planu postępowania z ryzykiem dla poszczególnych zagrożeń, aktywów lub czynności, w tym przypisanie jednego planu do wielu kombinacji
  • Wykonanie prognozy wpływu planu postępowania z ryzykiem na wartość ryzyka z pierwotnego szacowania
  • Ocenę konieczności przeprowadzenia oceny skutków dla ochrony danych na podstawie wyników szacowania ryzyka. Dzięki funkcji edycji grupowej, każdą z wyżej wymienionych operacji można przeprowadzać równocześnie nawet dla kilkuset rekordów

Ocena skutków dla ochrony danych (DPIA)

Funkcjonalność ta pozwala na przeprowadzenie pełnej oceny skutków dla ochrony danych poprzez:

  • Ocenę czy istnieją przesłanki nakazujące lub zwalniające z obowiązku przeprowadzenia oceny skutków dla ochrony danych.
  • Ocenę prawdopodobieństwa wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.
  • Zebranie wszystkich niezbędnych informacji koniecznych do przeprowadzenia oceny:
    – Opis planowanych operacji przetwarzania
    – Ocena proporcjonalności i niezbędności
    – Ocena ryzyka naruszenia praw i wolności
    – Opis środków planowanych w celu zaradzenia ryzyk
    – Dokumentację wszelkich konsultacji, w tym konsultacji z organem nadzorczym.

Rejestr kategorii czynności przetwarzania

Funkcjonalność służy do opracowania w pełni zgodnego z wymaganiami Urzędu Ochrony Danych rejestru kategorii czynności przetwarzania, w którym organizacja ewidencjonuje czynności wykonane w imieniu innych podmiotów. Moduł umożliwia zdefiniowanie kategorii i wielokrotne jej przepisywanie dla wielu administratorów (jeśli usługa o tym samym zakresie jest oferowana wielu podmiotom).

Rejestr upoważnień

Funkcjonalność pozwala na błyskawiczne generowanie gotowych do druku dokumentów upoważnień do przetwarzania danych osobowych.

  • Moduł wykorzystuje powiązanie upoważnień z czynnościami przetwarzania i zakresem danych w nich przetwarzanych.
  • Posiada elastyczne mechanizmy ułatwiające tworzenie kolejnych upoważnień na podstawie zdefiniowanych wcześniej modeli.
  • Pełna kontrola nad aktualnością upoważnień, dzięki powiązaniu z rejestrem czynności przetwarzania oraz systemowi statusów.

Oceny uzasadnionego interesu

Funkcjonalność służy do oceny i udokumentowania, czy podstawą prawną do realizacji danej czynności przetwarzania może być prawnie uzasadniony interes administratora lub strony trzeciej, wymieniony w art. 6 ust. 1 lit. f) RODO. Ocena ta, zgodnie z wytycznymi, przeprowadzana jest poprzez:

  • Wykonanie Testu Interesu
  • Wykonanie Testu Niezbędności
  • Wykonanie Testu Równowagi
  • Wykonanie pełnego raportu oceny.

Rejestr umów powierzenia / Rejestr umów współadministrowania

Funkcjonalności pozwalające na:

  • Ewidencjonowanie umów powierzenia
  • Przeprowadzenie weryfikacji procesora
  • Przechowywanie kopii, skanów, projektów umów
  • Ewidencjonowanie, archiwizowanie i nadzorowanie umów pomiędzy współadministratorami.
Repozytorium dokumentów

Repozytorium dokumentów / Repozytorium dokumentów RIG

Funkcjonalności pozwalają na:

  • Przechowywanie i ewidencjonowanie polityk, procedur, wzorów oraz wszelkich innych dokumentów firmy, związanych z ochroną danych osobowych.
  • Korzystanie z wzorów dokumentów przygotowanych przez RED INTO GREEN.

Rejestr incydentów i naruszeń

Funkcjonalność pozwala na:

  • Ocenę zdarzenia i jego kwalifikację jako incydent bezpieczeństwa lub naruszenie ochrony danych.
  • Ocenę ryzyka w przypadku naruszenia ochrony danych osobowych i określenie rekomendowanego postępowania, odnośnie zgłoszenia do organu nadzorczego, poinformowania administratora oraz osób, których dane dotyczą.
  • Ocenę ryzyka naruszenia dwiema metodami –ENISA oraz DAPR.
  • Automatyczne przygotowanie zgłoszenia do organu nadzorczego, komunikatu dla administratora danych oraz osób, których dane dotyczą, w formularzu oceny RIG.
  • Ewidencjonowanie incydentów bezpieczeństwa oraz naruszeń ochrony danych osobowych.
  • Przechowywanie dokumentacji związanej z incydentem/naruszeniem.

Rejestr realizacji praw osób, których dane dotyczą

Funkcjonalność pozwala na:

  • Ewidencjonowanie i klasyfikowanie żądań osób, których dane dotyczą.
  • Nadzór nad terminową realizacją żądania – w momencie dodania nowego żądania automatycznie nadawany jest odpowiedni termin rozpatrzenia.
  • Porównywanie poszczególnych żądań pomiędzy sobą.
  • Przechowywanie dokumentów związanych z żądaniem, takich jak skany, treści odpowiedzi i inne.

Rejestr udostępnień danych osobowych

Funkcjonalność pozwala na:

  • Ewidencjonowanie wszelkich udostępnień danych osobowych, dokonywanych przez organizację.
  • Klasyfikowanie rodzaju odbiorcy oraz odnotowywanie rodzajów danych i wielkości udostępnianych zbiorów.
  • Przechowywanie dokumentów z podstawą udostępnienia, np. wniosków, umów.
Mapy powiązań w RIG DORA

Dziennik IOD

Funkcjonalność pozwala na:

  • Prowadzenie dokładnej ewidencji działań w zakresie realizacji funkcji inspektora ochrony danych, zapewniającej rozliczalność.
  • Przechowywanie dokumentów potwierdzających wykonanie działań.
  • Planowanie działań IOD.
  • Gromadzenie informacji o zrealizowanych szkoleniach, audytach, przygotowanych rekomendacjach wraz z możliwością przechowywania ich dokumentacji.

Raporty

Funkcjonalność pozwala na:

  • Wyeksportowanie w postaci pliku w formacie xlsx zbiorczych zestawień danych ze wszystkich występujących w aplikacji kluczowych funkcjonalności dla celów archiwizacyjnych lub audytowych.
  • Przygotowanie przejrzystych i czytelnych raportów, dających obraz procesów, zasobów i zagrożeń generujących najwyższe wartości ryzyka w organizacji. Raporty wspierają także opracowanie skutecznych planów postępowania.
  • Opracowanie raportów, które wspomagają analityczne spojrzenie na procesy zachodzące w firmie. Umożliwiają lokalizację zagrożeń i ich ocenę oraz wprowadzenie odpowiednich zmian w działaniach zarządczych.
  • Raporty generowane są w przejrzystej i czytelnej formie, gotowej do druku i przedstawienia kierownictwu organizacji w postaci tzw. mapy ciepła.
  • Raporty rozszerzone zawierają analityczne mapy zagrożeń, umożliwiające dalszą szczegółową analizę (tzw. drill-down).
  • Wygenerowanie raportu przedstawiającego rozmieszczenie ryzyk w firmie wg jednostek organizacyjnych.
  • Możliwość łatwego przeglądania ryzyk wg dowolnych kryteriów, dzięki tabelom przestawnym(np. sprawdzenia na które czynności przetwarzania wpłynie awaria firmowego serwera).
Plany postępowania z ryzykiem w RIG DORA
Mapy powiązań w RIG DORA

Rozbudowany system pomocy

Obszerny, zawierający ponad 300 artykułów, zbiór instrukcji do każdego z modułów, pełniący nie tylko rolę opisu działania poszczególnych funkcjonalności, ale także opisu przyjętej metodyki oraz cennego źródła wiedzy na temat zasad ochrony danych osobowych. Pomoc stanowi platformę dla rozległego know-how, przekazywanego przez DAPR sp. z.o.o użytkownikom aplikacji. Poszczególne artykuły krok po kroku prowadzą użytkownika przez funkcjonalności, obejmując od razu także ich uzasadnienie merytoryczne, co jest kluczowe z perspektywy zapewnienia rozliczalności.

Jeżeli chcesz poznać produkt, szczegóły związane z abonamentem, ceną, dostępami lub masz inne pytania, zarejestruj się!

FAQ

W jaki sposób metodyka RED INTO GREEN wspiera Inspektora Ochrony Danych?

  • IOD widzi wyniki analizy ryzyka w formie przejrzystych raportów.
  • Wysoki stopień automatyzacji pracy (system pozwala zaoszczędzić wiele godzin pracy przy jednoczesnym podniesieniu jakości przeprowadzanej analizy).
  • IOD działa w środowisku przypominającym Excel
  • Możliwość wprowadzania danych przez wiele osób
  • Logiczna, przejrzysta metodyka przeprowadzenia analizy ryzyka pod kątem RODO, w tym szacowania ryzyka i oceny skutków (DPIA).
  • Intuicyjna obsługa rejestrów czynności przetwarzania funkcjonalnie połączona z analizą ryzyka. 
  • Raporty, które umożliwiają priorytetyzację zadań przypisanych do odpowiednich funkcji, w tym do Inspektora Ochrony Danych. 
  • Pełne uzasadnienie merytoryczne do każdego modułu aplikacji. 

Co dają raporty RIG GDPR? Czy same rejestry nie wystarczą?

Same rejestry i inne moduły konieczne, aby być zgodnym z wymaganiami RODO wystarczą nam w zupełności, ale… Skoro już zadaliśmy sobie tyle trudu, poświęciliśmy czas kilku lub kilkunastu osób, aby zebrać informacje o zachodzących w firmie procesach, czynnościach to…. Mamy właściwie pełne dane o infrastrukturze informatycznej, zabezpieczeniach technicznych i wiele innych cennych informacji. Dlaczego ich nie wykorzystać w sposób jeszcze bardziej produktywny? Podać w sposób zagregowany informacje decydentom, wykorzystać je, aby doskonalić organizację, wesprzeć jej rozwój? No i niekiedy uchronić przed wpadką, związaną np. z brakiem jakiegoś prostego zabezpieczenia? A może ulepszyć któryś z procesów? Wszystkie konieczne do tego dane są w raportach. Wystarczy do nich zajrzeć lub pomyśleć jaki kolejny raport „przydałby się” organizacji. My go dla Państwa zestawimy.

Jak długo trwa wdrożenie modułu RIG GDPR?

Już od 1 tygodnia od podpisania kontraktu Klient może być w pełni operacyjny w pracy z modułem RIG GDPR

D+0 – podpisanie kontraktu, określenie użytkowników systemu.

D+1 – uruchomienie nowej instancji, skonfigurowanie kont użytkowników (rzeczywisty czas zależny od zaangażowania działu IT Klienta; statystycznie, pracochłonność zamyka się w czasie poniżej 4h).

D+2/D+3– szkolenie z obsługi (1-2 dniowe).

D+3/D+4 – rozpoczęcie przez Klienta pracy w aplikacji, przy stałej dostępności wsparcia technicznego i merytorycznego RED INTO GREEN.

W jaki sposób RIG ułatwia pracę Inspektorowi Ochrony Danych?

Aby pracę ułatwić i pozwolić, by większość pracy wykonywały osoby, nie będące zawodowo związane z RODO – na każdym etapie pracy z aplikacją stosujemy system podpowiedzi, składający się z informacji: dlaczego czynność jest wykonywana – jakie przepisy prawa wypełniamy, jak daną czynność wykonać, aby była wykonana prawidłowo. Chcemy, aby aplikacja odciążyła IOD’ów i pozwoliła, aby dane potrzebne do analizy ryzyka wprowadzali specjaliści na co dzień opiekujący się objętymi nią obszarami działalności firmy.