Jak w praktyce zrealizować postulaty RODO?

Każda organizacja, która posiada dane klientów w jakiejkolwiek formie, musi zacząć działać zgodnie z RODO, które wejdzie w życie w maju 2018 roku. Jednym z wymogów rozporządzenia jest obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. W przypadku większej ilości przetwarzanych danych można wręcz pokusić się o stwierdzenie, że narzędzie informatyczne jest niezbędne do prowadzenia rejestru. System taki można zbudować od podstaw lub skorzystać z rozwiązań gotowych do użycia jedynie po odpowiednim skonfigurowaniu. Jak zapewnić swojej firmie odpowiedni system i na co zwrócić uwagę przy jego wyborze?

Rozpoznanie terenu

Oto kilka elementów, na które należałoby zwrócić szczególną uwagę. Ich zrozumienie to pierwszy krok do zapewnienia zgodności działań firmy z przepisami RODO:

• Dokumentacja przetwarzania danych – administratorzy danych będą zobligowani do wykazywania zgodności prowadzonych działań na danych osobowych z wymogami rozporządzenia.
• Rozliczalność przetwarzania danych – powinny zostać zapewnione warunki techniczne dla pełnego audytu przetwarzania danych osobowych w całej organizacji.
• Privacy by design – konieczne będzie udokumentowanie istniejących środków technicznych wspierających realizację postulatu Privacy by design wraz z analizą potencjalnej luki i definicją środków naprawczych.
• Wsparcie w realizacji uprawnień osób, których dane są przetwarzane – należy umożliwić administratorowi realizację obowiązków wobec osób, których dane są przetwarzane.
• Prawo do przenoszenia danych – niezbędne będzie zapewnienie mechanizmu eksportu, które pozwoli Inspektorowi Ochrony Danych Osobowych na wykonywanie obowiązku przenoszenia danych osobowych.
• Prawo do bycia poinformowanym, dostępu do danych – niezwykle istotna stanie się obsługa wniosków o udostępnienie zakresu przetwarzanych danych wraz z monitorowaniem terminowości obsługi spraw oraz generowaniem raportów przetwarzania danych osobowych.
• Prawo do sprzeciwu i ograniczenia przetwarzania – ważne stanie się prowadzenie ewidencji sprzeciwów oraz ograniczeń przetwarzania danych oraz integracja informacji o sprzeciwach w ramach istniejących systemów.
• Prawo do poprawienia i usunięcia danych – da podmiotom, których dane są przetwarzane możliwość składania wniosków o poprawienie i usunięcie danych.

CRM – nieoceniony sojusznik przy wdrażaniu RODO

Przejrzystość prowadzonych czynności i szybkość obsługi to klucz do sukcesu w kontekście realizacji postulatów RODO. Narzędziem, w którym można taki rejestr szybko utworzyć jest system klasy CRM. Korzystając ze standardowych funkcjonalności systemu rejestr czynności przetwarzania można skonfigurować w ciągu kilku, maksymalnie kilkunastu dni. Dodatkową zaletą może być działanie platformy w chmurze obliczeniowej, w której to dostawca platformy CRM gwarantuje zapewnienie technicznych środków zabezpieczenia danych osobowych.  Poniżej przedstawiamy funkcjonalności, na które należy zwrócić uwagę przy wyborze narzędzia:

• Wbudowany audyt działań - każda zmiana danych powinna być odkładana w dzienniku zdarzeń. Dzięki temu posiadamy dokładne informacje, kto i kiedy zmodyfikował dane, co zapewnia ich spójność i nienaruszalność.
• Szyfrowanie – platforma ma wbudowane zabezpieczenia danych, a wszystkie dane przechowywane w platformie są zaszyfrowane. Możliwość tworzenia własnych kluczy szyfrujących pozwala na to, aby nikt spoza organizacji nie miał dostępu do danych.
• Edytor modelu danych – to prosty sposób na modyfikację i rozwój modelu danych w czasie rzeczywistym, bez konieczności programowania. Przedstawione w przystępny, graficzny sposób dane wspierają szybki rozwój aplikacji.
• Automatyzacja procesów – intuicyjny interfejs pozwala na tworzenie i modyfikację procesów pracy bezpośrednio przez użytkowników systemu bez konieczności programowania, we wszystkich kanałach, w tym w aplikacji mobilnej.
• Zmiany w aplikacji – możliwość dopasowania widoków dla poszczególnych użytkowników pozwoli zwiększyć szybkość pracy, a także sprawia, że jest to narzędzie uniwersalne, do wykorzystania przez różne działy i różnych użytkowników w firmie.

Rejestr tradycyjny vs elektroniczny

RODO nie nakłada na firmy wymogów dotyczących formy zbierania i przechowywania danych osobowych – rejestry, zgody, zbiory czynności mogą być gromadzone zarówno elektronicznie, jak również w formie papierowej. Większość osób prowadzących z sukcesem działalność biznesową potrafi sobie jednak wyobrazić jak bardzo, odpowiednio zaprojektowane narządzie informatyczne będzie w stanie ułatwić stosowanie się do nowej regulacji. Dobrze przygotowany system nie tylko usprawni proces zbierania, klasyfikowania oraz przechowywania danych, ale także umożliwi terminowe rozliczanie się z regulatorem, czy dopełnienie obowiązków wobec podmiotów, których dane są przetwarzane. Pomoże też uniknąć kar, które zostaną nałożone za niestosowanie się lub nieodpowiednie stosowanie się do zapisów rozporządzenia.