RODO - wprowadzenie

Ewida Standard wspiera prowadzenie ewidencji związanej z RODO, czyli z zasadami ochrony danych osobowych obowiązującymi w organizacji. W praktyce oznacza to potrzebę uporządkowania informacji o zbiorach danych, osobach mających do nich dostęp, pozwoleniach na przetwarzanie oraz miejscach, w których dane są wykorzystywane.

Program Ewida Standard pozwala powiązać te informacje z istniejącą ewidencją sprzętu, oprogramowania i użytkowników. Dzięki temu rejestr RODO nie działa obok systemu, ale staje się częścią całej struktury danych firmy. Jeżeli zamiast aplikacji desktopowej Windows wolisz rozwiązanie webowe do zarządzania zasobami i danymi w organizacji, sprawdź także Codenica ITSM + ITAM.

RODO jako część ewidencji w Ewida Standard

Ewida Standard nie jest prostym rejestrem opartym wyłącznie na tabelach. Program działa w oparciu o relacyjnie powiązane obiekty, takie jak Zestaw, Użytkownik, Urządzenie, Oprogramowanie, Licencja i Materiał eksploatacyjny. Mechanizmy RODO zostały włączone właśnie do tej struktury.

Dzięki temu można prowadzić ewidencję nie tylko samych zbiorów danych osobowych, ale również ich kontekstu technicznego i organizacyjnego. Najważniejsze elementy obsługi RODO w programie to:

  • zbiory danych osobowych,
  • uprawnienia dostępu do danych osobowych,
  • pozwolenia na przetwarzanie danych osobowych.

Powiązanie RODO z obiektami ewidencji

Obsługa RODO rozszerza przede wszystkim obiekt Oprogramowanie. Można wskazać, które programy zawierają zbiory danych osobowych i jaki jest ich charakter. Dzięki temu dane osobowe nie są rejestrowane w oderwaniu od środowiska pracy, lecz w powiązaniu z konkretnymi aplikacjami.

Powiązania działają także szerzej. Oprogramowanie może być przypisane do Zestawu komputerowego, a zestaw do Użytkownika. Taki układ pozwala ustalić, gdzie dane są używane, na jakim komputerze się znajdują oraz kto odpowiada za dane stanowisko lub korzysta z powiązanego oprogramowania.

W praktyce ułatwia to lokalizowanie zbiorów danych osobowych i porządkowanie informacji o dostępie do nich.

Rejestr zbiorów danych osobowych krok po kroku

W Ewida Standard przygotowano jeden kreator, który pozwala przeprowadzić cały proces rejestracji w uporządkowany sposób. W ramach jednego przebiegu można:

  • wskazać oprogramowanie zawierające zbiory danych osobowych,
  • utworzyć i opisać dowolną liczbę zbiorów danych osobowych,
  • dodać użytkowników mających dostęp do tych zbiorów,
  • utworzyć i przypisać uprawnienia dostępu,
  • wskazać użytkowników, których dane znajdują się w zbiorach,
  • utworzyć i przypisać pozwolenia na przetwarzanie danych osobowych.

Uprawnienia dostępu i pozwolenia na przetwarzanie można tworzyć zarówno indywidualnie, jak i grupowo. To ważne, bo w wielu organizacjach część uprawnień dotyczy pojedynczych osób, a część całych zespołów lub działów.

Wskazanie oprogramowania zawierającego zbiory danych

W pierwszym kroku wybieramy z ewidencji te aplikacje, które zawierają zbiory danych osobowych. Dodaje się je do procesu przyciskiem + przy liście oprogramowania.

Trzeba pamiętać, że wszystkie wskazane w jednym przebiegu kreatora aplikacje będą współdzielić tworzone zbiory danych osobowych. Jeżeli różne programy powinny mieć odrębne zbiory, wtedy należy uruchomić kreator osobno dla każdej takiej grupy.

Tworzenie zbiorów danych osobowych

W następnym kroku tworzymy same zbiory danych osobowych. Dla wybranego wcześniej oprogramowania można utworzyć dowolną liczbę zbiorów. Każdy z nich można opisać za pomocą właściwości takich jak:

  • Nazwa,
  • Typ,
  • Kategoria,
  • Zakres,
  • Zabezpieczenie techniczne,
  • Zabezpieczenie organizacyjne,
  • Tag,
  • Opis szczegółowy.

Jeżeli dla jednego programu utworzone zostaną różne zbiory danych, użytkownicy, ich uprawnienia i pozwolenia będą ewidencjonowane osobno dla każdego z tych zbiorów. Pozwala to zachować odpowiednią szczegółowość bez mieszania różnych obszarów przetwarzania danych.

Użytkownicy mający dostęp do danych osobowych

Po utworzeniu zbiorów można wskazać użytkowników, którzy mają do nich dostęp. Część osób może zostać rozpoznana automatycznie na podstawie istniejących relacji w ewidencji. Dotyczy to na przykład:

  • użytkownika przypisanego do zestawu zawierającego dane oprogramowanie,
  • użytkownika, któremu oprogramowanie przypisano bezpośrednio,
  • użytkowników powiązanych z zestawem lub oprogramowaniem przez powiązania użytkowe.

Oprócz tego można dodać także inne osoby, które mają dostęp do wskazanego zbioru. To ważne, ponieważ rzeczywisty dostęp do danych nie zawsze da się w pełni odczytać wyłącznie z relacji sprzętowych lub programowych.

Uprawnienia dostępu do danych osobowych

Kolejny etap to rejestracja uprawnień dostępu do zbiorów danych osobowych. Uprawnienia mogą mieć charakter:

  • indywidualny,
  • grupowy.

Jeżeli zaznaczony zostanie jeden pracownik, tworzone jest uprawnienie indywidualne. Gdy zaznaczonych jest co najmniej dwóch pracowników, kreator rozpozna uprawnienie grupowe. Nowe uprawnienie dodaje się przyciskiem +.

Właściwości opisujące uprawnienie dostępu mogą obejmować między innymi:

  • nazwę uprawnienia,
  • typ i kategorię uprawnienia,
  • umowę związaną z uprawnieniem,
  • zakres i cel przetwarzania danych osobowych,
  • datę wniosku o dostęp,
  • akceptację wniosku,
  • datę rozpoczęcia dostępu,
  • planowe zakończenie dostępu,
  • Administratora Danych Osobowych,
  • informację o przekazaniu danych na zewnątrz,
  • kontrahenta zewnętrznego jako odbiorcę danych,
  • uwagi.

W tym samym miejscu dostępny jest również wydruk Protokołu uprawnienia dostępu do danych osobowych oraz opcja usunięcia uprawnienia.

Użytkownicy, których dane znajdują się w zbiorach

Kreator pozwala ewidencjonować nie tylko osoby mające dostęp do danych, ale również użytkowników, których dane osobowe znajdują się w zbiorach. To drugi ważny obszar rejestru, ponieważ pozwala oddzielić osoby przetwarzające dane od osób, których dane są przetwarzane.

W tym samym miejscu można tworzyć pozwolenia na przetwarzanie danych osobowych. Działają one analogicznie do uprawnień dostępu i również mogą mieć charakter indywidualny albo grupowy. Program potrafi podpowiedzieć, że wskazany użytkownik należy już do grupy objętej danym pozwoleniem, co ułatwia późniejszą kontrolę spójności danych.

Zakładki RODO we właściwościach obiektów

Obsługa RODO w Ewida Standard nie kończy się na samym kreatorze. Program rozszerza również okna właściwości obiektów o dodatkowe zakładki RODO dla:

  • Oprogramowania,
  • Zestawu komputerowego,
  • Użytkownika.

Dzięki temu informacje o danych osobowych są dostępne bezpośrednio w miejscu pracy z konkretnym obiektem.

Zakładka RODO Oprogramowanie pokazuje między innymi:

  • zbiory danych osobowych,
  • powiązany zestaw komputerowy,
  • listę pracowników, których dane są przetwarzane z pozwoleniem i bez niego,
  • listę pracowników mających dostęp do zbioru z uprawnieniem i bez niego.

Zakładka RODO Zestaw komputerowy działa podobnie, ale punktem odniesienia jest konkretny zestaw.

Zakładka RODO Użytkownik pokazuje z kolei, w jakich zbiorach znajdują się dane danej osoby oraz do jakich zbiorów ma ona dostęp, z rozróżnieniem na sytuacje prawidłowo udokumentowane i wymagające uzupełnienia.

Zestawienia RODO, raporty i własne analizy

Ewida Standard udostępnia także rozbudowane zestawienia związane z RODO. Obejmują one między innymi:

  • zbiory danych osobowych,
  • uprawnienia dostępu do danych,
  • pozwolenia na przetwarzanie danych,
  • zestawienia użytkowników, oprogramowania i zestawów z powiązanymi zbiorami danych,
  • użytkowników, którym brakuje wymaganych uprawnień lub pozwoleń.

RODO zostało również włączone do raportów szczegółowych użytkowników, oprogramowania i zestawów. Każdy taki raport może zawierać informacje o zbiorach danych, uprawnieniach i pozwoleniach powiązanych z danym obiektem.

Dodatkowo mechanizm Moje zestawienia pozwala budować własne analizy na podstawie dostępnych kolumn. To ważne w praktyce, bo różne firmy potrzebują różnych przekrojów danych i odmiennych form raportowania.

Przydatną funkcją są także powiązane zestawienia. Dzięki relacyjnemu modelowi danych można szybko przechodzić od wybranego obiektu do zestawień związanych właśnie z nim, w tym do zestawień dedykowanych RODO.

Podsumowanie

Ewida Standard pozwala prowadzić rejestr zbiorów danych osobowych w sposób zintegrowany z całą ewidencją oprogramowania, komputerów i użytkowników w firmie. Dzięki temu można nie tylko zapisać sam zbiór danych, ale także kontrolować, gdzie dane się znajdują, kto ma do nich dostęp, kto jest objęty przetwarzaniem i czy wszystkie wymagane uprawnienia oraz pozwolenia zostały właściwie uzupełnione.

W praktyce rozwiązanie obejmuje:

  • kreator rejestracji zbiorów danych osobowych,
  • ewidencję uprawnień dostępu i pozwoleń na przetwarzanie,
  • zakładki RODO w oknach właściwości obiektów,
  • raporty i zestawienia dedykowane RODO,
  • własne analizy oparte na mechanizmie zestawień,
  • kontrolę terminów związanych z uprawnieniami i pozwoleniami.

Dzięki temu rejestr RODO nie jest osobnym, oderwanym narzędziem, ale częścią całej ewidencji prowadzonej w desktopowej aplikacji Windows Ewida Standard.