ODO z ABIeye – narzędzie dla Administratora Bezpieczeństwa Informacji

autor gościnny

, Biznes

ABIeye to narzędzie do przygotowania, wdrażania i zarządzania systemem ochrony danych osobowych w każdym podmiocie do tego zobowiązanym. Niezależnie od tego, czy jest to duża korporacja, sklep internetowy, urząd czy szkoła. 

Ustawy o ochronie danych osobowych zobowiązuje firmy między innymi do:

  • posiadania klauzul zgody na przetwarzania danych osobowych
  • rejestracji zbiorów danych osobowych w GIODO
  • spełnienia obowiązku informacyjnego administratora danych osobowych.

Przedsiębiorcy i organizacje, którzy na mocy Ustawy o ochronie danych osobowych są zobowiązani do ochrony prywatności swoich klientów i użytkowników, mogą korzystać z gotowego oprogramowania, które wdraża system ochrony danych osobowych lub samodzielne przygotować i wdrożyć ODO. Na rynku dostępna jest aplikacja ABIeye, która umożliwia właśnie samodzielną obsługę ODO. Co to jest ABIeye? Jest to darmowe oprogramowanie, które pozwala przedsiębiorstwom i instytucjom samodzielnie wdrożyć program zapewniający ochronę danych osobowych kontrahentów. Program ABIeye udostępnia szablony niezbędne do prowadzenia wymaganej dokumentacji. Aplikacja ABIeye zawiera szczegółową instrukcję, jak samodzielnie przygotować i wdrożyć system ochrony danych osobowych. Dostęp Dostęp do opragramowania ABIeye jest zdalny. Z aplikacji możemy korzystać w każdym miejscu, gdzie jest dostęp do Internetu, na każdym urządzeniu (tablety, nettopy, smartfony). Program nie ma ograniczeń licencyjnych, a oprogramowanie jest dostępne 24/7. Dlaczego zdalny dostęp jest ważny?

  • incydent naruszenia ochrony danych osobowych może się zdarzyć, gdy jesteśmy np. na wyjeździe służbowym lub gdy nasza praca polega głównie na spotkaniach z klientami. Mając dostęp do ABIeye natychmiast dowiemy się, że doszło np.: do wycieku danych osobowych.
  • nie musimy instalować oprogramowania, a wszyscy nasi pracownicy mają dostęp do ABIeye (poziom niższy), z którego mogą nas informować o problemach w zakresie ochrony danych osobowych. Zdalny dostęp ma szczególne znaczenie dla większych podmiotów, które posiadają kilka lub nawet kilkanaście oddziałów (np.: banki lub operatorzy sieci komórkowej) oraz dla zawodowych Administratorów Bezpieczeństwa Informacji (ABI), którzy obsługują wiele podmiotów jednocześnie.

Dokumentacja ODO od ABIeye Ustawa o ochronie danych osobowych nakłada obowiązek prowadzenia dokumentacji ODO na niemal każdy podmiot przetwarzający dane osobowe. Są to dwa główne dokumenty:

  • Polityka bezpieczeństwa
  • Instrukcja zarządzania systemami informatycznymi

Najczęściej kontrolowanymi dokumentami przez inspektorów są właśnie ww. dokumenty tj, Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym oraz trzy (z 22) załączniki do nich:

  • ewidencja osób upoważnionych do przetwarzania danych osobowych (operatorów)
  • ewidencja zbiorów danych osobowych
  • ewidencja obszarów przetwarzania

ABIeye pozwala nam bezpłatnie pobrać szablony tych dokumentów, dostosować je do naszych potrzeb i zamieścić je w ABIeye tak, by był one dostępne dla wszystkich pracowników danego ADO. Wszystkie szablony są opatrzone instrukcją wypełnienia krok po kroku. Co możemy z aplikacją ABIeye:

  •  zamieszczać podstawową dokumentację wraz z wszelkimi załącznikami
  • zapisywać umowy powierzenia przetwarzania danych osobowych
  • tworzyć aneksy do umów
  • drukować wszystkie dokumenty, które zamieściliśmy w ABIeye, również ewidencje i rejestry – zgodnie z Ustawą o Ochronie danych osobowych dokumentacja musi być w wersji papierowej w razie kontroli GIODO lub PIP czy też audytu zewnętrznego.

Ewidencja osób w programie ABIeye umożliwia dodawanie/usuwanie poszczególnych osób jak również importowanie z pliku .CSV bazy pracowników, tak byśmy nie musieli każdej osoby wpisywać ręcznie.

Ewidencja zbiorów danych osobowych
ABIeye jest zorganizowana na analogicznej zasadzie, czyli umożliwia bieżące aktualizowanie zbiorów oraz określenie informacji czy zbiór jest zarejestrowany w GIODO czy jest zwolniony z rejestracji. Ewidencja obszarów przetwarzania z punktu widzenia praktyki jest bardzo ważnym dokumentem, gdyż to on właśnie określa zastosowane zabezpieczenia zbiorów, czyli fizyczne, organizacyjne i techniczne zabezpieczenia, jakie zastosowaliśmy. ABIeye pozwala nam określić te zabezpieczenia, gdyż podpowiada nam najczęściej stosowane zabezpieczenia, z pośród których możemy wybrać te do zastosowania u nas. Oczywiście możemy sami określić dodatkowe zabezpieczenie i modyfikować je w miarę pojawiania się zmian organizacyjnych. Wszystkie te dokumenty są częścią szablonów dokumentacji, jednak muszą być aktualizowane. Z ABIeye możemy prowadzić powyższe ewidencje na bieżąco i w razie potrzeby wydrukować je. Nieaktualna dokumentacja w razie kontroli również będzie uchybieniem w zakresie wymogów ustawy, więc jest to dość ważny aspekt systemu ochrony.
Rejestr powierzeń
Często w praktyce pełnienia funkcji ABI zdarza się, że powierzamy dane osobowe pozostające w naszej dyspozycji na zewnątrz naszego podmiotu. Oczywiście musimy mieć na to podstawy prawne. Prowadzenie ewidencji tych czynności ułatwia nam sprawowanie pieczy nad tym, kto i kiedy otrzymał konkretne dane osobowe i czy na pewno są one bezpieczne. Istotny jest tu rejestr powierzeń i jego aktualność. Szczególnie w przypadku kontroli podmiotu, któremu powierzyliśmy dane osobowe, „procesorowi”. Rejestr umów powierzenia przetwarzania danych osobowych poza tym, że jest on obowiązkową częścią naszej dokumentacji, znacznie ułatwia odszukanie zapisów w konkretnych umowach.
Rejestr incydentów Kolejną z ważniejszych części dokumentacji ODO jest tzw.
Instrukcja alarmowa, czyli procedura, która określa, jak mają zachować się pracownicy w przypadku, gdy dojdzie do incydentu ODO, czyli wycieku danych lub bezprawnego udostępnienia. Procedura ta jest w ABIeye dostępna dla wszystkich pracowników. Umożliwia to zgłoszenie takiego incydentu lub problemu związanego z ochroną danych osobowych przez każdego z pracownikowi do ABI lub ADO oraz śledzenie jego rozwiązania i zakończenia. Proces informacyjny jest prowadzony w formie elektronicznej, co znacznie przyspiesza procedurę i ogranicza do minimum ryzyko niekontrolowanego wycieku i utraty kontroli nad danymi osobowymi. W przypadku powstania incydentu ABI zawsze musi być poinformowany.
Zgłaszanie zbiorów Jednym z zasadniczych obowiązków ADO jest zgłaszanie zbiorów podlegających zgłoszeniu w GIODO, oczywiście nie wszystkie zbiory muszą być zgłoszone. Ustawa przewiduje tu liczne zwolnienia z tego obowiązku. Jak już wyżej wspominałem ABIeyeumożliwia rejestrowanie również tego aspektu systemu ODO poprzez możliwość zmiany statusu zbioru jak zgłoszony lub nie podlegający zgłoszeniu. W obecnej wersji aplikacja jeszcze nie jest zintegrowana z platformą eGIODO w zakresie rejestracji zbiorów za pośrednictwem Internetu. Taka opcja jak i inne dodatkowe ułatwienia są planowane w kolejnych aktualizacjach systemu.

Szkolenia osób upoważnionych – nie są obowiązkowe ale ważne Duże korporacje mają problem w skutecznym zarządzaniu ochroną danych osobowych w podległych im jednostkach. Najczęściej wygląda to tak, że wszyscy pracownicy w centrali są przeszkoleni w zakresie ochrony danych osobowych, a im niżej w hierarchii podmiotu tym gorzej, czyli pracownicy oddziału w małej miejscowości są słabo, a często wcale nie przeszkoleni. Otóż jest ono najczęstszą przyczyną wycieku danych osobowych i uchybieniem w przypadku kontroli Inspektorów GIODO. Szkolenie pracowników jest najważniejszym zabezpieczeniem ochrony danych osobowych przez firmę i w firmie. Ustawa o ochronie danych osobowych nie nakłada wprawdzie obowiązku odbycia szkolenia z zakresu ODO, ale wymaga przestrzegania zasad ODO. Nasi pracownicy powinni być zatem przeszkoleni z ogólnych zasad przetwarzania danych osobowych oraz powinni znać procedury i zabezpieczenia w swoim środowisku pracy. ABIeye umożliwia szkolenie (w formie e-learningu) i nadawanie upoważnień pracownikom drogą elektroniczną przy równoczesnej kontroli ukończenia szkolenia oraz prowadzeniu statystyki efektywności tych szkoleń. Program szkolenia kończy się testem sprawdzającym wiedzę zwolni nas z obowiązku szkolenia pracowników, tym samym zapewniając nam odpowiednie zabezpieczenie organizacyjne. Możliwość wyboru odpowiedniego szkolenia dla poszczególnych branż i funkcji pełnionych przez naszych pracowników jest również bardzo istotna.  Szkolenia są dodatkową i płatną usługą programu ABIeye, lecz korzystanie z nich nie jest obowiązkowe, nawet jeśli zdecydujemy się na tworzenie dokumentacji ODO z ABIeye i nie ogranicza funkcjonalności aplikacji. Co zrobić, jeśli mam problem z uruchomieniem i stosowaniem ABIeye?

  • skorzystać z poradnika „Ochrona danych osobowych w praktyce” autorstwa Leszka Kępy,
  • zapoznać się z FAQ, czyli najczęściej zadawanych pytań
  • zwrócić się do ekspertów firmy ODO 24 Sp. z o.o. – twórców aplikacji ABIeye

Firma ODO24 zastrzega, że program ABIeye nie jest rozwiązaniem w pełni wystarczającym (z uwagi na szeroki zakres tematyczny) i sugeruje odbycie  dedykowanego szkolenia stacjonarnego dla ABI. Wpis na podstawie artykułu dostępnego na stronie firmo ODO24.pl  *** ABI – administrator bezpieczeństwa informacji ODO – ochrona danych osobowych GIODO – Generalny Inspektor Ochrony Danych Osobowych