RODO wprowadziło szereg nowych wymagań w stosunku do podmiotów / jednostek zobligowanych do stosowania Rozporządzenia. Inspektorzy Ochrony Danych (IOD) oczekują zaś od oprogramowania wspierającego (program do RODO) pewnych elementów, które ułatwią im pracę.

Tu znajdziesz informacje dotyczące:

• oczekiwań IOD od programów wspierających rozporządzenie RODO,
• listy wymagań IOD.

Niniejsze opracowanie powstało w oparciu o ponad 80 ostatnich wdrożeń systemu RODOprotektor IOD.

Wymagania IOD podzieliliśmy na trzy grupy:

• istotne na etapie przedsprzedażowym,
• kluczowe wymagania funkcjonalne,
• pozostałe wymagania.

Wymagania na etapie przedsprzedażowym:

• Indywidualna prezentacja systemu online – większość IOD chce „zobaczyć” działanie programu „na żywo”. A dodatkowo – szybko uzyskać odpowiedzi na nurtujące pytania dotyczące konkretnych i praktycznych przypadków.
• IOD co do zasady nie chcą uczestniczyć w prezentacjach otwartych. Jest to spowodowane ograniczoną możliwością wyjaśniania swoich wątpliwości.
• Testowanie aplikacji online lub we własnej infrastrukturze – w wybranych przypadkach IOD chcą przetestować aplikację w oparciu o swoje dane. Niestety, tego typu danych nie chcą wprowadzać do wersji DEMO, która jest dostępna online. Testy prowadzone są zazwyczaj w podmiotach, gdzie dostęp do danych w systemie uzyskuje więcej osób. Dotyczy to również sytuacji, gdy do systemu wpływa (API do importu danych) większa ilość danych (np. z formularzy ze stron www).
• Wsparcie instalacyjne i konfiguracyjne – IOD chcą, aby system został zainstalowany i skonfigurowany zdalnie. Coraz częściej również inspektorzy realizują samodzielnie proces instalacji i konfiguracji.

Kluczowe wymagania funkcjonalne dot. oprogramowania do zarządzania danymi osobowymi:

• Program w wersji on-premise – zdecydowana większość zainteresowanych (prawie 100%) nie dopuszcza obecnie instalacji w chmurze publicznej. Zapewne w kolejnych latach będzie się to zmieniać.
• Obsługa wymaganych rejestrów (rejestr czynności przetwarzania, rejestr kategorii przetwarzania, rejestr umów powierzenia, rejestr upoważnień, rejestr naruszeń, rejestr udostępnień).
• Analiza ryzyka oraz ocena skutków dla ochrony danych wraz z możliwością wygenerowania odpowiedniej dokumentacji.
• Możliwość wygenerowania dokumentacji RODO (upoważnienia, rejestry, modyfikacje szablonów).
• Przeglądanie danych z dowolnego komputera bez konieczności instalacji aplikacji – to bardzo wygodne rozwiązanie. Do podłączenia się do danych wystarczy dowolny komputer wpięty w lokalną sieć. Odpowiedzią na ten wymóg są z całą pewnością aplikacje webowe.
• Fizyczna separacja danych z różnych podmiotów. IOD obsługujący wiele podmiotów uważają, że fizyczna separacja danych (w różnych niezależnych bazach danych) jest niezbędna.
• Jednokrotne logowanie (SSO) oraz możliwość przełączenia pomiędzy kompletami danych – im więcej wygody, tym lepiej. IOD oczekują jednokrotnego logowania do aplikacji i możliwości korzystania z kompletów odseparowanych danych poszczególnych podmiotów (jednostek). Oczywiście – poprzez szybkie przełączanie się między nimi.
• Nadawanie praw dostępu dla wybranych podmiotów do wybranych danych tych podmiotów. W sytuacji, gdy więcej osób uzyskuje dostęp do rejestrów, to rozbudowana możliwość zarządzania prawami dostępu w postaci profil – opcja – prawo (przeglądanie, edycja, usuwanie) jest niezbędna.
• Dashboard z szybkimi linkami do danych – sumaryczna i kompleksowa informacja o zgromadzonych danych, ilości wpisów, nowych żądaniach, upływających terminach będzie istotnym udogodnieniem dla IOD.
• Masowa zmiana danych (np. przepisanie administratorów, zabezpieczeń itp.) – często zachodzi potrzeba masowej modyfikacji danych w ramach jednego podmiotu. Dotyczy to m.in. dodania tych samych środków bezpieczeństwa do wielu procesów przetwarzania.
• Kopiowanie danych z jednego podmiotu do innych podmiotów – IOD, którzy obsługują wiele podmiotów, zazwyczaj mają do czynienia z bardzo podobnymi rejestrami i kartotekami. Dotyczy to inspektorów, którzy zarządzają danymi osobowymi, np. w placówkach oświatowych, przedszkolach czy spółkach miejskich. Możliwość masowego kopiowania danych (całych kartotek) czy tylko wybranych danych (wybrane rekordy z kartoteki, rejestru) to duże ułatwienie dla inspektora.
• Import i eksport danych za pośrednictwem uniwersalnych, automatycznych interfejsów (API). Standardowo instalacje programów do wsparcia RODO integrują się z domeną w celu pobrania danych pracowników i udzielania im uprawnień czy generowania upoważnień. Integracje mają też większy zakres, bowiem można pobierać dane z zewnętrznych zbiorów (baz danych), plików, formularzy umieszczonych na stronach www.
• Obsługa dużej liczby danych w rejestrze żądań, rejestrze zgód, rejestrze udostępnień (pow. 4000 / dobę). Wiele podmiotów przekonało się, że liczba czynności w związku z koniecznością spełniania wymogów RODO oraz zapewnienia rozliczalności wymaga stosowania systemów dedykowanych do tego celu. Znane są nam podmioty, które dziennie otrzymują ponad 4 tysiące żądań o usunięcie danych osobowych.

Pozostałe wymagania IOD:

• Prosta obsługa – im łatwiej, tym lepiej. W prostocie tkwi bowiem siła i niezawodność.
• Szkolenie (szybkie i krótkie) w zakresie obsługi programu. W zasadzie wszyscy Klienci oczekują indywidualnego szkolenia podczas wdrożenia systemu. Z uwagi na wiele różnych interpretacji w obszarze RODO (wystarczy spojrzeć na fora internetowe) – każdy IOD jest żądny wiedzy i pomocy (a co najważniejsze – otrzymania informacji, jak to robią inni).
• Możliwość wprowadzenia zmian do programu – z uwagi na brak jeszcze wykształconych funkcjonalności w programach do RODO, IOD są bardziej przychylni programom żyjącym. Dotyczy to w szczególności oprogramowania, które jest modyfikowane i rozwijane (znane są już przykłady rezygnacji z rozwiązań nierozwijanych).
• Automatyczna i szybka aktualizacja programu – to jest mercedes wśród oczekiwań. Wielu IOD nawet nie wie, że są możliwości technicznej i automatycznej aktualizacji tego typu oprogramowania. Sam proces aktualizacji musi być wykonywany przez sprawdzone mechanizmy i doświadczonego w tym zakresie producenta.
• Brak „lock in” – możliwość eksportu wszystkich danych w każdym momencie. Z uwagi na to, iż większość oferty na rynku w zakresie programów do RODO to subskrypcje (należy się spodziewać, że ten stan się utrzyma), każdy IOD chciałby mieć możliwość dostępu do swoich danych. W szczególności dotyczy to możliwości migracji do innego systemu (choćby MS Excela). I słusznie!
• Możliwość tworzenia niezależnej instalacji z istniejących danych – to specyficzna cecha, która może być przydatna w przyszłości. Gdy IOD obecnie obsługuje, np. 15 podmiotów, a za rok kilka z nich będzie chciało mieć wydzieloną instalację danych u siebie (a nie u IODa), to system musi umożliwić wyodrębnienie całego kompletu danych tej jednostki. A co najważniejsze – szybkie uruchomienie bez konwersji, eksportu i importu danych.
• Współdzielony dostęp do danych dla wielu administratorów z różnych miejsc – zarówno w sieci lokalnej, jak i w sieci VPN. Wymagający IODowie chcą mieć możliwość dostępu do danych również z NAT.

Jeśli masz pytania dotyczące funkcjonalności programu RODOprotektor – wyślij nam wiadomość!