www.comp.com.pl

Pion Rozwiązań Systemowych

Innowacyjne rozwiązania odpowiedzą na RODO

R o z w i ą z a n i a G D P R / R O D O

2 LISTOPAD 2017

Dane osobowe - obecny stan prawny

Ustawa z dnia 29.8.1997r. o ochronie danych osobowych

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004. w sprawie

dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych

jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych

osobowych.

R o z w i ą z a n i a G D P R / R O D O

3 LISTOPAD 2017

GDPR (RODO) cele

Podwyższenie poziomu ochrony prywatności obywateli, w tym poprzez przyznanie im nowych nieznanych dzisiaj i skutecznych mechanizmów ochrony przed naruszeniami przy jednoczesnym poszanowaniu interesów przedsiębiorców.

Uregulowanie zasad i umożliwienie swobodnego przepływu danych osobowychw UE taki sposób, by ochrona praw jednostki nie stała temu na przeszkodzie.

R o z w i ą z a n i a G D P R / R O D O

4 LISTOPAD 2017

GDPR (RODO) komunikacja między stronami

• ADO przetwarzający dane osobowe

• Osoba fizyczna, której dane są przetwarzane

GDPR (RODO) zgoda

Jedna z wielu równoprawnych przesłanek umożliwiających legalne przetwarzanie danych osobowych

R o z w i ą z a n i a G D P R / R O D O

5 LISTOPAD 2017

GDPR (RODO) przesłanki legalizujące przetwarzanie danych osobowych

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

R o z w i ą z a n i a G D P R / R O D O

6 LISTOPAD 2017

GDPR (RODO) niepewność

Ryzyka wynikające ze zmian ustawowych

• Zagrożenia

• Szanse

R o z w i ą z a n i a G D P R / R O D O

7 LISTOPAD 2017

Proces realizujący cele RODO

I Analiza prawna II Analiza ITIII Wdrożenie

narzędzi

R o z w i ą z a n i a G D P R / R O D O

8 LISTOPAD 2017

Proces realizujący cele RODO

Cele audytu

• inwentaryzacja posiadanych przez organizację zasobów informacyjnych oraz sposobów ich przetwarzania i ochrony,

• analiza rozbieżności między stanem istniejącym a stanem, jaki powinien istnieć po rozpoczęciu stosowania przepisów RODO

• określenie czy organizacja podlega zwolnieniom i jakim,

• określenie dla których procesów potrzebna jest ocena skutków przetwarzania (DPI).

R o z w i ą z a n i a G D P R / R O D O

9 LISTOPAD 2017

Proces realizujący cele RODO – podejście oparte na ryzyku (ISO 27005)

ETAP GRUPA ZADAŃ

1. INWENTARYZACJA – Ustalenie kontekstu, identyfikacja obszarów i celów biznesowych podlegających audytowi

1.1. Określenie informacji i uwarunkowań związanych z działaniem organizacji

1.2.Szczegółowy opis przetwarzanych danych osobowych i ich klasyfikacja

2. Weryfikacja zgodności z RODO (GDPR) – Mechanizmy kontrolne

2.1. Weryfikacja w zakresie procesów przetwarzania danych oraz przepływu danych.

2.2. Weryfikacja wymagań dotyczących zastosowania środków kontroli i bezpieczeństwa oraz stopień ich wypełnienia

3. Szacowanie Ryzyka

3.1. Identyfikacja źródeł ryzyk

3.2. Identyfikacja wystąpień podatności

3.3. Analiza i ocena następstw zmaterializowania się zagrożeń

3.4. Szacowanie poziomu ryzyka

3.5. Określenie listy zidentyfikowanych ryzyk

4. Postępowanie z ryzykiem 4.1. Przypisanie do ryzyka kategorii reakcji

5. Ogólna ocena ryzyka a ocena skutków dla ochrony danych

5.1. Ustalenie, czy przeprowadzenie oceny skutków jest wymagane

5.2. Zasięgnięcie opinii ekspertów i osób których dane dotyczą lub ich przedstawicieli. 5.3. Uwzględnienie szczególnych elementów oceny skutków dla ochrony danych

R o z w i ą z a n i a G D P R / R O D O

10 LISTOPAD 2017

Kiedy przeprowadzamy ocenę skutków dla ochrony danych

Wymaga się wyłącznie w przypadku gdy dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust1.)

R o z w i ą z a n i a G D P R / R O D O

11 LISTOPAD 2017

Zbiory operacji przetwarzania wymagających przeprowadzenia oceny skutków dla ochrony danych ze względu na ich nieodłączne wysokie ryzyko.

• Ocena lub punktacja, w tym profilowanie i prognozowanie

• Automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku

• Systematyczne monitorowanie

• Dane wrażliwe lub dane o charakterze wysoce osobistym

• Dane przetwarzane na dużą skalę

• Dopasowanie lub łączenie zbiorów danych

• Dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą

• Innowacyjne wykorzystanie lub stosowanie nowych rozwiązań technologicznych lub

organizacyjnych

• Gdy samo przetwarzanie uniemożliwia osobom, których dane dotyczą wykonywania prawa

lub korzystanie z usług lub umowy

R o z w i ą z a n i a G D P R / R O D O

12 LISTOPAD 2017

PORTAL KONSUMENTA - Obsługa procesu wydawania i anulowania zgód ,

ZGODY - Zarządzanie scentralizowanym rejestrem zgód na przetwarzanie danych osobowych,

UPOWAŻNIENIA - Zarządzanie scentralizowanym procesem udostępniania danych osobowych,

opartym o wydane upoważnienia,

BEZPIECZNE DANE - Zarządzanie indeksowaniem i przeszukiwaniem zbiorów danych ,

BEZPIECZNA KOMUNIKACJA - Zarządzanie bezpieczeństwem mailingu,

AUDYT – Kontrola i raportowanie.

Cyfrowa tożsamość

R o z w i ą z a n i a G D P R / R O D O

13 LISTOPAD 2017

Cyfrowa tożsamość

R o z w i ą z a n i a G D P R / R O D O

14 LISTOPAD 2017

Kluczowe funkcjonalności

Obsługa procesu wydawania i anulowania zgód

profilowanie zgód

prawo do zapomnienia

wnioski o przekazanie danych

Zarządzanie listą swoich zgód

Powiadomienia o incydentach

Oferty

Prezentacja korzyści wynikających z udostepnienia zgody do przetwarzania danych

Zapewnienie opieki prawnej w zakresie ochrony danych osobowych i ew. wsparcie

procesowe poprzez Usługodawców lub Dostawców Zewnętrznych

Dashboard

PORTAL KONSUMENTA - Obsługa procesu

wydawania i anulowania zgód

R o z w i ą z a n i a G D P R / R O D O

15 LISTOPAD 2017

Wybrane zalety rozwiązania

Możliwość personalizacji zgód

Świadome wyrażanie zgód na podstawie wiedzy o procesie przetwarzania danych

i przedstawionych korzyści

Przyjazny interfejs umożliwiający komunikację z organizacją przetwarzającą dane

osobowe

Większe możliwości przetwarzania danych osobowych do celów marketingowych

PORTAL KONSUMENTA - Obsługa procesu

wydawania i anulowania zgód

R o z w i ą z a n i a G D P R / R O D O

16 LISTOPAD 2017

Kluczowe funkcjonalności

Plugin umożliwiający integrację z dowolną aplikacją

Jednolity interfejs dla wszystkich aplikacji

Usystematyzowany proces udzielania zgód na przetwarzanie danych osobowych

Centralny rejestr zgód – jedno repozytorium, w którym gromadzone są dane

o wszelkich zgodach

Możliwość zarejestrowania zgód papierowych

ZGODY - Zarządzanie rejestrem zgód

R o z w i ą z a n i a G D P R / R O D O

17 LISTOPAD 2017

Zalety rozwiązania

Centralne zarządzanie

Jednolity proces udzielania zgód

Jednolity interfejs dla wszystkich aplikacji

ZGODY - Zarządzanie rejestrem zgód

R o z w i ą z a n i a G D P R / R O D O

18 LISTOPAD 2017

Kluczowe funkcjonalności

Obsługa procesu przyznawania i odbierania upoważnień do przetwarzania danych

osobowych (zgodnie z instrukcją kancelaryjną)

Zarządzanie rejestrem upoważnień

Automatyczne nadawanie uprawnień do zbiorów danych osobowych

Przeglądanie i wyszukiwanie upoważnień przez różne grupy interesariuszy

Zarządzanie zbiorami danych osobowych

Zarządzanie bazą osób upoważnionych

Historia operacji na dokumencie

z uwzględnieniem autora i czasu

UPOWAŻNIENIA - Zarządzanie scentralizowanym procesem udostępniania danych osobowych

R o z w i ą z a n i a G D P R / R O D O

19 LISTOPAD 2017

Zalety rozwiązania

Automatyzacja procesu nadawania uprawnień wynikających z upoważnień

Zwiększenie bezpieczeństwa w obszarze dostępu do danych osobowych

Możliwość wykonywania zadań wynikających z procesu zdalnie

UPOWAŻNIENIA - Zarządzanie scentralizowanym procesem udostępniania danych osobowych

R o z w i ą z a n i a G D P R / R O D O

20 LISTOPAD 2017

Kluczowe funkcjonalności

Wyszukiwanie i indeksowanie danych

Identyfikacja źródeł danych osobowych w bazach danych organizacji Klienta

Identyfikacja źródeł danych osobowych na stacjach roboczych w sieci klienta

Tworzenie powiązań między danymi

Zaawansowane mechanizmy interpretacji danych

Anonimizacja, pseudonimizacja i szyfrowanie

BEZPIECZNE DANE - Zarządzanie indeksowaniem i wyszukiwaniem

R o z w i ą z a n i a G D P R / R O D O

21 LISTOPAD 2017

Zalety rozwiązania

Uporządkowanie danych przez miedzy innymi wyeliminowanie zdublowanych danych

Utworzony indeks powala szybko odnaleźć dane wskazanej osoby

Indeks nie przechowuje danych osobowych – nie podlega wiec zgłoszeniu

Skrócenie czasu reakcji na incydenty wynikające z nieuprawnionego dostępu do

danych

Możliwość pseudonimizacji oraz pełnej anonimizacji danych

Możliwość rozpoznawania kontekstu biznesowego na podstawie przeanalizowanych

powiązań między danymi

BEZPIECZNE DANE - Zarządzanie indeksowaniem i wyszukiwaniem

R o z w i ą z a n i a G D P R / R O D O

22 LISTOPAD 2017

Kluczowe funkcjonalności

Możliwością tworzenia dowolnych procesów i dynamicznych reguł decyzyjnych

Obieg akceptacyjny poczty wychodzącej

Opcjonalnie obieg akceptacyjny w procesach udostępniania danych za pośrednictwem

protokołu HTTP

Możliwość wprowadzenia mechanizmów automatyzujących udostępnianie zasobów

Kontrola udostępnianych danych za pośrednictwem protokołu HTTP…

Możliwość integracji z systemami klasy DLP w zakresie filtrowania treści

BEZPIECZNA KOMUNIKACJA - Zarządzanie bezpieczeństwem mailingu

R o z w i ą z a n i a G D P R / R O D O

23 LISTOPAD 2017

BEZPIECZNA KOMUNIKACJA - Zarządzanie bezpieczeństwem mailingu

Zalety rozwiązania

Kontrola poczty przychodzącej i wychodzącej

Jedna aplikacja (front-end) dla wszystkich czynności – Outlook

Brak ingerencji w istniejącą konfigurację poczty wchodzącej

Funkcjonalności związane z routingiem i zarządzaniem treścią zostają wyniesione poza

firmowy serwer pocztowy

R o z w i ą z a n i a G D P R / R O D O

24 LISTOPAD 2017

Kluczowe funkcjonalności

Rejestr czynności

Rejestr incydentów

Zarządzanie ryzykiem

Interaktywne raporty

Zaawansowane mechanizmy wyszukiwania sortowania i filtrowania

Publikacja raportów w formie dokumentów: Office / PDF

Alerty i powiadomienia

Historia operacji

AUDYT - Kontrola i raportowanie

R o z w i ą z a n i a G D P R / R O D O

25 LISTOPAD 2017

Zalety rozwiązania

Zapobieganie niepożądanym incydentom

Minimalizacja ryzyk wynikających z nieprawidłowego przetwarzania danych

Elastyczne definiowanie raportów

AUDYT - Kontrola i raportowanie

R o z w i ą z a n i a G D P R / R O D O

26 LISTOPAD 2017

KORZYŚCI WYNIKAJĄCE Z WDROŻENIA

Zgodność z regulacjami prawnymi

Możliwość wdrożenia rozwiązania bez większej ingerencji w istniejące w organizacji

systemy

Możliwość monitorowania procesów, w których przetwarzane są dane

Poprawa bezpieczeństwa organizacji przetwarzającej dane osobowe

Podwyższenie poziomu ochrony osób, których dane są przetwarzane

Cyfrowa tożsamość

R o z w i ą z a n i a G D P R / R O D O

27 LISTOPAD 2017

Cyfrowa tożsamość

LICENCJONOWANIE (pakiety sprzedaży)

R o z w i ą z a n i a G D P R / R O D O

28 LISTOPAD 2017

Cyfrowa tożsamość - licencjonowanie

LICENCJONOWANIE

# stacji / serwerów oraz wolumen danych

KOMPONENTY

Bezpieczne dane

Skaner danych niestrukturalnych

Skaner danych strukturalnych

Anonimizacja danych strukturalnych

POWIĄZANE USŁUGI

Wsparcie

Helpdesk i dostęp do bazy wiedzy

Dokumentacja

Dystrybucja nowych wersji

Wskazanie lokalizacji danych osobowych

R o z w i ą z a n i a G D P R / R O D O

29 LISTOPAD 2017

Cyfrowa tożsamość - licencjonowanie

LICENCJONOWANIE

# stacji / serwerów oraz wolumen danych

wersje Open bez limitu użytkowników

wersje na # użytkowników

KOMPONENTY

Komponenty wersji Basic

Audyt

POWIĄZANE USŁUGI

Usługi wdrożeniowe (analiza, kastomizacja

funkcjonalności, raportów, uruchomienie)

Wsparcie

Pakiet godzin wsparcia

Helpdesk i dostęp do bazy wiedzy

Dokumentacja

Dystrybucja nowych wersji

Komponenty Upoważnienia, Zgody i Portal konsumenta i Bezpieczna komunikacja są opcjonalne.W pakiecie „Optimum” są wykorzystywane wybrane rejestry tych komponentów.

Zgodność ze zgodami i upoważnieniami

R o z w i ą z a n i a G D P R / R O D O

30 LISTOPAD 2017

Cyfrowa tożsamość - licencjonowanie

LICENCJONOWANIE

# stacji / serwerów oraz wolumen danych

wersje Open bez limitu użytkowników

wersje na # użytkowników

KOMPONENTY

Komponenty wersji Optimum

System Workflow

POWIĄZANE USŁUGI

Usługi wdrożeniowe (analiza, kastomizacja

funkcjonalności, raportów, uruchomienie)

Wsparcie

Pakiet godzin wsparcia

Helpdesk i dostęp do bazy wiedzy

Dokumentacja

Dystrybucja nowych wersji

Komponenty Upoważnienia, Zgody i Portal konsumenta i Bezpieczna komunikacja są opcjonalne.W pakiecie „Advanced” są wykorzystywane wybrane rejestry tych komponentów.

Centralne zarządzanie procesami

R o z w i ą z a n i a G D P R / R O D O

31 LISTOPAD 2017

Cyfrowa tożsamość – koszty wdrożenia

Dane niezbędne do wyliczenia kosztów usług wdrożenia:

Liczba i złożoność procesów (ilość czynności i użytkowników),

w ramach których realizowane są cele przetwarzania danych

osobowych

Liczba i złożoność narzędzi /systemów (ilość przypadków

użycia) wspierających proces przetwarzania danych osobowych

Liczba i złożoność modeli analitycznych i raportów

budowanych na podstawie wymagań klienta

Liczba systemów zewnętrznych do zintegrowania

R o z w i ą z a n i a G D P R / R O D O

32 LISTOPAD 2017

Dlaczego COMP S.A. ?

Kompleksowe rozwiązanie

Możliwość dopasowania produktu do potrzeb klienta

Konkurencyjna oferta

Cyfrowa tożsamość

S O F T W A R E H O U S E

33 LISTOPAD 2017

ZAPRASZAMY DO KONTAKTU

Comp S.A.

ul. Jutrzenki 116,

02-230 Warszawa

tel.: (+48 22) 570 38 00

e-mail: software@comp.com.plwww.portalrodo.pl