Automatyzacja RPA – pomoc w wypełnianiu wymagań RODO

admin

19 września 2018

Categories: Artykuł

RODO – niekończące się ćwiczenie

Ostatnie miesiące były czasem intensywnego „szumu medialnego” poświęconego wejściu w życie RODO – przodowały w tym kancelarie prawne, które oferowały klientom przygotowanie dokumentacji na potrzeby RODO oraz szkolenia z ochrony danych osobowych. Jednakże wszystkie akie działania pomijają oczywisty fakt – nie wystarczy powiedzieć, co trzeba zrobić, że firma działała zgodnie z RODO – trzeba jeszcze zrobić wiele czynności w tym zakresie (np.: usunąć dane osobowe, poinformować osobę fizyczną o zakresie przetwarzania jej danych osobowych, zgłosić naruszenie danych). W większości przypadków dokumenty wdrożone przez firmy nie wskazują rozwiązania – co w praktyce kończy się tym, iż czynności te muszą wykonywać manualnie pracownicy (dodatkowe obciążenie administracyjne i dodatkowy koszt) – co w rezultacie powoduje, że duża część firm w rzeczywistości nie wykonuje wielu czynności wynikających z RODO (np.: brak usuwania danych osób, które zgłosiły sprzeciw co do przetwarzania jej danych).

Tymczasem RODO wymaga stałej aktywności firmy przetwarzającej dane – na przykład w zakresie usuwania danych osobowych, prawa do bycia zapomnianym, zgłaszania naruszeń.

Przykład

Załóżmy, iż mamy do czynienia z firmą handlową, prowadzącą program lojalnościowy oraz szereg akcji promocyjnych (loterie, konkursy itd.), gdzie oddzielnie zbierane są dane osobowe uczestników akcji. Jednocześnie nasza przykładowa firma przekazuje dane z programu lojalnościowego podmiotom przetwarzającym dane (np.: agencji marketingowej, która wysyła na Święta sms-y do osób objętych programem lojalnościowym).

Załóżmy, że do firmy zgłasza się Jan Kowalski, który jest uczestnikiem programu i niezależnie do tego przekazywał swoje dane osobowe w związku z dwoma konkursami. Pan Jan wycofuje zgodę na przetwarzanie jego danych osobowych – nasza przykładowa firma musi więc zaprzestać przetwarzania jego danych, co więcej – zaprzestać przetwarzania tych danych musi również procesor (wspomniana agencja marketingowa). Jednocześnie nie można „od tak” usunąć danych pana Kowalskiego, gdyż w jednym z konkursów wygrał nagrodę o wartości zwolnionej od podatku dochodowego, ale nie można z góry wykluczyć, iż będzie to w przyszłości kontrolowane przez urząd skarbowy, a pan Jan może też w przyszłości wejść w spór z firmą co do jakości nagrody.

Powstaje zatem szereg pytań dla naszej przykładowej firmy:
– kto ma wyszukać dane pana Jana w systemach informatycznych firmy (nie tylko w bazie programu lojalnościowego!)?
– co zrobić z danymi (trwale usunąć? przenieść do innej bazy?)
– kto i jak ma powiadomić agencję marketingową o tym, żeby nie przetwarzała danych pana Jana (np.: nie wysłała mu kolejnego sms-a)?
– w jaki sposób udokumentować (na wypadek późniejszej kontroli), że dane pana Jana rzeczywiście zostały usunięte?

Nasze rozwiązanie

Odpowiedzią na ten problem jest wykorzystanie robota RPA, który w oparciu o inne programy komputerowe może stale i automatycznie wykonywać czynności wymagane przez RODO, które obecnie muszą być wykonywane manualnie.
Rozwiązanie takie:
a) jest tańsze niż praca manualna,
b) redukuje się ryzyko błędu – istniejącego w przypadku pracy manualnej,
c) system działa 24 h/dobę, przez cały rok.

Zobowiązanie wynikające z RODO	Wymagane czynności	Czy robot RPA stanowi rozwiązanie problemu?
Legalność przetwarzania	wyszukiwanie danych osobowych w systemach informatycznych potwierdzanie autentyczności odnotowywanie faktuzgody/braku zgody naprzetwarzanie strukturyzowanie danych raportowanie	TAK
Prawa osób, których dane są przetwarzane	udostępnianie i poprawianie danych (prawo dostępu i prawo do sprostowania) przekazywanie informacji o przetwarzaniu danych usuwanie danych ze zbiorów (prawo do bycia zapomnianym) przekazywanie danych (na żądanie)	TAK
Przekazywanie danych osobom trzecim	sprawdzanie, czy zawarta została umowa o powierzenie przetwarzania przekazywanie żądań osób, których dane są przetwarzane (np.: prawa do bycia zapomnianym, sprostowania danych)	TAK
Rejestrowanie czynności w odniesieniu do danych	Rejestrowanie na bieżąco wszystkich czynności, jakie podjęto w odniesieniu do danych osobowych	TAK
Zgłaszanie naruszeń	automatyczne (lub za zgodą administratora) zgłaszanie naruszeń do organu nadzoru automatyczne (lub za zgodą administratora) przekazywanie informacji o naruszeniu osobom, których dane są przetwarzane	TAK

Przykład rozwiązania

Wyobraźmy sobie teraz, że nasza przykładowa firma korzysta z robota RPA – w pierwszej kolejności, pan Jan zgłasza, poprzez formularz na stronie internetowej, swój sprzeciw co do dalszego przetwarzania jego danych osobowych. Robot RPA natychmiast odczytuje informacje z formularza oraz:

a) wyszukuje dane pana Jana zarówno w bazie programu lojalnościowego, jak i w bazach akcji promocyjnych,

b) usuwa dane z tych baz i przenosi do bazy zastrzeżonej (która ma służyć wyłącznie przetwarzaniu na cele ewentualnych postępowań sądowych i podatkowych),

c) wysyła informację na e-mail wskazany przez agencję marketingową o konieczności zaprzestania przetwarzania danych pana Jana i konieczności usunięcia jego danych z systemów informatycznych agencji,

d) w przypadku, gdy pan Jan zażądał potwierdzenia zaprzestania jego danych – robot RPA może wygenerować e-mail do pana Jana ze stosowną informacją,

e) w przypadku, gdyby w przyszłości organ nadzoru zażądał udowodnienia, że dane pana Jana rzeczywiście zostały usunięte – wystarczy przekazać logi robota (gdzie są zapisywane wszystkie poszczególne czynności robota).

Automatyzacja RPA – pomoc w wypełnianiu wymagań RODO