The browser you are using is not supported.

Try one of them Google Chrome, Mozilla Firefox, Opera

Automatyzacja RPA – pomoc w wypełnianiu wymagań RODO

Automatyzacja RPA – pomoc w wypełnianiu wymagań RODO

19 września 2018
Categories: Artykuł
RODO – niekończące się ćwiczenie

Ostatnie miesiące były czasem intensywnego „szumu medialnego” poświęconego wejściu w życie RODO – przodowały w tym kancelarie prawne, które oferowały klientom przygotowanie dokumentacji na potrzeby RODO oraz szkolenia z ochrony danych osobowych. Jednakże wszystkie akie działania pomijają oczywisty fakt – nie wystarczy powiedzieć, co trzeba zrobić, że firma działała zgodnie z RODO – trzeba jeszcze zrobić wiele czynności w tym zakresie (np.: usunąć dane osobowe, poinformować osobę fizyczną o zakresie przetwarzania jej danych osobowych, zgłosić naruszenie danych). W większości przypadków dokumenty wdrożone przez firmy nie wskazują rozwiązania – co w praktyce kończy się tym, iż czynności te muszą wykonywać manualnie pracownicy (dodatkowe obciążenie administracyjne i dodatkowy koszt) – co w rezultacie powoduje, że duża część firm w rzeczywistości nie wykonuje wielu czynności wynikających z RODO (np.: brak usuwania danych osób, które zgłosiły sprzeciw co do przetwarzania jej danych).

Tymczasem RODO wymaga stałej aktywności firmy przetwarzającej dane – na przykład w zakresie usuwania danych osobowych, prawa do bycia zapomnianym, zgłaszania naruszeń.

Przykład

Załóżmy, iż mamy do czynienia z firmą handlową, prowadzącą program lojalnościowy oraz szereg akcji promocyjnych (loterie, konkursy itd.), gdzie oddzielnie zbierane są dane osobowe uczestników akcji. Jednocześnie nasza przykładowa firma przekazuje dane z programu lojalnościowego podmiotom przetwarzającym dane (np.: agencji marketingowej, która wysyła na Święta sms-y do osób objętych programem lojalnościowym).

Załóżmy, że do firmy zgłasza się Jan Kowalski, który jest uczestnikiem programu i niezależnie do tego przekazywał swoje dane osobowe w związku z dwoma konkursami. Pan Jan wycofuje zgodę na przetwarzanie jego danych osobowych – nasza przykładowa firma musi więc zaprzestać przetwarzania jego danych, co więcej – zaprzestać przetwarzania tych danych musi również procesor (wspomniana agencja marketingowa). Jednocześnie nie można „od tak” usunąć danych pana Kowalskiego, gdyż w jednym z konkursów wygrał nagrodę o wartości zwolnionej od podatku dochodowego, ale nie można z góry wykluczyć, iż będzie to w przyszłości kontrolowane przez urząd skarbowy, a pan Jan może też w przyszłości wejść w spór z firmą co do jakości nagrody.

Powstaje zatem szereg pytań dla naszej przykładowej firmy:
– kto ma wyszukać dane pana Jana w systemach informatycznych firmy (nie tylko w bazie programu lojalnościowego!)?
– co zrobić z danymi (trwale usunąć? przenieść do innej bazy?)
– kto i jak ma powiadomić agencję marketingową o tym, żeby nie przetwarzała danych pana Jana (np.: nie wysłała mu kolejnego sms-a)?
– w jaki sposób udokumentować (na wypadek późniejszej kontroli), że dane pana Jana rzeczywiście zostały usunięte?

Nasze rozwiązanie

Odpowiedzią na ten problem jest wykorzystanie robota RPA, który w oparciu o inne programy komputerowe może stale i automatycznie wykonywać czynności wymagane przez RODO, które obecnie muszą być wykonywane manualnie.
Rozwiązanie takie:
a) jest tańsze niż praca manualna,
b)  redukuje się ryzyko błędu – istniejącego w przypadku pracy manualnej,
c)  system działa 24 h/dobę, przez cały rok.

Zobowiązanie wynikające z RODO

Wymagane czynności

Czy robot RPA stanowi rozwiązanie problemu?

Legalność przetwarzania

  • wyszukiwanie danych osobowych w systemach informatycznych
  • potwierdzanie autentyczności
  • odnotowywanie faktuzgody/braku zgody naprzetwarzanie
  • strukturyzowanie danych
  • raportowanie

TAK

Prawa osób, których dane są przetwarzane

  • udostępnianie i poprawianie danych (prawo dostępu i prawo do sprostowania)
  • przekazywanie informacji o przetwarzaniu danych
  • usuwanie danych ze zbiorów (prawo do bycia zapomnianym)
  • przekazywanie danych (na żądanie)

TAK

Przekazywanie danych osobom trzecim

  • sprawdzanie, czy zawarta została umowa o powierzenie przetwarzania
  • przekazywanie żądań osób, których dane są przetwarzane (np.: prawa do bycia zapomnianym, sprostowania danych)

TAK

Rejestrowanie czynności w odniesieniu do danych

Rejestrowanie na bieżąco wszystkich czynności, jakie podjęto w odniesieniu do danych osobowych

TAK

Zgłaszanie naruszeń

  • automatyczne (lub za zgodą administratora) zgłaszanie naruszeń do organu nadzoru
  • automatyczne (lub za zgodą administratora) przekazywanie informacji o naruszeniu osobom, których dane są przetwarzane

TAK

Przykład rozwiązania

Wyobraźmy sobie teraz, że nasza przykładowa firma korzysta z robota RPA – w pierwszej kolejności, pan Jan zgłasza, poprzez formularz na stronie internetowej, swój sprzeciw co do dalszego przetwarzania jego danych osobowych. Robot RPA natychmiast odczytuje informacje z formularza oraz:

a)  wyszukuje dane pana Jana zarówno w bazie programu lojalnościowego, jak i w bazach akcji promocyjnych,

b)  usuwa dane z tych baz i przenosi do bazy zastrzeżonej (która ma służyć wyłącznie przetwarzaniu na cele ewentualnych postępowań sądowych i podatkowych),

c)  wysyła informację na e-mail wskazany przez agencję marketingową o konieczności zaprzestania przetwarzania danych pana Jana i konieczności usunięcia jego danych z systemów informatycznych agencji,

d)  w przypadku, gdy pan Jan zażądał potwierdzenia zaprzestania jego danych – robot RPA może wygenerować e-mail do pana Jana ze stosowną informacją,

e)  w przypadku, gdyby w przyszłości organ nadzoru zażądał udowodnienia, że dane pana Jana rzeczywiście zostały usunięte – wystarczy przekazać logi robota (gdzie są zapisywane wszystkie poszczególne czynności robota).

Comments are closed