Bezpieczeństwo systemu AMODIT w kontekście RODO
W tym artykule przedstawiamy odpowiedzi na pytania lub zagadnienia dotyczące bezpieczeństwa systemu AMODIT w kontekście wykorzystania go do „obsługi” RODO.
| Pytanie lub zagadnienie dotyczące bezpieczeństwa | Jak to jest zrealizowane w systemie AMODIT |
| Zapewnienie możliwości usuwania określonych segmentów danych osobowych w taki sposób, aby nie naruszało to integralności systemu/bazy danych. | W zakresie danych o użytkownikach – tak. W zakresie innych danych (dowolnych, które Klient może gromadzić w systemie) – tylko w ramach realizacji logiki biznesowej konkretnego procesu biznesowego. |
| System powinien zapewniać mechanizmy przetwarzania danych dla poszczególnych czynności przetwarzania, tak aby dane osobowe były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane oraz ograniczać zbędne powielanie pól informacyjnych dotyczących podmiotów danych. | W ramach realizacji logiki biznesowej wdrażanych procesów. |
| Realizacja prawa dostępu osobie, której dane dotyczą. Funkcjonalność systemu powinna być zdolna do ciągłego zapewnienia możliwości realizacji prawa dostępu do danych osobowych, w tym możliwości utworzenia kopii danych osobowych podlegających przetwarzaniu. |
W zakresie danych o użytkownikach – tak. W zakresie innych danych (dowolnych, które Klient może gromadzić w systemie) – tylko w ramach realizacji logiki biznesowej konkretnego procesu biznesowego. |
| Realizacja prawa do sprostowania danych. Funkcjonalność systemu powinna być zdolna do ciągłego zapewnienia możliwości realizacji prawa do sprostowania danych poprzez zmianę danych nieprawidłowych lub uzupełnienia niekompletnych danych osobowych. |
W zakresie danych o użytkownikach – tak. W zakresie innych danych (dowolnych, które Klient może gromadzić w systemie) – tylko w ramach realizacji logiki biznesowej konkretnego procesu biznesowego. |
| Realizacja prawa do bycia zapomnianym. Funkcjonalność systemu powinna być zdolna do ciągłego zapewnienia możliwości trwałego usunięcia danych osobowych w przypadkach określonych w art. 17 ust. 1 RODO. |
W zakresie danych o użytkownikach – tak. W zakresie innych danych (dowolnych, które Klient może gromadzić w systemie) – tylko w ramach realizacji logiki biznesowej konkretnego procesu biznesowego. |
| Realizacja prawa do ograniczenia przetwarzania. Funkcjonalność systemu powinna być zdolna do ciągłego zapewnienia ograniczenia przetwarzania do przechowywania danych w systemie z wyjątkiem oznaczonych danych osobowych, które podlegają wyłączeniu z ograniczenia przetwarzania zgodnie z art. 18 ust. 2 RODO. |
W zakresie innych danych (dowolnych, które Klient może gromadzić w systemie) – tylko w ramach realizacji logiki biznesowej konkretnego procesu biznesowego. |
| Realizacja prawa do przenoszenia danych. Funkcjonalność systemu powinna być zdolna do ciągłego zapewnienia prawa do przenoszenia danych w tym możliwość ich eksportowania do ustrukturyzowanego, powszechnie używanego formatu nadającego się do odczytu maszynowego (np. CSV, XML). |
Taka funkcjonalność jest dostępna w systemie AMODIT. |
| Realizacja prawa do sprzeciwu. Funkcjonalność systemu powinna być zdolna do ciągłego zapewnienia realizacji prawa do sprzeciwu wobec przetwarzania, w tym zaprzestania przetwarzania danych osobowych, w przypadkach wskazanych w art. 21 RODO. |
W zakresie danych o użytkownikach – tak. W zakresie innych danych (dowolnych, które Klient może gromadzić w systemie) – tylko w ramach realizacji logiki biznesowej konkretnego procesu biznesowego. |
| Zapewnienie możliwości przetworzenia danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji lub w taki sposób, aby zapewnić nieodwracalne uniemożliwienie zidentyfikowania określonej osoby. | W ramach realizacji logiki biznesowej wdrażanych procesów. |
| Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudoanonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą. Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych. | W ramach realizacji logiki biznesowej wdrażanych procesów. |
| Zapewnienie unikalnych, indywidualnych loginów i haseł dla poszczególnych użytkowników. Zapewnienie logów systemu/dziennika zdarzeń, w którym odnotowane będą operacje na danych osobowych – co najmniej tj. usuwanie, dodawanie, modyfikacja. Zdarzenie powinno zawierać co najmniej takie informacje jak: nazwa użytkownika, data i godzina, nazwa operacji, nazwa elementu podlegającego operacji. |
Taka funkcjonalność jest dostępna w systemie AMODIT. |