Aplikacja dla IOD od DAPR – test i recenzja

Aplikacja wspierająca pracę IOD (Inspektora Ochrony Danych) może stanowić przydatne narzędzie będące asystą realizacji obowiązków wynikających z RODO. Nie można powiedzieć, że aplikacje kierowane do specjalistów z branży ochrony danych osobowych i bezpieczeństwa informacji cieszą się dużą popularnością oraz stanowią filar codziennej pracy, niemniej korzystanie z nich, jak innych narzędzi, może w znaczącym stopniu ułatwić wypełnianie zadań. W ramach planowanego cyklu dotyczącego narzędzi wspierających pracę Inspektorów Ochrony Danych mieliśmy okazję sprawdzić na żywym organizmie aplikację do oceny ryzyka dla ochrony danych firmy DAPR, którą otrzymaliśmy na testy, a poniżej nasze wrażenia.

Czym jest aplikacja do oceny ryzyka dla ochrony danych od DAPR

Zakładamy, że tego czym jest ocena ryzyka dla ochrony danych oraz ocena skutków dla ochrony danych osobowych żadnemu specjaliście nie trzeba tłumaczyć. Każdy IOD zdaje sobie sprawę z faktu, że stosowanie zabezpieczeń adekwatnych do poziomu ryzyka wymaga dokonania analizy i bez niej dobranie odpowiednich narzędzi mitygowania zagrożenia może nie być skuteczne. Każdy specjalista zdaje sobie również sprawę z obowiązków jakie wynikają z art. 35 RODO.

Aplikacja daje dodatkowo możliwość generowania i prowadzenia Rejestru Czynności Przetwarzania oraz generowania upoważnień

W swojej obecnej postaci aplikacja od DAPR umożliwia przeprowadzenie ogólnej oceny ryzyka dla procesów zachodzących w organizacji oraz konieczności doboru narzędzi obniżania poziomu zagrożenia, a także przeprowadzenie oceny skutków dla ochrony danych. Dodatkowo aplikacja daje możliwość generowania i prowadzenia Rejestru Czynności Przetwarzania oraz generowania upoważnień dla pracowników organizacji do przetwarzania danych osobowych. Używamy sformułowania “w swojej obecnej postaci” ze względu na to, że aplikacja jest stale rozwijana, dodawane są kolejne funkcjonalności i obecną postać produktu można by określić mianem tzw. bety, niemniej bez klasycznych wad charakterystycznych dla wersji beta, więc błędów które wpływałyby na funkcjonowanie produktu. 

Jak działa aplikacja od DAPR

Popularność i medialność RODO sprawiła, że tematyką Rozporządzenia interesuje się wiele podmiotów, które widziały i widzą w tym obszarze możliwość zarobku na nowo-tworzonych produktach. O ile do czasu RODO tematyka narzędzi wspierających ochronę danych osobowych była domeną specjalistów, o tyle po wejściu w życie Rozporządzenia zajęło się nią wiele podmiotów, których poziom wiedzy, jak i jakość produkowanych narzędzi jest daleka od pożądanego. W której grupie zatem jest produkt od DAPR?

Aplikacja dla IOD stworzona została przez zespół, którego domeną jest bezpieczeństwo informacji i ochrona danych osobowych

Aplikacja dla IOD nie jest tworzona przez podmiot zajmujący się tworzeniem oprogramowania jako usługą główną. Widać to po uruchomieniu. Nacisk położony został głównie na funkcjonalność narzędzia w pracy IOD i rolę jaką ma ono spełnić. Aplikacja stworzona została przez zespół, którego domeną jest bezpieczeństwo informacji i ochrona danych osobowych, nie programowanie. Czy jest to atut? Naszym zdaniem tak.

Na rynku pojawiło się dotychczas kilka produktów, które może wyglądają dobrze i działają z tzw. trybie stand alone (nie wymagającym dodatkowego środowiska poza systemem operacyjnym), niemniej ich przydatność w codziennej pracy IOD jest znikoma. Głównie ze względu na to, że są tworzone przez zespoły, które o bezpieczeństwie informacji i ochronie danych osobowych wiedzą niewiele i rzadko posiadają doświadczenie Inspektora Ochrony Danych. Jest to naszym zdaniem kluczowe przy tworzeniu tego typu narzędzia.

Czy jest to aplikacja plug and play? Na pewno nie. IOD nie powinien oczekiwać, że otrzyma narzędzie, które nie wymaga działania ze strony użytkownika. Zwłaszcza w kontekście analizy ryzyka. Narzędzia działające na zasadzie automatycznego generowania według schematu kopiuj-wklej są bezwartościowe, ze względu na prosty fakt – każda organizacja jest inna.

Praca z aplikacją

Pracę z aplikacją jest bardzo intuicyjna. Posiadając bazową wiedzę na temat analizy ryzyka i prowadzenia rejestru czynności przetwarzania jesteśmy w stanie sprawnie, ekran po ekranie, uzupełnić wszystkie najważniejsze dane jakich potrzebuje narzędzie by móc spełnić swoją rolę. Oczywiście koniecznym jest przeprowadzenie inwentaryzacji wszystkich procesów zachodzących u Administratora, zinwentaryzowanie aktywów wspierających, które biorą udział w procesie przetwarzania danych osobowych w organizacji. 

Niezbędna jest również wiedza po stronie IOD dotycząca potencjalnych zagrożeń dla organizacji oraz tego jakie zabezpieczenia i w jaki sposób są w stanie przeciwdziałać danym zagrożeniom. Są to działania, które nie powinny być obce ze względu na konieczność prowadzenia RCP w każdej organizacji. Spośród kategorii danych, które mamy możliwość wprowadzić wyróżnić można przede wszystkim te stanowiące bazę RCP, oraz dodatkowo takie kategorie jak aktywa wspierające i ich zabezpieczenia, informacje na temat podmiotów przetwarzających, transferu danych poza EOG czy możliwych zagrożeń dla bezpieczeństwa informacji.

Aplikacja umożliwia nam automatyzowanie powtarzalnych czynności

Baza wiedzy na temat procesów jaką tworzymy w narzędziu pozwala nam w rezultacie na zyskanie przejrzystej mapy przetwarzania danych osobowych w naszej organizacji. Aplikacja dla IOD umożliwia nam automatyzowanie powtarzalnych czynności, stąd uniknąć można żmudnego, zabierającego czas ręcznego działania, które jest tak charakterystyczne dla pracy na dokumentach w formie elektronicznej i papierowej. Narzędzie umożliwia zebranie kilku obszarów związanych z codzienną pracą IOD w jednym miejscu, a przejrzysta i prosta prezentacja pozwala rozpocząć korzystanie bez konieczności uprzedniego przechodzenia przez zawiłe przewodniki, tak charakterystyczne dla niektórych rynkowych rozwiązań.

Posiadając uzupełnioną prawidłowo i rzetelnie bazę danych w aplikacji dalsze działanie opiera się już głównie na wypełnianiu odpowiednich komórek bazując na polu wyboru uprzednio wprowadzonych informacji lub bazuje na autouzupełnianiu. Samo przygotowanie RCP w takim modelu, jego aktualizacja i dodawanie nowych procesów przetwarzania skraca znacząco czas jaki zazwyczaj należy przeznaczyć na takie czynności. Praca z analizą ryzyka i DPIA wygląda analogicznie do pracy z RCP, bazuje na bazie danych jaką stworzyliśmy wraz z konfiguracja aplikacji. Narzędzie uwzględnia pełną paletę obszarów dotyczących oceniania ryzyka wynikających i wskazanych w RODO, oraz dodatkowo uwzględnia metodykę istotną z punktu widzenia norm ISO z obszaru 27 000. Dodatkowym atutem jest możliwość przejścia do certyfikacji zgodności systemu zarządzania bezpieczeństwem informacji z wymaganiami normy ISO. 

Cechy narzędzia

W przypadku zmiany w organizacji w zakresie osoby zajmującej się bezpieczeństwem informacji i ochroną danych osobowych przejrzystość narzędzia oraz funkcjonalność umożliwia sprawne przejęcie pracy z nim oraz zorientowanie się w zachodzących procesach, ryzykach, aktywach i właścicielach procesów bez konieczności ponownego inwentaryzowania i analizowania funkcjonowania Administratora. Narzędzie umożliwia bardzo szczegółowe podejście oraz raportowanie w zakresie kluczowych aktywów organizacji oraz najważniejszych zagrożeń. Aplikacja ułatwia uporządkowanie klasycznego excel hell oraz mnogości plików w katalogu dobrego IOD. 

Wspominaliśmy o tym, że narzędzie nie działa z tzw. trybie stand alone (nie wymagającym dodatkowego środowiska poza systemem operacyjnym). Aplikacja by funkcjonować wymaga aktualnej wersji programu Excel. Stanowi to w naszej ocenie minus narzędzia, ze względu na to, że nie każda organizacja dba o to by mieć akurat to środowisko oraz aktualną jego wersję. Niemniej nie jest to problem globalny i dotyczyć może raczej wąskiej grupy podmiotów.

Aplikacja stworzona została przede wszystkim jako narzędzie do analizy ryzyka, DPIA oraz dodatkowo prowadzenia RCP

Aspektem, który rozpatrywać można dwojako (jako plus lub minus) są znamiona postaci tzw. beta wersji. Aplikacja dla IOD nie jest zamknięta. Twórcy przewidzieli dodanie wielu funkcjonalności w dalszym etapie produkcji. Wizja rozwoju i perspektywa dodatkowych funkcji stanowić może dla jednych plus (z punktu widzenia przyszłych mozliwości i podejścia twórców) dla innych minus, ponieważ mogą sądzić, że produkt jest niepełny. Aplikacja stworzona została przede wszystkim jako narzędzie do analizy ryzyka, DPIA oraz dodatkowo prowadzenia RCP, dlatego w naszej ocenie inne funkcjonalności jak obecny moduł upoważnień oraz planowane na dalszym etapie rozwoju moduły stanowią dodatek do narzędzia, który rozpatrujemy jako atut.

Plusy i minusy

+ Przejrzysta i przyjazna dla użytkownika

+ Możliwość tworzenia rozbudowanej mapy procesów

+ Automatyzowanie powtarzalnych czynności

+ Autouzupełnianie

+ Dodatkowe funkcjonalności

+ Rozwój i planowane moduły


Wymaga aktualnego środowiska MS Office

-/+ Aplikacja nie jest zamknięta (będzie rozwijana o dodatkowe moduły)


Strona twórców aplikacji…


AUTOR: Tomasz Wącirz