RODO

RODO jest kluczowym instrumentem prawnym w dziedzinie ochrony danych osobowych w Unii Europejskiej, a jego celem jest zapewnienie większej ochrony prywatności i danych osobowych obywateli UE. Rozporządzenie narzuca szereg wymogów i zasad dotyczących przetwarzania danych osobowych przez podmioty, w tym firmy, instytucje publiczne czy organizacje non-profit.

Usługi związane z ochroną danych osobowych zgodnie z RODO to kompleksowe podejście, które skupia się na zapewnieniu pełnej zgodności z przepisami prawa oraz skutecznym zabezpieczeniu danych osobowych Państwa organizacji. Nasz zespół ekspertów doskonale rozumie złożoność wymagań RODO i jest gotowy zapewnić wsparcie na każdym etapie procesu dostosowania się do tych przepisów.

1. Usługi doradcze

  • Przeprowadzenie analizy ryzyka procesów przetwarzania danych osobowych wraz z przekazaniem raportu poaudytowego oraz planem postępowania z ryzykiem;
  • doradztwo przy przetwarzaniu danych dla celów stworzenia oraz rozwoju nowych rozwiązań technologicznych, a także nowatorskich projektów (start-upów) obejmujących min. wykorzystanie baz danych, biometrię, szyfrowanie danych, profilowanie;
  • pomoc w zakresie przetwarzania danych osobowych przy użyciu rozwiązań chmurowych;
  • opiniowanie możliwości wykorzystywania aplikacji, systemów oraz innych technologii służących do przetwarzania danych w świetle przepisów o ochronie danych osobowych;
  • wykonanie pre-DPIA (weryfikacja podlegania obowiązkowi wykonania oceny skutków) oraz oceny skutków dla czynności przetwarzania zgodnie z obowiązującymi przepisami prawa oraz wytycznymi Prezesa Urzędu Ochrony Danych Osobowych;
  • opiniowanie planowanych przez Klienta rozwiązań i projektów w zakresie zgodności z przepisami prawa ochrony danych osobowych (Privacy by Design i Privacy by Default);
  • ocena wpływu transferu danych na prawa i wolności osób fizycznych (Transfer Impact Assessment – TIA) w celu oceny ryzyka związanego z przekazywaniem danych osobowych do państwa trzeciego;
  • opracowywanie Rejestru czynności przetwarzania danych osobowych oraz Rejestru wszystkich kategorii czynności przetwarzania;
  • wykonywanie testów równowagi w celu ustalenia, czy możliwe jest przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu Administratora danych (art. 6 ust. 1 lit. f) RODO);
  • współpraca z organem nadzorczym oraz pełnienie punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych;
  • ocena strony internetowej Administratora danych wraz z przygotowaniem niezbędnej dokumentacji np. treści Polityki prywatności i plików cookies, obowiązków informacyjnych, zgód na przetwarzanie danych osobowych;
  • ocena stron www sklepów internetowych Klienta wraz z przygotowaniem raportu poaudytowego oraz dokumentacji np. w postaci Regulaminu serwisu;
  • wsparcie w ramach przetwarzania danych osobowych w e-commerce - analiza zasady wykorzystania cookies i innych technologii;
  • doradztwo przy tworzeniu strategii marketingowej w zakresie przetwarzania danych osobowych;
  • ocena relacji podmiotów gospodarczych w ramach funkcjonowania Grupy Kapitałowej, w tym przygotowywanie umów powierzenia, udostępnienia danych, współadministrowania, transgranicznego przekazywania danych;
  • wsparcie w przygotowaniu odpowiedzi na żądania podmiotów danych;
  • przeprowadzane okresowych planowych i doraźnych audytów w podmiotach, którym Klienci powierzyli przetwarzanie danych osobowych;
  • konsultacje i wsparcie merytoryczne z zakresu ochrony danych osobowych;
  • opracowywanie niezbędnej dokumentacji wymaganej na gruncie obowiązującego prawodawstwa, w tym np. pracy zdalnej, badania trzeźwości, zgłaszania nieprawidłowości w zakresie Sygnalistów itp.

2. Audyt zgodności z RODO

Etap O: Weryfikacja stopnia wdrożenia przez Administratora systemu ochrony danych osobowych, w tym m.in:
  • przegląd Polityki Ochrony Danych Osobowych;
  • przegląd procedur, regulaminów, innych wewnętrznych regulacji w kontekście wymagań, określonych w obowiązujących przepisach prawa z zakresu ochrony danych osobowych (zarówno RODO, jak i przepisach branżowych);
  • weryfikacja umów powierzenia przetwarzania danych osobowych; umów dotyczących udostępniania danych, umów o współadministrowanie danymi osobowymi;
  • przegląd wydawanych upoważnień do przetwarzania danych osobowych oraz oświadczeń o zachowaniu poufności;
  • weryfikacja treści Polityki prywatności i plików cookies, regulaminów oraz innych dokumentów, zamieszczonych na stronie internetowej Administratora;
  • przegląd przeprowadzonej przez Administratora analizy ryzyka procesów przetwarzania danych;
  • weryfikacja treści rejestru czynności przetwarzania danych osobowych, rejestru wszystkich kategorii czynności przetwarzania danych;
  • przegląd treści rejestru naruszeń, incydentów danych osobowych;
  • przegląd stosowanych przez Administratora treści klauzul obowiązków informacyjnych oraz zgód pod kątem przepisów RODO;
  • weryfikacja wykonanej przez Administratora oceny skutków dla ochrony danych (DPIA).

Etap I: Analiza formalno-prawna procesów przetwarzania danych osobowych:

  • spotkanie otwierające dla przedstawicieli poszczególnych komórek organizacyjnych Administratora/właścicieli procesów;
  • identyfikacja procesów, czynności przetwarzania danych osobowych, w tym podmiotów danych oraz zakresu przetwarzanych danych osobowych;
  • weryfikacja przesłanek, legalizujących proces przetwarzania danych osobowych;
  • weryfikacja celów przetwarzania danych osobowych; weryfikacja źródeł przetwarzanych danych;
  • weryfikacja retencji danych osobowych;
  • weryfikacja form przetwarzanych w organizacji danych osobowych;
  • weryfikacja Odbiorców danych osobowych, w tym m.in.: Podmiotów przetwarzających, Współadministratorów;
  • weryfikacja transferu danych do kraju trzeciego lub organizacji międzynarodowej;
  • wizja lokalna obszaru przetwarzania danych osobowych pod kątem stosowania zabezpieczeń organizacyjnych i technicznych.

Etap II: Audyt IT:

  • ocena obowiązków osób odpowiedzialnych za właściwe działanie oraz bezpieczeństwo infrastruktury teleinformatycznej;
  • weryfikacja systemów/aplikacji, w których przetwarzane są dane osobowe pod kątem rozliczalności, poufności, integralności, pseudonimizacji, anonimizacji, szyfrowania danych osobowych;
  • weryfikacja uwierzytelniania użytkowników;
  • weryfikacja zabezpieczeń sieci;
  • weryfikacja procesu wykonywania kopii zapasowych, ciągłości działania;
  • weryfikacja stosowanego przez Administratora oprogramowania zabezpieczającego przed szkodliwym oprogramowaniem;
  • weryfikacja zabezpieczania nośników wymiennych, za pośrednictwem których są przetwarzane dane osobowe;
  • weryfikacja niszczenia/utylizacji nośników elektronicznych;
  • weryfikacja procesu stosowania zabezpieczeń kryptograficznych;
  • weryfikacja procesu serwisowania i wsparcia systemów informatycznych przez podmioty zewnętrzne, współpracujące z Administratorem;
  • wizja lokalna obszaru przetwarzania danych osobowych, w tym stosowanie zabezpieczeń informatycznych np. w serwerowni;
  • pobranie próbek adekwatnych do sporządzenia rzetelnej oceny przetwarzania danych osobowych w formie elektronicznej.

Etap III: Przygotowanie raportu poudytowego wraz z rekomendacjami minimalizującymi ryzyko naruszenia ochrony danych osobowych, zawierającego m.in.:

  • ocenę udostępnionej przez Administratora dokumentacji pod kątem kompletności i poprawności zapisów zgodnie z obowiązującymi przepisami prawa;
  • ocenę procesów przetwarzania danych osobowych pod kątem zgodności z przepisami prawa, w tym wskazanie niezgodności wraz z podstawą prawną oraz rekomendacjami;
  • ocenę wdrożonych przez Administratora zabezpieczeń organizacyjnych i technicznych;
  • ocenę konieczności prowadzenia rejestru czynności przetwarzania danych osobowych oraz rejestru wszystkich kategorii czynności przetwarzania danych;
  • ocenę konieczności powołania Inspektora Ochrony Danych Osobowych;
  • wskazanie obszarów, które będą wymagały zmian zgodnie z obowiązującym prawodawstwem;
  • prezentacja raportu zamykającego.
Etap IV: Analiza ryzyka dla operacji przetwarzanych danych osobowych:
  • opracowanie metodyki przeprowadzonej analizy ryzyka;
  • inwentaryzacja aktywów danych osobowych oraz ich właścicieli;
  • wykonanie szacowania ryzyka dla identyfikowanych procesów przetwarzania danych;
  • wykonanie oceny skutków operacji przetwarzania danych osobowych (DPIA);
  • przygotowanie raportu poudytowego, zawierającego przedstawienie wyników szacowania i oceny ryzyka wraz z rekomendacjami oraz planu postępowania z ryzykiem;
  • omówienie raportu poudytowego z Administratorem.

Etap V: Wsparcie Administratora w aktualizacji dokumentacji z zakresu ochrony danych osobowych:

  • opracowanie dokumentacji zgodnie z rekomendacjami poaudytowymi, w tym przygotowanie m.in. Polityki Ochrony Danych Osobowych wraz z załącznikami, obowiązków informacyjnych, zgód na przetwarzanie danych osobowych, Polityki prywatności i plików cookie itp.;
  • doradztwo w zakresie doboru środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa przetwarzanych danych osobowych.

3. Szkolenia

  • podstawy prawne, odnoszące się do przetwarzania danych osobowych;
  • materialny i terytorialny zakres stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679;
  • najważniejsze definicje, wynikające z RODO (w tym m.in. pojęcie danych osobowych, Administratora, IOD);
  • przesłanki legalizujące proces przetwarzania danych osobowych;
  • zasady przetwarzania danych osobowych (art. 5 RODO);
  • obowiązki informacyjne oraz ich implementacja;
  • warunki wyrażenia zgód na przetwarzanie danych osobowych;
  • obowiązki Administratora (w tym m.in. prowadzenie dokumentacji w postaci np. Polityki Ochrony Danych Osobowych, Rejestru czynności przetwarzania, wewnętrznych procedur);
  • role podmiotów w systemie ochrony danych osobowych;
  • prawa osób, których dane dotyczą;
  • zabezpieczenia organizacyjne i techniczne danych osobowych;
  • analiza ryzyka i ocena skutków dla operacji przetwarzania danych osobowych;
  • incydenty i naruszenia ochrony danych;
  • ochrona danych osobowych na gruncie przepisów sektorowych, odnoszących się do prowadzonej przez Administratora działalności gospodarczej, w tym np. Ustawy Kodeks pracy, Ustawy o Zakładowym Funduszu Świadczeń Socjalnych, Ustawy o świadczeniu usług drogą elektroniczną; Ustawy Prawo telekomunikacyjne;
  • kontrola funkcjonującego u Administratora systemu ochrony danych przez organ nadzorczy;
  • odpowiedzialność karna Administratora danych osobowych oraz osobista Pracowników;
  • omówienie wybranych decyzji organów nadzorczych UE, w tym RP.

4. OUTSOURCING FUNKCJI INSPEKTORA OCHRONY DANYCH

Etap I: Ocena funkcjonującego u Administratora systemu ochrony danych osobowych:

  • analiza formalno-prawna oraz audyt informatyczny procesów przetwarzania danych osobowych, weryfikujący stopień wdrożenia wymagań RODO oraz przepisów sektorowych w organizacji;
  • przygotowanie raportu poaudytowego ze zrealizowanych czynności, o których mowa w pkt. 1 powyżej wraz z rekomendacjami;
  • wsparcie we wdrożeniu rekomendacji poaudytowych.

Etap II: Wykonywanie funkcji Inspektora Ochrony Danych:

  • informowanie Administratora danych oraz Pracowników Administratora o obowiązkach, wynikających z obowiązujących przepisów prawa dotyczących ochrony danych osobowych;
  • monitorowanie przestrzegania RODO oraz przepisów branżowych odnoszących się do przetwarzania danych;
  • szkolenia wstępne i okresowe Pracowników Administratora z zakresu wymagań dotyczących bezpiecznego przetwarzania danych;
  • przeprowadzanie cyklicznych czynności sprawdzających (audytów) nadzoru w zakresie zgodności z przepisami prawa według indywidualnych ustaleń z Administratorem;
  • przygotowanie oraz wsparcie we wdrożeniu działań usprawniających, w tym adekwatnych do ryzyk zabezpieczeń danych osobowych;
  • współpraca z organem nadzorczym oraz pełnienie punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych;
  • bieżąca aktualizacja dokumentacji ochrony danych osobowych, w tym Polityki Ochrony Danych, procedur, regulaminów, ewidencji i rejestrów;
  • opiniowanie i nadzór warunków współpracy Administratora z podmiotami zewnętrznymi pod kątem powierzenia danych osobowych, udostępniania danych, współadministrowania danymi;
  • weryfikacja zgodności przekazania danych do państwa trzeciego lub organizacji międzynarodowej;
  • cykliczne szacowanie ryzyka procesów przetwarzania danych osobowych oraz oceny skutków operacji przetwarzania dla ochrony danych osobowych (DPIA) – w przypadku wystąpienia takiej konieczności;
  • ocena zdarzeń, noszących znamiona incydentów/naruszeń ochrony danych osobowych wraz z przygotowaniem treści wniosku zgłoszeniowego do PUODO, poinformowania podmiotów danych, których zdarzenie dotyczy oraz rejestru niniejszych zdarzeń;
  • opiniowanie udostępnionych Inspektorowi Ochrony Danych dokumentów pod kątem zgodności z wymaganiami ochrony danych osobowych;
  • opiniowanie planowanych procesów przetwarzania danych w zakresie zgodności z przepisami prawa w zakresie przetwarzania danych osobowych (Privacy by Design i Privacy by Default);
  • wsparcie Pracowników Administratora danych w zgłaszanych problemach, odnoszących się do przetwarzania danych osobowych.