Zapraszamy do strefy RODO - prezentujemy najważniejsze zmiany i nowości Więcej

Wspieramy wdrażanie RODO
audyt, analiza ryzyka, dostosowanie procesów i środowiska IT, dokumentacja, szkolenia

wdrożenie RODO

Europejskie rozporządzenie o ochronie danych osobowych (RODO z ang. General Data Protection Regulation - GDPR) stanowi rewolucję w podejściu do ochrony danych. Odchodzi ono od odtwórczej implementacji wymagań prawa na rzecz zaangażowania się organizacji w budowę własnego systemu ochrony danych osobowych, adekwatnego do profilu prowadzonej działalności.

Zamów ofertę

RODO wymaga, aby organizacje, poruszając się w wyznaczonych prawem granicach, same zdefiniowały posiadane zasoby informacyjne (kategorie danych osobowych), ryzyka związane z ich przetwarzaniem i dobrały do nich odpowiednie zabezpieczenia.

W praktyce wdrożenie RODO oznacza dostosowanie:

  • procesów biznesowych,
  • systemów informatycznych,
  • dokumentacji.

Z naszych usług w tym zakresie skorzystali m. in.:

Z wdrożenia RODO skorzystali

Proponowany przez nas pakiet obejmuje osiem etapów:

  • warsztaty dla zespołu wdrożeniowego,
  • audyt otwarcia,
  • analizę ryzyka w procesach przetwarzania danych osobowych,
  • mapowanie i dostosowanie procesów biznesowych,
  • dostosowanie środowiska teleinformatycznego,
  • dostosowanie dokumentacji (polityk, procedur, klauzul i umów),
  • szkolenie pracowników i współpracowników,
  • audyt zamknięcia.

Przygotowujemy na przyszłość:

  • do monitorowania i przeglądu systemu ochrony danych osobowych,
  • do współpracy z nowym Urzędem Ochrony Danych Osobowych (UODO).
  • do realizacji praw osób fizycznych (np. prawa do bycia zapomnianym).

Oferujemy także pomoc przy utrzymaniu systemu ochrony danych:

Korzyści przy wyborze kompleksowej oferty wspierającej wdrożenie RODO:

  • dobrze przemyślany system ochrony danych osobowych pozwala nie tylko osiągnąć zgodność z RODO, ale też wypracować reputację firmy dbającej o prywatność,
  • utrzymanie spójnego systemu ochrony danych jest łatwiejsze i tańsze niż działania doraźne,
  • pewność w zakresie ochrony danych pozwala skupić się na procesach biznesowych.

Strefa RODO aktualności i nowośći

Kluczowe obszary - na co zwrócić uwagę planując wdrożenie RODO:

Analiza ryzyka Dostosowanie środków technicznych i IT
  • określenie punktu wyjścia dla wdrożenia zabezpieczeń zgodnych z RODO,
  • zdefiniowanie procesów zachodzących w organizacji,
  • zidentyfikowanie zagrożeń, podatności, prawdopodobieństwa, skutków i obecnych zabezpieczeń,
  • opracowanie planu postępowania z ryzykiem.
  • określenie jakie środki techniczne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie,
  • określenie jakie środki IT przy uwzględnieniu oszacowanego ryzyka będą spełniały wymogi RODO,
  • ocena adekwatności zastosowanych zabezpieczeń,
  • stworzenie procedury m.in.: szyfrowania danych osobowych i pseudonimizacji, zapewnienia ciągłości działania, regularnego testowania zastosowanych środków.
Dostosowanie środków organizacyjnych Usuwanie danych
  • określenie, jakie środki organizacyjne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie,
  • ocena adekwatności stosowanych do tej pory zabezpieczeń,
  • wprowadzenie wśród pracowników procedur postępowania z danymi (polityki czystego biurka, czystego ekranu, polityki kluczy itd.).
  • analiza danych podlegających niszczeniu i terminów w jakich jest to dokonywane,
  • analiza metod usuwania danych i ich skuteczności,
  • stworzenie procedur niszczenia danych z nośników papierowych oraz danych z nośników elektronicznych.
Wdrożenie zasady przejrzystości Stworzenie dokumentacji ochrony danych osobowych
  • zweryfikowanie klauzul informacyjnych i zgód pod kątem sformułowania ich jasnym i przejrzystym językiem,
  • przegląd dotychczasowych dokumentów, komunikatów, pism, regulaminów kierowanych do osób, których dane dotyczą, pod kątem stosowania zasady przejrzystości,
  • przyjęcie procedur przejrzystości, polegającej na kierowaniu wszelkich komunikatów do osób, których dane dotyczą jasnym i prostym językiem.
  • przegląd dotychczas funkcjonującej dokumentacji ochrony danych osobowych,
  • dostosowanie funkcjonujących polityk do nowych przepisów przy uwzględnieniu oszacowanego ryzyka,
  • stworzenie nowych procedur pod kątem wymogów RODO.
Rejestr czynności przetwarzania Weryfikacja podstaw przetwarzania
  • analiza prowadzenia przez organizację przedmiotowego rejestru,
  • weryfikacja procesów związanych z przetwarzaniem danych osobowych,
  • stworzenie szablonu rejestru czynności przetwarzania w kontekście zidentyfikowanych procesów.
  • przegląd procesów związanych z przetwarzaniem danych osobowych i ustalenie podstaw prawnych uprawniających do przetwarzania danych osobowych,
  • weryfikacja podstaw do przetwarzania danych wrażliwych,
  • przegląd treści zgód na podstawie, których dochodzi do przetwarzania danych osobowych
  • dostosowanie formularzy zgód na przetwarzanie danych osobowych.
Inspektor ochrony danych Wdrożenie mechanizmu ochrony domyślnej i w fazie projektowania
  • analiza obowiązku powołania inspektora ochrony danych osobowych przez organizację,
  • wskazanie, jakie kwalifikacji powinien mieć IOD, ustalenie jego kompetencji i określenie zadań,
  • pomoc w dostosowaniu funkcji IOD tak, aby mógł on pełnić rolę tzw. punktu kontaktowego (m.in. powołanie, zapewnienie organowi nadzorczemu oraz osobom, których dane dotyczą, bezpośredniego kontaktu z osobą pełniącą funkcję IOD).
  • stworzenie procedury przejrzystości w odniesieniu do przetwarzania danych osobowych (umożliwienie osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwienie administratorowi tworzenia i doskonalenia zabezpieczeń) oraz procedury minimalizacji przetwarzania danych osobowych,
  • stworzenie procedur mających zapewnić, by podczas opracowywania i projektowania produktów, usług, aplikacji wzięto pod uwagę zasady ochrony danych osobowych i jednocześnie zapewnić administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych.
Certyfikacja Zgłaszanie naruszeń
  • analiza potrzeby poddania się przez organizację certyfikacji,
  • weryfikacja gotowości organizacji do poddania się certyfikacji.
  • stworzenie procedury postępowania w razie wystąpienia incydentu ochrony danych osobowych,
  • stworzenie szablonu rejestru naruszeń ochrony danych osobowych.
Współadministrowanie Umożliwienie realizacji praw podmiotu danych
  • zidentyfikowanie spółek wchodzących w skład grupy kapitałowej,
  • analiza przepływu danych pomiędzy spółkami i identyfikacja współadministratorów,
  • stworzenie szablonu i zawarcie wspólnych uzgodnień pomiędzy spółkami współadministrującymi danymi.
  • dostosowanie systemów informatycznych tak, aby możliwe było - na żądanie osoby, której dane dotyczą m.in.: całkowite usuwanięcie jej danych osobowe, przeniesienie danych do innego usługodawcy, wygenerowanie pliku z wszystkimi jej danymi osobowymi itd.,
  • stworzenie procedury udzielania odpowiedzi na zapytania osoby, której dane dotyczą, w terminie miesiąca od wpłynięcia żądania orazzgodnie z zasadą przejrzystości.
Dostosowanie procesu profilowania Spełnienie nowego obowiązku informacyjnego
  • analiza procesów przetwarzania danych osobowych pod kątem zautomatyzowanego przetwarzania danych osobowych, w tym profilowania,
  • ustalenie podstaw do przetwarzania danych osobowych w sposób zautomatyzowany,
  • stworzenie klauzul zgód na dokonywanie profilowania rodzącego skutki prawne po stronie osoby, której dane dotyczą.
  • analiza dotychczasowego wypełniania obowiązku informacyjnego,
  • stworzenie nowych formularzy zawierających informacje jakie muszą zostać zakomunikowane osobie, której dane mają być przetwarzane.
Ocena skutków dla ochrony danych Zmiana współpracy z procesorem
  • analiza czy organizacja jest zobligowana do dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych,
  • dokonanie oceny skutków planowanych operacji przetwarzania danych dla ochrony danych osobowych.
  • analiza dotychczasowego wzoru umowy powierzenia przetwarzania danych osobowych zawieranego z procesorem,
  • stworzenie wykazu procesorów,
  • dostosowanie nowego wzoru umowy powierzenia do wymogów RODO.
Dostosowanie zasad transferu danych poza EOG
  • analiza, czy administrator danych osobowych przekazuje dane osobowe poza Europejski Obszar Gospodarczy,
  • ustalenie podstaw przekazywania danych do państw trzecich,
  • dostosowanie procesu przekazywania danych do państw trzecich do wymogów RODO.

Nasze usługi

Zapraszamy do lektury naszego bloga:

Kodeks audytora