Wdrożenie RODO - pomagamy przygotować się do nowych przepisów.

Wspieramy wdrażanie RODO
audyt, analiza ryzyka, dostosowanie procesów i środowiska IT, dokumentacja, szkolenia

Europejskie rozporządzenie o ochronie danych osobowych (RODO z ang. General Data Protection Regulation - GDPR) stanowi rewolucję w podejściu do ochrony danych. Odchodzi ono od odtwórczej implementacji wymagań prawa na rzecz zaangażowania się organizacji w budowę własnego systemu ochrony danych osobowych, adekwatnego do profilu prowadzonej działalności.

Zamów ofertę

RODO wymaga, aby organizacje, poruszając się w wyznaczonych prawem granicach, same zdefiniowały posiadane zasoby informacyjne (kategorie danych osobowych), ryzyka związane z ich przetwarzaniem i dobrały do nich odpowiednie zabezpieczenia.

W praktyce wdrożenie RODO oznacza dostosowanie:

procesów biznesowych,
systemów informatycznych,
dokumentacji.

Z naszych usług w tym zakresie skorzystali m. in.:

Proponowany przez nas pakiet obejmuje osiem etapów:

warsztaty dla zespołu wdrożeniowego,
audyt otwarcia,
analizę ryzyka w procesach przetwarzania danych osobowych,
mapowanie i dostosowanie procesów biznesowych,
dostosowanie środowiska teleinformatycznego,
dostosowanie dokumentacji (polityk, procedur, klauzul i umów),
szkolenie pracowników i współpracowników,
audyt zamknięcia.

Przygotowujemy na przyszłość:

do monitorowania i przeglądu systemu ochrony danych osobowych,
do współpracy z nowym Urzędem Ochrony Danych Osobowych (UODO).
do realizacji praw osób fizycznych (np. prawa do bycia zapomnianym).

Oferujemy także pomoc przy utrzymaniu systemu ochrony danych:

audyty kontrolne,
wsparcie funkcji inspektora ochrony danych,
przejęcie obowiązków inspektora ochrony danych.

Korzyści przy wyborze kompleksowej oferty wspierającej wdrożenie RODO:

dobrze przemyślany system ochrony danych osobowych pozwala nie tylko osiągnąć zgodność z RODO, ale też wypracować reputację firmy dbającej o prywatność,
utrzymanie spójnego systemu ochrony danych jest łatwiejsze i tańsze niż działania doraźne,
pewność w zakresie ochrony danych pozwala skupić się na procesach biznesowych.

Kluczowe obszary - na co zwrócić uwagę planując wdrożenie RODO:

Analiza ryzyka	Dostosowanie środków technicznych i IT
określenie punktu wyjścia dla wdrożenia zabezpieczeń zgodnych z RODO, zdefiniowanie procesów zachodzących w organizacji, zidentyfikowanie zagrożeń, podatności, prawdopodobieństwa, skutków i obecnych zabezpieczeń, opracowanie planu postępowania z ryzykiem.	określenie jakie środki techniczne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie, określenie jakie środki IT przy uwzględnieniu oszacowanego ryzyka będą spełniały wymogi RODO, ocena adekwatności zastosowanych zabezpieczeń, stworzenie procedury m.in.: szyfrowania danych osobowych i pseudonimizacji, zapewnienia ciągłości działania, regularnego testowania zastosowanych środków.

Analiza ryzyka

Dostosowanie środków technicznych i IT

określenie punktu wyjścia dla wdrożenia zabezpieczeń zgodnych z RODO,
zdefiniowanie procesów zachodzących w organizacji,
zidentyfikowanie zagrożeń, podatności, prawdopodobieństwa, skutków i obecnych zabezpieczeń,
opracowanie planu postępowania z ryzykiem.

określenie jakie środki techniczne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie,
określenie jakie środki IT przy uwzględnieniu oszacowanego ryzyka będą spełniały wymogi RODO,
ocena adekwatności zastosowanych zabezpieczeń,
stworzenie procedury m.in.: szyfrowania danych osobowych i pseudonimizacji, zapewnienia ciągłości działania, regularnego testowania zastosowanych środków.

Dostosowanie środków organizacyjnych	Usuwanie danych
określenie, jakie środki organizacyjne przy uwzględnieniu oszacowanego ryzyka będą odpowiednie, ocena adekwatności stosowanych do tej pory zabezpieczeń, wprowadzenie wśród pracowników procedur postępowania z danymi (polityki czystego biurka, czystego ekranu, polityki kluczy itd.).	analiza danych podlegających niszczeniu i terminów w jakich jest to dokonywane, analiza metod usuwania danych i ich skuteczności, stworzenie procedur niszczenia danych z nośników papierowych oraz danych z nośników elektronicznych.

Wdrożenie zasady przejrzystości	Stworzenie dokumentacji ochrony danych osobowych
zweryfikowanie klauzul informacyjnych i zgód pod kątem sformułowania ich jasnym i przejrzystym językiem, przegląd dotychczasowych dokumentów, komunikatów, pism, regulaminów kierowanych do osób, których dane dotyczą, pod kątem stosowania zasady przejrzystości, przyjęcie procedur przejrzystości, polegającej na kierowaniu wszelkich komunikatów do osób, których dane dotyczą jasnym i prostym językiem.	przegląd dotychczas funkcjonującej dokumentacji ochrony danych osobowych, dostosowanie funkcjonujących polityk do nowych przepisów przy uwzględnieniu oszacowanego ryzyka, stworzenie nowych procedur pod kątem wymogów RODO.

Wdrożenie zasady przejrzystości

Stworzenie dokumentacji ochrony danych osobowych

zweryfikowanie klauzul informacyjnych i zgód pod kątem sformułowania ich jasnym i przejrzystym językiem,
przegląd dotychczasowych dokumentów, komunikatów, pism, regulaminów kierowanych do osób, których dane dotyczą, pod kątem stosowania zasady przejrzystości,
przyjęcie procedur przejrzystości, polegającej na kierowaniu wszelkich komunikatów do osób, których dane dotyczą jasnym i prostym językiem.

przegląd dotychczas funkcjonującej dokumentacji ochrony danych osobowych,
dostosowanie funkcjonujących polityk do nowych przepisów przy uwzględnieniu oszacowanego ryzyka,
stworzenie nowych procedur pod kątem wymogów RODO.

Rejestr czynności przetwarzania	Weryfikacja podstaw przetwarzania
analiza prowadzenia przez organizację przedmiotowego rejestru, weryfikacja procesów związanych z przetwarzaniem danych osobowych, stworzenie szablonu rejestru czynności przetwarzania w kontekście zidentyfikowanych procesów.	przegląd procesów związanych z przetwarzaniem danych osobowych i ustalenie podstaw prawnych uprawniających do przetwarzania danych osobowych, weryfikacja podstaw do przetwarzania danych wrażliwych, przegląd treści zgód na podstawie, których dochodzi do przetwarzania danych osobowych dostosowanie formularzy zgód na przetwarzanie danych osobowych.

Inspektor ochrony danych	Wdrożenie mechanizmu ochrony domyślnej i w fazie projektowania
analiza obowiązku powołania inspektora ochrony danych osobowych przez organizację, wskazanie, jakie kwalifikacji powinien mieć IOD, ustalenie jego kompetencji i określenie zadań, pomoc w dostosowaniu funkcji IOD tak, aby mógł on pełnić rolę tzw. punktu kontaktowego (m.in. powołanie, zapewnienie organowi nadzorczemu oraz osobom, których dane dotyczą, bezpośredniego kontaktu z osobą pełniącą funkcję IOD).	stworzenie procedury przejrzystości w odniesieniu do przetwarzania danych osobowych (umożliwienie osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwienie administratorowi tworzenia i doskonalenia zabezpieczeń) oraz procedury minimalizacji przetwarzania danych osobowych, stworzenie procedur mających zapewnić, by podczas opracowywania i projektowania produktów, usług, aplikacji wzięto pod uwagę zasady ochrony danych osobowych i jednocześnie zapewnić administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych.

Inspektor ochrony danych

Wdrożenie mechanizmu ochrony domyślnej i w fazie projektowania

analiza obowiązku powołania inspektora ochrony danych osobowych przez organizację,
wskazanie, jakie kwalifikacji powinien mieć IOD, ustalenie jego kompetencji i określenie zadań,
pomoc w dostosowaniu funkcji IOD tak, aby mógł on pełnić rolę tzw. punktu kontaktowego (m.in. powołanie, zapewnienie organowi nadzorczemu oraz osobom, których dane dotyczą, bezpośredniego kontaktu z osobą pełniącą funkcję IOD).

stworzenie procedury przejrzystości w odniesieniu do przetwarzania danych osobowych (umożliwienie osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwienie administratorowi tworzenia i doskonalenia zabezpieczeń) oraz procedury minimalizacji przetwarzania danych osobowych,
stworzenie procedur mających zapewnić, by podczas opracowywania i projektowania produktów, usług, aplikacji wzięto pod uwagę zasady ochrony danych osobowych i jednocześnie zapewnić administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych.

Certyfikacja	Zgłaszanie naruszeń
analiza potrzeby poddania się przez organizację certyfikacji, weryfikacja gotowości organizacji do poddania się certyfikacji.	stworzenie procedury postępowania w razie wystąpienia incydentu ochrony danych osobowych, stworzenie szablonu rejestru naruszeń ochrony danych osobowych.

Współadministrowanie	Umożliwienie realizacji praw podmiotu danych
zidentyfikowanie spółek wchodzących w skład grupy kapitałowej, analiza przepływu danych pomiędzy spółkami i identyfikacja współadministratorów, stworzenie szablonu i zawarcie wspólnych uzgodnień pomiędzy spółkami współadministrującymi danymi.	dostosowanie systemów informatycznych tak, aby możliwe było - na żądanie osoby, której dane dotyczą m.in.: całkowite usuwanięcie jej danych osobowe, przeniesienie danych do innego usługodawcy, wygenerowanie pliku z wszystkimi jej danymi osobowymi itd., stworzenie procedury udzielania odpowiedzi na zapytania osoby, której dane dotyczą, w terminie miesiąca od wpłynięcia żądania orazzgodnie z zasadą przejrzystości.

Współadministrowanie

Umożliwienie realizacji praw podmiotu danych

zidentyfikowanie spółek wchodzących w skład grupy kapitałowej,
analiza przepływu danych pomiędzy spółkami i identyfikacja współadministratorów,
stworzenie szablonu i zawarcie wspólnych uzgodnień pomiędzy spółkami współadministrującymi danymi.

dostosowanie systemów informatycznych tak, aby możliwe było - na żądanie osoby, której dane dotyczą m.in.: całkowite usuwanięcie jej danych osobowe, przeniesienie danych do innego usługodawcy, wygenerowanie pliku z wszystkimi jej danymi osobowymi itd.,
stworzenie procedury udzielania odpowiedzi na zapytania osoby, której dane dotyczą, w terminie miesiąca od wpłynięcia żądania orazzgodnie z zasadą przejrzystości.

Dostosowanie procesu profilowania	Spełnienie nowego obowiązku informacyjnego
analiza procesów przetwarzania danych osobowych pod kątem zautomatyzowanego przetwarzania danych osobowych, w tym profilowania, ustalenie podstaw do przetwarzania danych osobowych w sposób zautomatyzowany, stworzenie klauzul zgód na dokonywanie profilowania rodzącego skutki prawne po stronie osoby, której dane dotyczą.	analiza dotychczasowego wypełniania obowiązku informacyjnego, stworzenie nowych formularzy zawierających informacje jakie muszą zostać zakomunikowane osobie, której dane mają być przetwarzane.

Ocena skutków dla ochrony danych	Zmiana współpracy z procesorem
analiza czy organizacja jest zobligowana do dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, dokonanie oceny skutków planowanych operacji przetwarzania danych dla ochrony danych osobowych.	analiza dotychczasowego wzoru umowy powierzenia przetwarzania danych osobowych zawieranego z procesorem, stworzenie wykazu procesorów, dostosowanie nowego wzoru umowy powierzenia do wymogów RODO.

Dostosowanie zasad transferu danych poza EOG
analiza, czy administrator danych osobowych przekazuje dane osobowe poza Europejski Obszar Gospodarczy, ustalenie podstaw przekazywania danych do państw trzecich, dostosowanie procesu przekazywania danych do państw trzecich do wymogów RODO.

Nasze usługi

Zapraszamy do lektury naszego bloga:

Kodeks audytora

Kodeks etyczny audytora ODO 24

Blog ODO 24

Naruszenie ochrony danych osobowych na Facebooku – od prewencji aż po kary

Miliony użytkowników portali społecznościowych, w szczególności najpopularniejszego z nich, czyli Facebooka,... więcej

Outsourcing IOD-a – konieczność czy zbyteczność?

RODO jest stosowane od 25 maja 2018 roku. Tymczasem najnowsze statystyki mówią o tym, że aż połowa polskich... więcej

Analiza ryzyka dla zasobów przetwarzających dane osobowe

Większość osób kojarzy RODO z prawem, klauzulami zgód i obowiązkiem informacyjnym. Jednak nawet najlepiej... więcej

Konsekwencje nieprzestrzegania procedur ochrony danych osobowych

Dla wielu RODO to przede wszystkim astronomiczne kary pieniężne. Ciężko się dziwić, w końcu 20 milionów euro... więcej

Identyfikatory a RODO - jakie dane mogą zawierać?

Wśród pracodawców pojawiają się wątpliwości czy noszenie przez pracowników identyfikatorów ze zdjęciem jest... więcej

IOD "własny" czy z outsourcingu - plusy i minusy

Jeśli mamy obowiązek powołać IOD-a w swojej organizacji (lub planujemy go wyznaczyć z innych powodów),... więcej

Ustawa o ochronie danych osobowych - najważniejsze różnice w stosunku do projektu

Po wielu przeprowadzonych konsultacjach społecznych i wynikających z nich zmianach w samym projekcie,... więcej

Ocena skutków dla ochrony danych (DPIA) udostępniamy formularz

Odpowiadamy, czym jest DPIA, kiedy i jak jej dokonywać, a także udostępniamy przykładowy formularz, za pomocą... więcej

Kontrolowanie podmiotu przetwarzającego jako uprawnienie administratora danych osobowych

Uregulowanie relacji pomiędzy administratorem, a podmiotem przetwarzającym dane (popularnym procesorem)... więcej

IOD zamiast ABI – jak powiadomić PUODO

Administrator bezpieczeństwa informacji (ABI) został „zastąpiony” 25 maja tego roku przez inspektora ochrony... więcej

Wspieramy wdrażanie RODO audyt, analiza ryzyka, dostosowanie procesów i środowiska IT, dokumentacja, szkolenia