Dane Osobowe

1) PRZEPROWADZENIE AUDYTU ZGODNOŚCI Z WYTYCZNYMI RODO, OBEJMUJĄCEGO:

  • inwentaryzację stanu faktycznego w zakresie danych osobowych, w tym:
    • analizę procesów przetwarzania danych osobowych:
      • identyfikacja zbiorów danych osobowych,
      • określenie podstawy prawnej przetwarzania danych osobowych,
      • analiza procesu zbierania danych osobowych i określenie źródeł pozyskiwania danych osobowych,
      • analiza procesów przetwarzania danych osobowych z uwzględnieniem profilowania,
      • analiza spełnienia obowiązku informacyjnego wobec osób, których dane osobowe są przetwarzane (przegląd formularzy, treści zgód oraz klauzul informacyjnych),
      • analiza celowości i adekwatności przetwarzania danych osobowych,
      • analiza dostępności osób, których dane osobowe są przetwarzane, do swoich danych, w tym modyfikacji i usuwania danych,
      • weryfikacja stanu powierzania przetwarzania danych osobowych, w tym powierzanie przetwarzania danych do państw trzecich, poza terytorium UE,
    • analizę wymaganej aktualnymi przepisami dokumentacji dot. ochrony danych osobowych:
      • przegląd aktualnej dokumentacji zgodnej z obowiązującymi przepisami – Polityki Bezpieczeństwa Informacji oraz Instrukcji Zarządzania Systemem Informatycznym,
      • przegląd zapisów dot. zgłaszania incydentów bezpieczeństwa i ich obsługi,
      • przegląd formularzy nadania/ujęcia uprawnień do przetwarzania danych osobowych,
      • przegląd zapisów umownych z podwykonawcami, którzy biorą udział w procesach przetwarzania danych,
      • analiza organizacji pracy ABI/IODO, zgłoszenia ABI/IODO, wypełniania obowiązków ABI/IODO.
    • analizę środków technicznych i organizacyjnych przedsięwziętych w celu zabezpieczenia procesu przetwarzania danych osobowych,
      • przegląd procesu przetwarzania danych osobowych w systemach informatycznych,
      • analiza środków technicznych stosowanych w procesach przetwarzania danych osobowych celem zabezpieczenia ich integralności, poufności i rozliczalności.
      • analiza środków organizacyjnych stosowanych w procesach przetwarzania danych osobowych.
    • ocena gotowości procesów przetwarzania danych osobowych z RODO:
      • weryfikacja stanu przeprowadzenia identyfikacji aktywów i analizy ryzyk wobec tych aktywów,
      • ocena gotowości systemów biorących udział w przetwarzaniu danych osobowych do realizacji nowych praw osób, których dane są przetwarzane, w tym prawa do zapomnienia.
      • ocena
    • zapoznanie się z wdrożoną dokumentacją przetwarzania danych osobowych,
    • weryfikacja istnienia planu COB/analizy ryzyka/procedur backupu i odtwarzania danych.
  • analizę rozbieżności pomiędzy aktualnym stanem faktycznym, a wytycznymi RODO.
  • przygotowanie raportu z audytu uwzględniającego:
    • inwentaryzację procesów przetwarzania danych osobowych, biorących w nich udział ról/stanowisk oraz środków organizacyjno-technicznych stosowanych w tych procesach,
    • ocena adekwatności i celowości zbieranych danych osobowych,
    • wskazanie ewentualnych niezgodności w procesach przetwarzania danych osobowych wobec obecnie istniejących przepisów z podziałem na kategorie „duża/major” oraz „mała/minor”,
    • wskazanie ewentualnych niezgodności w procesach przetwarzania danych osobowych wobec wytycznych RODO z podziałem na kategorie „duża/major” oraz „mała/minor”,
    • wskazanie ryzyk związanych z przetwarzaniem danych osobowych w zakresie obecnych przepisów, oraz w zakresie wdrożenia regulacji RODO,
    • wskazanie rekomendacji dot. przygotowania systemu przetwarzania danych osobowych do wdrożenia wytycznych RODO.

 

Czas trwania Audytu określany jest indywidualnie w zależności od potrzeby. Jeśli z uwagi na szeroki zakres procesów przetwarzania danych osobowych w trakcie trwania audytu zajdzie konieczność jego przedłużenia ze względu na poszerzenie obszaru audytu (np. o dodatkowe jednostki  organizacyjne), jak również zakresu audytu (np. o dodatkowe procesy przetwarzania danych osobowych, systemy informatyczne) lub z uwagi na stopień złożoności zagadnień poruszanych na audycie organizacja, u której prowadzony jest audyt, zostanie o takim fakcie poinformowana oraz zostanie wskazany okres, o jaki audyt zostanie przedłużony.

 

Raport z audytu zostanie przedstawiony po 30 dniach od zakończenia audytu.

 

2) PRZYGOTOWANIE/UZUPEŁNIENIE DOKUMENTACJI OPISUJĄCEJ SPOSÓB PRZETWARZANIA DANYCH OSOBOWYCH

Przygotowanie dokumentacji opisującej sposób przetwarzania danych osobowych w zakresie:

  • Polityki bezpieczeństwa danych osobowych;
  • Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych;
  • Ewidencji osób upoważnionych do przetwarzania danych osobowych;
  • Wzoru upoważnienia do przetwarzania danych osobowych;
  • Wzoru oświadczenia pracowników o zapoznaniu się z obowiązującymi procedurami oraz
    o poufności;

Wzoru rejestru zbiorów danych prowadzonych przez ABI/IODO.

 

3) PRZEJĘCIE FUNKCJI ABI/IOD WRAZ Z WDROŻENIEM RODO

Pełnienie funkcji ABI/IOD i wypełnianie wszelkich wymogów nałożonych przepisami o  ochronie danych osobowych w tym zakresie, a w szczególności:

  1. Bieżące monitorowanie wypełniania przez organizację obowiązków prawnych dotyczących wprowadzenia i utrzymywania na wymaganym prawem poziomie środków technicznych
    i organizacyjnych służących zabezpieczeniu danych osobowych, w szczególności zabezpieczeniu danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem, zniszczeniem, zmianą, utratą oraz przetwarzaniem z naruszeniem ustawy.
  2. Przygotowanie planu sprawdzeń zgodności przetwarzania danych osobowych z przepisami
    o ochronie danych osobowych z przepisami o ochronie danych osobowych.
  3. Nadzorowanie kompletności i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych w organizacji oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, jak również przestrzegania zasad określonych w tej dokumentacji:
    • aktualiacja dokumentacji w razie zaistnienia jakichkolwiek zmian;
    • coroczna weryfikacja;
    • stopniowe wdrożenie wymogów Ogólnego Rozporządzenia o ochronie danych osobowych (RODO).
  4. Prowadzenie i bieżące uzupełnianie:
    • rejestru zbiorów danych przetwarzanych w organizacji, składającego się z wykazu zbiorów danych i informacji o każdym zbiorze danych umieszczonych w wykazie oraz prowadzenie historii zmian w tym rejestrze,
    • ewidencji osób upoważnionych do przetwarzania danych osobowych oraz prowadzenie ewidencji udostępnienia danych osobowych.
  5. Stopniowe przygotowanie organizacji do wymogów RODO oraz przejęcie zadań wskazanych w art. 39 ust. 1 RODO, a w szczególności, podjęcie następujących działań:
    • analiza i szacowanie ryzyka w procesach przetwarzania danych osobowych;
    • dostosowanie dokumentacji opisującej sposób ochrony danych osobowych organizacji (procedur, klauzul, obowiązków informacyjnych) do wymogów RODO.

 

4) PRZEPROWADZENIE SZKOLEŃ I WARSZTATÓW:

  • szkolenie dot. RODO w wymiarze 1 dnia / 25 osób (w przypadku większego zespołu jednostki szkoleniowe można multiplikować).
  • warsztaty przygotowawcze dla Gestorów procesów przetwarzania danych osobowych zgodnie z wytycznymi RODO w wymiarze 1 dnia / 10 osób (w przypadku większego zespołu jednostki szkoleniowe można multiplikować).

 

5) KONSULTACJE

  1. Konsultacje dla pracowników organizacji w zakresie ochrony danych osobowych.
  2. Podejmowanie innych działań wskazanych przez organizację, związanych z ochroną danych osobowych, w tym w szczególności:
    • wsparcie w zakresie ochrony danych osobowych przy realizacji umów, których organizacja jest stroną (np. umów powierzenia);
    • przygotowywanie/weryfikacja regulaminów, klauzul umownych, oświadczeń i klauzul informacyjnych, klauzul zgód na przetwarzanie danych osobowych itp.;
    • przygotowywanie opinii i interpretacji z zakresu ochrony danych osobowych.
  3. Kontakt z GIODO/urzędem ochrony danych osobowych:
    • reprezentowanie organizacji przed GIODO/urzędem ochrony danych osobowych;
    • przygotowywanie projektów odpowiedzi na pisma GIODO/urzędu ochrony danych osobowych;
    • przygotowanie do kontroli GIODO/urzędu ochrony danych osobowych;
    • sporządzanie zapytań prawnych do GIODO/urzędu ochrony danych osobowych w konkretnych sprawach związanych z działalnością organizacji w obszarze przetwarzania danych osobowych.
  4. Reprezentacja organizacji w sprawach związanych z przetwarzaniem danych osobowych.

 

6) ZESPÓŁ

  1. Robert Sagan, radca prawny. Posiada wykształcenie i doświadczenie prawnicze w pracy dla klientów polskich i zagranicznych.  Specjalizuje się w sprawach z zakresu m.in. prawa autorskiego i prasowego, konsumenckiego i ochrony danych osobowych.  Doradzał w zakresie ochrony danych osobowych wielu klientom, m.in. spółkach grupy Eurozet (tym w Radiu ZET), Stopklatka S.A., Nivea Polska S.A. Uczestniczył w szkoleniach dot. ochrony danych osobowych, w tym „Kontrola sposobów zabezpieczenia danych osobowych w systemach informatycznych”, „Nowe wymagania ochrony danych osobowych dla systemów informatycznych”. Obecnie doradza w dostosowaniu działalności Klientów do Rozporządzenia RODO.
  2. Dominik Stan, mgr. inż. Informatyki. Specjalizuje się w zakresie sieci komputerowych; administrator systemów IT w środowisku Microsoft z wieloletnim doświadczeniem; konsultant i projektant systemów IT; wdrożeniowiec usług Microsoft Office365 i Microsoft Azure; audytor wewnętrzny normy ISO 27001; specjalista w zakresie ochrony danych osobowych z ponad 10-letnim doświadczeniem w sektorze badań klinicznych (od 2005 roku), usług prawnych i windykacyjnych (od 2006 roku).