1) PRZEPROWADZENIE AUDYTU ZGODNOŚCI Z WYTYCZNYMI RODO, OBEJMUJĄCEGO:
- inwentaryzację stanu faktycznego w zakresie danych osobowych, w tym:
- analizę procesów przetwarzania danych osobowych:
- identyfikacja zbiorów danych osobowych,
- określenie podstawy prawnej przetwarzania danych osobowych,
- analiza procesu zbierania danych osobowych i określenie źródeł pozyskiwania danych osobowych,
- analiza procesów przetwarzania danych osobowych z uwzględnieniem profilowania,
- analiza spełnienia obowiązku informacyjnego wobec osób, których dane osobowe są przetwarzane (przegląd formularzy, treści zgód oraz klauzul informacyjnych),
- analiza celowości i adekwatności przetwarzania danych osobowych,
- analiza dostępności osób, których dane osobowe są przetwarzane, do swoich danych, w tym modyfikacji i usuwania danych,
- weryfikacja stanu powierzania przetwarzania danych osobowych, w tym powierzanie przetwarzania danych do państw trzecich, poza terytorium UE,
- analizę wymaganej aktualnymi przepisami dokumentacji dot. ochrony danych osobowych:
- przegląd aktualnej dokumentacji zgodnej z obowiązującymi przepisami – Polityki Bezpieczeństwa Informacji oraz Instrukcji Zarządzania Systemem Informatycznym,
- przegląd zapisów dot. zgłaszania incydentów bezpieczeństwa i ich obsługi,
- przegląd formularzy nadania/ujęcia uprawnień do przetwarzania danych osobowych,
- przegląd zapisów umownych z podwykonawcami, którzy biorą udział w procesach przetwarzania danych,
- analiza organizacji pracy ABI/IODO, zgłoszenia ABI/IODO, wypełniania obowiązków ABI/IODO.
- analizę środków technicznych i organizacyjnych przedsięwziętych w celu zabezpieczenia procesu przetwarzania danych osobowych,
- przegląd procesu przetwarzania danych osobowych w systemach informatycznych,
- analiza środków technicznych stosowanych w procesach przetwarzania danych osobowych celem zabezpieczenia ich integralności, poufności i rozliczalności.
- analiza środków organizacyjnych stosowanych w procesach przetwarzania danych osobowych.
- ocena gotowości procesów przetwarzania danych osobowych z RODO:
- weryfikacja stanu przeprowadzenia identyfikacji aktywów i analizy ryzyk wobec tych aktywów,
- ocena gotowości systemów biorących udział w przetwarzaniu danych osobowych do realizacji nowych praw osób, których dane są przetwarzane, w tym prawa do zapomnienia.
- ocena
- zapoznanie się z wdrożoną dokumentacją przetwarzania danych osobowych,
- weryfikacja istnienia planu COB/analizy ryzyka/procedur backupu i odtwarzania danych.
- analizę procesów przetwarzania danych osobowych:
- analizę rozbieżności pomiędzy aktualnym stanem faktycznym, a wytycznymi RODO.
- przygotowanie raportu z audytu uwzględniającego:
- inwentaryzację procesów przetwarzania danych osobowych, biorących w nich udział ról/stanowisk oraz środków organizacyjno-technicznych stosowanych w tych procesach,
- ocena adekwatności i celowości zbieranych danych osobowych,
- wskazanie ewentualnych niezgodności w procesach przetwarzania danych osobowych wobec obecnie istniejących przepisów z podziałem na kategorie „duża/major” oraz „mała/minor”,
- wskazanie ewentualnych niezgodności w procesach przetwarzania danych osobowych wobec wytycznych RODO z podziałem na kategorie „duża/major” oraz „mała/minor”,
- wskazanie ryzyk związanych z przetwarzaniem danych osobowych w zakresie obecnych przepisów, oraz w zakresie wdrożenia regulacji RODO,
- wskazanie rekomendacji dot. przygotowania systemu przetwarzania danych osobowych do wdrożenia wytycznych RODO.
Czas trwania Audytu określany jest indywidualnie w zależności od potrzeby. Jeśli z uwagi na szeroki zakres procesów przetwarzania danych osobowych w trakcie trwania audytu zajdzie konieczność jego przedłużenia ze względu na poszerzenie obszaru audytu (np. o dodatkowe jednostki organizacyjne), jak również zakresu audytu (np. o dodatkowe procesy przetwarzania danych osobowych, systemy informatyczne) lub z uwagi na stopień złożoności zagadnień poruszanych na audycie organizacja, u której prowadzony jest audyt, zostanie o takim fakcie poinformowana oraz zostanie wskazany okres, o jaki audyt zostanie przedłużony.
Raport z audytu zostanie przedstawiony po 30 dniach od zakończenia audytu.
2) PRZYGOTOWANIE/UZUPEŁNIENIE DOKUMENTACJI OPISUJĄCEJ SPOSÓB PRZETWARZANIA DANYCH OSOBOWYCH
Przygotowanie dokumentacji opisującej sposób przetwarzania danych osobowych w zakresie:
- Polityki bezpieczeństwa danych osobowych;
- Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych;
- Ewidencji osób upoważnionych do przetwarzania danych osobowych;
- Wzoru upoważnienia do przetwarzania danych osobowych;
- Wzoru oświadczenia pracowników o zapoznaniu się z obowiązującymi procedurami oraz
o poufności;
Wzoru rejestru zbiorów danych prowadzonych przez ABI/IODO.
3) PRZEJĘCIE FUNKCJI ABI/IOD WRAZ Z WDROŻENIEM RODO
Pełnienie funkcji ABI/IOD i wypełnianie wszelkich wymogów nałożonych przepisami o ochronie danych osobowych w tym zakresie, a w szczególności:
- Bieżące monitorowanie wypełniania przez organizację obowiązków prawnych dotyczących wprowadzenia i utrzymywania na wymaganym prawem poziomie środków technicznych
i organizacyjnych służących zabezpieczeniu danych osobowych, w szczególności zabezpieczeniu danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem, zniszczeniem, zmianą, utratą oraz przetwarzaniem z naruszeniem ustawy. - Przygotowanie planu sprawdzeń zgodności przetwarzania danych osobowych z przepisami
o ochronie danych osobowych z przepisami o ochronie danych osobowych. - Nadzorowanie kompletności i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych w organizacji oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, jak również przestrzegania zasad określonych w tej dokumentacji:
- aktualiacja dokumentacji w razie zaistnienia jakichkolwiek zmian;
- coroczna weryfikacja;
- stopniowe wdrożenie wymogów Ogólnego Rozporządzenia o ochronie danych osobowych (RODO).
- Prowadzenie i bieżące uzupełnianie:
- rejestru zbiorów danych przetwarzanych w organizacji, składającego się z wykazu zbiorów danych i informacji o każdym zbiorze danych umieszczonych w wykazie oraz prowadzenie historii zmian w tym rejestrze,
- ewidencji osób upoważnionych do przetwarzania danych osobowych oraz prowadzenie ewidencji udostępnienia danych osobowych.
- Stopniowe przygotowanie organizacji do wymogów RODO oraz przejęcie zadań wskazanych w art. 39 ust. 1 RODO, a w szczególności, podjęcie następujących działań:
- analiza i szacowanie ryzyka w procesach przetwarzania danych osobowych;
- dostosowanie dokumentacji opisującej sposób ochrony danych osobowych organizacji (procedur, klauzul, obowiązków informacyjnych) do wymogów RODO.
4) PRZEPROWADZENIE SZKOLEŃ I WARSZTATÓW:
- szkolenie dot. RODO w wymiarze 1 dnia / 25 osób (w przypadku większego zespołu jednostki szkoleniowe można multiplikować).
- warsztaty przygotowawcze dla Gestorów procesów przetwarzania danych osobowych zgodnie z wytycznymi RODO w wymiarze 1 dnia / 10 osób (w przypadku większego zespołu jednostki szkoleniowe można multiplikować).
5) KONSULTACJE
- Konsultacje dla pracowników organizacji w zakresie ochrony danych osobowych.
- Podejmowanie innych działań wskazanych przez organizację, związanych z ochroną danych osobowych, w tym w szczególności:
- wsparcie w zakresie ochrony danych osobowych przy realizacji umów, których organizacja jest stroną (np. umów powierzenia);
- przygotowywanie/weryfikacja regulaminów, klauzul umownych, oświadczeń i klauzul informacyjnych, klauzul zgód na przetwarzanie danych osobowych itp.;
- przygotowywanie opinii i interpretacji z zakresu ochrony danych osobowych.
- Kontakt z GIODO/urzędem ochrony danych osobowych:
- reprezentowanie organizacji przed GIODO/urzędem ochrony danych osobowych;
- przygotowywanie projektów odpowiedzi na pisma GIODO/urzędu ochrony danych osobowych;
- przygotowanie do kontroli GIODO/urzędu ochrony danych osobowych;
- sporządzanie zapytań prawnych do GIODO/urzędu ochrony danych osobowych w konkretnych sprawach związanych z działalnością organizacji w obszarze przetwarzania danych osobowych.
- Reprezentacja organizacji w sprawach związanych z przetwarzaniem danych osobowych.
6) ZESPÓŁ
- Robert Sagan, radca prawny. Posiada wykształcenie i doświadczenie prawnicze w pracy dla klientów polskich i zagranicznych. Specjalizuje się w sprawach z zakresu m.in. prawa autorskiego i prasowego, konsumenckiego i ochrony danych osobowych. Doradzał w zakresie ochrony danych osobowych wielu klientom, m.in. spółkach grupy Eurozet (tym w Radiu ZET), Stopklatka S.A., Nivea Polska S.A. Uczestniczył w szkoleniach dot. ochrony danych osobowych, w tym „Kontrola sposobów zabezpieczenia danych osobowych w systemach informatycznych”, „Nowe wymagania ochrony danych osobowych dla systemów informatycznych”. Obecnie doradza w dostosowaniu działalności Klientów do Rozporządzenia RODO.
- Dominik Stan, mgr. inż. Informatyki. Specjalizuje się w zakresie sieci komputerowych; administrator systemów IT w środowisku Microsoft z wieloletnim doświadczeniem; konsultant i projektant systemów IT; wdrożeniowiec usług Microsoft Office365 i Microsoft Azure; audytor wewnętrzny normy ISO 27001; specjalista w zakresie ochrony danych osobowych z ponad 10-letnim doświadczeniem w sektorze badań klinicznych (od 2005 roku), usług prawnych i windykacyjnych (od 2006 roku).