Dane Osobowe

1) PRZEPROWADZENIE AUDYTU ZGODNOŚCI Z WYTYCZNYMI RODO, OBEJMUJĄCEGO:

 • inwentaryzację stanu faktycznego w zakresie danych osobowych, w tym:
  • analizę procesów przetwarzania danych osobowych:
   • identyfikacja zbiorów danych osobowych,
   • określenie podstawy prawnej przetwarzania danych osobowych,
   • analiza procesu zbierania danych osobowych i określenie źródeł pozyskiwania danych osobowych,
   • analiza procesów przetwarzania danych osobowych z uwzględnieniem profilowania,
   • analiza spełnienia obowiązku informacyjnego wobec osób, których dane osobowe są przetwarzane (przegląd formularzy, treści zgód oraz klauzul informacyjnych),
   • analiza celowości i adekwatności przetwarzania danych osobowych,
   • analiza dostępności osób, których dane osobowe są przetwarzane, do swoich danych, w tym modyfikacji i usuwania danych,
   • weryfikacja stanu powierzania przetwarzania danych osobowych, w tym powierzanie przetwarzania danych do państw trzecich, poza terytorium UE,
  • analizę wymaganej aktualnymi przepisami dokumentacji dot. ochrony danych osobowych:
   • przegląd aktualnej dokumentacji zgodnej z obowiązującymi przepisami – Polityki Bezpieczeństwa Informacji oraz Instrukcji Zarządzania Systemem Informatycznym,
   • przegląd zapisów dot. zgłaszania incydentów bezpieczeństwa i ich obsługi,
   • przegląd formularzy nadania/ujęcia uprawnień do przetwarzania danych osobowych,
   • przegląd zapisów umownych z podwykonawcami, którzy biorą udział w procesach przetwarzania danych,
   • analiza organizacji pracy ABI/IODO, zgłoszenia ABI/IODO, wypełniania obowiązków ABI/IODO.
  • analizę środków technicznych i organizacyjnych przedsięwziętych w celu zabezpieczenia procesu przetwarzania danych osobowych,
   • przegląd procesu przetwarzania danych osobowych w systemach informatycznych,
   • analiza środków technicznych stosowanych w procesach przetwarzania danych osobowych celem zabezpieczenia ich integralności, poufności i rozliczalności.
   • analiza środków organizacyjnych stosowanych w procesach przetwarzania danych osobowych.
  • ocena gotowości procesów przetwarzania danych osobowych z RODO:
   • weryfikacja stanu przeprowadzenia identyfikacji aktywów i analizy ryzyk wobec tych aktywów,
   • ocena gotowości systemów biorących udział w przetwarzaniu danych osobowych do realizacji nowych praw osób, których dane są przetwarzane, w tym prawa do zapomnienia.
   • ocena
  • zapoznanie się z wdrożoną dokumentacją przetwarzania danych osobowych,
  • weryfikacja istnienia planu COB/analizy ryzyka/procedur backupu i odtwarzania danych.
 • analizę rozbieżności pomiędzy aktualnym stanem faktycznym, a wytycznymi RODO.
 • przygotowanie raportu z audytu uwzględniającego:
  • inwentaryzację procesów przetwarzania danych osobowych, biorących w nich udział ról/stanowisk oraz środków organizacyjno-technicznych stosowanych w tych procesach,
  • ocena adekwatności i celowości zbieranych danych osobowych,
  • wskazanie ewentualnych niezgodności w procesach przetwarzania danych osobowych wobec obecnie istniejących przepisów z podziałem na kategorie „duża/major” oraz „mała/minor”,
  • wskazanie ewentualnych niezgodności w procesach przetwarzania danych osobowych wobec wytycznych RODO z podziałem na kategorie „duża/major” oraz „mała/minor”,
  • wskazanie ryzyk związanych z przetwarzaniem danych osobowych w zakresie obecnych przepisów, oraz w zakresie wdrożenia regulacji RODO,
  • wskazanie rekomendacji dot. przygotowania systemu przetwarzania danych osobowych do wdrożenia wytycznych RODO.

 

Czas trwania Audytu określany jest indywidualnie w zależności od potrzeby. Jeśli z uwagi na szeroki zakres procesów przetwarzania danych osobowych w trakcie trwania audytu zajdzie konieczność jego przedłużenia ze względu na poszerzenie obszaru audytu (np. o dodatkowe jednostki  organizacyjne), jak również zakresu audytu (np. o dodatkowe procesy przetwarzania danych osobowych, systemy informatyczne) lub z uwagi na stopień złożoności zagadnień poruszanych na audycie organizacja, u której prowadzony jest audyt, zostanie o takim fakcie poinformowana oraz zostanie wskazany okres, o jaki audyt zostanie przedłużony.

 

Raport z audytu zostanie przedstawiony po 30 dniach od zakończenia audytu.

 

2) PRZYGOTOWANIE/UZUPEŁNIENIE DOKUMENTACJI OPISUJĄCEJ SPOSÓB PRZETWARZANIA DANYCH OSOBOWYCH

Przygotowanie dokumentacji opisującej sposób przetwarzania danych osobowych w zakresie:

 • Polityki bezpieczeństwa danych osobowych;
 • Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych;
 • Ewidencji osób upoważnionych do przetwarzania danych osobowych;
 • Wzoru upoważnienia do przetwarzania danych osobowych;
 • Wzoru oświadczenia pracowników o zapoznaniu się z obowiązującymi procedurami oraz
  o poufności;

Wzoru rejestru zbiorów danych prowadzonych przez ABI/IODO.

 

3) PRZEJĘCIE FUNKCJI ABI/IOD WRAZ Z WDROŻENIEM RODO

Pełnienie funkcji ABI/IOD i wypełnianie wszelkich wymogów nałożonych przepisami o  ochronie danych osobowych w tym zakresie, a w szczególności:

 1. Bieżące monitorowanie wypełniania przez organizację obowiązków prawnych dotyczących wprowadzenia i utrzymywania na wymaganym prawem poziomie środków technicznych
  i organizacyjnych służących zabezpieczeniu danych osobowych, w szczególności zabezpieczeniu danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem, zniszczeniem, zmianą, utratą oraz przetwarzaniem z naruszeniem ustawy.
 2. Przygotowanie planu sprawdzeń zgodności przetwarzania danych osobowych z przepisami
  o ochronie danych osobowych z przepisami o ochronie danych osobowych.
 3. Nadzorowanie kompletności i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych w organizacji oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, jak również przestrzegania zasad określonych w tej dokumentacji:
  • aktualiacja dokumentacji w razie zaistnienia jakichkolwiek zmian;
  • coroczna weryfikacja;
  • stopniowe wdrożenie wymogów Ogólnego Rozporządzenia o ochronie danych osobowych (RODO).
 4. Prowadzenie i bieżące uzupełnianie:
  • rejestru zbiorów danych przetwarzanych w organizacji, składającego się z wykazu zbiorów danych i informacji o każdym zbiorze danych umieszczonych w wykazie oraz prowadzenie historii zmian w tym rejestrze,
  • ewidencji osób upoważnionych do przetwarzania danych osobowych oraz prowadzenie ewidencji udostępnienia danych osobowych.
 5. Stopniowe przygotowanie organizacji do wymogów RODO oraz przejęcie zadań wskazanych w art. 39 ust. 1 RODO, a w szczególności, podjęcie następujących działań:
  • analiza i szacowanie ryzyka w procesach przetwarzania danych osobowych;
  • dostosowanie dokumentacji opisującej sposób ochrony danych osobowych organizacji (procedur, klauzul, obowiązków informacyjnych) do wymogów RODO.

 

4) PRZEPROWADZENIE SZKOLEŃ I WARSZTATÓW:

 • szkolenie dot. RODO w wymiarze 1 dnia / 25 osób (w przypadku większego zespołu jednostki szkoleniowe można multiplikować).
 • warsztaty przygotowawcze dla Gestorów procesów przetwarzania danych osobowych zgodnie z wytycznymi RODO w wymiarze 1 dnia / 10 osób (w przypadku większego zespołu jednostki szkoleniowe można multiplikować).

 

5) KONSULTACJE

 1. Konsultacje dla pracowników organizacji w zakresie ochrony danych osobowych.
 2. Podejmowanie innych działań wskazanych przez organizację, związanych z ochroną danych osobowych, w tym w szczególności:
  • wsparcie w zakresie ochrony danych osobowych przy realizacji umów, których organizacja jest stroną (np. umów powierzenia);
  • przygotowywanie/weryfikacja regulaminów, klauzul umownych, oświadczeń i klauzul informacyjnych, klauzul zgód na przetwarzanie danych osobowych itp.;
  • przygotowywanie opinii i interpretacji z zakresu ochrony danych osobowych.
 3. Kontakt z GIODO/urzędem ochrony danych osobowych:
  • reprezentowanie organizacji przed GIODO/urzędem ochrony danych osobowych;
  • przygotowywanie projektów odpowiedzi na pisma GIODO/urzędu ochrony danych osobowych;
  • przygotowanie do kontroli GIODO/urzędu ochrony danych osobowych;
  • sporządzanie zapytań prawnych do GIODO/urzędu ochrony danych osobowych w konkretnych sprawach związanych z działalnością organizacji w obszarze przetwarzania danych osobowych.
 4. Reprezentacja organizacji w sprawach związanych z przetwarzaniem danych osobowych.

 

6) ZESPÓŁ

 1. Robert Sagan, radca prawny. Posiada wykształcenie i doświadczenie prawnicze w pracy dla klientów polskich i zagranicznych.  Specjalizuje się w sprawach z zakresu m.in. prawa autorskiego i prasowego, konsumenckiego i ochrony danych osobowych.  Doradzał w zakresie ochrony danych osobowych wielu klientom, m.in. spółkach grupy Eurozet (tym w Radiu ZET), Stopklatka S.A., Nivea Polska S.A. Uczestniczył w szkoleniach dot. ochrony danych osobowych, w tym „Kontrola sposobów zabezpieczenia danych osobowych w systemach informatycznych”, „Nowe wymagania ochrony danych osobowych dla systemów informatycznych”. Obecnie doradza w dostosowaniu działalności Klientów do Rozporządzenia RODO.
 2. Dominik Stan, mgr. inż. Informatyki. Specjalizuje się w zakresie sieci komputerowych; administrator systemów IT w środowisku Microsoft z wieloletnim doświadczeniem; konsultant i projektant systemów IT; wdrożeniowiec usług Microsoft Office365 i Microsoft Azure; audytor wewnętrzny normy ISO 27001; specjalista w zakresie ochrony danych osobowych z ponad 10-letnim doświadczeniem w sektorze badań klinicznych (od 2005 roku), usług prawnych i windykacyjnych (od 2006 roku).