Przygotuj się na zmianę przepisów dotyczących przetwarzania danych osobowych
z firmą DPO GROUP
WSPARCIE WDRAŻANIA RODO
Pomagamy przygotować organizację do spełnienia wymogów Europejskiego Rozporządzenia o ochronie danych osobowych (RODO).
W praktyce wdrożenie RODO oznacza dostosowanie:
- we wszystkich płaszczyznach procesów w organizacji
- systemów informatycznych,
- dokumentacji.
Wdrożenie będzie dotyczyło kluczowych obszarów, po których będziemy się poruszać. Poniżej przedstawiamy najważniejsze obszary, które są niezbędne do wdrożenia RODO.
SZACOWANIE RYZYKA
- określenie wszystkich zabezpieczeń w organizacji zgodnych z RODO,
- przedstawienie procesów gospodarczych jakie zachodzą w organizacji,
- zidentyfikowanie zagrożeń, podatności, prawdopodobieństwa, skutków i obecnych zabezpieczeń,
- opracowanie planu postępowania z ryzykiem,
- wprowadzenie wśród pracowników procedur postępowania z danymi (zasady czystego biurka, czystego ekranu, polityki kluczy, dostępności do pomieszczeń i stref itd.),
- przygotowanie odpowiednich środków organizacyjnych po oszacowaniu ryzyka.
DOSTOSOWANIE SYSTEMÓW IT
- Organizacja procedur przetwarzania danych zapewniających zgodność z nowymi regulacjami RODO
- Zaprojektowanie nowych klauzul oraz dokumentacji dotyczących prywatności oraz zabezpieczeń infrastruktury IT,
- określenie odpowiednich środków technicznych przy uwzględnieniu szacowanego ryzyka,
- stworzenie procedury m.in.: szyfrowania danych osobowych i pseudonimizacji, zapewnienia ciągłości działania, regularnego testowania zastosowanych środków,
- Wdrożenie instrukcji i polityk bezpieczeństwa IT,
- dostosowanie systemów informatycznych tak aby mogły na żądanie osoby, której dane dotyczą m.in.: usuwać całkowicie jej dane osobowe, przenosić do innego usługodawcy, wygenerować plik z wszystkimi jej danymi osobowymi itd.,
- stworzenie procedury udzielania odpowiedzi na zapytania osoby, której dane dotyczą w terminie miesiąca zgodnie z zasadą przejrzystości.
DOSTOSOWANIE ŚRODKÓW ORGANIZACYJNYCH
- analiza danych, które będą podlegać niszczeniu z uwzględnieniem terminów,
- analiza metod usuwania danych i ich skuteczności,
- stworzenie procedur niszczenia danych z nośników papierowych oraz danych z nośników elektronicznych.
- zweryfikowanie klauzul informacyjnych i zgód,
- analiza dokumentów, pism, regulaminów kierowanych do osób, których dane dotyczą pod kątem stosowania zasady przejrzystości oraz wypracowanie procedur, zasad, zgód sformułowane jasnym i zrozumiałym językiem.
TWORZENIE DOKUMENTACJI RODO
- dostosowanie funkcjonujących polityk bezpieczeństwa do nowych przepisów przy uwzględnieniu szacowanego ryzyka,
- stworzenie nowej dokumentacji pod kątem wymogów RODO,
- analiza czy organizacja ma obowiązek stworzyć rejestr czynności przetwarzania,
- weryfikacja podstaw prawnych do przetwarzania danych wrażliwych,
- dostosowanie formularzy zgód na przetwarzanie danych osobowych,
REJESTR CZYNNOŚCI PRZETWARZANIA
- wnikliwa analiza i weryfikacja czy organizacja ma obowiązek stworzyć rejestr przetwarzania danych,
- analiza wszystkich procesów w organizacji związanych z przetwarzaniem danych osobowych,
- utworzenie szablonu rejestru czynności przetwarzania, w odniesieniu do procesów w oraganizacji.
INSPEKTOR DANYCH OSOBOWYCH
- weryfikacja pod kątem potrzeby powoływania w organizacji inspektora ochrony danych osobowych,
- wskazanie jakie kwalifikacji powinien mieć IOD, ustalenie jego kompetencji i wskazanie zadań,
- utworzenie w organizacji niezależnej funkcji inspektora danych osobowych.
PODMIOT PRZETWARZAJĄCY
- stworzenie procedur czy instrukcji podczas opracowywania i projektowania produktów, usług, aplikacji wzięto pod uwagę prawo do ochrony danych osobowych i zapewnić administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych.
- ustalenie i wdrożenie procedury postępowania w razie wystąpienia incydentu ochrony danych osobowych,
- analiza dotychczasowego wzoru umowy powierzenia przetwarzania danych osobowych zawieranego z procesorem,
- stworzenie wykazu procesorów,
- dostosowanie nowego wzoru umowy powierzenia do wymogów RODO.
PRZEJĘCIE FUNKCJI INSPEKTORA DANYCH OSOBOWYCH – IOD OUTSORCING ABI
Outsourcing (skrót z ang. outside-resource-using) – wydzielenie ze struktury organizacyjnej przedsiębiorstwa niektórych realizowanych przez nie samodzielnie funkcji i przekazanie ich do wykonania innym podmiotom.
Outsourcing pozwala na koncentrację procesów zarządczych na zasadniczych celach i kluczowych kompetencjach organizacji a także na zwiększenie elastyczności struktury przedsiębiorstwa, tzn. szybkości, skuteczności i efektywności jego reakcji na zmiany otoczenia rynkowego.
Tak definiuje słowo outsourcing popularna encyklopedia WIKIPEDIA.
Utrzymanie zgodności z przepisami europejskiego rozporządzenia o ochronie danych osobowych (RODO) wymaga ustanowienia struktury odpowiedzialnej za stałe monitorowanie funkcjonujących procedur i procesów biznesowych.
Proponowana przez nas usługa przejęcia funkcji inspektora ochrony danych (IOD) stanowi najlepsze i najskuteczniejsze narzędzie, dzięki któremu otrzymają Państwu do dyspozycji szeroką paletę możliwości wsparcia procesów ochrony danych osobowych. Dlatego zaletami outsourcingu ABI, oprócz wymienionych tych ogólnych, to m.in. dostęp do specjalistycznej wiedzy z zakresu ochrony danych osobowych, stała obsługa i monitoring procesów przetwarzania danych ale przede wszystkim racjonalizacja kosztów funkcjonowania ( tworzenie dodatkowego etatu ABI).
Korzystną możliwością zdaje się być wdrożenie innego, akceptowalnego przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO)oraz zgodnie z art. 28 RODO rozwiązania, a mianowicie powierzenie funkcji ABI-ego przedstawicielowi wyspecjalizowanej zewnętrznej firmy ( podmiot przetwarzający).
AUDYT ZGODNOŚCI Z RODO
Przeprowadzamy kompleksowo działania mające na celu ocenę funkcjonowania organizacji pod kątem spełniania obowiązków prawnych, zgodnie z RODO, w zakresie ochrony danych osobowych. W trakcie audytu badany jest każdy obszar organizacji. Wnikliwa analiza pozwoli na stwierdzenie potencjalnych uchybień i niezgodności oraz pozwoli na przygotowanie obiektywnej i niezależnej oceny stanu faktycznego. Dzięki audytowi zgodności z RODO dowiedzą się Państwo, w jakim stopniu organizacja spełnia wymagania ogólnego rozporządzenia o ochronie danych oraz jakie działania powinna podjąć, aby była zgodna z przepisami.
Po zakończeniu prac audytowych, osoba prowadząca audyt organizuje spotkanie zespołu, omawiane są wszystkie zidentyfikowane niezgodności czy uchybienia oraz przygotowany jest raport podsumowujący audyt. Celem przygotowania raportu podsumowującego jest zebranie wszystkich faktów, aby na spotkaniu zamykającym mogły być zaprezentowane organizacji. Odbiorcą raportu jest zwykle Zarząd organizacji, w której audyt był prowadzony, dlatego zapisy w raporcie powinny być jasne i zrozumiałe dla odbiorcy. Sformułowane w raporcie niezgodności powinny być poparte dowodami i odnosić się do przepisów RODO. Raport podsumowujący powinien zawierać wyraźną interpretację faktów, aby przedstawić audytowanemu wnioski z audytu i upewnić się, że są one dla niego zrozumiałe.
W ramach audytu zgodności, będą weryfikowane następujące obszary :
- Analizę i ocenę stanu obecnego i przepisów ochrony danych osobowych.
- Opracowanie Polityki bezpieczeństwa danych osobowych.
- poprawność klauzul informacyjnych i ich stopień dostosowania do rozszerzonego obowiązku informacyjnego, treść stosowanych przez Państwa klauzul zgody
- wzory umów powierzenia przetwarzania danych osobowych pod kątem zgodności z nowymi wymogami,
- stosowane przez Państwa techniczne i organizacyjne środki ochrony danych osobowych,
- politykę bezpieczeństwa, backupu i zarządzania uprawnieniami oraz określimy ich wpływ na poziom zabezpieczenia zbiorów danych, przetwarzanych w formie elektronicznej,
- Opracowanie Instrukcji zarządzania systemem informatycznym oraz wdrożenie jej zapisów.
- Ustalenie zakresów obowiązków Administratora bezpieczeństwa informacji, Administratora systemu informatycznego i innych osób funkcyjnych.
- poziom zabezpieczeń dla zbiorów danych przetwarzanych w formie papierowej,
- poziom wiedzy i świadomości Państwa pracowników w zakresie ochrony danych osobowych.
SZACOWANIE RYZYKIEM ZGODNIE Z RODO
Wysoki poziom ochrony danych osobowych można uzyskać poprzez wprowadzenie do organizacji rozwiązań systemowych, jakim jest system zarządzania bezpieczeństwem informacji (SZBI). Wymagania dla tego systemu zostały określone w normie PN-ISO/IEC 27001.
Zarówno dane zwykłe, jak i wrażliwe są danymi osobowymi, które muszą być odpowiednio sklasyfikowane pod kątem priorytetów, wrażliwości, wartości dla organizacji oraz poziomu ochrony. Trzeba jednoznacznie stwierdzić, że dane osobowe cechuje różny stopień wrażliwości, co wymaga stosowania wielu poziomów ochrony w tym opierania się o wytyczne takich aktów jak m.in.: norma ISO 27001. Podczas wdrażania systemu ochrony danych osobowych jednym z ważnych elementów jest identyfikowanie zbiorów danych osobowych a następnie szacowanie ryzyka.
Najważniejsze etapy procesu zarządzania ryzykiem to:
a. identyfikacja ryzyka,
b. oszacowanie wpływu na działalność,
c. oszacowanie słabych punktów i zagrożeń,
d. wdrożenie planu zarządzania ryzykiem,
e. pomiary zgodności,
f. pomiary wpływu na działalność,
g. przegląd i monitorowanie.
Bardzo często zarządzanie ryzykiem jest rozumiane jako całkowity proces identyfikacji, kontrolowania i postępowania z ryzykiem, który ma wpływ na bezpieczeństwo organizacji.
