Ochrona danych osobowych i audyt RODO

Audyt i wdrożenie RODO

Audyt RODO ma na celu  weryfikację obecnego stanu ochrony danych osobowych oraz ocenę stopnia przygotowania na zmiany wynikające z ogólnego rozporządzenia o ochronie danych (RODO/GDPR).

W ramach audytu:

  • określimy w stosunku do których informacji należy stosować przepisy RODO
  • określimy status podmiotów przetwarzających dane osobowe (administrator, współadministrator, procesor, subprocessor)
  • zweryfikujemy przesłanki przetwarzania danych osobowych określone w RODO w kontekście legalności przetwarzania na potrzeby poszczególnych procesów realizowanych przez klienta
  • dokonamy przeglądu stosowanych klauzul zgód
  • dokonamy przeglądu stosowanych klauzul (obowiązków) informacyjnych,
  • przeanalizujemy treści stosowanych umów powierzenia przetwarzania danych
  • określimy procedury realizacji praw podmiotów danych (np. w zakresie prawa dostępu do danych)
  • określimy procedury realizacji obowiązków administratorów danych / procesorów (np. w zakresie powiadomień o naruszeniach)
  • przeanalizujemy stosowane środki techniczne (informatyczne, fizyczne) i organizacyjne służące do zabezpieczenia danych pod kątem zgodności ze wskazaniami RODO.

 

Efektem końcowym audytu jest raport przedwdrożeniowy prezentujący opis niezgodności, w tym wykryte naruszenia prawa, dowody potwierdzające niezgodności oraz rekomendacje co do sposobu likwidacji niezgodności.

Ponadto w raporcie wskazujemy jakie działania należy podjąć, by osiągnąć zgodność z RODO, w szczególności zaś:

  • zaproponujemy metodykę szacowania ryzyka i przeprowadzimy szacowanie ryzyka
  • wskażemy, czy konieczne będzie dokonanie oceny skutków przetwarzania danych i jeśli tak, to jak należy przeprowadzić ten proces
  • określimy warunki powołania Inspektora Ochrony Danych (IOD), jeśli okaże się to niezbędne
  • ustalimy zakres obowiązków wynikających z RODO, jaki ciąży na kliencie
  • przedstawimy rekomendacje w zakresie dostosowania środowiska IT do wymogów RODO
  • sporządzimy propozycję harmonogramu wdrożenia.

 

Wdrożenie RODO

Wdrożenie RODO obejmuje dwa etapy:

  • dostosowanie procesów przetwarzania danych
  • dostosowanie środowiska teleinformatycznego

 

W ramach dostosowania procesów przetwarzania danych klient otrzyma dokumenty składające się na kompleksową politykę bezpieczeństwa (ostateczny zakres zależy od wyników audytu i analizy ryzyka), m.in.:

  • procedurę szacowania ryzyka
  • ocenę skutków przetwarzania danych osobowych
  • plan postępowania z ryzykiem
  • procedurę współpracy z podmiotami zewnętrznymi, w tym opracowanie nowego wzoru umowy powierzenia przetwarzania danych osobowych oraz wprowadzenie rozwiązań organizacyjnych pozwalających na wykazanie spełnienia obowiązku wyboru odpowiedniego procesora
  • rejestr czynności przetwarzania danych osobowych
  • procedurę współpracy z organem nadzorczym i zgłaszania naruszeń
  • klauzule do zbierania danych osobowych oraz obowiązki informacyjne
  • status i zadania Inspektora Ochrony Danych (IOD)
  • procedurę rozpatrywania żądań podmiotu danych kierowanych do Inspektora Ochrony Danych (IOD)
  • procedurę postępowania, która w przypadku projektowania systemów IT uwzględnia koncepcje ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default)
  • przeprowadzenie uprzedniej konsultacji z Prezesem Urzędu Ochrony Danych Osobowych (dawniej GIODO) w sytuacjach tego wymagających
  • wybór odpowiednich mechanizmów transferowych w przypadku przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

 

W celu dostosowania środowiska IT zostaną opracowane i dostarczone m.in. procedury dotyczące w zarządzania użytkownikami i uprawnieniami, wykonywania i odzyskiwania kopii zapasowych, obsługi incydentów bezpieczeństwa.

Omawianą usługę możemy rozszerzyć o propozycje wdrożenia przydatnych narzędzi IT, które wspierałyby spełnianie wymogów RODO w zakresie bezpieczeństwa IT, a zwłaszcza:

  • system klasyfikacji informacji
  • system zapobiegający wyciekowi informacji (DLP)
  • platforma zarządzania informacją związaną z bezpieczeństwem i zdarzeniami (SIEM).
Kontakt
Michał Sztąberek
Prezes Zarządu