iSecure logo
Ochrona danych osobowych

Audyt i wdrożenie RODO

Audyt RODO ma na celu  weryfikację obecnego stanu ochrony danych osobowych oraz ocenę stopnia wdrożenia wymogów wynikających z ogólnego rozporządzenia o ochronie danych (RODO/GDPR).

W ramach audytu RODO:

  • określimy, do których informacji należy stosować przepisy RODO
  • określimy status podmiotów przetwarzających dane osobowe (administrator, współadministrator, procesor, subprocessor)
  • zweryfikujemy przesłanki przetwarzania danych osobowych określone w RODO w kontekście legalności przetwarzania na potrzeby poszczególnych procesów realizowanych przez klienta
  • dokonamy przeglądu stosowanych klauzul zgód
  • dokonamy przeglądu stosowanych klauzul (obowiązków) informacyjnych,
  • przeanalizujemy treści stosowanych umów powierzenia przetwarzania danych
  • określimy procedury realizacji praw podmiotów danych (np. w zakresie prawa dostępu do danych)
  • określimy procedury realizacji obowiązków administratorów danych / procesorów (np. w zakresie powiadomień o naruszeniach)
  • przeanalizujemy stosowane środki techniczne (informatyczne, fizyczne) i organizacyjne służące do zabezpieczenia danych pod kątem zgodności ze wskazaniami RODO.

Raport poaudytowy

Efektem końcowym audytu jest raport przedwdrożeniowy prezentujący opis niezgodności, w tym wykryte naruszenia prawa, dowody potwierdzające niezgodności oraz rekomendacje, co do sposobu likwidacji niezgodności.

Dzięki raportowi w przejrzysty sposób znajdziesz odpowiedź na pytanie, w jakim stopniu przetwarzanie danych osobowych w Twojej firmie jest obarczone ryzykiem oraz czego brakuje Ci do pełnej zgodności z przepisami.

Ponadto w raporcie wskazujemy jakie działania należy podjąć, by osiągnąć zgodność z wymaganiami RODO, w szczególności zaś:

  • wskażemy, czy konieczne będzie dokonanie oceny skutków przetwarzania danych i jeśli tak, to jak należy przeprowadzić ten proces
  • określimy warunki powołania Inspektora Ochrony Danych (IOD), jeśli okaże się to niezbędne
  • ustalimy zakres obowiązków wynikających z RODO, jaki ciąży na kliencie
  • przedstawimy rekomendacje w zakresie dostosowania środowiska IT do wymogów RODO

Właściwe wdrożenie RODO

Wdrożenie RODO obejmuje dwa etapy:

  • dostosowanie procesów przetwarzania danych
  • dostosowanie środowiska teleinformatycznego

Znając wyniki audytu i wiedząc, jaka praca jest do wykonania, sporządzimy propozycję harmonogramu wdrożenia wymagań RODO tak, aby osiągnąć zgodność z przepisami.

W ramach dostosowania procesów przetwarzania danych klient otrzyma dokumenty składające się na kompleksową politykę ochrony danych (ostateczny zakres zależy od wyników audytu i analizy ryzyka), m.in.:

  • metodykę analizy ryzyka i przeprowadzimy samą analizę ryzyka naruszenia praw lub wolności osób, których dane dotyczą w wyniku przetwarzania ich danych osobowych
  • zasady przeprowadzania oceny skutków przetwarzania danych osobowych
  • procedurę współpracy z podmiotami zewnętrznymi, w tym opracowanie nowego wzoru umowy powierzenia przetwarzania danych osobowych oraz wprowadzenie rozwiązań organizacyjnych pozwalających na wykazanie spełnienia obowiązku wyboru odpowiedniego procesora
  • rejestr czynności przetwarzania danych osobowych
  • rejestr kategorii czynności przetwarzania danych osobowych
  • procedurę współpracy z organem nadzorczym i zgłaszania naruszeń
  • procedurę zarządzania incydentami bezpieczeństwa
  • klauzule do stosowania podczas zbierania danych osobowych, w tym klauzule dotyczące wypełnienia obowiązków informacyjnych
  • dokument, określający status i zadania Inspektora Ochrony Danych (IOD)
  • procedurę rozpatrywania żądań podmiotu danych
  • politykę retencji danych
  • procedurę postępowania, która w przypadku projektowania systemów IT uwzględnia koncepcję ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default)
  • opis przeprowadzenia uprzedniej konsultacji z Prezesem Urzędu Ochrony Danych Osobowych, w sytuacjach tego wymagających
  • dokument opisujący wybór odpowiednich mechanizmów transferowych, w przypadku przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

 

W celu dostosowania środowiska IT zostaną dostarczone klientowi zalecenia dotyczące m.in. procedury  zarządzania użytkownikami i uprawnieniami, wykonywania i odzyskiwania kopii zapasowych, obsługi incydentów bezpieczeństwa.

Omawianą usługę możemy rozszerzyć o propozycje wdrożenia przydatnych narzędzi IT, które wspierałyby spełnianie wymogów RODO w zakresie bezpieczeństwa IT, a zwłaszcza:

  • system klasyfikacji informacji
  • system zapobiegający wyciekowi informacji (DLP)
  • platforma zarządzania informacją związaną z bezpieczeństwem i zdarzeniami (SIEM).

 

We wdrożeniu RODO ważni są ludzie!

Należy pamiętać, że RODO to nie tylko dokumenty. Ważni są ludzie, którzy pracują na danych osobowych w firmie. Niestety czynnik ludzki jest najczęstszym powodem naruszeń. Dlatego poza wdrożeniem odpowiednich procedur i zabezpieczeń informatycznych,  należy przeszkolić wszystkich pracowników. W tym celu zapewniamy:

  •       szkolenia on-line,
  •       szkolenia stacjonarne,
  •       zwięzłe i przejrzyste materiały dla pracowników,
  •       infografiki,
  •       monitoring najnowszych wiadomości, decyzji i orzeczeń – także organów zagranicznych.

 

A jeśli RODO to nie wszystko?

Oczywiście, że samo "papierowe" wdrożenie RODO nie jest wystarczające dla faktycznej ochrony danych osobowych. RODO zawiera ogólne stwierdzenia, że zabezpieczenia muszą być odpowiednie w stosunku do ryzyka, a przeniesienie ich na papier w formie dokumentacji to jakiś element drogi do sukcesu w realnym wdrożeniu RODO. RODO, dzięki ogólnym założeniom dotyczącym zabezpieczeń, jest neutralne (technologicznie), a przez brak szczegółowych wytycznych nie powinno szybko się zestarzeć. Pułapką takiego rozwiązania legislacyjnego jest niestety wielka niewiadoma przy procesie wdrażania RODO. W końcu nie ma żadnego odniesienia – czy robimy coś dobrze, czy źle. Szukać pomocy można w innych normach, np. ISO. Dlatego w naszym zespole mamy certyfikowanych audytorów Systemu Zarządzania Bezpieczeństwem Informacji wg normy ISO 27001. Normy serii ISO 27000 stanowią jedne z najważniejszych, powszechnie akceptowanych dokumentów prezentujących aktualny stan wiedzy technicznej w zakresie stosowania środków bezpieczeństwa i zarządzania bezpieczeństwem. Urząd Ochrony Danych Osobowych także zaleca brać je pod uwagę.

 

Przy analizie naruszeń ochrony danych osobowych można kierować się zaleceniami Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). Mamy jednak nadzieję, że zagrożeń bezpieczeństwa u Państwa nie będzie, ale gdyby były – jesteśmy przygotowani, by dostarczać Państwu za każdym razem analizę naruszenia

 

Oferujemy naszą pomoc we wdrożeniu RODO

Doświadczeni pracownicy iSecure pomogą Państwu zarówno przy audycie, jak i dostosowaniu dokumentacji oraz w szkoleniu pracowników.

Z nami nie ma rzeczy niemożliwych, a właściwe wdrożenie RODO w organizacji pozwoli spać spokojnie i zminimalizuje ryzyko nałożenia kar lub domagania się odszkodowań za nieodpowiednie przetwarzanie danych osobowych.

Kontakt
Maria Lothamer
Wiceprezes Zarządu
Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki