iSecure logo
  • pl
  • en
    • Ochrona danych osobowych

    Audyt i wdrożenie RODO

    Audyt RODO ma na celu  weryfikację obecnego stanu ochrony danych osobowych oraz ocenę stopnia wdrożenia wymogów wynikających z ogólnego rozporządzenia o ochronie danych (RODO/GDPR).

    W ramach audytu RODO:

    • określimy, do których informacji należy stosować przepisy RODO
    • określimy status podmiotów przetwarzających dane osobowe (administrator, współadministrator, procesor, subprocessor)
    • zweryfikujemy przesłanki przetwarzania danych osobowych określone w RODO w kontekście legalności przetwarzania na potrzeby poszczególnych procesów realizowanych przez klienta
    • dokonamy przeglądu stosowanych klauzul zgód
    • dokonamy przeglądu stosowanych klauzul (obowiązków) informacyjnych,
    • przeanalizujemy treści stosowanych umów powierzenia przetwarzania danych
    • określimy procedury realizacji praw podmiotów danych (np. w zakresie prawa dostępu do danych)
    • określimy procedury realizacji obowiązków administratorów danych / procesorów (np. w zakresie powiadomień o naruszeniach)
    • przeanalizujemy stosowane środki techniczne (informatyczne, fizyczne) i organizacyjne służące do zabezpieczenia danych pod kątem zgodności ze wskazaniami RODO.

    Raport poaudytowy

    Efektem końcowym audytu jest raport przedwdrożeniowy prezentujący opis niezgodności, w tym wykryte naruszenia prawa, dowody potwierdzające niezgodności oraz rekomendacje, co do sposobu likwidacji niezgodności.

    Dzięki raportowi w przejrzysty sposób znajdziesz odpowiedź na pytanie, w jakim stopniu przetwarzanie danych osobowych w Twojej firmie jest obarczone ryzykiem oraz czego brakuje Ci do pełnej zgodności z przepisami.

    Ponadto w raporcie wskazujemy jakie działania należy podjąć, by osiągnąć zgodność z wymaganiami RODO, w szczególności zaś:

    • wskażemy, czy konieczne będzie dokonanie oceny skutków przetwarzania danych i jeśli tak, to jak należy przeprowadzić ten proces
    • określimy warunki powołania Inspektora Ochrony Danych (IOD), jeśli okaże się to niezbędne
    • ustalimy zakres obowiązków wynikających z RODO, jaki ciąży na kliencie
    • przedstawimy rekomendacje w zakresie dostosowania środowiska IT do wymogów RODO

    Właściwe wdrożenie RODO

    Wdrożenie RODO obejmuje dwa etapy:

    • dostosowanie procesów przetwarzania danych
    • dostosowanie środowiska teleinformatycznego

    Znając wyniki audytu i wiedząc, jaka praca jest do wykonania, sporządzimy propozycję harmonogramu wdrożenia wymagań RODO tak, aby osiągnąć zgodność z przepisami.

    W ramach dostosowania procesów przetwarzania danych klient otrzyma dokumenty składające się na kompleksową politykę ochrony danych (ostateczny zakres zależy od wyników audytu i analizy ryzyka), m.in.:

    • metodykę analizy ryzyka i przeprowadzimy samą analizę ryzyka naruszenia praw lub wolności osób, których dane dotyczą w wyniku przetwarzania ich danych osobowych
    • zasady przeprowadzania oceny skutków przetwarzania danych osobowych
    • procedurę współpracy z podmiotami zewnętrznymi, w tym opracowanie nowego wzoru umowy powierzenia przetwarzania danych osobowych oraz wprowadzenie rozwiązań organizacyjnych pozwalających na wykazanie spełnienia obowiązku wyboru odpowiedniego procesora
    • rejestr czynności przetwarzania danych osobowych
    • rejestr kategorii czynności przetwarzania danych osobowych
    • procedurę współpracy z organem nadzorczym i zgłaszania naruszeń
    • procedurę zarządzania incydentami bezpieczeństwa
    • klauzule do stosowania podczas zbierania danych osobowych, w tym klauzule dotyczące wypełnienia obowiązków informacyjnych
    • dokument, określający status i zadania Inspektora Ochrony Danych (IOD)
    • procedurę rozpatrywania żądań podmiotu danych
    • politykę retencji danych
    • procedurę postępowania, która w przypadku projektowania systemów IT uwzględnia koncepcję ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default)
    • opis przeprowadzenia uprzedniej konsultacji z Prezesem Urzędu Ochrony Danych Osobowych, w sytuacjach tego wymagających
    • dokument opisujący wybór odpowiednich mechanizmów transferowych, w przypadku przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

     

    W celu dostosowania środowiska IT zostaną dostarczone klientowi zalecenia dotyczące m.in. procedury  zarządzania użytkownikami i uprawnieniami, wykonywania i odzyskiwania kopii zapasowych, obsługi incydentów bezpieczeństwa.

    Omawianą usługę możemy rozszerzyć o propozycje wdrożenia przydatnych narzędzi IT, które wspierałyby spełnianie wymogów RODO w zakresie bezpieczeństwa IT, a zwłaszcza:

    • system klasyfikacji informacji
    • system zapobiegający wyciekowi informacji (DLP)
    • platforma zarządzania informacją związaną z bezpieczeństwem i zdarzeniami (SIEM).

     

    We wdrożeniu RODO ważni są ludzie!

    Należy pamiętać, że RODO to nie tylko dokumenty. Ważni są ludzie, którzy pracują na danych osobowych w firmie. Niestety czynnik ludzki jest najczęstszym powodem naruszeń. Dlatego poza wdrożeniem odpowiednich procedur i zabezpieczeń informatycznych,  należy przeszkolić wszystkich pracowników. W tym celu zapewniamy:

    •       szkolenia on-line,
    •       szkolenia stacjonarne,
    •       zwięzłe i przejrzyste materiały dla pracowników,
    •       infografiki,
    •       monitoring najnowszych wiadomości, decyzji i orzeczeń – także organów zagranicznych.

     

    A jeśli RODO to nie wszystko?

    Oczywiście, że samo "papierowe" wdrożenie RODO nie jest wystarczające dla faktycznej ochrony danych osobowych. RODO zawiera ogólne stwierdzenia, że zabezpieczenia muszą być odpowiednie w stosunku do ryzyka, a przeniesienie ich na papier w formie dokumentacji to jakiś element drogi do sukcesu w realnym wdrożeniu RODO. RODO, dzięki ogólnym założeniom dotyczącym zabezpieczeń, jest neutralne (technologicznie), a przez brak szczegółowych wytycznych nie powinno szybko się zestarzeć. Pułapką takiego rozwiązania legislacyjnego jest niestety wielka niewiadoma przy procesie wdrażania RODO. W końcu nie ma żadnego odniesienia – czy robimy coś dobrze, czy źle. Szukać pomocy można w innych normach, np. ISO. Dlatego w naszym zespole mamy certyfikowanych audytorów Systemu Zarządzania Bezpieczeństwem Informacji wg normy ISO 27001. Normy serii ISO 27000 stanowią jedne z najważniejszych, powszechnie akceptowanych dokumentów prezentujących aktualny stan wiedzy technicznej w zakresie stosowania środków bezpieczeństwa i zarządzania bezpieczeństwem. Urząd Ochrony Danych Osobowych także zaleca brać je pod uwagę.

     

    Przy analizie naruszeń ochrony danych osobowych można kierować się zaleceniami Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). Mamy jednak nadzieję, że zagrożeń bezpieczeństwa u Państwa nie będzie, ale gdyby były – jesteśmy przygotowani, by dostarczać Państwu za każdym razem analizę naruszenia

     

    Oferujemy naszą pomoc we wdrożeniu RODO

    Doświadczeni pracownicy iSecure pomogą Państwu zarówno przy audycie, jak i dostosowaniu dokumentacji oraz w szkoleniu pracowników.

    Z nami nie ma rzeczy niemożliwych, a właściwe wdrożenie RODO w organizacji pozwoli spać spokojnie i zminimalizuje ryzyko nałożenia kar lub domagania się odszkodowań za nieodpowiednie przetwarzanie danych osobowych.

    Kontakt
    Maria Lothamer
    Wiceprezes Zarządu
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki