Audyt i wdrożenie RODO

Audyt RODO ma na celu  weryfikację obecnego stanu ochrony danych osobowych oraz ocenę stopnia wdrożenia wymogów wynikających z ogólnego rozporządzenia o ochronie danych (RODO/GDPR).

Dlaczego audyt?

W firmach cały czas dochodzi do przetwarzania danych osobowych. Pojawia się więc pytanie, czy wiemy skąd je pozyskujemy? Czy posiadamy odpowiednie podstawy prawne do ich przetwarzania (zgodę, przepis prawa, umowę, itp)? Czy spełniliśmy odpowiedni obowiązek informacyjny wobec naszych klientów (tzn. czy zbierając dane podaliśmy jasne i pełne informacje o okolicznościach przetwarzania danych, np. celu, źródle, okresie przechowywania, odbiorcach danych)? Czy nasze działy marketingu, sprzedaży panują nad zbieranymi danymi osobowymi? Czy dane są usuwane, gdy już ich nie potrzebujemy? Tylko sprawnie przeprowadzony audyt pozwoli odpowiedzieć nam na powyższe pytania!

W ramach audytu RODO:

• określimy, do których informacji należy stosować przepisy RODO
• określimy status podmiotów przetwarzających dane osobowe (administrator, współadministrator, procesor, subprocesor)
• zweryfikujemy przesłanki przetwarzania danych osobowych określone w RODO w kontekście legalności przetwarzania na potrzeby poszczególnych procesów realizowanych przez klienta
• dokonamy przeglądu stosowanych klauzul zgód
• dokonamy przeglądu stosowanych klauzul (obowiązków) informacyjnych,
• przeanalizujemy treści stosowanych umów powierzenia przetwarzania danych
• określimy procedury realizacji praw podmiotów danych (np. w zakresie prawa dostępu do danych)
• określimy procedury realizacji obowiązków administratorów danych / procesorów (np. w zakresie powiadomień o naruszeniach)
• przeanalizujemy stosowane środki techniczne (informatyczne, fizyczne) i organizacyjne służące do zabezpieczenia danych pod kątem zgodności ze wskazaniami RODO

Raport poaudytowy

Efektem końcowym audytu jest raport przedwdrożeniowy prezentujący opis niezgodności, w tym wykryte naruszenia prawa, dowody potwierdzające niezgodności oraz rekomendacje, co do sposobu likwidacji niezgodności.

Dzięki raportowi w przejrzysty sposób znajdziesz odpowiedź na pytanie, w jakim stopniu przetwarzanie danych osobowych w Twojej firmie jest obarczone ryzykiem oraz czego brakuje Ci do pełnej zgodności z przepisami.

Ponadto w raporcie wskazujemy jakie działania należy podjąć, by osiągnąć zgodność z wymaganiami RODO, w szczególności zaś:

• wskażemy, czy konieczne będzie dokonanie oceny skutków przetwarzania danych i jeśli tak, to jak należy przeprowadzić ten proces
• określimy warunki powołania Inspektora Ochrony Danych (IOD), jeśli okaże się to niezbędne
• ustalimy zakres obowiązków wynikających z RODO, jaki ciąży na kliencie
• przedstawimy rekomendacje w zakresie dostosowania środowiska IT do wymogów RODO

Właściwe wdrożenie RODO

Wdrożenie RODO obejmuje dwa etapy:

• dostosowanie procesów przetwarzania danych
• dostosowanie środowiska teleinformatycznego

Znając wyniki audytu i wiedząc, jaka praca jest do wykonania, sporządzimy propozycję harmonogramu wdrożenia wymagań RODO tak, aby osiągnąć zgodność z przepisami.

W ramach dostosowania procesów przetwarzania danych klient otrzyma dokumenty składające się na kompleksową politykę ochrony danych (ostateczny zakres zależy od wyników audytu i analizy ryzyka), m.in.:

• metodykę analizy ryzyka i przeprowadzimy samą analizę ryzyka naruszenia praw lub wolności osób, których dane dotyczą w wyniku przetwarzania ich danych osobowych
• zasady przeprowadzania oceny skutków przetwarzania danych osobowych
• procedurę współpracy z podmiotami zewnętrznymi, w tym opracowanie nowego wzoru umowy powierzenia przetwarzania danych osobowych oraz wprowadzenie rozwiązań organizacyjnych pozwalających na wykazanie spełnienia obowiązku wyboru odpowiedniego procesora
• rejestr czynności przetwarzania danych osobowych
• rejestr kategorii czynności przetwarzania danych osobowych
• procedurę współpracy z organem nadzorczym i zgłaszania naruszeń
• procedurę zarządzania incydentami bezpieczeństwa
• klauzule do stosowania podczas zbierania danych osobowych, w tym klauzule dotyczące wypełnienia obowiązków informacyjnych
• dokument, określający status i zadania Inspektora Ochrony Danych (IOD)
• procedurę rozpatrywania żądań podmiotu danych
• politykę retencji danych
• procedurę postępowania, która w przypadku projektowania systemów IT uwzględnia koncepcję ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default)
• opis przeprowadzenia uprzedniej konsultacji z Prezesem Urzędu Ochrony Danych Osobowych, w sytuacjach tego wymagających
• dokument opisujący wybór odpowiednich mechanizmów transferowych, w przypadku przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej

W celu dostosowania środowiska IT zostaną dostarczone klientowi zalecenia dotyczące m.in. procedury  zarządzania użytkownikami i uprawnieniami, wykonywania i odzyskiwania kopii zapasowych, obsługi incydentów bezpieczeństwa.

Omawianą usługę możemy rozszerzyć o propozycje wdrożenia przydatnych narzędzi IT, które wspierałyby spełnianie wymogów RODO w zakresie bezpieczeństwa IT, a zwłaszcza:

• system klasyfikacji informacji
• system zapobiegający wyciekowi informacji (DLP)
• platforma zarządzania informacją związaną z bezpieczeństwem i zdarzeniami (SIEM).

We wdrożeniu RODO ważni są ludzie!

Należy pamiętać, że RODO to nie tylko dokumenty. Ważni są ludzie, którzy pracują na danych osobowych w firmie. Niestety czynnik ludzki jest najczęstszym powodem naruszeń. Dlatego poza wdrożeniem odpowiednich procedur i zabezpieczeń informatycznych,  należy przeszkolić wszystkich pracowników. W tym celu zapewniamy:

•       szkolenia on-line,
•       szkolenia stacjonarne,
•       zwięzłe i przejrzyste materiały dla pracowników,
•       infografiki,
•       monitoring najnowszych wiadomości, decyzji i orzeczeń – także organów zagranicznych.

A jeśli RODO to nie wszystko?

Oczywiście, że samo "papierowe" wdrożenie RODO nie jest wystarczające dla faktycznej ochrony danych osobowych. RODO zawiera ogólne stwierdzenia, że zabezpieczenia muszą być odpowiednie w stosunku do ryzyka, a przeniesienie ich na papier w formie dokumentacji to jedynie pewien element drogi do sukcesu w realnym wdrożeniu RODO. RODO, dzięki ogólnym założeniom dotyczącym zabezpieczeń, jest neutralne (technologicznie), a przez brak szczegółowych wytycznych nie powinno szybko się zestarzeć. Pułapką takiego rozwiązania legislacyjnego jest niestety wielka niewiadoma przy procesie wdrażania RODO. W końcu nie ma żadnego odniesienia – czy robimy coś dobrze, czy źle. Szukać pomocy można w innych normach, np. ISO. Dlatego w naszym zespole mamy certyfikowanych audytorów Systemu Zarządzania Bezpieczeństwem Informacji wg normy ISO 27001. Normy serii ISO 27000 stanowią jedne z najważniejszych, powszechnie akceptowanych dokumentów prezentujących aktualny stan wiedzy technicznej w zakresie stosowania środków bezpieczeństwa i zarządzania bezpieczeństwem. Urząd Ochrony Danych Osobowych także zaleca brać je pod uwagę.

Przy analizie naruszeń ochrony danych osobowych można kierować się zaleceniami Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). Mamy jednak nadzieję, że zagrożeń bezpieczeństwa w Twojej organizacji nie będzie, ale gdyby były – jesteśmy przygotowani, by dostarczać Ci za każdym razem analizę naruszenia. 

Oferujemy naszą pomoc we wdrożeniu RODO

Doświadczeni pracownicy iSecure pomogą Ci zarówno przy audycie, jak i dostosowaniu dokumentacji, stron internetowych czy systemów IT, a także w szkoleniu pracowników.

Z nami nie ma rzeczy niemożliwych, a właściwe wdrożenie RODO w organizacji pozwoli spać spokojnie i zminimalizuje ryzyko nałożenia kar lub domagania się odszkodowań za nieodpowiednie przetwarzanie danych osobowych.