Chroń dane osobowe

Dowiedz się jak zgodnie z prawem chronić dane osobowe.

AUDYT ZGODNOŚCI Z RODO

Zdecydowana większość organizacji wciąż nie wie że jest niezgodna z wymogami RODO. Wiele podmiotów wyszło z założenia, że spełnienie obowiązku informacyjnego i zawarcie umów powierzenia przetwarzania danych osobowych to wszystkie wymogi RODO. Niestety organizacje te są w błędzie i tak naprawdę dotychczas podjęte działania są jedynie czubkiem góry lodowej. Dopiero przeprowadzenie pełnego audytu zgodności z RODO pozwoli organizacji dostrzec braki wymagające uzupełnienia. Audyt powinien obejmować swoim zakresem co najmniej 4 obszary tj. audyt zgodności organizacji jako całości, audyt procesów przetwarzania danych osobowych, audyt podmiotów przetwarzających i ostatecznie audyt adekwatności zastosowanych środków technicznych i organizacyjnych.

OCENA ZGODNOŚCI Z RODO

Czy twoja organizacja jest przygotowana na kontrolę Prezesa UODO lub kontrahenta? Czy posiadasz dowody skutecznego wdrożenia RODO w twojej organizacji? System ochrony danych osobowych musi być okresowo weryfikowany, bo każda organizacja się zmienia. Skorzystaj z usługi audytu i przekonaj się jakie niezgodności są w twojej organizacji.

ZAKRES USŁUGI

1. OCENA ORGANIZACJI JAKO CAŁOŚCI

Ocena poziom zgodności z RODO organizacji jako administratora danych m.in w następujących obszarach identyfikacji kontekstu organizacji, realizacji wewnętrznych obowiązków administratora danych, realizacji domyślnej ochrony danych, realizacji ochrony danych na etapie projektowania, realizacji obowiązku prowadzenia rejestru czynności przetwarzania, realizacji obowiązku wyznaczenia inspektora ochrony danych (IOD).

2. OCENA ZGODNOŚCI PROCESÓW

Ocena poziomu zgodności procesów przetwarzania danych osobowych m.in. w następujących obszarach identyfikacji procesów przetwarzania danych osobowych, oceny istnienia podstaw prawnych przetwarzania danych zwykłych, istnienia podstaw prawnych przetwarzania danych wrażliwych, realizacji praw osób, których dane dotyczą, realizacji obowiązku informacyjnego, zgodności przetwarzania danych powierzonych, identyfikacji podmiotów przetwarzających dane, oceny zgodności podmiotów przetwarzających.

3. OCENA ZASTOSOWANYCH ZABEZPIECZEŃ

Ocena poziomu bezpieczeństwa zastosowanych środków technicznych i organizacyjnych mających na celu zabezpieczenie danych osobowych m.in. w następujących obszarach fizycznych zabezpieczeń obszaru przetwarzania, kontroli dostępu do obszaru przetwarzania, kontroli dostępu do systemów informatycznych, wdrożenia polityki czystego biurka i ekranu, zabezpieczeń infrastruktury informatycznej, ochrony przed szkodliwym oprogramowaniem, procesu tworzenia kopii zapasowych, zabezpieczeń kryptograficznych, zabezpieczeń mobilnych nośników danych, poziomu świadomości osób przetwarzających dane.

OPIS REALIZACJI USŁUGI

OCENA ORGANIZACJI JAKO CAŁOŚCI

W ramach audytu pierwszym krokiem jest zidentyfikowanie kontekstu przetwarzania danych osobowych w organizacji oraz przepływu danych osobowych. Kolejno weryfikuje się czy organizacja realizuje wszystkie obowiązki wynikające z RODO jako całość. W szczególności weryfikacji podlegają takie obszary jak wdrożenie domyślnej ochrony danych osobowych (privacy by default), ochrony danych osobowych na etapie projektowania produktu lub usługi (privacy by design). Weryfikowane są obowiązki w zakresie prowadzenia rejestru czynności przetwarzania danych osobowych oraz rejestru kategorii przetwarzania. Ostatecznie identyfikuje się obowiązek lub jego brak w zakresie powołania inspektora ochrony danych osobowych w organizacji. Usługa audyt zgodności z RODO opiera się na ponad 50 punktach kontrolnych, które wynikają z RODO. Każda stwierdzona niezgodność zostaje opatrzona wyczerpującą rekomendacją dotyczącą dostosowania organizacji, która ostatecznie trafia do raportu zgodności z RODO w formie harmonogramu dostosowania.

OCENA ZGODNOŚCI PROCESÓW

Kolejnym etapem audytu zgodności z RODO jest weryfikacja poszczególnych procesów przetwarzania danych osobowych pod kątem ich zgodności z RODO. W ramach tej części audytu weryfikuje się realizacje obowiązku informacyjnego wobec osób, których dane dotyczą oraz realizację praw osób, których dane dotyczą. dodatkowo weryfikuje się prawidłowość i rozliczalność w zakresie podstaw prawnych przetwarzania danych osobowych. W razie zidentyfikowani procesu przetwarzania danych osobowych nie zidentyfikowanego do tej pory przez organizację wskazuje się jego istnienie oraz uzasadnienie dlaczego powinien zostać wyodrębniony. Dodatkowo w każdym procesie identyfikuje się podmioty przetwarzające dane osobowe oraz weryfikuje się zawarte z nimi umowy powierzenia przetwarzania danych osobowych. Wynikiem tej części audytu jest kompletna lista procesów przetwarzania danych osobowych w raz z oceną poziomu zgodności z RODO. Lista ta zawiera również podmioty przetwarzające wraz z oceną poziomu ryzyka jaki wiąże się z dalszym powierzaniem przetwarzania danych osobowych tym podmiotom.

OCENA ZASTOSOWANYCH ZABEZPIECZEŃ

W ramach audytu przeprowadzana jest również identyfikacja zastosowanych zabezpieczeń przez pryzmat normy ISO 27002. W ramach audytu weryfikuje się takie obszary jak zabezpieczania fizyczne obszaru przetwarzania danych osobowych, kontrolę dostępu zarówno do obszaru przetwarzania (fizyczną) jak i do systemów informatycznych (informatyczną). Weryfikuje się zabezpieczenia organizacyjne  takie jak polityka czystego biurka, ekranu, druku etc. wraz z poziomem ich wdrożenia w organizacji. Kolejno weryfikowana jest infrastruktura informatyczny przez pryzmat dostępnych technologii zabezpieczających jak również narzędzia programowe zastosowane do przetwarzania danych osobowych. W ramach audytu weryfikowane jest zastosowanie oprogramowania antywirusowego, procedury tworzenia kopii bezpieczeństwa jak również zastosowanie środków kryptograficznych mających na celu zabezpieczenie danych osobowych. Ostatecznie weryfikacji podlegają również elektroniczne nośniki danych i sposoby ich zabezpieczania ze szczególnym uwzględnieniem poziomu świadomości personelu w tym zakresie. Dodatkowo oceniane są sposoby przesyłania danych i komunikacji wykorzystywane w organizacji pod kątem adekwatności zastosowanych zabezpieczeń.

RAPORT ZGODNOŚCI Z RODO

Wynikiem wszystkich działań jest jeden spójny raport zgodności z RODO, który zawiera opis wymogów RODO wraz z powołaniem się na wytyczną, opis zidentyfikowanego stanu faktycznego oraz klasyfikację tego stanu względem wymogów (np. zgodność, niezgodność, możliwość doskonalenia, potencjalne ryzyko). Każdy wymóg w zależności od klasyfikacji otrzymuje dedykowaną rekomendację dostosowawczą, czyli opis działań jakie należy wykonać, kto powinien je wykonać oraz w jakim terminie. Harmonogram jest skonstruowany w taki sposób by zadania poszczególnych osób nie powielały się i by były wykonywane we właściwej kolejności, tak by nie realizować tych samych zadań przez różne osoby wielokrotnie. Po skorzystaniu z usługi audytu zgodności organizacja otrzyma informacje, które wymogi RODO realizuje, których nie realizuje, a powinna wraz z uzasadnieniem, jak również dokładny opis tego co, jak i przez kogo powinno zostać zrealizowane.

OPINIE KLIENTÓW

87%
Umiejętność przekazywania wiedzy
81%
Znajomość procesów biznesowych
83%
Przejrzystość raportowania wyników
moje-crop

Konrad Gałaj-Emiliańczyk

Prawnik, inspektor ochrony danych, audytor wiodący systemu zarządzania ciągłością działania wg normy PN-EN ISO 22301. Wykładowca biorący udział w licznych konferencjach i seminariach, samodzielnie przeprowadził ponad 700 otwartych szkoleń i warsztatów dla administratorów bezpieczeństwa informacji. Zawodowo zajmuje się m.in. kontrolą i audytem w zakresie bezpieczeństwa informacji, tworzeniem wewnętrznych procedur i dokumentacji oraz sporządzaniem opinii prawnych. Odpowiedzialny za bezpieczeństwo informacji w kilkunastu podmiotach. Koordynator projektów wdrażania RODO w szeregu organizacji sektora prywatnego.

KONTAKT

Oferujemy kompleksowe usługi w zakresie dostosowania organizacji do RODO.

Close Menu