Chroń dane osobowe

Dowiedz się jak zgodnie z prawem chronić dane osobowe.

DOKUMENTACJA ZGODNOŚCI Z RODO

Zgodnie z RODO każda organizacja musi przestrzegać zasady rozliczalności, czyli być w stanie udowodnić swoją zgodność z RODO. Najprościej i najskuteczniej jest udowodnić swoją zgodność z RODO przez przygotowanie wewnętrznej dokumentacji ochrony danych osobowych. Działanie to jest o tyle utrudnione, o ile nie każda organizacja musi realizować takie same obowiązki wynikające z RODO. Korzystanie z gotowych szablonów powoduje, że najczęściej organizacja posiada dużo więcej procedur wewnętrznych niż jest to wymagane. Finalnie nie są one wdrażane i aspekt rozliczalności jest stawiany pod wielkim znakiem zapytania.

DOKUMENTACJA DOPASOWANA DO ORGANIZACJI

Czy twoja organizacja posiada opisane wszelkie procedury wymagane przez RODO? Czy dokumentacja jest na tyle przejrzysta i spójna, że da się ją faktycznie wdrożyć? Dokumentacja zgodności z RODO musi odzwierciedlać nie tylko przepisy prawa ale musi być wdrożona tj. działać w organizacji. Skorzystaj z usługi opracowania dedykowanej dokumentacji dopasowanej do twojej organizacji.

ZAKRES USŁUGI

1. POLITYKA BEZPIECZEŃSTWA

Przygotowanie polityki bezpieczeństwa czyli głównego dokument zapewniającego zgodność z RODO na potrzeby ewentualnej kontroli, która zawiera m.in. następujące procedury: oceny skutków przetwarzania,  analizy ryzyka,  współpracy z podmiotami zewnętrznymi, domyślnej ochrony danych, ochrony danych na etapie projektowania,  zarządzania incydentami,  realizacji praw osób, których dane dotyczą,  odbierania zgód oraz informowania osób oraz procedurę ciągłości działania.

2. REJESTR CZYNNOŚCI PRZETWARZANIA

Przygotowanie rejestru czynności przetwarzania który zawiera m.in: zidentyfikowane procesy, cel przetwarzania, kategorię osób, których dane dotyczą, kategorie danych przetwarzanych w procesie, planowany termin usunięcia danych, podmioty przetwarzające, kategorie odbiorców danych, ogólny opis zabezpieczeń oraz opis przesyłu danych poza EOG (jeżeli występuje).

3. NARZĘDZIE DO DPIA

Arkusz kalkulacyjny do przeprowadzania oceny skutków przetwarzania uwzględniający m.in. opis operacji przetwarzania danych, ocenę niezbędności i proporcjonalności przetwarzanych danych, opis procesu zarządzania ryzykiem, narzędzie do analizy ryzyka DPIA.

4. NARZĘDZIE DO ANALIZY RYZYKA

 

Narzędzie do przeprowadzania inwentaryzacji zasobów i analizy ryzyka uwzględniające m.in. kategorie zasobów biorących udział w procesach przetwarzania danych, przypisanie zasobów do procesów, przeprowadzenie właściwej analizy ryzyka.

5. NARZĘDZIE DO REALIZACJI PRAW OSÓB

Arkusz kalkulacyjny uwzględniający m.in. wnioski osób, których dane dotyczą, analizę zasadności realizacji praw osób, szablon odpowiedzi na wniosek osoby, której dane dotyczą.

OPIS REALIZACJI USŁUGI

POLITYKA BEZPIECZEŃSTWA

Jest to główny dokument opisujący cele stosowania zabezpieczeń wobec zasobów informacyjnych w każdej organizacji. W podmiotach, które posiadają wdrożony system ochrony danych osobowych proponuje się modyfikację istniejącej dokumentacji np. ISO 27001 tak by ochrona danych osobowych pozostała włączona w istniejący SZBI (System Zarządzania Bezpieczeństwem Informacji). Polityka bezpieczeństwa uwzględnia nowe procedury wymagane przez RODO, takiej jak procedura przeprowadzania oceny skutków przetwarzania czy procedura inwentaryzacji zasobów informacyjnych i analizy ryzyka. Dodatkowo każda dokumentacja ochrony danych osobowych musi zawierać procedurę współpracy z podmiotami przetwarzającymi (procesorami), w szczególności w zakresie zawierania umów powierzenia przetwarzania danych osobowych. Kolejno najczęściej pomijane procedury tj. procedur privacy by design i privacy by default. Ostatecznie procedura zgłaszania i zarządzania naruszeniami ochrony danych osobowych i zgłaszania naruszeń do organu nadzorczego. Dokumentacja sporządzania w ramach usługi jest dopasowana do organizacji klienta – nie jest to gotowy szablon, a dokumentacja “szyta na miarę” tak by nie tworzyć niepotrzebnie procedur które nie mają zastosowania w organizacji.

REJESTR CZYNNOŚCI PRZETWARZANIA (RCP)

W ramach usługi opracowywany jest rejestr czynności przetwarzania danych osobowych, który uwzględnia takie dane jak cel przetwarzania danych osobowych w procesie, kategorię osób których dane dotyczą jak również zakres danych przetwarzanych o osobach. Jest to główny dokument, który będą chcieli zobaczyć kontrolerzy urzędu ochrony danych osobowych, gdyż niezależnie od pozostałej części dokumentacji stanowi on swoistą mapę procesów przetwarzania danych osobowych. Na potrzeby rejestru pobierane są dane od właścicieli procesów w zakresie niezbędnym do uzupełnienia RCP. Ostatecznie RCP jest przedstawiane wszystkim właścicielom procesów przetwarzania danych osobowych (czynności przetwarzania) do zaakceptowania lub modyfikacji. Celem współdziałania jest określenie takiej treści RCP by odzwierciedlał on stan faktyczny. Warto dodać, że w zamyśle ustawodawcy europejskiego jest dokument, który powinien być okresowo aktualizowany, gdyż każda organizacją mniej lub bardziej zmienia swoje procesy wraz z upływem czasu.

NARZĘDZIE DO DPIA I ANALIZY RYZYKA

Kolejnym dokumentem wymagającym konsultacji z organizacją jest narzędzie do przeprowadzania oceny skutków przetwarzania (DPIA). Każda organizacją jest inna dla jednej wystarczające będzie proste narzędzie spełniające wymogi RODO, a inna organizacja może zechcieć by narzędzie to uwzględniało dodatkowe wymogi sektora lub branży. Często organizacją posiada już przyjętą metodę analizy ryzyka i woli by ocena skutków przetwarzania była wykonywana właśnie ta metodyka. W każdej takiej sytuacje narzędzie jest dopasowywane tak by spełniało wymogi prawa i jednocześnie pasowało do pozostałej wewnętrznej dokumentacji, która została przyjęta w organizacji. Analogicznie wygląda sytuacja z narzędziem do analizy ryzyka, które powinno być jak najprostsze tak by każdy właściciel procesu był w stanie z niego skorzystać.

NARZĘDZIE DO REALIZACJI PRAW OSÓB

Ostatnim elementem dokumentacji wymagającym współpracy ze strony klienta jest narzędzie do oceny czy konkretne uprawnienie osoby wynikające z RODO powinno zostać spełnione przez organizację czy jednak pojawiają się jakieś wyłączenia w tym obszarze. Narzędzie to podobnie jak pozostałe elementy dokumentacji musi być sporządzone w przystępny sposób dla osób nie mających na co dzień styczności z ochroną danych osobowych czy bezpieczeństwem informacji. Oczywiście zakres tego narzędzia zależy również od kształtu systemu ochrony danych osobowych, gdyż w przypadku powołania IOD w organizacji to on odpowiada za kontakty z osobami, których dane dotyczą. Wynikiem usługi jest kompletne dokumentacja ochrony danych osobowych wymagana przepisami prawa gotowa do zatwierdzenia i wdrożenia. Spektrum zakresu dokumentów jest uzależnione od takich czynników jak wielkość organizacji klienta (liczba osób przetwarzających dane osobowe), złożoność procesów przetwarzania danych osobowych (np. outsourcing lub obce systemy informatyczne) jak również standard bezpieczeństwa informacji (np. wdrożona i certyfikowana norma ISO 27001 i/lub ISO 22301).

OPINIE KLIENTÓW

91%
Dopasowanie dokumentacji do organizacji
84%
Użyteczność narzędzi zawartych w dokumentacji
90%
Przystępność prezentowanych narzędzi
96%
Przejrzystość raportowania wyników
moje-crop

Konrad Gałaj-Emiliańczyk

Prawnik, inspektor ochrony danych, audytor wiodący systemu zarządzania ciągłością działania wg normy PN-EN ISO 22301. Wykładowca biorący udział w licznych konferencjach i seminariach, samodzielnie przeprowadził ponad 700 otwartych szkoleń i warsztatów dla administratorów bezpieczeństwa informacji. Zawodowo zajmuje się m.in. kontrolą i audytem w zakresie bezpieczeństwa informacji, tworzeniem wewnętrznych procedur i dokumentacji oraz sporządzaniem opinii prawnych. Odpowiedzialny za bezpieczeństwo informacji w kilkunastu podmiotach. Koordynator projektów wdrażania RODO w szeregu organizacji sektora prywatnego.

KONTAKT

Oferujemy kompleksowe usługi w zakresie dostosowania organizacji do RODO.

Close Menu