Od 25 maja 2018 r. obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO), nakładające na przedsiębiorców – administratorów danych osobowych szereg nowych obowiązków, a jednocześnie rozszerzające zakres ich odpowiedzialności.
Nowe regulacje przewidują dotkliwe sankcje finansowe w przypadku niedopełnienia obowiązków przez przedsiębiorców, do których stosowane jest Rozporządzenie, w wysokości do 10 lub 20 mln euro, bądź od 2-4% rocznego obrotu przedsiębiorstwa.

Usługi Kancelarii w ramach zapewnienia zgodności funkcjonowania przedsiębiorstwa z przepisami Rozporządzenia obejmują w szczególności:

1/ przeprowadzenie audytu zgodności z RODO
2 /analiza ryzyka
3/ wdrożenie rekomendowanych procedur
4/ monitorowanie, audyty kontrolne, outsourcing w zakresie obowiązków Inspektora Danych Osobowych.

Ad 1/
Audyt bezpieczeństwa
Przeprowadzenie audytu ma na celu weryfikację zgodności procesów przetwarzania danych osobowych z obowiązującym Rozporządzeniem.
Audyt obejmuje m.in.:
proces zbierania informacji na temat audytowanej organizacji, jej struktury, podziału zadań i kompetencji wśród pracowników, ocena zastosowanych rozwiązań organizacyjnych pod kątem realizacji ochrony danych osobowych,
badanie przepływu informacji oraz procesów przetwarzania danych osobowych,
identyfikacja i klasyfikacja zbiorów danych osobowych,
analiza zebranych danych, celu, metody i adekwatności przetwarzania danych osobowych,
analiza istniejącej dokumentacji dot. przetwarzania danych osobowych,
analiza dokumentów wymienianych z osobami trzecimi (kontrahentami, klientami) pod kątem stosowania ochrony danych osobowych,
weryfikacja stosowanych zabezpieczeń systemów informatycznych, poziomu zabezpieczeń danych przechowywanych i przetwarzanych w systemach informatycznych,
weryfikacja zakresu wiedzy i świadomości pracowników oraz współpracowników badanego podmiotu w przedmiocie konieczności przestrzegania zasad ochrony danych osobowych,
sporządzenie szczegółowego raportu z audytu, zawierającego wytyczne i rekomendacje dotyczące wdrożenia ewentualnych zmian, pozwalających na zapewnienie zgodności działania podmiotu z przepisami Rozporządzenia.

2/ analiza ryzyka
Postanowienia RODO nie określają konkretnych środków bezpieczeństwa, jakie winny zostać wdrożone w ramach jednostki. Z tej przyczyny rekomendowanym jest przyjęcie podejścia opartego na ryzyku, polegającego na określeniu przez podmiot – administratora danych osobowych, zakresu środków bezpieczeństwa odpowiednich w jego przypadku.
Jedną z podstawowych zasad wprowadzonych przez Rozporządzenie jest bowiem tzw. „zasada rozliczalności” – to na podmiocie przetwarzającym dane osobowe ciąży obowiązek wykazania, iż przedsięwziął wszelkie odpowiednie środki celem jak najpełniejszej ochrony przetwarzanych danych osobowych.
Podstawowym zadaniem jest zatem odpowiednie zorganizowanie procesu analizy ryzyka w ramach organizacji, tak aby określić rodzaj i zakres niezbędnych zabezpieczeń przed ewentualnymi naruszeniami przepisów Rozporządzenia.
Analiza ryzyka obejmuje w szczególności:
analizę kontekstu oraz zakresu przetwarzania danych (analiza elementów takich jak środowisko prawne, geograficzne, społeczne i polityczne organizacji)
identyfikację procesów występujących w jednostce oraz posiadanych zasobów informacyjnych,
określenie celów przetwarzania danych,
identyfikację zasobów informatycznych,
ocenę stosowanych dotychczas zabezpieczeń i stopnia ich skuteczności,
identyfikację możliwych zagrożeń,
oszacowanie ryzyka,
opracowanie metody zarządzania ryzykiem.

3/ Wdrożenie rekomendowanych procedur

Przeprowadzenie audytu i procesu szacowania ryzyka w organizacji pozwala na wdrożenie procedur i mechanizmów, minimalizujących ryzyko poniesienia przez podmiot odpowiedzialności finansowej przewidzianej przez regulacje RODO. Wdrożenie proponowanych rozwiązań poprzedzone jest opracowaniem dokumentacji przetwarzania danych osobowych, obejmującej w szczególności:

pisemne informacje udzielane osobom, których dane podlegają przetwarzaniu,
pisemne klauzule zgody na przetwarzanie danych osobowych, w tym na przetwarzanie danych w celach marketingowych,
rejestr czynności przetwarzania danych osobowych lub rejestr kategorii czynności przetwarzania danych osobowych,
rejestr naruszeń ochrony danych osobowych,
katalog procedur postępowania w przypadku wystąpienia naruszeń ochrony danych osobowych i wystąpienia incydentów,
katalog procedur nadawania upoważnień oraz ewidencja upoważnień,
polityka ochrony danych osobowych
dokumentację pracowniczą spełniającą wymogi RODO,
materiały informacyjne dla pracowników podmiotu.

Proces wdrażania rekomendowanych procedur obejmuje nadto dostosowanie istniejącej już dokumentacji do wymogów stawianych przez RODO. Rekomendowane jest nadto przeprowadzenie szeregu praktycznych szkoleń z zakresu RODO dla pracowników podmiotu, obejmującego podstawowe zasady przetwarzania danych osobowych, mechanizmy wdrażania przyjętych sposobów zabezpieczeń, sposoby kontrolowania pracy własnej jak i innych osób pod kątem przestrzegania wymogów stawianych przez RODO. W przypadku konieczności powołania Inspektora Ochrony Danych Osobowych, rekomendowane jest przeprowadzenie szkolenia o sprofilowanym charakterze, przygotowującego wyznaczoną w ramach organizacji osobę do pełnienia tej funkcji, w szczególności w zakresie:

informowania administratora, podmiotu przetwarzającego dane osobowe oraz pracowników jednostki którzy przetwarzają dane osobowe o ciążących na nich obowiązkach
monitorowania przestrzegania przepisów Rozporządzenia,
udzielania zaleceń w przedmiocie oceny skutków dla ochrony danych osobowych,
zasad współpracy z Prezesem Urzędu Ochrony Danych Osobowych,
zasad związanych z kontaktowaniem się z osobami trzecimi w zakresie przetwarzania przez podmiot danych tychże osób (pełnienie roli „punktu kontaktowego”).

4/ Monitorowanie, audyty kontrole, outsourcing w zakresie obowiązków Inspektora Danych Osobowych.

Wdrożenie mechanizmów i procedur związanych z wymogami stawianymi przez przepisy RODO wymaga bieżącego monitorowania i weryfikacji. W powyższym zakresie, oferta Kancelarii obejmuje m.in.:

przeprowadzanie audytów kontrolnych,
aktualizację dokumentacji związanej z ochroną danych osobowych,
cykliczny monitoring procesów przetwarzania danych osobowych w jednostce,
bieżące szkolenia dla kadry menadżerskiej i pozostałych pracowników jednostki,
zapewnienie bieżącego wsparcia i doradztwa, w szczególności w razie wystąpienia incydentów związanych z naruszeniem przepisów RODO,
wsparcie w procesie rozpatrywania zapytań i skarg osób, których dane osobowe są przetwarzane przez jednostkę,
reprezentowanie podmiotu przed organami nadzoru, w przypadku stwierdzenia naruszeń przepisów RODO,
przygotowywanie opinii prawnych w kwestiach związanych z ochroną danych osobowych.

W przypadku niepowołania Inspektora Danych Osobowych spośród pracowników jednostki, możliwym jest również zlecenie Kancelarii pełnienia przypisanych Inspektorowi funkcji i obowiązków, w ramach usług outsourcingowych. 
W takim przypadku, w celu uzyskania szczegółowych informacji, zapraszamy do kontaktu z Kancelarią (link do „kontaktu”).