Od 25 maja 2018 r. obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO), nakładające na przedsiębiorców – administratorów danych osobowych szereg nowych obowiązków, a jednocześnie rozszerzające zakres ich odpowiedzialności.
Nowe regulacje przewidują dotkliwe sankcje finansowe w przypadku niedopełnienia obowiązków przez przedsiębiorców, do których stosowane jest Rozporządzenie, w wysokości do 10 lub 20 mln euro, bądź od 2-4% rocznego obrotu przedsiębiorstwa.

Usługi Kancelarii w ramach zapewnienia zgodności funkcjonowania przedsiębiorstwa z przepisami Rozporządzenia obejmują w szczególności:

  • 1/ przeprowadzenie audytu zgodności z RODO
  • 2 /analiza ryzyka
  • 3/ wdrożenie rekomendowanych procedur 
  • 4/ monitorowanie, audyty kontrolne, outsourcing w zakresie obowiązków Inspektora Danych Osobowych.

Ad 1/ Audyt bezpieczeństwa
Przeprowadzenie audytu ma na celu weryfikację zgodności procesów przetwarzania danych osobowych z obowiązującym Rozporządzeniem.
Audyt obejmuje m.in.:
proces zbierania informacji na temat audytowanej organizacji, jej struktury, podziału zadań i kompetencji wśród pracowników, ocena zastosowanych rozwiązań organizacyjnych pod kątem realizacji ochrony danych osobowych,
badanie przepływu informacji oraz procesów przetwarzania danych osobowych,
identyfikacja i klasyfikacja zbiorów danych osobowych,
analiza zebranych danych, celu, metody i adekwatności przetwarzania danych osobowych,
analiza istniejącej dokumentacji dot. przetwarzania danych osobowych,
analiza dokumentów wymienianych z osobami trzecimi (kontrahentami, klientami) pod kątem stosowania ochrony danych osobowych,
weryfikacja stosowanych zabezpieczeń systemów informatycznych, poziomu zabezpieczeń danych przechowywanych i przetwarzanych w systemach informatycznych,
weryfikacja zakresu wiedzy i świadomości pracowników oraz współpracowników badanego podmiotu w przedmiocie konieczności przestrzegania zasad ochrony danych osobowych,
sporządzenie szczegółowego raportu z audytu, zawierającego wytyczne i rekomendacje dotyczące wdrożenia ewentualnych zmian, pozwalających na zapewnienie zgodności działania podmiotu z przepisami Rozporządzenia.

2/ Analiza ryzyka
Postanowienia RODO nie określają konkretnych środków bezpieczeństwa, jakie winny zostać wdrożone w ramach jednostki. Z tej przyczyny rekomendowanym jest przyjęcie podejścia opartego na ryzyku, polegającego na określeniu przez podmiot – administratora danych osobowych, zakresu środków bezpieczeństwa odpowiednich w jego przypadku.
Jedną z podstawowych zasad wprowadzonych przez Rozporządzenie jest bowiem tzw. „zasada rozliczalności” – to na podmiocie przetwarzającym dane osobowe ciąży obowiązek wykazania, iż przedsięwziął wszelkie odpowiednie środki celem jak najpełniejszej ochrony przetwarzanych danych osobowych.
Podstawowym zadaniem jest zatem odpowiednie zorganizowanie procesu analizy ryzyka w ramach organizacji, tak aby określić rodzaj i zakres niezbędnych zabezpieczeń przed ewentualnymi naruszeniami przepisów Rozporządzenia.

Analiza ryzyka obejmuje w szczególności:

  • analizę kontekstu oraz zakresu przetwarzania danych (analiza elementów takich jak środowisko prawne, geograficzne, społeczne i polityczne organizacji)
  • identyfikację procesów występujących w jednostce oraz posiadanych zasobów informacyjnych,
  • określenie celów przetwarzania danych,
  • identyfikację zasobów informatycznych,
  • ocenę stosowanych dotychczas zabezpieczeń i stopnia ich skuteczności,
  • identyfikację możliwych zagrożeń, 
  • oszacowanie ryzyka,
  • opracowanie metody zarządzania ryzykiem.

3/ Wdrożenie rekomendowanych procedur

Przeprowadzenie audytu i procesu szacowania ryzyka w organizacji pozwala na wdrożenie procedur i mechanizmów, minimalizujących ryzyko poniesienia przez podmiot odpowiedzialności finansowej przewidzianej przez regulacje RODO. Wdrożenie proponowanych rozwiązań poprzedzone jest opracowaniem dokumentacji przetwarzania danych osobowych, obejmującej w szczególności:

  • pisemne informacje udzielane osobom, których dane podlegają przetwarzaniu,
  • pisemne klauzule zgody na przetwarzanie danych osobowych, w tym na przetwarzanie danych w celach marketingowych,
  • rejestr czynności przetwarzania danych osobowych lub rejestr kategorii czynności przetwarzania danych osobowych,
  • rejestr naruszeń ochrony danych osobowych, 
  • katalog procedur postępowania w przypadku wystąpienia naruszeń ochrony danych osobowych i wystąpienia incydentów,
  • katalog procedur nadawania upoważnień oraz ewidencja upoważnień,
  • polityka ochrony danych osobowych
  • dokumentację pracowniczą spełniającą wymogi RODO,
  • materiały informacyjne dla pracowników podmiotu.

Proces wdrażania rekomendowanych procedur obejmuje nadto dostosowanie istniejącej już dokumentacji do wymogów stawianych przez RODO. Rekomendowane jest nadto przeprowadzenie szeregu praktycznych szkoleń z zakresu RODO dla pracowników podmiotu, obejmującego podstawowe zasady przetwarzania danych osobowych, mechanizmy wdrażania przyjętych sposobów zabezpieczeń, sposoby kontrolowania pracy własnej jak i innych osób pod kątem przestrzegania wymogów stawianych przez RODO. W przypadku konieczności powołania Inspektora Ochrony Danych Osobowych, rekomendowane jest przeprowadzenie szkolenia o sprofilowanym charakterze, przygotowującego wyznaczoną w ramach organizacji osobę do pełnienia tej funkcji, w szczególności w zakresie:

informowania administratora, podmiotu przetwarzającego dane osobowe oraz pracowników jednostki którzy przetwarzają dane osobowe o ciążących na nich obowiązkach
monitorowania przestrzegania przepisów Rozporządzenia,
udzielania zaleceń w przedmiocie oceny skutków dla ochrony danych osobowych,
zasad współpracy z Prezesem Urzędu Ochrony Danych Osobowych,
zasad związanych z kontaktowaniem się z osobami trzecimi w zakresie przetwarzania przez podmiot danych tychże osób (pełnienie roli „punktu kontaktowego”).

4/ Monitorowanie, audyty kontrole, outsourcing w zakresie obowiązków Inspektora Danych Osobowych.

Wdrożenie mechanizmów i procedur związanych z wymogami stawianymi przez przepisy RODO wymaga bieżącego monitorowania i weryfikacji. W powyższym zakresie, oferta Kancelarii obejmuje m.in.:

  • przeprowadzanie audytów kontrolnych,
  • aktualizację dokumentacji związanej z ochroną danych osobowych,
  • cykliczny monitoring procesów przetwarzania danych osobowych w jednostce,
  • bieżące szkolenia dla kadry menadżerskiej i pozostałych pracowników jednostki,
  • zapewnienie bieżącego wsparcia i doradztwa, w szczególności w razie wystąpienia incydentów związanych z naruszeniem przepisów RODO, 
  • wsparcie w procesie rozpatrywania zapytań i skarg osób, których dane osobowe są przetwarzane przez jednostkę,
  • reprezentowanie podmiotu przed organami nadzoru, w przypadku stwierdzenia naruszeń przepisów RODO, 
  • przygotowywanie opinii prawnych w kwestiach związanych z ochroną danych osobowych.

W przypadku niepowołania Inspektora Danych Osobowych spośród pracowników jednostki, możliwym jest również zlecenie Kancelarii pełnienia przypisanych Inspektorowi funkcji i obowiązków, w ramach usług outsourcingowych.  W takim przypadku, w celu uzyskania szczegółowych informacji, zapraszamy do kontaktu z Kancelarią (Kontakt)