Od 25 maja 2018 r. obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO), nakładające na przedsiębiorców – administratorów danych osobowych szereg nowych obowiązków, a jednocześnie rozszerzające zakres ich odpowiedzialności.
Nowe regulacje przewidują dotkliwe sankcje finansowe w przypadku niedopełnienia obowiązków przez przedsiębiorców, do których stosowane jest Rozporządzenie, w wysokości do 10 lub 20 mln euro, bądź od 2-4% rocznego obrotu przedsiębiorstwa.
Usługi Kancelarii w ramach zapewnienia zgodności funkcjonowania przedsiębiorstwa z przepisami Rozporządzenia obejmują w szczególności:
- 1/ przeprowadzenie audytu zgodności z RODO
- 2 /analiza ryzyka
- 3/ wdrożenie rekomendowanych procedur
- 4/ monitorowanie, audyty kontrolne, outsourcing w zakresie obowiązków Inspektora Danych Osobowych.
Ad 1/ Audyt bezpieczeństwa
Przeprowadzenie audytu ma na celu weryfikację zgodności procesów przetwarzania danych osobowych z obowiązującym Rozporządzeniem.
Audyt obejmuje m.in.:
proces zbierania informacji na temat audytowanej organizacji, jej struktury, podziału zadań i kompetencji wśród pracowników, ocena zastosowanych rozwiązań organizacyjnych pod kątem realizacji ochrony danych osobowych,
badanie przepływu informacji oraz procesów przetwarzania danych osobowych,
identyfikacja i klasyfikacja zbiorów danych osobowych,
analiza zebranych danych, celu, metody i adekwatności przetwarzania danych osobowych,
analiza istniejącej dokumentacji dot. przetwarzania danych osobowych,
analiza dokumentów wymienianych z osobami trzecimi (kontrahentami, klientami) pod kątem stosowania ochrony danych osobowych,
weryfikacja stosowanych zabezpieczeń systemów informatycznych, poziomu zabezpieczeń danych przechowywanych i przetwarzanych w systemach informatycznych,
weryfikacja zakresu wiedzy i świadomości pracowników oraz współpracowników badanego podmiotu w przedmiocie konieczności przestrzegania zasad ochrony danych osobowych,
sporządzenie szczegółowego raportu z audytu, zawierającego wytyczne i rekomendacje dotyczące wdrożenia ewentualnych zmian, pozwalających na zapewnienie zgodności działania podmiotu z przepisami Rozporządzenia.
2/ Analiza ryzyka
Postanowienia RODO nie określają konkretnych środków bezpieczeństwa, jakie winny zostać wdrożone w ramach jednostki. Z tej przyczyny rekomendowanym jest przyjęcie podejścia opartego na ryzyku, polegającego na określeniu przez podmiot – administratora danych osobowych, zakresu środków bezpieczeństwa odpowiednich w jego przypadku.
Jedną z podstawowych zasad wprowadzonych przez Rozporządzenie jest bowiem tzw. „zasada rozliczalności” – to na podmiocie przetwarzającym dane osobowe ciąży obowiązek wykazania, iż przedsięwziął wszelkie odpowiednie środki celem jak najpełniejszej ochrony przetwarzanych danych osobowych.
Podstawowym zadaniem jest zatem odpowiednie zorganizowanie procesu analizy ryzyka w ramach organizacji, tak aby określić rodzaj i zakres niezbędnych zabezpieczeń przed ewentualnymi naruszeniami przepisów Rozporządzenia.
Analiza ryzyka obejmuje w szczególności:
- analizę kontekstu oraz zakresu przetwarzania danych (analiza elementów takich jak środowisko prawne, geograficzne, społeczne i polityczne organizacji)
- identyfikację procesów występujących w jednostce oraz posiadanych zasobów informacyjnych,
- określenie celów przetwarzania danych,
- identyfikację zasobów informatycznych,
- ocenę stosowanych dotychczas zabezpieczeń i stopnia ich skuteczności,
- identyfikację możliwych zagrożeń,
- oszacowanie ryzyka,
- opracowanie metody zarządzania ryzykiem.
3/ Wdrożenie rekomendowanych procedur
Przeprowadzenie audytu i procesu szacowania ryzyka w organizacji pozwala na wdrożenie procedur i mechanizmów, minimalizujących ryzyko poniesienia przez podmiot odpowiedzialności finansowej przewidzianej przez regulacje RODO. Wdrożenie proponowanych rozwiązań poprzedzone jest opracowaniem dokumentacji przetwarzania danych osobowych, obejmującej w szczególności:
- pisemne informacje udzielane osobom, których dane podlegają przetwarzaniu,
- pisemne klauzule zgody na przetwarzanie danych osobowych, w tym na przetwarzanie danych w celach marketingowych,
- rejestr czynności przetwarzania danych osobowych lub rejestr kategorii czynności przetwarzania danych osobowych,
- rejestr naruszeń ochrony danych osobowych,
- katalog procedur postępowania w przypadku wystąpienia naruszeń ochrony danych osobowych i wystąpienia incydentów,
- katalog procedur nadawania upoważnień oraz ewidencja upoważnień,
- polityka ochrony danych osobowych
- dokumentację pracowniczą spełniającą wymogi RODO,
- materiały informacyjne dla pracowników podmiotu.
Proces wdrażania rekomendowanych procedur obejmuje nadto dostosowanie istniejącej już dokumentacji do wymogów stawianych przez RODO. Rekomendowane jest nadto przeprowadzenie szeregu praktycznych szkoleń z zakresu RODO dla pracowników podmiotu, obejmującego podstawowe zasady przetwarzania danych osobowych, mechanizmy wdrażania przyjętych sposobów zabezpieczeń, sposoby kontrolowania pracy własnej jak i innych osób pod kątem przestrzegania wymogów stawianych przez RODO. W przypadku konieczności powołania Inspektora Ochrony Danych Osobowych, rekomendowane jest przeprowadzenie szkolenia o sprofilowanym charakterze, przygotowującego wyznaczoną w ramach organizacji osobę do pełnienia tej funkcji, w szczególności w zakresie:
informowania administratora, podmiotu przetwarzającego dane osobowe oraz pracowników jednostki którzy przetwarzają dane osobowe o ciążących na nich obowiązkach
monitorowania przestrzegania przepisów Rozporządzenia,
udzielania zaleceń w przedmiocie oceny skutków dla ochrony danych osobowych,
zasad współpracy z Prezesem Urzędu Ochrony Danych Osobowych,
zasad związanych z kontaktowaniem się z osobami trzecimi w zakresie przetwarzania przez podmiot danych tychże osób (pełnienie roli „punktu kontaktowego”).
4/ Monitorowanie, audyty kontrole, outsourcing w zakresie obowiązków Inspektora Danych Osobowych.
Wdrożenie mechanizmów i procedur związanych z wymogami stawianymi przez przepisy RODO wymaga bieżącego monitorowania i weryfikacji. W powyższym zakresie, oferta Kancelarii obejmuje m.in.:
- przeprowadzanie audytów kontrolnych,
- aktualizację dokumentacji związanej z ochroną danych osobowych,
- cykliczny monitoring procesów przetwarzania danych osobowych w jednostce,
- bieżące szkolenia dla kadry menadżerskiej i pozostałych pracowników jednostki,
- zapewnienie bieżącego wsparcia i doradztwa, w szczególności w razie wystąpienia incydentów związanych z naruszeniem przepisów RODO,
- wsparcie w procesie rozpatrywania zapytań i skarg osób, których dane osobowe są przetwarzane przez jednostkę,
- reprezentowanie podmiotu przed organami nadzoru, w przypadku stwierdzenia naruszeń przepisów RODO,
- przygotowywanie opinii prawnych w kwestiach związanych z ochroną danych osobowych.
W przypadku niepowołania Inspektora Danych Osobowych spośród pracowników jednostki, możliwym jest również zlecenie Kancelarii pełnienia przypisanych Inspektorowi funkcji i obowiązków, w ramach usług outsourcingowych. W takim przypadku, w celu uzyskania szczegółowych informacji, zapraszamy do kontaktu z Kancelarią (Kontakt)