OFERTA

INSPEKTORZYRODO.PL Sp. z o.o.

OFERTA RODO

AUDYT RODO

Audyt wejścia

Audyt w zakresie spełnienia wymagań europejskiego rozporządzenia o ochronie danych osobowych (RODO).

RODO znacząco wpłynie na zakres obowiązków podmiotów przetwarzających dane osobowe i wymusi liczne zmiany w polityce ich ochrony.

Należyte przygotowanie organizacji do funkcjonowania w zmienionym środowisku bezpieczeństwa, wymaga znajomości nowych obowiązków oraz wyznaczenia struktury i zasobów mających je realizować.

Nie sposób tego osiągnąć bez prawidłowego określenia sytuacji wyjściowej, czyli swoistej inwentaryzacji posiadanych zasobów informacyjnych oraz sposobów ich przetwarzania i ochrony.

Dzięki audytowi zgodności z RODO dowiedzą się Państwo, w jakim stopniu organizacja spełnia wymagania ogólnego rozporządzenia o ochronie danych oraz jakie działania powinna podjąć, aby być z nim w pełni zgodna.

Audyt wyjścia

W świetle zachodzących fundamentalnych zmian w związku z wejściem w życie RODO, od podmiotów przetwarzających dane osobowe wymaga się przejrzenia i modyfikacji umów, regulaminów, procedur oraz posiadania procedur bezpieczeństwa.

Nie każda firma i organizacja posiada zasoby pozwalające jej przygotować się do zmian prawnych jakie niesie RODO.

Możemy w tym pomóc poprzez:

1/ sprawdzenie istniejącej dokumentacji i umów , pomoc w przygotowaniu dokumentacji zgodnej z wymogami RODO;

2/ sprawdzenie istniejących procesów biznesowych i pomoc w przygotowaniu odpowiednich procedur ochrony danych osobowych;

3/ sprawdzenie infrastruktury technicznej w tym m.in.: sieci, sprzętu, oprogramowania pod kątem bezpieczeństwa posiadanych danych osobowych;

4/ wskazanie braków i ryzyka związanego z przetwarzaniem danych osobowych u przyszłego Administratora Danych Osobowych

5/ sprawdzenie i przygotowanie umów powierzenia dla ADO zgodnych z wymogami RODO;

6/ szkolenie pracowników mających kontakt z danymi osobowymi ADO

W związku z powołaniem nowej instytucji z dniem 25.05.2018 Prezesa Urzędu Ochrony Danych Osobowych (PUODO), którego kompetencje będą zdecydowanie szersze niż te, które posiadał GIODO, a kontrole staną się znacznie częstsze i bardziej dokładne.

Najważniejszą zmianą jest możliwość stosowania kar pieniężnych do 20 mln EURO. Przeprowadzanie audytu pozwoli utrzymać stan zgodności z prawem i nie obawiać się o konsekwencje ewentualnej kontroli.

Najważniejsza informacją za nieprowadzenie rejestru będzie groziła kara pieniężna w wysokości do 10 mln EURO, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Jeżeli wszystko wydaje się być bardzo skomplikowane i niezrozumiałe, zostaw to nam, na indywidualne zlecenie przygotujemy wymagane przez Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO) rejestry.

WDROŻENIA RODO

POLITYKA BEZPIECZEŃSTWA:

Przygotujemy dokumentację uwzględniającą strukturę organizacyjną firmy oraz spełniającą szczegółowe wymagania zapisów Rozporządzenia o Ochronie Danych Osobowych 2016/679 (RODO).
Opracujemy i wdrożymy:

1/ politykę bezpieczeństwa danych osobowych;
2/ instrukcję zarządzania systemami informatycznymi;
3/ ewidencję osób upoważnionych do przetwarzania danych osobowych ;
4/ upoważnienia do przetwarzania danych osobowych dla każdego pracownika;
5/ dokumenty pracownicze (oświadczenia o zachowaniu poufności)
6/ dokumenty i formularze związane z przetwarzaniem danych osobowych (klauzule informacyjne, klauzule zgód na przetwarzanie danych)
7/ umowy powierzenia przetwarzania

WPROWADZANIE REJESTRÓW

W przepisach unijnego Rozporządzenia (RODO) zrezygnowano z obowiązku rejestracji zbiorów danych osobowych w GIODO. Zamiast tego nowe przepisy nakładają na administratora danych obowiązek prowadzenia rejestru przetwarzania. Wynika to z art. 30., przy czym istnieją pewne wyjątki od obowiązku prowadzenia rejestru dla poszczególnych grup administratorów danych. Obowiązek ten nie będzie miał zastosowania w sytuacji, gdy administrator danych zatrudnia mniej niż 250 osób.

W Rozporządzeniu przewidziano wyjątki, gdzie pomimo zatrudniania poniżej 250 pracowników, obowiązek rejestracji istnieje tj.:

  • przetwarzanie danych może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
  • przetwarzanie danych nie ma charakteru sporadycznego;
  • przetwarzanie danych obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust 1;
  • przetwarzanie danych obejmuje dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO;

Trzeba również zdawać sobie sprawę z faktu, że powyższy obowiązek dotyczy również jednoosobowej działalności gospodarczej, np. może to być Prywatna Praktyka Lekarska, Stomatologiczna, Logopedyczna albo Gabinet Makijażu Pernamentnego.

Jak stworzyć rejestr czynności przetwarzania? Zasady tworzenia rejestru czynności przetwarzania określa art. 30 RODO, zgodnie z którym rejestr musi zawierać

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich administratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  • cele przetwarzania, np. rekrutacja pracowników; sprawy kadrowo-płacowe itp.;
  • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;
  • podstawa prawna, np. musimy zamieścić informacje o nazwie aktu oraz wskazać §, który upoważnia nas do przetwarzania danych osobowych oraz ewentualnie określa czas ich retencji;
  • okres retencji danych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
  • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

INSPEKTOR OCHRONY DANYCH

Inspektor Ochrony Danych (IOD) to następca Administratora Bezpieczeństwa Informacji (ABI).

Inaczej niż w przypadku ABI, wyznaczenie IOD w pewnych przypadkach jest obowiązkowe na gruncie Rozporządzenia o Ochronie Danych Osobowych 2016/679 (RODO):

1/ gdy dane są przetwarzane przez podmioty z sektora publicznego;

2/ gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę;

3/ gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących.

Wspólny INSPEKTOR OCHRONY DANYCH dla grupy przedsiębiorstw

Ważna dla przedsiębiorców działających w ramach grupy będzie możliwość wyznaczenia wspólnego IOD.

Ważne jest, aby tak wyznaczony IOD był na bieżąco i łatwo dostępny dla wszystkich podmiotów wchodzących w skład grupy. Dotychczas brak było podstawy do wyznaczenia jednego ABI dla grupy przedsiębiorstw.

Zawiadomienie PUODO o wyznaczeniu IOD Zgodnie z przyjętą i podpisana dnia 22 maja 2018 roku Ustawą o Ochronie Danych Osobowych z dnia 10 maja 2018 roku osoby wykonujące w dniu 24 maja 2018 r. funkcję Administratora Bezpieczeństwa Informacji, pełnią funkcję Inspektora Ochrony Danych do dnia 1 września 2018 r.

Do 1 września 2018 r. należy poinformować PUODO o wyznaczeniu IOD. Przewidziano również obowiązek zawiadomienia o niepowierzeniu funkcji IOD dotychczasowemu ABI. Takie zawiadomienie składa się również do dnia 1 września 2018 r.

Ponadto, w przypadku każdej zmiany danych IOD administrator danych będzie zobowiązany poinformować PUODO w terminie 14 dni od dnia zaistnienia zmiany.

Inspektor ochrony danych – nowa nazwa, nowe zadania

Przede wszystkim Inspektor Ochrony Danych (IOD) musi zostać właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Oznacza to, że IOD nie może zostać pominięty w żadnej kwestii związanej z przetwarzaniem danych. Wyznaczający IOD musi zapewnić mu odpowiednie narzędzia, aby inspektor ochrony danych mógł prawidłowo wykonywać swoje zadania.

Ponadto, konieczne jest zapewnienie szkoleń w celu utrzymania przez IOD wiedzy fachowej.

Outsourcing IOD

RODO wskazuje, że Inspektor Ochrony Danych (IOD) może być osobą zewnętrzną. Na gruncie obecnie obowiązującej ustawy outsourcing ABI nie był jednoznacznie dozwolony, jednak wielu przedsiębiorców decydowało się na takie rozwiązanie. Teraz outsourcing IOD stanie się bezproblemowy.

Prowadzimy Outsourcing firm zlokalizowanych na terenie:

– województwa pomorskiego, tj. Trójmiasta i okolic (Wejherowo, Lębork, Słupsk, Reda, Rumia, Puck), województwa zachodnio-pomorskiego (Kołobrzeg, Koszalin, Szczecin) województwa kujawsko-pomorskiego (Toruń, Bydgoszcz)

CERTYFIKATY ISO

Metodą pozwalającą na wykazanie szczególnej troski o ochronę danych osobowych jest uzyskanie Certyfikatu Ochrony Danych Osobowych ISO 27001

Certyfikat nadawany jest przez niezależny podmiot certyfikujący, będzie potwierdzeniem minimalizacji ryzyka Administratora Danych Osobowych związanego z przetwarzaniem danych osobowych osób fizycznych.

FIRMA

INSPEKTORZYRODO.PL
Sp. z o.o.
KRS 0000739784 REGON 380718355 NIP 7010831232

Dane kontaktowe

Tel. +48 692 824 220
biuro@inspektorzyrodo.pl