Informacja o usłudze

Zgodnie z polskim prawem każdy podmiot przetwarzający dane osobowe musi spełnić wymagania Ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych oraz aktów wykonawczych do ustawy, w tym Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Przywołane przepisy prawa nie są jednak jednoznaczne, wskazują kierunek, ale nie zawsze konkretne rozwiązania. Celem ustawodawcy było stworzenie na tyle elastycznych ram prawnych, aby każda organizacja mogła dostosować ogólne założenia i wymagania do własnej specyfiki. W związku z tym właściwa implementacja zapisów wymaga znacznej wiedzy i doświadczenia w obszarze ochrony danych osobowych.

Powyższe przepisy nakładają na administratorów wiele obowiązków, w tym zapewnienie odpowiedniego zabezpieczenia przetwarzanych danych oraz opracowanie stosownej dokumentacji. Nieprzestrzeganie regulacji może skutkować sankcjami w postaci kar pieniężnych lub ograniczenia, a nawet pozbawienia wolności. Stąd zapewnienie zgodności z wymogami prawa, zarówno w zakresie wdrożonej dokumentacji, jak i stosowanych zabezpieczeń, leży w interesie każdej organizacji.

RODO_GRAF

Kolejnym wyzwaniem w przedmiotowym obszarze jest Rozporządzenie Ogólne UE w sprawie ochrony danych osobowych (GDPR, w tłumaczeniu polskim: RODO), które od 28 maja 2018 r. będzie obowiązywało w Polsce w sposób bezpośredni (nie ma potrzeby implementowania jego zapisów do Ustawy o ochronie danych osobowych). Nowe przepisy to szereg nowych obowiązków dla administratorów danych, związanych m. in. z planowaniem mechanizmów ochrony danych osobowych już na etapie projektowania rozwiązania (privacy by design), wdrażaniem zabezpieczeń (organizacyjnych, osobowych, fizycznych, technicznych) w oparciu o wyniki analizy ryzyka (risk based approach) czy pseudonimizacją danych. Naruszenie przepisów rozporządzenia jest zagrożone administracyjną karą pieniężną w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Oferowane przez nas usługi umożliwią zweryfikowanie zgodności organizacji z przepisami prawa (krajowymi i unijnymi), zidentyfikowanie słabych stron organizacji w powyższym zakresie oraz budowę systemu ochrony danych osobowych, dzięki któremu organizacja będzie odpowiednio chroniła przetwarzane dane osobowe.

Czy jesteś zgodny z GDPR?

Ocena skutków przetwarzania danych osobowych – czym jest i kiedy jest wymagana?

Czytaj więcej

Zakres usługi

Audyt

  • audyt bezpieczeństwa danych osobowych oraz opracowanie raportu zawierającego ocenę zabezpieczeń, wnioski i propozycje działań w celu spełnienia wymagań przepisów prawa krajowego

  • audyt bezpieczeństwa danych osobowych oraz opracowanie raportu zawierającego ocenę zabezpieczeń, wnioski i propozycje działań w celu spełnienia wymagań przepisów prawa unijnego (GDPR)

  • połączenie powyższych

Analiza ryzyka

  • opracowanie i wdrożenie procesu analizy ryzyka

  • przeprowadzenie szacowania ryzyka bezpieczeństwa danych osobowych oraz opracowanie planów minimalizacji ryzyka

Wdrożenie

  • budowa dokumentacji Systemu ochrony danych osobowych (polityk, procedur, instrukcji)

  • identyfikacja i inwentaryzacja zbiorów danych osobowych

  • opracowanie dokumentów funkcjonalnych takich jak wzory upoważnienia, umowy powierzenia przetwarzania danych osobowych, zgody na przetwarzanie danych osobowych zależnie od podstawy przetwarzania, obowiązku informacyjnego

  • szkolenia dla pracowników z zakresu zasad ochrony danych osobowych i obowiązujących procedur

  • wdrożenie procesu oceny skutków przetwarzania danych osobowych (PIA)

Ocena ryzyka w kontekście ochrony danych osobowych RODO

Dowiedz się więcej nt. GDPR/RODO z naszych artykułów

Czytaj więcej