Audyt prawny i informatyczny, wdrożenie dokumentacji ochrony danych oraz szkolenie personelu to podstawowe etapy procesu zmierzającego do osiągnięcia zgodności z RODO/GDPR. W ramach kompleksowej usługi badamy nie tylko sytuację prawną, dokumentację oraz bezpieczeństwo środowiskowe, ale również stan zgodności z RODO/GDPR systemów informatycznych, programów i aplikacji administratora danych poprzez liczne testy penetracyjne.
Realizując usługi audytorsko-wdrożeniowe działamy zgodnie z normą ISO/IEC 27001.•
Audyt prawny oraz informatyczny
Część prawna obejmuje m.in.:
- analizę stopnia realizacji obowiązków prawnych wynikających z obowiązujących przepisów,
- inwentaryzację danych osobowych (określenie kanałów pozyskiwania danych, podstaw prawnych i sposobów przetwarzania, zasad retencji i usuwania etc.),
- analizę dokumentacji, w tym procedur ochrony danych oraz powierzeń (polityki, rejestry, regulaminy, klauzule, obowiązki informacyjne, umowy powierzenia etc.),
- analizę sposobów reagowania na incydenty,
- analizę zabezpieczeń środowiskowych.
Opcjonalna część informatyczna obejmuje m.in.:
- analizę założeń i architektury rozwiązań informatycznych,
- badanie i ocenę poziomu bezpieczeństwa wewnętrznych komponentów systemu informatycznego oraz zinwentaryzowanie problemów mających wpływ na bezpieczeństwo przetwarzania danych osobowych,
- identyfikację wrażliwych aktywów, takich jak systemy, dane i procesy,
- wskazanie luk bezpieczeństwa i obszarów podatnych na zagrożenia wraz z identyfikacją i klasyfikacją powiązanego potencjalnego ryzyka,
- badanie obszarów mających wpływ na zachowanie najważniejszych atrybutów bezpieczeństwa danych osobowych tj. dostępności, integralności i poufności,
- badanie mechanizmów sieciowych (struktura, usługi, zabezpieczenia fizyczne i logiczne, testowanie sieci),
- testy penetracyjne zewnętrzne i wewnętrzne, audyt aplikacji przetwarzających dane osobowe,
- badanie sieci wewnętrznej, badanie bezpieczeństwa witryn internetowych, Wi-Fi,
- analizę dostępności sieci i możliwości przejścia do sieci z zewnątrz,
- analizę system backup’u i archiwizacji i zabezpieczenie odtwarzania sprawności systemów informatycznych po awarii.
Wdrożenie dokumentacji
Usługa obejmuje, w zależności od zakresu i wyników audytu, przygotowanie lub aktualizację:
- polityki prywatności lub polityki informacyjnej skierowanej do klientów, dostawców, odbiorców, partnerów, osoby wizytujące stronę internetową etc.,
- polityki bezpieczeństwa z podziałem ról i kompetencji w zakresie ochrony danych osobowych,
- polityki retencji, usuwania oraz archiwizacji danych osobowych lub podobnej procedury,
- polityki reagowania na incydenty dotyczące ochrony danych osobowych lub podobnej procedury,
- polityki reagowania na zgłoszenia od osób, których dane dotyczą, polityki komunikacji lub podobnej procedury,
- polityki oceny skutków dla ochrony danych, polityki analizy ryzyka lub podobnej procedury,
- rejestru czynności przetwarzania i kategorii czynności oraz procedur służących utrzymaniu aktualności rejestru,
- zasad lub procedur ochrony danych skierowanych dla pracowników,
- umów powierzenia przetwarzania oraz rekomendacji dotyczących umów już zawartych,
- klauzul zgody i obowiązków informacyjnych wraz z rekomendacjami dotyczącymi ich stosowania oraz kanałów dystrybucji,
- upoważnień do przetwarzania danych osobowych i oświadczeń o zachowaniu tajemnicy,
- aktów wdrożeniowych,
- innych dokumentów pomocniczych lub niezbędnych do osiągnięcia zgodności z obowiązującymi przepisami.
Szkolenie ogólne lub powdrożeniowe
Przykładowy program szkolenia:
- zasady przetwarzania danych osobowych,
- podstawy prawne przetwarzania danych,
- prawa osób, których dane dotyczą,
- naruszenia ochrony danych osobowych i sposoby reagowania,
- zabezpieczenie danych osobowych na stanowisku pracy i poza obszarem przetwarzania danych,
- zabezpieczenie danych osobowych w życiu prywatnym,
- najczęstsze uchybienia w zakresie zabezpieczenia danych osobowych na stanowisku pracy i w systemie informatycznym,
- stosowanie wdrożonej dokumentacji ochrony danych osobowych,
- odpowiedzialność pracownicza, cywilna, administracyjna i karna z zakresu ochrony danych osobowych.
Przejęcie lub wsparcie obowiązków IOD
Usługa obejmuje m.in.:
- informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
- monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
- udzielanie na żądanie administratora zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO,
- współpracę z Prezesem Urzędu Ochrony Danych Osobowych,
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach,
- wizyty w siedzibie i innych lokalizacjach administratora
zgodnie z przyjętym przez harmonogramem, - przygotowanie lub bieżąca aktualizacja kompleksowej dokumentacji ochrony danych osobowych,
- sporządzanie opinii prawnych, rekomendacji lub innych opracowań w zakresie ochrony danych osobowych, w tym bieżące doradztwo i konsultacje,
- sporządzanie umów, porozumień lub klauzul dotyczących powierzenia przetwarzania danych osobowych,
- przygotowywanie obowiązków informacyjnych,
- pełnienie funkcji punktu kontaktowego w zakresie ochrony danych osobowych,
- nadzór nad wdrażanymi rozwiązaniami informatycznymi pod kątem ochrony danych osobowych.
Skontaktuj się z nami
Wykonaj pierwszy krok do osiągnięcia zgodności z RODO/GDPR.
Zadzwoń, przyjdź do biura albo wyślij wiadomość!•
