Audyt obszaru ochrony danych osobowych i wdrożenie RODO

O USŁUDZE AUDYTU I WDROŻENIA PROCESÓW OCHRONY DANYCH OSOBOWYCH

Audyt RODO to nic innego jak przegląd procesów Twojej organizacji. 

Dzień 25 maja 2018 roku to dzień, w którym zaczęło być stosowane RODO. Pełna nazwa RODO oraz jego treść znajdziesz tutaj.

A zatem kiedy potrzebujesz audytu RODO?

 JAKIE AUDYTY OCHRONY DANYCH TRZEBA PRZEPROWADZIĆ

Jeśli jesteś na tej stronie to zakładam, że któraś z powyższym sytuacji dotyczy Twojego przedsiębiorstwa. Poniżej przedstawiamy najważniejsze informacje o tej usłudze.

AUDYT RODO TO WYZWANIE

Wybór odpowiedniego audytora z zakresu ochrony danych osobowych może stanowić dla firmy trudną decyzję. Trzeba zdawać sobie sprawę z tego, że niewiele osób zna się na ochronie danych osobowych. Wynika to zapewne z tego, że zasady przetwarzania danych osobowych to temat stosunkowo nowy. A przynajmniej w takim kształcie, w jakim kształtuje się to obecnie. 

ZASADY PRZEPROWADZANIA AUDYTU RODO

Z naszego doświadczenia wynika, że firmy szukają spokoju. Większość zdaje sobie sprawę z roli administratora danych osobowych. Na obecnym etapie świadomość tych informacji wydaje się być na właściwym poziomie. Niestety nie idzie to w parze z wdrażaniem mechanizmów ochrony danych osobowych. Trzeba też pamiętać o karach za niewłaściwe zabezpieczanie danych osobowych. Wiele naszych artykułów jest temu poświęcona. Możesz zerknąć także na stronę Urzędu Ochrony Danych Osobowych z decyzjami Prezesa UODO.

DLA KOGO JEST TA USŁUGA?

Usługa jest dedykowana podmiotom gospodarczym, przede wszystkim:

  1. spółki prawa handlowego,
  2. stowarzyszenia,
  3. fundacje ,
  4. jednoosobowe firmy.

oraz osoby, które są w trakcie zakładania działalności gospodarczej.

Jeśli nie jesteś pewny, czy obowiązki RODO dotyczą Ciebie, skontaktuj się z nami.

CZY KAŻDE PRZEDSIĘBIORSTWO MUSI PRZEPROWADZIĆ AUDYT RODO?

Brak jest przepisów stanowiących wprost o obowiązkowym audycie RODO. Należy jednak pamiętać o następującym przepisie - artykuł 24 ust. 1-2 RODO. Wskazano w nim na następujące obowiązki każdego przedsiębiorstwa:

 ARTYKUŁ 24 RODO

Zalecamy zatem, aby każda firma gromadząc dane uwzględniła:

  1. obowiązek przeprowadzenia audytu procesów przetwarzania danych,
  2. opracowanie wewnętrznej regulacji (np. polityka ochrony danych osobowych),
  3. w określonych sytuacjach powołanie w firmie Inspektora Ochrony Danych (IOD)

Inspektor ochrony danych to osoba która wesprze firmę w zakresie zapewnienia bezpiecznego obrotu danymi osobowymi. Będzie zatem sprawować stały nadzór nad bezpieczeństwem danych w Twojej firmie. Status Inspektora Ochrony Danych oraz jego zadania wynikają z kolei z artykułu 38-39 RODO. W ramach audytu weryfikujemy, czy powinieneś powołać taką osobę. Oczywiście uwzględniamy tu artykuł 37 ust. 1 RODO. Dodatkowe informacje dotyczące Inspektora Ochrony Danych znajdziesz tutaj.

Administrator ma zatem obowiązek zarówno wdrożenia mechanizmu ochrony danych, jak i wykazania, że je wdrożył. ŚrodkI mają być wdrożone z uwzględnieniem:

  1. charakteru, zakresu, kontekstu i celów przetwarzania,
  2. ryzyka naruszenia praw lub wolności osób fizycznych (..).

Brakuje zatem przepisu, który by jednoznacznie przesądzał o tym, czy audyt RODO jest obowiązkowy. W naszej ocenie pośrednio wynika taki obowiązek z treści artykułu 24 ustęp 1 RODO. Oczywiście możemy dywagować, czym jest audyt RODO a czym jest wdrożenie procesów ochrony danych. Czy którykolwiek artykuł RODO o tym przesądza? Nie, dlatego trzeba mieć na uwadze, że opinie mogą być różne. 

Z kolei  środki techniczne i organizacyjne wdrożone przez administratora danych w razie potrzeby:

  1. poddawane są przeglądom i
  2. są uaktualniane

I tu wydaje się, że bez wątpienia audyt RODO jest obowiązkowy.

Więcej szczegółów dotyczących samego administratora oraz jego obowiązków dowiesz się klikając tutaj.

JAKIE OBSZARY DZIAŁALNOŚCI WERYFIKUJEMY W RAMACH AUDYTU?

Zerknij na naszą grafikę. Myślę, że ona dużo ci wyjaśni.

RODO AUDYT OCHRONY DANYCH OSOBOWYCH

Czy już widzisz, że tak naprawdę audyt RODO to przekrój niemalże całej Twojej działalności? 

KTO POWINIEN WDROŻYĆ AUDYT RODO W TWOJEJ FIRMIE?

Może to być ekspert z zakresu danych osobowych. Może to też być firma świadcząca wyspecjalizowane usługi. Może to być także powołany inspektor ochrony danych (tzw. audyt otwarcia). Decyzja zawsze należy do Ciebie. Co daje ci wybór naszej firmy? Połączenie tych trzech elementów w jedną usługę. 

DLACZEGO MOŻESZ NAM ZAUFAĆ?

Świadczymy usługę audytu ochrony danych osobowych z najwyższą starannością. Posiadamy odpowiednią wiedzę ekspercką oraz umiejętności. Wiemy też, jak odpowiednio podzielić naszą pracę tak, by audyt przebiegał możliwie sprawnie. Bez nadmiernego zaangażowania ze strony osób działających w firmie (oczywiście nie da się go wyeliminować). Bez kosztów (wybaczcie za kolokwializmy) wart miliona monet. 

ILE KOSZTUJE AUDYT RODO?

Cena audytu i wdrożenia mechanizmów RODO jest ustalana indywidualnie. Nie możemy podać Ci w tym miejscu uniwersalnego cennika. Trzeba zwrócić uwagę na to, że nakład pracy dla każdej instytucji może być różny. Z tego powodu przedstawiamy ofertę zindywidualizowaną dla konkretnej firmy lub osoby, która składa zapytanie. 

Średni koszt pracy w ramach tej usługi to 200 zł netto za każdą przepracowaną godzinę. 

Ilość godzin jest zależna od podanych nam informacji:

  1. branża, w której działania administrator danych,
  2. struktury administratora danych (czy należy do grupy kapitałowej, czy są oddziały),
  3. ilość osób zatrudnianych przez administratora danych osobowych,
  4. zakresu danych gromadzonych przez administratora danych,
  5. szacowana ilość klientów administratora danych i ich miesięczny przyrost,
  6. czy dochodzi do przetwarzania danych osobowych poza granicami UE/EOG,
  7. czy administrator działa już na rynku czy też jest to nowe przedsiębiorstwo.

Czas pracy może być zatem różny. Co do zasady audyt przedsiębiorstwa mieści się w granicach pomiędzy 10 a nawet 40 godzin. Wszystko zależy od dostarczonych nam informacji z katalogu powyżej.

Nie obawiaj się złożyć zapytanie o wycenę. To nic nie kosztuje.

ILE TRWA AUDYT RODO?

Tu znów pozostaniemy enigmatyczni, ale nie chcemy podać ci niewłaściwej informacji i wprowadzić Cię w błąd. Każdy audyt rządzi się swoimi prawami. Staramy się, aby całość audytu oraz wdrożenia RODO w przedsiębiorstwie nie przekraczała jednego miesiąca. 

CZY AUDYT RODO MOŻNA WDROŻYĆ SAMODZIELNIE?

Wiele osób wertuje szereg artykułów tudzież opinii w LEXie, które dostarczą informacji jak samodzielnie wdrożyć RODO. Rzeczywiście, część kwestii z zakresu ochrony danych osobowych możesz wdrożyc samemu. Może się jednak okazać, że znaczna ilość informacji oraz ich poziom skomplikowania może Cię przerastać. Tu problematyczne są już podstawowe kwestie dotyczące danych takie jak chociażby:

  1. czym są dane osobowe (artykuł 4 ust. 1 RODO),
  2. czym są dane szczególnej kategorii (artykuł 9 ust. 1 RODO),
  3. w jaki sposób dochodzi do przetwarzanie danych osobowych,
  4. kim jest administrator (artykuł 4 ust. 7 RODO) i jakie ma obowiązki,
  5. kim jestem podmiot przetwarzający (artykuł 4 ust. 8 RODO),
  6. czy na pewno jestem administratorem danych czy też mam inną rolę w procesie przetwarzania danych osobowych (artykuł 28 RODO),
  7. jak powinien być spełniony obowiązek informacyjny,
  8. czy w procesie organizacja może być współadministratorem (artykuł 26 RODO),
  9. gdzie szukać procesów przetwarzania danych osobowych,
  10. w jakich obszarach może dochodzić do procesów przetwarzania danych osobowych,
  11. kiedy administrator powinien wyznaczyć inspektora ochrony danych(artykuł 37 ust. 1 RODO) i jaki jest jego status.

Do tego dochodzi umiejętność czytania artykułów poszczególnych przepisów. Poziom sprawności w posługiwaniu się lexem. Do tego interpretacja tych przepisów. Jest tego całkiem sporo.

Trzeba także pamiętać o tym, że ochrona danych to nie tylko RODO. To także szereg innych aktów prawnych. RODO jest aktem unijnym i jest aktem podstawowym. Mamy jednak szereg przepisów rangi ustawy, które trzeba stosować uzupełniająco. Jeśli chodzi o polskie akty prawne, to oczywiście proponuję korzystać z legalisa lub lex-a. W darmowej wersji warto uwzględniać tylko i wyłącznie ISAP - Internetowy System Aktów Prawnych. W tym miejscu warto także wspomnieć także o serwisie judykatura.pl

Przepisy są bardzo ważne, ale to nie wszystko. Istotna jest także umiejętność dokonywania tzw. analizy ryzyka. Tym bardziej, gdy dochodzi do obowiązkowej oceny skutków dla ochrony danych.

Z tego powodu zasadnym wydaje się wybór osoby, która zna się na ochronie danych osobowych.

PROGRAMY DO PRZEPROWADZANIA AUDYTÓW

Według nas żaden administrator nie powinien opierać się jedynie na takim rozwiązaniu. Weryfikacja procesów ochrony danych osobowych nie powinna być przeprowadzana tylko w oparciu o system IT.

W naszej ocenie przy weryfikacji procesów ochrony danych nie może zabraknąć eksperta. A zatem właściwej osoby fizycznej (człowieka) albo grupy osób, która zna się na danych. Do takiego eksperta można też uznać Inspektora Ochrony Danych.

Nie oznacza to oczywiście tego, że mamy nie korzystać z odpowiednich narzędzi  wspierających bezpieczny obieg danych.

JAKIE DOKUMENTY OTRZYMUJESZ W RAMACH USŁUGI?

Nie znajdziesz w lexie żadnego artykułu, który by regulował tę kwestię. Znajdziesz natomiast szereg informacji, które potwierdzają swobodę przedsiębiorcy w doborze narzędzi do ochrony danych osobowych. W tym także doborze dokumentów, które będą regulowały procesy ochrony danych.

Nasza propozycja jest następująca:

Dokumenty RODO

Przykładowa dokumentacja, którą otrzymasz, by mieć możliwość skutecznej ochrony danych:

  1. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH
  2. REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA
  3. ANALIZA RYZYKA
  4. OGÓLNA KLAUZULA PODMIOTU W ZAKRESIE OCHRONY DANYCH OSOBOWYCH DEDYKOWANA WSZYSTKIM ODBIORCOM
  5. UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH
  6. UMOWA POWIERZENIA DO PRZETWARZANIA DANYCH OSOBOWYCH
  7. MATERIAŁ SZKOLENIOWY DLA PRACOWNIKÓW, TZW. KODEKS DOBRYCH PRAKTYK DLA PRACOWNIKA
  8. POLITYKA CZYSTEGO BIURKA
  9. POLITYKA RETENCJI DANYCH OSOBOWYCH
  10. WZÓR KLAUZULI INFORMACYJNEJ DLA PRACOWNIKA
  11. WZÓR KLAUZULI INFORMACYJNEJ DLA ZLECENIOBIORCY
  12. WZÓR KLAUZULI INFORMACYJNEJ DLA KONTRAHENTA
  13. WZÓR KLAUZULI INFORMACYJNEJ - MONITORING

Ten zestaw nie zawsze odpowiada właściwej dokumentacji ochrony danych osobowych. Wszystko jest zależne od ustalenia katalogu danych oraz związanych z nimi procesów przetwarzania. 

Do dokumentów dostarczana jest instrukcja ich wypełnienia.

Z CZEGO SKŁADA SIĘ USŁUGA AUDYTU I WDROŻENIA RODO?

Trzeba pamiętać, że audyt i wdrożenie RODO nie ogranicza się do kilku polityk, klauzul i umów. Wszystkie wymienione w tym tekście elementy musza być ze sobą spójne. Z tego powodu cały proces trzeba odpowiednio zorganizować.

ETAPY WDROŻENIA RODO W FIRMIE

Na usługę audytu i wdrożenia RODO składa się kilka konkretnych etapów.

ETAPY USŁUGI:

SPOTKANIE Z PRZEDSTAWICIELAMI PRZEDSIĘBIORCY

Na start sprawdzimy oraz ocenimy, na ile Twoja organizacja spełnia wymogi z zakresu ochrony danych osobowych. W tym celu przeprowadzamy wywiad z przedstawicielami przedsiębiorcy. Wspólnie wypełniamy formularz diagnozujący, który stanowi podstawę do prowadzeni dalszych działań. Ten etap jest dla Ciebie bardzo ważny. Im więcej dowiemy się o Twojej organizacji, tym lepiej przygotujemy Cię do pełnienia obowiązków administratora danych.

WERYFIKACJA PROCESÓW PRZEDSIĘBIORSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Jesteśmy po spotkaniu, na którym wspólnie uzupełniliśmy formularz diagnozujacy. Wiemy, które procesy dotyczące danych osobowych wymagają dostosowania ich do przepisów. Badamy jednak dalsze kwestie.

Sprawdzamy, czy stosujesz odpowiednie środki ochrony danych osobowych. Tak może być nawet wtedy, gdy wcześniej nie wdrażałeś RODO w swojej firmie! Wciąż musisz jednak z nami współpracować. 

PRZYGOTOWANIE RAPORTU KOŃCOWEGO

Po dwóch poprzednich etapach przyszedł czas na podsumowanie pierwszej części naszej usługi. Sporządzamy dla Ciebie raport końcowy. Wydajemy pisemne zalecenia, które wskażą Ci, w jaki sposób powinieneś poprawić swoje procesy ochrony danych osobowych.  Krótko mówiąc wskazujemy, jak chronisz swoje dane, a jak powinieneś je chronić.

Badamy także, czy w swojej instytucji powinieneś powołać Inspektora Ochrony Danych. Przygotowujemy z tej czynności opinię prawną.

WDROŻENIE DOKUMENTACJI RODO

Raport poziomu ochrony danych to tylko część usługi. Większość przedsiębiorców oczekuje wdrożenia gotowej dokumentacji. I to też uczynimy dla Ciebie.

SPOTKANIE KOŃCOWE

Podsumowujemy cały przebieg audytu. Weryfikujemy, czy na pewno dostosowaliśmy wszystkie Twoje procesy przetwarzania danych osobowych do przepisów.

Przed spotkaniem przekazujemy też całość przygotowanej dokumentacji.

W trakcie spotkania omawiamy wszystko to, co klienta od nas otrzymał. Radzimy, co dalej! 

Adrian Gajzler

Oferta

RODO ADVISOR

RODO-Advisor

▪️nie wdrożyłeś RODO w firmie▪️szukasz bieżącego wsparcia▪️szukasz Inspektora Ochrony Danych▪️odnotowałeś wyciek danych▪️masz problem i chcesz go przedyskutować▪️chcesz przeszkolić personel▪️ 

ROZWIĄŻEMY PROBLEM

▪️chcesz korzystać z przysługujących RODO-uprawnień▪️czujesz, że Twoje prawa nie są przestrzegane▪️chcesz mądrze zarządzać swoimi danymi osobowymi, ale nie wiesz jak▪️ myślisz o założeniu firmy i chcesz poznać RODO-procesy▪️ 

Kontakt

787 799 843
kontakt@rodo-advisor.pl
Plac Hallera 5 lok. 14A
03-464 Warszawa

CREATED BY REVEO

Dokumentacja RODO - Polityka Prywatności oraz Ogólna klauzula informacyjna