Ochrona danych osobowych

Pełnienie funkcji Inspektora Ochrony Danych – outsourcing

Pełnienie funkcji Inspektora Ochrony Danych w wykonywaniu jego funkcji polega na:

• zapewnieniu wykwalifikowanej osoby, którą Zamawiający powoła na Inspektora Ochrony Danych (dalej „IOD”) w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „Rozporządzenie”);
• zapewnieniu wsparcia IOD przez zespół specjalistów z zakresu ochrony danych osobowych;
• informowaniu Zamawiającego i jego pracowników o obowiązkach spoczywających na nich w związku z przetwarzaniem danych osobowych z uwzględnieniem przepisów Rozporządzenia oraz innych powszechnie obowiązujących przepisów o ochronie danych osobowych oraz doradztwo w tym obszarze;
• doradztwie w zakresie wyboru prawidłowych zabezpieczeń danych osobowych;
• wsparciu w monitorowaniu przestrzegania przepisów z zakresu ochrony danych osobowych, polityk i procedur, obowiązujących u Zamawiającego i jego pracowników, dotyczących ochrony danych osobowych;
• wykonywaniu audytu w obszarze ochrony danych osobowych oraz sporządzanie raportu dla Zamawiającego opisujących aktualny stan zgodności z przepisami procedurami z zakresu ochrony danych osobowych;
• wsparciu we współpracy z organem nadzorczym;
• wsparciu IOD w pełnieniu funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym uprzednimi konsultacjami, o których mowa w art. 36 Rozporządzenia oraz w stosownych przypadkach prowadzenie konsultacji we wszystkich innych sprawach;
• wsparciu IOD w pełnieniu funkcji punktu kontaktowego dla osób, których dane dotyczą zgodnie z art. 38 ust. 4 Rozporządzenia;
• wykonaniu i aktualizacji dokumentacji z zakresu ochrony danych osobowych zgodnej z Rozporządzeniem, w szczególności obejmującej politykę przetwarzania danych osobowych, oraz inne procedury prawidłowego zabezpieczenia danych osobowych;
• opiniowanie umów powierzenia przetwarzania danych osobowych dostarczonych przez Zamawiającego;
• opracowaniu klauzul informacyjnych oraz oświadczeń w przedmiocie zgód na przetwarzanie danych osobowych;

Audyt Ochrony Danych Osobowych

W ramach audytu sprawdzamy stopień spełnienia przez organizację wymagań prawnych i proceduralnych w zakresie danych osobowych.

Audyt Ochrony Danych Osobowych przeprowadzany jest w oparciu o obowiązujące akty prawne z zakresu ochrony danych osobowych ze szczególnym uwzględnieniem:

• Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO);
• Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych;
• Ustawy z dn. 21 lutego 2019r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO.

Zadania audytowe koncentrują się na weryfikacji bieżącego poziomu zabezpieczeń i spełnienia wymogów prawnych i proceduralnych określonych w w/w aktach prawnych.

Audyt obejmuje:

1. Analizę wdrożonej dokumentacji dot. przetwarzania danych osobowych oraz ocenę stopnia zgodności przyjętych procedur z wymaganiami określonymi w RODO;
2. Analizę prowadzonych ewidencji i rejestrów w tym rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania
3. Analizę procesów pozyskiwania danych osobowych (umowy, zgody, klauzule informacyjne etc.);
4. Weryfikację zadań wykonywanych przez Inspektora Ochrony Danych (IOD);
5. Badanie poziomu wiedzy i znajomości przez pracowników obowiązujących w organizacji zasad i procedur dot. prawidłowego zabezpieczenia i przetwarzania danych osobowych (badanie ankietowe);
6. Analizę wzorów umów dot. powierzenia przetwarzania danych osobowych;
7. Weryfikację wykonywania analizy ryzyka.

Czynności audytowe zakończą się sporządzeniem raportu. Dokument obejmuje opis zastanego stanu faktycznego oraz rekomendacje i zalecenia dotyczące wdrożenia odpowiednich środków organizacyjnych i technicznych, a także stopień spełnienia przez organizację wymagań prawnych i proceduralnych wynikających z obowiązujących przepisów w zakresie ochrony danych osobowych.

Audyt bezpieczeństwa informacji

Zadania audytowe realizowane są w kluczowych obszarach funkcjonowania organizacji i zostały podzielone na dwie podstawowe grupy

Zadania audytowe realizowane są w kluczowych obszarach funkcjonowania organizacji i zostały podzielone na dwie podstawowe grupy. W ramach każdej grupy weryfikowany jest stopień spełnienia przez organizację wymagań dotyczących zabezpieczeń technicznych i proceduralnych określonych w RODO:

1. Obszar IT

Audyt bezpieczeństwa informacji w obszarze IT, w szczególności obejmuje analizę następujących zagadnień:

• Dokumentacja z zakresu bezpieczeństwa informacji;
• Zabezpieczenia fizyczne i środowiskowe;
• Urządzenia brzegowe;
• Topologia i konfiguracja sieci lokalnej;
• Parametry techniczne urządzeń w tym centralnych urządzeń gromadzenia danych (serwery, macierze);
• Zarządzanie uprawnieniami;
• Bezpieczeństwo oprogramowania wykorzystywanego przez Zamawiającego;
• Zasilanie awaryjne;
• System kopii zapasowych;
• Ochrona przed kodem złośliwym i kodem mobilnym;
• Monitoring sprzętu, systemów operacyjnych i oprogramowania;
• Ciągłość działania;
• Praca zdalna;
• Postępowanie z nośnikami danych;
• Zarządzanie incydentami;
• Umowy z dostawcami usług przechowywania danych.

2. Obszar zgodności przetwarzania danych osobowych.

W ramach audytu sprawdzamy stopień spełnienia przez organizację wymagań prawnych w zakresie danych osobowych. Zadania audytowe koncentrują się na weryfikacji bieżącego poziomu zabezpieczeń oraz spełnienia wymogów prawnych i proceduralnych określonych w RODO.

Audyt obejmuje:

• Analizę wdrożonej dokumentacji dot. przetwarzania danych osobowych oraz ocenę stopnia zgodności przyjętych procedur z wymaganiami określonymi w RODO;
• Analizę prowadzonych ewidencji i rejestrów w tym rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania;
• Analizę procesów pozyskiwania danych osobowych (umowy, zgody, klauzule informacyjne etc.);
• Weryfikację zadań wykonywanych przez Inspektora Ochrony Danych (IOD);
• Badanie poziomu wiedzy i znajomości przez pracowników obowiązujących w organizacji zasad i procedur dot. prawidłowego zabezpieczenia i przetwarzania danych osobowych (badanie ankietowe);
• Analizę wzorów umów dot. powierzenia przetwarzania danych osobowych;
• Weryfikację wykonywania analizy ryzyka;
• Analizę treści umieszczanych na stronie internetowej, BIP, portalach społecznościowych.

Czynności audytowe zakończą się sporządzeniem raportu. Dokument obejmuje opis zastanego stanu faktycznego oraz rekomendacje i zalecenia dotyczące proceduralnych i technicznych sposobów zabezpieczania danych osobowych wraz z oceną stopnia przygotowania organizacji do stosowania przepisów RODO.

Audyt KRI

Audyt KRI (Krajowe Kramy Interoperacyjności) – obejmujący swoim zakresem wymagania dotyczące zabezpieczeń określone w:

Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (KRI).

Zadania audytowe realizowane są w kluczowych obszarach funkcjonowania organizacji. W ramach audytu weryfikowany jest stopień spełnienia przez organizację wymagań dotyczących zabezpieczeń technicznych i proceduralnych określonych w KRI.

W ramach czynności audytowych analizie zostaną poddane:

• Dokumentacja Systemu Zarządzania Bezpieczeństwem Informacji;
• Zabezpieczenia fizyczne i środowiskowe;
• Urządzenia brzegowe;
• Topologia i konfiguracja sieci lokalnej;
• Parametry techniczne urządzeń w tym centralnych urządzeń gromadzenia danych (serwery, macierze);
• Zarządzanie uprawnieniami;
• Bezpieczeństwo oprogramowania wykorzystywanego przez Zamawiającego;
• Zasilanie awaryjne;
• System kopii zapasowych;
• Ochrona przed kodem złośliwym i kodem mobilnym;
• Monitoring sprzętu, systemów operacyjnych i oprogramowania;
• Ciągłość działania;
• Praca zdalna;
• Postępowanie z nośnikami danych;
• Zarządzanie incydentami;
• Usługi elektroniczne stosowane w jednostce;
• Umowy z dostawcami usług przechowywania danych.

Czynności audytowe zakończone są sporządzeniem raportu końcowego.

Szkolenia z zakresu ochrony danych osobowych

Oferujemy szkolenia w zakresie ochrony danych osobowych, dostosowane do indywidualnych potrzeb klienta. Szkolenia prowadzone są przez osoby posiadające praktyczną wiedzę w tym zakresie, które na co dzień pełnią funkcję Inspektora Ochrony Danych.

Dokumentacja

Opracowujemy kompletną, przystępną i funkcjonalną dokumentację dotyczącą przetwarzania danych osobowych, uwzględniającej specyfikę organizacji.

Opracowane przez Nas polityki i procedury uwzględniają charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie i wadze.

W przypadku, gdy dokumentacja wdrożona w Państwa organizacji została opracowana w oparciu o RODO, dokonamy jej analizy i wskażemy stopień zgodności z wymaganiami w/w Rozporządzenia.