Audyt i wdrożenie RODO

Wdrożenie RODO - Mechanizmy ochrony danych

Audyt RODO ma na celu  weryfikację obecnego stanu ochrony danych osobowych oraz ocenę stopnia wdrożenia wymogów wynikających z ogólnego rozporządzenia o ochronie danych (RODO/GDPR).

Dlaczego audyt?

W firmach cały czas dochodzi do przetwarzania danych osobowych. Pojawia się więc pytanie, czy wiemy skąd je pozyskujemy? Czy posiadamy odpowiednie podstawy prawne do ich przetwarzania (zgodę, przepis prawa, umowę, itp)? Czy spełniliśmy odpowiedni obowiązek informacyjny wobec naszych klientów (tzn. czy zbierając dane podaliśmy jasne i pełne informacje o okolicznościach przetwarzania danych, np. celu, źródle, okresie przechowywania, odbiorcach danych)? Czy nasze działy marketingu, sprzedaży panują nad zbieranymi danymi osobowymi? Czy dane są usuwane, gdy już ich nie potrzebujemy? Tylko sprawnie przeprowadzony audyt pozwoli odpowiedzieć nam na powyższe pytania!

W ramach audytu RODO:

• określimy, do których informacji należy stosować przepisy RODO
• określimy status podmiotów przetwarzających dane osobowe (administrator, współadministrator, procesor, subprocesor)
• zweryfikujemy przesłanki przetwarzania danych osobowych określone w RODO w kontekście legalności przetwarzania na potrzeby poszczególnych procesów realizowanych przez klienta
• dokonamy przeglądu stosowanych klauzul zgód
• dokonamy przeglądu stosowanych klauzul (obowiązków) informacyjnych,
• przeanalizujemy treści stosowanych umów powierzenia przetwarzania danych
• określimy procedury realizacji praw podmiotów danych (np. w zakresie prawa dostępu do danych)
• określimy procedury realizacji obowiązków administratorów danych / procesorów (np. w zakresie powiadomień o naruszeniach)
• przeanalizujemy stosowane środki techniczne (informatyczne, fizyczne) i organizacyjne służące do zabezpieczenia danych pod kątem zgodności ze wskazaniami RODO

Raport poaudytowy

Efektem końcowym audytu jest raport przedwdrożeniowy prezentujący opis niezgodności, w tym wykryte naruszenia prawa, dowody potwierdzające niezgodności oraz rekomendacje, co do sposobu likwidacji niezgodności.

Dzięki raportowi w przejrzysty sposób znajdziesz odpowiedź na pytanie, w jakim stopniu przetwarzanie danych osobowych w Twojej firmie jest obarczone ryzykiem oraz czego brakuje Ci do pełnej zgodności z przepisami.

Ponadto w raporcie wskazujemy jakie działania należy podjąć, by osiągnąć zgodność z wymaganiami RODO, w szczególności zaś:

• wskażemy, czy konieczne będzie dokonanie oceny skutków przetwarzania danych i jeśli tak, to jak należy przeprowadzić ten proces
• określimy warunki powołania Inspektora Ochrony Danych (IOD), jeśli okaże się to niezbędne
• ustalimy zakres obowiązków wynikających z RODO, jaki ciąży na kliencie
• przedstawimy rekomendacje w zakresie dostosowania środowiska IT do wymogów RODO

Właściwe wdrożenie i procedury RODO

Wdrożenie RODO obejmuje dwa etapy:

• dostosowanie procesów przetwarzania danych
• dostosowanie środowiska teleinformatycznego

Znając wyniki audytu i wiedząc, jaka praca jest do wykonania, sporządzimy propozycję harmonogramu wdrożenia wymagań RODO tak, aby osiągnąć zgodność z przepisami.

W ramach dostosowania procesów przetwarzania danych klient otrzyma dokumenty składające się na kompleksową politykę ochrony danych (ostateczny zakres zależy od wyników audytu i analizy ryzyka), m.in.:

• metodykę analizy ryzyka i przeprowadzimy samą analizę ryzyka naruszenia praw lub wolności osób, których dane dotyczą w wyniku przetwarzania ich danych osobowych
• zasady przeprowadzania oceny skutków przetwarzania danych osobowych
• procedurę współpracy z podmiotami zewnętrznymi, w tym opracowanie nowego wzoru umowy powierzenia przetwarzania danych osobowych oraz wprowadzenie rozwiązań organizacyjnych pozwalających na wykazanie spełnienia obowiązku wyboru odpowiedniego procesora
• rejestr czynności przetwarzania danych osobowych
• rejestr kategorii czynności przetwarzania danych osobowych
• procedurę współpracy z organem nadzorczym i zgłaszania naruszeń
• procedurę zarządzania incydentami bezpieczeństwa
• klauzule do stosowania podczas zbierania danych osobowych, w tym klauzule dotyczące wypełnienia obowiązków informacyjnych
• dokument, określający status i zadania Inspektora Ochrony Danych (IOD)
• procedurę rozpatrywania żądań podmiotu danych
• politykę retencji danych
• procedurę postępowania, która w przypadku projektowania systemów IT uwzględnia koncepcję ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default)
• opis przeprowadzenia uprzedniej konsultacji z Prezesem Urzędu Ochrony Danych Osobowych, w sytuacjach tego wymagających
• dokument opisujący wybór odpowiednich mechanizmów transferowych, w przypadku przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej

W celu dostosowania środowiska IT zostaną dostarczone klientowi zalecenia dotyczące m.in. procedury  zarządzania użytkownikami i uprawnieniami, wykonywania i odzyskiwania kopii zapasowych, obsługi incydentów bezpieczeństwa.

Omawianą usługę możemy rozszerzyć o propozycje wdrożenia przydatnych narzędzi IT, które wspierałyby spełnianie wymogów RODO w zakresie bezpieczeństwa IT, a zwłaszcza:

• system klasyfikacji informacji
• system zapobiegający wyciekowi informacji (DLP)
• platforma zarządzania informacją związaną z bezpieczeństwem i zdarzeniami (SIEM).

Audyt "data discovery" i mapy procesów

Jeżeli jesteś zainteresowany opracowaniem mapy procesów, możemy to dla Ciebie zrobić po przeprowadzeniu audytu data discovery, kiedy badamy w szczególności:

• jakie procesy przetwarzania danych osobowych realizowane są przez klienta oraz jaki jest jego status w stosunku do przetwarzanych danych (administrator danych, współadministrator, procesor)
• jakie podstawy prawne mają zastosowanie do przetwarzania danych osobowych w danym procesie
• jakie systemy informatyczne są wykorzystywane do przetwarzania danych
• jakie są lokalizacje przetwarzania danych osobowych
• które jednostki/działy wewnętrzne mają dostęp do danych osobowych w ramach danego procesu
• jak jest skala dostępu podmiotów trzecich do przetwarzanych danych i jakie to są podmioty
• jakie uprawnienia przysługują osobom, których dane przetwarzane są w konkretnym procesie
• stosowane środki organizacyjno-proceduralne (wdrożone polityki bezpieczeństwa, procedury obiegu dokumentów, itd.)
• stosowane środki techniczne (sposób zabezpieczania zasobów na stacjach roboczych, komputerach przenośnych, serwerach, itd.)
• inne elementy mające wpływ na ochronę danych

W ramach udokumentowania data discovery dla każdego zinwentaryzowanego procesu możemy przygotować  mapę procesu. W czytelny, graficzny sposób obrazujemy “życie” danych osobowych w danym procesie. Wszystkie istotne elementy procesu są zagregowane w formie jednej mapy, dzięki temu nawet po audycie osoby zaangażowane w dany proces będą potrafiły w łatwy sposób odnaleźć kluczowe informacje. Mapa procesu pełni też niezwykle ważną rolę w nadzorowaniu zmian, jakie zachodzą w danym procesie. Każdą taką zmianę przejrzyście można wprowadzić do mapy, co stanowi przydatne narzędzie w dokumentowaniu modyfikacji i posiadania aktualnych informacji.

We wdrożeniu RODO ważni są ludzie!

Należy pamiętać, że RODO to nie tylko dokumenty. Ważni są ludzie, którzy pracują na danych osobowych w firmie. Niestety czynnik ludzki jest najczęstszym powodem naruszeń. Dlatego poza wdrożeniem odpowiednich procedur i zabezpieczeń informatycznych,  należy przeszkolić wszystkich pracowników. W tym celu zapewniamy:

•       szkolenia on-line,
•       szkolenia stacjonarne,
•       zwięzłe i przejrzyste materiały dla pracowników,
•       infografiki,
•       monitoring najnowszych wiadomości, decyzji i orzeczeń – także organów zagranicznych.

A jeśli RODO to nie wszystko?

Oczywiście, że samo "papierowe" wdrożenie RODO nie jest wystarczające dla faktycznej ochrony danych osobowych. RODO zawiera ogólne stwierdzenia, że zabezpieczenia muszą być odpowiednie w stosunku do ryzyka, a przeniesienie ich na papier w formie dokumentacji to jedynie pewien element drogi do sukcesu w realnym wdrożeniu RODO. RODO, dzięki ogólnym założeniom dotyczącym zabezpieczeń, jest neutralne (technologicznie), a przez brak szczegółowych wytycznych nie powinno szybko się zestarzeć. Pułapką takiego rozwiązania legislacyjnego jest niestety wielka niewiadoma przy procesie wdrażania RODO. W końcu nie ma żadnego odniesienia – czy robimy coś dobrze, czy źle. Szukać pomocy można w innych normach, np. ISO. Dlatego w naszym zespole mamy certyfikowanych audytorów Systemu Zarządzania Bezpieczeństwem Informacji wg normy ISO 27001. Normy serii ISO 27000 stanowią jedne z najważniejszych, powszechnie akceptowanych dokumentów prezentujących aktualny stan wiedzy technicznej w zakresie stosowania środków bezpieczeństwa i zarządzania bezpieczeństwem. Urząd Ochrony Danych Osobowych także zaleca brać je pod uwagę.

Przy analizie naruszeń ochrony danych osobowych można kierować się zaleceniami Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). Mamy jednak nadzieję, że zagrożeń bezpieczeństwa w Twojej organizacji nie będzie, ale gdyby były – jesteśmy przygotowani, by dostarczać Ci za każdym razem analizę naruszenia. 

Oferujemy naszą pomoc we wdrożeniu RODO

Doświadczeni pracownicy iSecure pomogą Ci zarówno przy audycie, jak i dostosowaniu dokumentacji, stron internetowych czy systemów IT, a także w szkoleniu pracowników.

Z nami nie ma rzeczy niemożliwych, a właściwe wdrożenie RODO w organizacji pozwoli spać spokojnie i zminimalizuje ryzyko nałożenia kar lub domagania się odszkodowań za nieodpowiednie przetwarzanie danych osobowych.

Mechanizmy ochrony danych - Procedury RODO - ISecure