Wdrożenie wytycznych RODO

W skrócie

Dla kogo przeznaczona jest usługa 

Usługa przeznaczona dla firm (powyżej 20 osób), które szukają kompleksowej usługi związanej z wdrożeniem wytycznych RODO jakie mają obowiązywać od 25.05.2018r. Wytyczne RODO dotyczą regulacji związanych z ochroną danych osobowych pracowników, współpracowników, kontrahentów i klientów. Wiele firm postrzega RODO jako pewną ewolucję obecnie funkcjonujących przepisów o ochronie danych osobowych – GIODO. Różnice są jednak spore i niezależenie od stopnia zaawansowania wdrożenia GIODO każda firma będzie musiała dostosować się do nowych przepisów. 

Wiele firm mylnie zakłada, że poczekają do momentu, gdy obecnie działający system ERP dostarczy im rozwiązania do obsługi GIODO – niestety to jest błędne założenie. Firma musi stworzyć wewnątrz firmy cały system ochrony danych osobowych, system w rozumieniu szeregu rozwiązań formalnych.

 

Na czym polega usługa

Realizację projektu dzielimy na trzy podstawowe kroki, które mają ułatwić firmom wdrożenie całego szeregu rozwiązań mających na celu ochronę zbiorów zawierających dane osobowe klientów, pracowników, kontrahentów, współpracowników, dostawców, etc.

Nasza usługa zawiera pełen pakiet wymaganych zmian aby firma mogła wykazać iż dostosowała się do wymogów Rozporządzenia Parlamentu Europejskiego tzw. Rozporządzenie 2016/679. w tym: szkolenia dla pracowników z gotowych procedur ochrony danych osobowych, procedury postępowania w przypadku wniosków o zmianę, przeniesienia danych, usunięcia danych osobowych, naruszenia dostępu do danych osobowych, etc. Uzupełnieniem dostarczanej dokumentacji może być Polityka bezpieczeństwa danych osobowych oraz Zasady ochrony danych osobowych w firmie oraz wymagane klauzule od klientów, kontrahentów i współpracowników.

 

O RODO nie można myśleć w kategoriach przepisu, którym będzie można się przejmować dopiero w razie kontroli urzędowej. Brak zgodności z RODO w działaniu firmy będzie widoczny gołym okiem. Każdy, klient, pracownik, dostawca będzie mógł zgłosić do Prezesa Ochrony Danych Osobowych skargę o naruszenie przepisów o ochronie danych osobowych.

Szczegółowy zakres usługi Wdrożenia wytycznych RODO

Poniżej prezentujemy kolejne kroki w jakich realizujemy nasze usługi w ramach typowego projektu.

Krok 1.

Identyfikacja zbiorów przetwarzania danych osobowych

W pierwszej kolejności przeprowadzamy audyt danych osobowych w wyniku, którego identyfikujemy miejsca przetwarzania danych osobowych (systemowe i fizyczne) oraz zbiory przetwarzania danych osobowych. Analizę miejsc przetwarzania danych realizujemy w formie wywiadów z pracownikami takich działów jak: kadry, HR, administracja, sprzedaż, logistyka, marketing, obsługa klienta, dział serwisu, itp.  wszędzie tam gdzie potencjalnie może zaistnieć potrzeba przetwarzania danych osobowych pracowników, współpracowników, kontrahentów, klientów B2C, pracowników klientów B2B. Analizą objęte są również próbki dokumentów, które mogą zawierać dane osobowe np: zestawienia osób, listy z danymi osobowymi, oferty, wewnętrzne bazy klientów.

Na podstawie przeprowadzonego audytu danych osobowych zostaną zidentyfikowane wszystkie miejsca przetwarzania danych osobowych (dokumenty, systemy, monitoring wizyjny, etc.). Te dane pozwolą na   utworzenie wymaganego przepisami rozporządzenia: Rejestru czynności przetwarzania oraz Rejestru kategorii przetwarzania. 

W przypadku powiązania usługi Wdrożenia wytycznych RODO z usługą mapowania procesów, jest znacznie prościej ustalić miejsca przetwarzania danych, gdyż opracowane mapy procesów pozwalają precyzyjnie określić sposób wykorzystania danych w poszczególnych procesach.

mbo

Krok 2.

Opracowanie wymaganej dokumentacji RODO

W drugim kroku opracowywana jest wymagana dokumentacja formalna, która opisuje zasady ochrony danych osobowych oraz przyjętą w firmie politykę bezpieczeństwa przetwarzania danych osobowych. W ramach tego kroku powstaną następujące dokumenty:

  • Informacja o przetwarzaniu danych osobowych  – Dokument jaki powinni otrzymać dotychczasowi klienci opisujący zakres i cel oraz termin przetwarzania danych , komu będą przekazywane dane, jakie prawa przysługują danej osobie, etc.
  • Polityka bezpieczeństwa informacji – Dokument opisujący zasady klasyfikacji wszystkich informacji przetwarzanych w organizacji na oraz sposób ich ochrony.
  • Zasady ochrony danych osobowych – Dokument definiujący dane osobowe oraz mechanizmy wdrożone w organizacji w celu ich ochrony.
  • Rejestr kategorii przetwarzania danych osobowych – dokument zawierający listę kategorii przetwarzania danych w podziale na: zbiór, kategorię przetwarzania, kategorię odbiorców, czynności związane z przetwarzaniem danych;
  • Rejestr czynności przetwarzania danych – dokument zawierający wzorzec listy czynności przetwarzania danych.
  • Procedury przetwarzania danych – wewnętrzne regulacje, które określają sposób  postępowania w przypadku żądania przez klienta, pracownika, współpracownika: zmiany danych osobowych, usunięcia danych osobowych, udzielenie/ wycofania zgody, przekazanie danych innemu Administratorowi danych
  • Klauzule przetwarzania danych – treść klauzul zgodnych z RODO przy umowach, stronach WWW, formularza, etc.
  • Zmiany w treści umów – RODO wymusi w wielu przypadkach wprowadzenie zmian w sposobie przetwarzania danych osobowych w ramach świadczonych usług.

Rozporządzenie unijne nie narzuca organizacji w jaki sposób chronić dane osobowe –  nie wskazuje narzędzi ani obligatoryjnych dokumentów. Zadaniem administratora danych jest wdrożenie systemu ochrony (tj. odpowiednich środków technicznych i organizacyjnych) proporcjonalnego w stosunku do czynności przetwarzania. Opracowana przez nas dokumentacja będzie bazować na istniejących w firmie rozwiązaniach, tak aby ograniczać liczbę niezbędnych inwestycji po stronie firmy.

Krok 3.

Wdrożenie wytycznych RODO w firmie

W ramach tego kroku opracowywane są i wdrażane procedury związane bezpośrednio z czynnościami przetwarzania danych osobowych, w tym:

  • Zmiana danych osobowych na podstawie wniosku
  • Usunięcie danych osobowych ze zbiorów na podstawie wniosku
  • Udzielenie zgody lub wycofanie zgody na przetworzenie danych osobowych
  • Przekazanie danych innemu administratorowi
  • Zapomnienie danych osobowych na wniosek danej osoby
  • Incydent wycieku danych osobowych

Każda z opracowywanych przez nas procedur jest osadzona w realiach danej firmy. Tworząc procedury dbamy o to aby były wewnętrznie spójne, oraz aby użyte skróty, nazwy ról były wcześniej zdefiniowane unikając w ten sposób niejednoznaczności. Ważnym elementem naszych procedur jest zdefiniowanie głównego przebiegu oraz sposobu obsługi wyjątków. Innymi słowy upraszczamy daną procedurę tak aby odbiorca wiedział wiedział co ma przygotować, co ma zrobić sam zgodnie z procedurą i z kim się skontaktować w przypadku zaistnienia sytuacji wyjątkowych.

Ustalamy z klientem Plan wdrożenia, wskazując od kogo i jakie zgody są konieczne do pozyskania docelowo i w okresie przejściowym.

Nieodzownym elementem wdrożenia wytycznych RODO są  szkolenia dla pracowników w celu zapoznania ich z polityką bezpieczeństwa i zasadami ochrony danych osobowych oraz poszczególnymi procedurami. Na szkoleniach omawiamy procedury oraz wyjaśniamy jak je stosować w praktyce.

Produkty projektu

Klienci otrzymują zawsze jasno zdefiniowany zestaw produktów końcowych

  • Identyfikacja zbiorów danych
  • Polityka bezpieczeństwa
  • Zasady ochrony danych osobowych
  • Procedura zmiany danych
  • Procedura usunięcia danych
  • Procedura udzielenia/ wycofania zgody
  • Procedura przekazania danych innemu administratorowi
  • Plan wdrożenia wytycznych RODO
  • Klauzule przetwarzania danych
  • Projekty zmian w umowach oraz aneksów
  • Szkolenia dla pracowników

Kształt produktów i zakres opisywanych usług może różnić się w poszczególnych projektach – dokładny zakres projektu dobierany jest zawsze indywidualnie do potrzeb konkretnego Klienta i jest precyzyjnie opisywany w ofercie / umowie przed rozpoczęciem projektu.

 

Chcesz wiedzieć więcej o naszej usłudze? Skontaktuj się:
mapowanie procesu

Dowiedz się więcej o RODO…

CZY WIESZ, ŻE ….?
  • Wg wytycznych RODO za „Dane osobowe” uznawane jest już połączenie informacji: imię, nazwisko, firma, a to oznacza, że:
    • należy pozyskać „właściwe zgody” (patrz Krok 1 usługi) na przetwarzanie danych  od klientów, kontrahentów, podwykonawców, swoich pracowników, itp.
    • Zmianie będą musiały ulec dotychczasowe zgody na przetwarzanie danych osobowych.
  • W przypadku przetwarzania szczególnych danych osobowych, firma będzie musiała zgłosić do Prezesa Ochrony Danych Osobowych dane Inspektora Ochrony Danych Osobowych w terminie 14 dni.
    • Szczególne dane osobowe to: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane biometryczne do identyfikacji osób, dane osobowe dotyczące wyroków skazujących oraz dane dotyczące zdrowia (chyba że są niezbędne w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej). 
  • Od 25.04.2018r. skargę na uchybienia w przetwarzaniu danych osobowych będzie mógł zgłosić do Prezesa Urzędu Ochrony Danych Osobowych każdy klient, czy instytucja działająca w jego imieniu.
  • Kontrolujący ma prawo wstępu do firmy w godz. 6:00 – 22:00, wgląd do wszystkich dokumentów przeprowadzenie miejsc, przedmiotów, nośników oraz systemów informatycznych…
  • Wiele firm mylnie zakłada, że termin wdrożenia zostanie przesunięty – sprawdź tutaj wyjaśnienia GIODO.
Wytyczne RODO obowiązują od:
Podstawowe różnice między RODO a GIODO 
  • Od 25.05.2018 nie będzie obowiązku zgłaszania zbiorów danych osobowych do GIODO, ale w to miejsce firma będzie musiała samodzielnie prowadzić Rejestr czynności przetwarzania danych osobowych oraz Rejestr kategorii przetwarzania danych osobowych;
  • Przetwarzanie danych dotyczy wszystkich zbiorów, które zawierają imię, Nazwisko ,w tym listę pracowników, listę współpracowników, dostawców, kontrahentów, etc. To największa zmiana względem GIODO, które skupiało się tylko na osobach fizycznych i końcowych klientach detalicznych;
  • RODO wymusza aby każdy miał dostęp do informacji jakie daną są przetwarzane i do jakich czynności są te dane wykorzystywane. Dodatkowo, każdy będzie miał prawo zmienić przyznane zgody w taki sam sposób jak je firma pozyskała, czyli jeżeli zgoda była zbierana elektronicznie, to zmiana zgód też musi nastąpić elektronicznie. Obowiązuje przy tym reguła „privacy by default”, która zakłada ochronę prywatności, jako domyślne ustawienie każdego programu (systemu), a zmiana takiego ustawienia powinna następować jedynie na wyraźne żądanie użytkownika programu (zasada privacy by design nie będzie obowiązywać Państwa);
  • Każdy podmiot nabywa pewne prawa, które proces musi spełnić, w tym: prawo do bycia zapomnianym, prawo do przenoszenia danych, prawo do niepodlegania profilowaniu, zasada przejrzystości , prawo do zmiany danych i inne, czego nie było w GIODO;
  • Obecną rolę Administratora Danych osobowych zastępuje Inspektor Ochrony Danych, któremu zmienia się zakres obowiązków.
  • Za nie wywiązanie się z przestrzegania wytycznych RODO grożą dotkliwe kary bo aż do 2% wartości obrotu  z poprzedniego roku

Wsparcie po realizacji usługi

BUDOWANIE BIBLIOTEKI PROCEDUR

Usługa pozwalająca na utworzenie i rozwój biblioteki procedur, instrukcji  i wytycznych w firmie nie tylko w odniesieniu do wdrożenia wymagań RODO, ale szerzej, określając sposób postępowania pracowników w określonych sytuacjach, jak również definiując sposób używania systemów, kontaktów z klientami, etc.

WDROŻENIE BAZY WIEDZY W FIRMIE

Usługa ukierunkowana na utworzenie bazy wiedzy w firmie, która ma zapewnić spójne zarządzanie wiedzą, dokumentacji wewnątrz firmy oraz w komunikacji z klientami.

Uzyskiwane korzyści

Poniżej lista przykładowych korzyści uzyskiwanych przez klientów:

  • Realne działania związane z wdrożeniem wytycznych RODO
  • Stworzenie kompleksowego systemu ochrony danych osobowych w firmie
  • Budowanie rozwiązania dopasowanego do możliwości finansowych i czasowych firmy
  • Skupienie uwagi na aspektach RODO, które naprawdę dotyczą danej firmy bez wchodzenia w detale, których firma nigdy nie będzie obsługiwać

W powiązaniu z usługą mapowania procesów, firma zyskuje wiedzę o działaniu firmy i realnych miejscach przetwarzania danych, co zapewni jej pełną kontrolę nad sposobem przetwarzania danych osobowych.

Dowiedz się więcej na temat korzyści z realizacji naszej usługi:

 

Nasze standardy

Zdefiniowaliśmy i wdrożyliśmy autorski standard najwyższej jakości usług doradczych. Opisywana usługa spełnia rygorystyczne kryteria tego standardu.

analiza procesów biznesowych