Ochrona danych osobowych – wdrożenie RODO kompleksowo
Audyt wstępny:
- inwentaryzacja danych osobowych (ustalenie rodzaju i zakresu przetwarzanych danych osobowych oraz kategorii osób, których dane osobowe są przetwarzane, czasu przetwarzania danych osobowych; identyfikacja danych osobowych wymienianych z innymi podmiotami i określenie roli tych podmiotów);
- inwentaryzacja systemów informatycznych służących do przetwarzania danych osobowych;
- analiza systemu informatycznego pod względem stosowanych środków zabezpieczeń.
- Profilowanie (ustalenie przypadków profilowania z wykorzystaniem danych osobowych; analiza podstawy prawnej przetwarzania danych osobowych dla celów profilowania; przygotowanie rekomendacji w zakresie wdrożenia odpowiednich środków zabezpieczenia danych osobowych).
- Przygotowanie Rejestru czynności przetwarzania lub Rejestru kategorii czynności przetwarzania na podstawie art. 30 RODO.
- Ocena skutków dla ochrony danych (Privacy Impact Assessment) poprzez analizę potrzeby przeprowadzenia badania DPIA, opis planowanych operacji przetwarzania i celów, przeprowadzenie analizy skutków planowanych czynności dla ochrony danych osobowych, ocena ryzyka naruszenia praw i wolności osób których dane dotyczą, propozycja zastosowania środków w celu zaradzenia ryzyku oraz przygotowanie raportu końcowego).
Obowiązek informacyjny:
- analiza sposobów wykonywania obowiązku informacyjnego;
- przygotowanie stosownych klauzul informacyjnych;
- przygotowanie rekomendacji odnośnie stosowania klauzul informacyjnych.
Interakcja z osobami, których dane dotyczą:
- analiza sposobu wykonywania obowiązku udostępnienia danych osobowych, sprostowania danych, reagowania na sprzeciw, żądanie usunięcia, ograniczenia przetwarzania lub przeniesienia danych;
- przygotowanie rekomendacji odnośnie dokonywanych zgłoszeń osób, których dane dotyczą;
- opracowanie polityki/instrukcji reagowania na zgłoszenia
Incydenty:
- przygotowanie procedury alarmowej, tj. polityki reagowania na incydenty dotyczące ochrony danych osobowych;
- analiza przyczyn wystąpienia incydentu;
- przygotowanie zgłoszenia naruszenia ochrony danych osobowych do organu nadzoru oraz planu naprawczego po zaistniałym incydencie.
Zabezpieczenie danych;
- analiza stosowanych środków organizacyjnych, fizycznych i technicznych ochrony danych osobowych;
- przygotowanie rekomendacji odnośnie do zabezpieczenia danych osbowych;
- przygotowanie polityki bezpieczeństwa danych osobowych.
Pseudonimizacja
- analiza potrzeby przeprowadzenia pseudonimizacji określonych kategorii danych osobowych;
- przygotowanie rekomendacji w zakresie konieczności dokonania pseudonimizacji.
Umowy powierzenia przetwarzania danych:
- przy współpracy z doświadczonymi radcami prawnymi analiza prawna umów, porozumień i innych dokumentów z podmiotami zewnętrznymi / osobami trzecimi w zakresie zgodności z wymaganiami przepisów prawa;
- analiza i przygotowanie rekomendacji odnośnie przypadków konieczności zawarcia umowy powierzenia przetwarzania danych osobowych;
- przygotowanie projektów umów.
Polityki ochrony danych:
- sprawdzenie wdrożonych i stosowanych polityk w zakresie ochrony danych osobowych(w tym również polityk prywatności na stronach internetowych);
- przygotowanie rekomendacji w zakresie konieczności wprowadzenia lub aktualizacji wybranych polityk;
- przygotowanie projektów niezbędnych polityk.
Upoważnienia do przetwarzania danych
Analiza wydanych upoważnień;
- Przygotowanie projektów upoważnień do przetwarzania danych osobowych zgodnie z przepisami RODO.
Konsultacje z organem nadzorczym:
- analiza konieczności skonsultowania z organem nadzorczym planowanych operacji przetwarzania danych osobowych;
- przygotowanie dokumentów niezbędnych do przeprowadzenia konsultacji;
- zapewnienie reprezentacji podczas dokonywanej konsultacji z organem nadzorczym.
Obowiązkowe szkolenie dla wszystkich pracowników/osób upoważnionych do przetwarzania danych osobowych, obejmujące zaznajomienie z przepisami i wewnętrznymi regulacjami wraz z wydaniem certyfikatów potwierdzających udział w szkoleniu.