Świadczymy usługi polegające na weryfikacji pod kątem formalnoprawnym procesów przetwarzania danych osobowych w zakresie ich zgodności z przepisami o ochronie danych osobowych (rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, dalej: RODO) oraz przeprowadzenie audytu i przygotowanie raportu z audytu oraz analizy ryzyka pod kątem wdrożenia dokumentacji ochrony danych osobowych i wdrożenie kompletnej dokumentacji i procedur zgodnych ze wskazaniami i przepisami RODO oraz wynikami przeprowadzonych ustaleń spełniających wymagania Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.

Czynności weryfikacji zgodności z RODO w zakresie audytu otwarcia obejmują inwentaryzację procesów przetwarzania danych osobowych oraz przepływów danych wraz z ustaleniem:

• spełnienia przesłanek legalizujących przetwarzanie danych osobowych,
• realizacji zasad privacy by design oraz privacy by default,
• poprawności i legalności przetwarzania danych osobowych, w tym celu oraz zakresu przetwarzania danych osobowych, również w zakresie danych wrażliwych,
• spełnienia zasad przetwarzania danych osobowych, w tym adekwatności i proporcjonalności do celu,
• organizacji ochrony danych osobowych,
• realizacji obowiązku informacyjnego w stosunku do osób, których dane dotyczą, wraz z weryfikacją klauzul informacyjnych oraz dostosowaniem ich do RODO, z uwzględnieniem weryfikacji zakresu przetwarzania danych w oparciu o przesłankę zgody, stosowanych zapytań o wyrażenie zgody, jak i formularzy zgód,
• procesów powierzenia przetwarzania danych osobowych, w tym przekazywania danych do państw trzecich, a także funkcjonowania umów o powierzenie przetwarzania,
• spełnienia wymogów w zakresie zasad bezpieczeństwa systemu informatycznego oraz infrastruktury informatycznej,
• obowiązujących organizacyjnych i technicznych środków ochrony danych osobowych, ich adekwatności do celów i sposobów przetwarzania danych osobowych,
• poziomu zabezpieczeń stosowanych do ochrony zbiorów danych przetwarzanych w systemie informatycznym oraz w formie papierowej,
• podstaw konieczności wprowadzenia szczegółowych obowiązków wynikających z RODO oraz rekomendacja ich wdrożenia, o ile obowiązek ich wprowadzenia wynika z przepisów lub jest w nich wskazany (powołanie inspektora ochrony danych, prowadzenie rejestru czynności przetwarzania danych osobowych, przeprowadzenie oceny skutków dla ochrony danych osobowych),
• sprawdzenie procesów i bezpieczeństwa przetwarzania danych osobowych pod kątem zgodności z RODO.

Czynności w zakresie analizy ryzyka obejmują:

• identyfikację i inwentaryzację procesów przetwarzania danych osobowych,
• identyfikację kategorii danych, ich rodzaju (dane zwykłe/dane szczególnej kategorii oraz wartości i ilości),
• identyfikację i określenie potencjalnych zagrożeń dla poszczególnych kategorii danych,
• ustalenie i wskazanie potencjalnych skutków i następstw wystąpienia zagrożenia dla ochrony danych osobowych,
• ustalenie i wskazanie kategorii odpowiednich zabezpieczeń do potencjalnych ryzyk i zagrożeń.

Czynności w zakresie wdrożenia RODO (w ogólności) obejmują między innymi:

• przygotowanie i wdrożenie systemu ochrony danych osobowych, dokumentacji i procedur oraz rozwiązań faktycznych w zakresie przepisów RODO,
• właściwe zabezpieczenie danych w zakresie zgodności z przepisami RODO,
• przygotowanie klauzul zgód zgodnych z przepisami RODO,
• opracowanie procedur i polityk oraz wzorca umów zgodnych z przepisami RODO,
• analizę procesów przetwarzania danych osobowych oraz procesów biznesowych zachodzących w ramach prowadzonej działalności, kategorii danych osobowych, sposobów przetwarzania danych,
• ocenę formalnoprawą zabezpieczeń systemów informatycznych oraz pomoc we wdrożeniu odpowiednich wytycznych zarządzania systemem informatycznym oraz zabezpieczeń.

Świadczymy również usługę outsourcingową w zakresie pełnienia obowiązków inspektora ochrony danych (dalej: IOD). Zadania IOD zawiera art. 39 ust. 1 RODO. Wyliczenie zawarte w tym przepisie nie jest jednak katalogiem zamkniętym. Do najważniejszych zadań Inspektora Ochrony Danych należą:

• informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
• monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
• współpraca z organem nadzorczym;
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
• pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO;
• prowadzenie rejestru czynności lub rejestru kategorii czynności.