Ochrona danych osobowych
Ochrona danych osobowych oraz informacji jest jednym z kluczowych problemów współczesnej gospodarki. Skala wycieków danych osobowych, jak i informacji stanowiących tajemnicę przedsiębiorstwa z roku na rok staje się coraz większa. Poprzez wprowadzenie odpowiednich zabezpieczeń można znacząco zmniejszyć wskazane ryzyko. Dlatego wspólnie z naszymi partnerami technologicznymi zapewniamy kompleksowe bezpieczeństwo danych. Skomplikowane konstrukcje prawne ochrony danych osobowych wyjaśniamy w sposób zwięzły i przystępny.
Wybierz specjalizację:
- I. Audyty RODO
- II. IOD
- III. Dokumentacja
- IV. Analiza ryzyka
- V. Polityki prywatności i plików cookies, regulaminy, obowiązki informacyjne
- VI. HR
- VII. Marketing i media społecznościowe
- VIII. Bezpieczeństwo informacji
- IX. AI, profilowanie, zautomatyzowane podejmowanie decyzji
- X. Kodeksy i certyfikacja
- XI. Monitoring
- XII. Szkolenie i warsztaty z RODO
- XIII. Naruszenia RODO
- XIV. Transfery danych
- XV. Kontrole Prezesa Urzędu Ochrony Danych
- XVI. Consulting w zakresie narzędzi do wdrażania RODO
- XVII. Cyberbezpieczeństwo
I. Audyty RODO
Kompleksowa weryfikacja działalności Klientów pod kątem zgodności przetwarzania danych osobowych z obowiązującymi przepisami, w tym w szczególności z ogólnym rozporządzeniem o ochronie danych osobowych.
Przykładowe usługi:
- mapowanie procesów biznesowych z perspektywy RODO
- weryfikacja zgodności we wszystkich obszarach działalności, w tym marketing, HR, obsługa klienta, sprzedaż itp., a w tym:
- weryfikacja spełnienia przesłanek legalizujących przetwarzanie danych osobowych,
- weryfikacja stosowanych klauzul informacyjnych,
- weryfikacja stosowanych zgód,
- weryfikacja podlegania obowiązkowi prowadzenia rejestru czynności przetwarzania danych osobowych oraz rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora,
- weryfikacja podlegania obowiązkowi wyznaczenia inspektora ochrony danych osobowych,
- weryfikacja stosowanych umów powierzenia,
- weryfikacja zgodności przekazywania danych osobowych do państw trzecich,
- weryfikacja dokumentów wykorzystywanych w relacjach z klientami, w tym weryfikacja języka stosowanego w komunikacji, ustalenie obszarów, które będą wymagały zmian pod kątem klauzul informacyjnych, zgód i polityk prywatności,
- ustalenie spełnienia przez systemy teleinformatyczne możliwości realizacji praw podmiotów danych,
- analiza możliwości realizacji nowych obowiązków administratora i praw podmiotów danych,
- audyt IT
- analiza ryzyka i DPIA
- sformułowanie raportu zawierającego wytycznych pod kątem zbudowania systemu ochrony danych osobowych zgodnego z RODO, obejmującego:
- opis zidentyfikowanych procesów przetwarzania, wraz ze wskazaniem kategorii danych oraz przykładami zidentyfikowanych naruszeń,
- informację na temat podlegania / niepodlegania poszczególnym obowiązkom wynikającym z RODO,
- rekomendacje formalno-prawne do wdrożenia w każdym z procesów,
- opracowanie teoretyczne na temat podstawowych obowiązków administratora i praw podmiotu danych, wynikających z RODO.
II. IOD
Wykonywanie funkcji inspektora ochrony danych w organizacji administratora oraz bieżące wsparcie i doradztwo w ocenie prawidłowości i legalności przetwarzania danych osobowych.
Przykładowe usługi:
- Reagowanie na incydenty naruszenia ochrony danych osobowych.
- Koordynacja incident response.
- Wsparcie w procesie oceny stopnia naruszenia ochrony danych osobowych.
- Zgłaszanie przypadków naruszenia ochrony danych osobowych do organu nadzorczego.
- Doradztwo w zakresie obowiązków wynikających z ogólnego rozporządzenia o ochronie danych.
- Monitorowanie przestrzegania RODO i innych przepisów z zakresu ochrony danych osobowych.
- Wydawanie zaleceń i wskazówek dotyczących zapewnienia prawidłowego przetwarzania danych osobowych.
III. Dokumentacja
Opracowanie kompletnej dokumentacji w zakresie ochrony danych osobowych. Audyt i weryfikacja dokumentów stosowanych przez administratora. Analiza i dostosowanie dokumentów do konkretnych stanów faktycznych.
Przykładowe usługi:
- Polityka ochrony danych osobowych.
- Rejestr czynności przetwarzania.
- Rejestr kategorii czynności przetwarzania.
- Klauzule informacyjne.
- Umowy powierzenia.
- Wewnątrzorganizacyjne dokumenty regulujące zabezpieczenie i sposób przetwarzania danych.
- Procedura obsługi żądań podmiotów danych.
- Polityka zarządzania naruszeniami.
- Polityka prywatności.
- Dedykowane treści zgody podmiotów danych na przetwarzanie danych osobowych.
- Przeprowadzanie testów równowagi dla czynności realizowanych w oparciu o prawnie uzasadniony interes administratora
- Dokumentowanie analiz ryzyka i DPIA
- Dokumentowanie spełniania przesłanek przetwarzania
- Dokumentowanie spełniania obowiązków informacyjnych
IV. Analiza ryzyka
Analiza ryzyka jest podstawą dla prawidłowego wdrożenia RODO, w tym wyboru organizacyjnych, prawnych i technicznych środków zgodności i bezpieczestwa przetwarzania. Pierwszym krokiem do przeprowadzenia analizy jest mapowania procesów biznesowych na czynności przetwarzania, dla których analizę ryzyka się wykonuje. W przypadkach wymienionych w RODO administrator zobowiązany jest także wykonać analizę szczegółową tj. Ocenę skutków dla ochrony danych (DPIA)
Przykładowe usługi:
- Mapowanie procesów biznesowych na czynności przetwarzania dla których wykonana ma być analiza ryzyka lub DPIA
- Przeprowadzenie analizy z wykorzystaniem metod tradycyjnych, ISO lub aplikacji analitycznych w tym GDPR Risk Tracker
- Dokumentowanie analizy w celu zapewnienia rozliczalności
- Asysta przy podejmowaniu decyzji co do wdrożenia właściwych, adekwatnych środków technicznych i organizacyjnych lub prawnych
V. Polityki prywatności i plików cookies, regulaminy, obowiązki informacyjne
Analizujemy strony internetowe, w tym e-sklepy, portale i platformy internetowe pod kątem wymogów prawnych, które muszą spełniać.
Przykładowe usługi:
- regulaminy,
- polityki prywatności,
- obowiązki informacyjne z RODO,
- zgody na prowadzenie marketingu, w tym wysyłanie informacji handlowych i profilowanie,
- polityki prywatności dla profili w mediach społecznościowych.
VI. HR
W obszarze specjalizacji zajmujemy się ochroną danych osobowych w dziale HR związanej z etapem rekrutacji oraz realizacji obowiązków wobec pracowników na każdym etapie współpracy i niezależnie od form zatrudnienia.
Przykładowe usługi:
- Weryfikacja realizacji obowiązków informacyjnych w stosunku do podmiotów danych wraz z przygotowaniem prawidłowo brzmiących klauzul informacyjnych.
- Weryfikacja prawidłowości stosowanych przesłanek przetwarzania danych osobowych podmiotów danych.
- Przygotowanie prawidłowych oświadczeń o wyrażeniu zgody na przetwarzanie danych dla podmiotów danych (także z uwzględnieniem ustawy o prawie autorskim i prawach pokrewnych, ustawy Prawo telekomunikacyjne, ustawy o świadczeniu usług drogą elektroniczną).
- Weryfikacja i aktualizacja stosowanej dokumentacji związanej z zatrudnieniem, także w związku z ochroną danych osobowych.
- Przygotowywanie opinii.
- Weryfikacja, aktualizacja oraz sporządzanie procedur postępowania.
- Przygotowywanie kompletu dokumentacji z zakresu ochrony danych osobowych w HR (m.in. związanej z poufnością i tajemnicą przedsiębiorstwa, upoważnień do przetwarzania danych, polityki ochrony danych osobowych).
- Przeprowadzanie testów równowagi dla czynności przetwarzania opierających prawnie uzasadnionym interesie pracodawcy
- Wdrażanie monitoringu pracowniczego.
- Wdrażanie pracy zdalnej.
- Weryfikacja umów pod kątem powierzenia przetwarzania danych.
- Przygotowanie umów powierzenia przetwarzania danych.
- Prowadzenie negocjacji w zakresie zawarcia umów powierzenia przetwarzania danych.
VII. Marketing i media społecznościowe
Analizujemy zgodność działań marketingowych z RODO i przygotowujemy odpowiednią dokumentację. Nasz zakres usług obejmuje aspekty prawne wszelkiego rodzaju aktywności marketingowych.
Przykładowe usługi:
- organizacja konkursów,
- e-mail marketing,
- performance marketing,
- marketing z wykorzystaniem mediów społecznościowych.
- analityka, w szczególności akcji marketingowych,
- profilowanie,
- obrót bazami danych klientów.
VIII. Bezpieczeństwo informacji
Wsparcie w procesie zarządzania aktywami informacyjnymi. Doradztwo i pomoc w odpowiednim zabezpieczeniu infrastruktury oraz stworzeniu i dostosowaniu procedur do wymagań stawianych przez normy PN-ISO. Wszechstronna analiza uwarunkowań normatywnych określających wymagania stawiane organizacji.
Przykładowe usługi:
- Polityka bezpieczeństwa informacji.
- Organizacja bezpieczeństwa informacji.
- Analiza ryzyka - szacowanie i postępowanie z ryzykiem i ich dokumentowanie.
- Obieg dokumentacji i korespondencji wewnątrz organizacji i wobec podmiotów zewnętrznych.
- Kontrola dostępu i zabezpieczenia infrastrukturalne.
- Plan zachowania ciągłości działania.
- Audyty IT i bezpieczeństwa.
IX. AI, profilowanie, zautomatyzowane podejmowanie decyzji
Ocena możliwości i zapewnienie zgodności z RODO systemów i narzędzi opartych na mechanizmach sztucznej inteligencji (AI), wykorzystujących profilowanie lub zautomatyzowane podejmowanie decyzji, w tym do celów marketingowych, sprzedażowych, optymalizacyjnych.
Przykładowe usługi:
- Analiza zgodności projektów rozwiązań zawierających elementy AI, profilowania lub zautomatyzowanego podejmowania decyzji - w procedurze privacy by design
- Przeprowadzenia DPIA oraz uprzednich konsultacji z PUODO
- Analiza i wskazywanie prawidłowych podstaw przetwarzania, realizacji obowiązków informacyjnych
- Przeprowadzanie testów równowagi
X. Kodeksy i certyfikacja
Opracowywanie projektów wiążących reguł korporacyjnych oraz kodeksów postępowania.
Przykładowe usługi:
- Audyty sposobu przetwarzania danych osobowych w organizacji Klienta (grupy kapitałowe, Centra Usług Wspólnych).
- Konsultacje z interesariuszami.
- Postępowania w sprawie zatwierdzania wiążących reguł korporacyjnych lub kodeksów przez Prezesa Urzędu Ochrony Danych Osobowych.
- Wsparcie certyfikacji trwających i planowanych procesów przetwarzania danych osobowych, systemów informatycznych służących do przetwarzania danych, aplikacji mobilnych oraz platform internetowych (European Privacy Seal w zakresie usług i produktów IT).
XI. Monitoring
W obszarze specjalizacji zajmujemy się stosowaniem różnych form monitoringu (m.in. wizyjnego, poczty elektronicznej, GPS) pod kątem ochrony danych osobowych, z uwzględnieniem podstaw legalizujących jego wykorzystywanie i zasięgu.
Przykładowe usługi:
- Weryfikacja realizacji obowiązków informacyjnych w stosunku do podmiotów danych wraz z przygotowaniem prawidłowo brzmiących klauzul informacyjnych.
- Weryfikacja stosowanych oznaczeń dot. monitoringu oraz ich dostosowanie do obowiązujących przepisów prawa.
- Weryfikacja stosowanej dokumentacji w zakresie monitoringu (m.in. Regulaminu pracy).
- Przygotowywanie opinii.
- Weryfikacja, aktualizacja oraz sporządzanie procedur postępowania.
- Weryfikacja umów pod kątem powierzenia przetwarzania danych.
- Przygotowanie umów powierzenia przetwarzania danych.
- Prowadzenie negocjacji w zakresie zawarcia umów powierzenia przetwarzania danych.
XII. Szkolenie i warsztaty z RODO
Jako że wiedza jest jednym z kluczowych elementów zapobiegania ryzyku naruszeniach ochrony danych szkolimy przedsiębiorców, pracowników, zwłaszcza działów HR, marketingu, obsługi klienta, call center. Szkolenia prowadzimy w formule lokalnej, jak i zdalnej, webinarowej i elearnignowej.
Przykładowe usługi:
- Szkolenia ogólne, wstępne, okresowe z ochrony danych osobowych
- Szkolenia dla poszczególnych działów - marketing, HR, obsługa klienta, sprzedaż, e-commerce, call center itd.
- Warsztaty narzędziowe - aplikacje do obsługi RODO w firmie
- Warsztaty IT i bezpieczestwo przetwarzania
- Warsztaty – analiza ryzyka i przeprowadzanie DPIA
- Szkolenia dotyczącą prowadzenia dokumentacji, przeprowadzania testów równowagi, formułowania klauzul informacyjnych
XIII. Naruszenia RODO
Zgłaszanie naruszen ochrony danych jest jednym z nowych obowiązków wynikających z RODO. Ocena zaistnienia naruszenia jak i obowiązku zgłoszenia do Prezesa UODO, wykrycie, sposób przeprowadzenia postępowania wyjaśniającego wystarczającego do notyfikacji i podjęciu działań mitygujących ryzyko na przyszłość to podstawowe elementy naszej usługi.
Przykładowe usługi:
- Opracowywanie procedur zarządzania naruszeniami
- Doradztwo przy prowadzeniu dokumentacji naruszen ochrony danych osobowych
- Ocena naruszenia pod kątem obowiązku zawiadomienia Prezesa UODO oraz podmiotów danych
- Doradztwo przy realizacji procedur notice&takedown
- Reprezentacja w postępowanie przed Prezesem UODO i sądami administracyjnymi
XIV. Transfery danych
Weryfikacja transferów do państw trzecich i zapewnienie odpowiedniej legalizacji jest jednym z problemów administratorów zwłaszcza po wyroku TSUE w sprawie Schrems II. Problemy te mają zwłaszcza działy marketingowe i analityczne.
Przykładowe usługi:
- Pomoc i doradztwo w zakresie weryfikacji zaistnienia transferu danych do państw trzecich
- Doradztwo przy wyborze optymalnej podstawy transferowej
- Opracowywanie umów transferowych z wykorzystaniem standardowych klauzul umownych zatwierdzonych przez Komisję Europejską
- Opracowywanie i doradztwo w procesie zatwierdzenia wiążących reguł korporacyjnych (BCR)
XV. Kontrole Prezesa Urzędu Ochrony Danych
Kompleksowe wsparcie w trakcie postępowań kontrolnych prowadzonych przez organ nadzorczy.
Przykładowe usługi:
- Przygotowanie do kontroli organu nadzorczego.
- Wsparcie merytoryczne podczas czynności kontrolnych.
- Analiza protokołów kontroli oraz sporządzanie zastrzeżeń.
- Doradztwo w zakresie realizacji zaleceń i wytycznych Prezesa UODO.
XVI. Consulting w zakresie narzędzi do wdrażania RODO
Kompleksowe wsparcie Klientów w zakresie wdrożenia narzędzi IT służących do zarządzania systemem ochrony danych osobowych w organizacji takich jak: One Trust, PIA czy GDPR Risk Tracker.
Przykładowe usługi:
- Weryfikacja poprawności dokumentacji kształtującej stosunek powierzenia przetwarzania danych osobowych dostawcy narzędzia IT.
- Wsparcie w organizacji projektu wdrożeniowego poprzez oddelegowanie kierownika projektu lub doraźne konsultacje.
- Wsparcie w zakresie odpowiedniej parametryzacji i implementacji narzędzia IT tak, aby odzwierciedlało sposób przetwarzania danych osobowych w organizacji Klienta, wprowadzanie danych do systemu.
- Weryfikacja sposobu wprowadzenia treści do narzędzia pod kątem realizacji zasady rozliczalności.
XVII. Cyberbezpieczeństwo
Weryfikacja bezpieczeństwa technicznego oraz wsparcie prawne w obszarze ochrony sieci informatycznych, urządzeń, programów i danych przed atakami, uszkodzeniami lub nieautoryzowanym dostępem.
Przykładowe usługi:
- Testy bezpieczeństwa.
- Opracowanie standardów bezpieczeństwa i dedykowanych polityk.
- Wytyczne dotyczące pracy zdalnej w organizacji.
- Szkolenia w zakresie bezpieczeństwa.
- Incident response.
- Analiza ryzyka