Ochrona Danych Osobowych
Aby móc odnaleźć się w gąszczu przepisów i właściwie zorganizować ochronę danych osobowych Proponujemy Państwu pomoc między innymi w:
- przygotowaniu systemu ochrony danych osobowych zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. L. nr 119 z 4.05.2016 r.) zwanym dalej RODO.
- wykonywaniu obowiązków Inspektora Ochrony Danych w ramach umów outsourcingowych.
Pojęcia: ADO, IODO, AST
Administratorem Danych Osobowych jesteś wówczas, gdy:
- masz pracownika,
- masz petenta,
- masz klienta,
- masz pacjenta.
- Administrator Danych Osobowych (ADO) – jest zobowiązany zapewnić ochronę przetwarzanych danych osobowych, określa cel, środki i sposoby przetwarzania danych – czynności te może prowadzić samodzielnie lub poprzez inne osoby, które może upoważnić (pisemnie) do realizacji zadań i obowiązków ADO nałożonych na niego przez ustawę,
- Inspektor Ochrony Danych Osobowych (IODO) – wyznaczony przez ADO pracownik odpowiedzialny za zagwarantowanie właściwego oraz zgodnego z prawem przetwarzania danych osobowych,
- Administrator Systemu Teleinformatycznego (AST) – wyznaczony przez ADO pracownik odpowiedzialny za eksploatację systemów teleinformatycznych służących do przetwarzania danych osobowych.
Administrator Danych Osobowych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych, art. 31 ust. 1 i ust. 5 ustawy. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14 – 19 ustawy.
Usługi w obszarze ochrony danych osobowych
Doradztwo Kierownikom Jednostek Organizacyjnych oraz Inspektorom Ochrony Danych Osobowych w zakresie stosowania i interpretacji przepisów RODO, które obejmuje:
- • pomoc we wprowadzeniu obowiązków wynikających z RODO nałożonych na Administratora Danych Osobowych (ADO) dla zagwarantowania bezpieczeństwa przetwarzania danych osobowych w organizacji,
- pomoc we wprowadzeniu alternatywnych rozwiązań dotyczących przekazania wszystkich obowiązków oraz odpowiedzialności spoczywających na IDOD, na rzecz innej firmy, trudniącej się profesjonalnie administrowaniem danych osobowych – outsourcing. Outsourcing IDOD jest sprawdzoną i powszechnie praktykowaną formą współpracy z Klientami w zakresie ochrony danych osobowych – moja firma proponuje taką formę współpracy,
- fachowy nadzór nad procesami przetwarzania danych osobowych oraz podjęcie szybkich i sprawnych działania związane z ochrona danych osobowych, przygotowanie dokumentacji bezpieczeństwa danych osobowych oraz jej wdrażanie i bieżąca aktualizacja.
- Pomoc w zapewnieniu należytych środków bezpieczeństwa ochrony danych osobowych zgodnie z Art.32 RODO.
Ochrona i bezpieczeństwo fizyczne przetwarzanych danych osobowych, która obejmuje:
- organizację, przygotowanie oraz funkcjonowanie systemu ochrony fizycznej danych osobowych zgodnie z Art. 32 RODO,
- analizę poziomu zagrożeń dla przetwarzanych w jednostce organizacyjnej danych osobowych,
- przygotowanie dokumentacji ochronnej zgodnej z RODO, to jest:
- polityki bezpieczeństwa danych osobowych (Polityka bezpieczeństwa informacji),
- instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych,
- przygotowanie upoważnień do przetwarzania danych osobowych,
- prowadzenie rejestrów czynności oraz kategorii przetwarzania danych osobowych,
- opracowanie dokumentacji dla sił ochronnych i służb dyżurnych jednostki organizacyjnej,
- organizację ochrony danych osobowych na podstawie Polityki bezpieczeństwa danych osobowych (Polityka bezpieczeństwa informacji) oraz Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.
Bezpieczeństwo teleinformatyczne systemów przetwarzających dane osobowe, które obejmuje:
- wymagania organizacyjno–formalne oraz techniczne, jakim powinny odpowiadać urządzenia i systemy teleinformatyczne służące do przetwarzania danych osobowych,
- przygotowanie do zatwierdzenia przez kierownika jednostki organizacyjnej dokumentacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania danych osobowych;
Bezpieczeństwo osobowe oraz procedury dla osób funkcyjnych, które obejmuje:
- właściwy dobór i zakres upoważnień do przetwarzania danych osobowych dla personelu jednostki organizacyjnej,
- zakres obowiązków Administratora Danych Osobowych,
- zakres obowiązków Inspektora Ochrony Danych,
- zakres i forma upoważnień do przetwarzania danych osobowych dla osób funkcyjnych oraz personelu jednostki organizacyjnej,
- obowiązki spoczywające na osobach dopuszczonych do przetwarzania danych osobowych.
Wprowadzenie sprawnie działających procedur ochrony danych osobowych w jednostce organizacyjnej, które obejmą:
- zabezpieczenie pomieszczeń i systemów teleinformatycznych służących do przetwarzania danych osobowych,
- wprowadzanie procedur w zakresie bezpieczeństwa fizycznego oraz procedur organizacyjnych zapewniających skuteczną ochronę przetwarzanych danych osobowych, reagowanie na fakty naruszania przepisów o ochronie danych osobowych, utraty baz danych oraz ujawnienia baz danych osobom nieupoważnionym,
- powierzanie danych osobowych innym jednostkom organizacyjnym,
- zasady i tryb udostępniania danych osobowych,
- kontrole stanu ochrony danych osobowych w jednostce organizacyjnej;
Przygotowanie dokumentacji ochronnej – Polityka Bezpieczeństwa Informacji i Ochrony Danych Osobowych
Wychodząc naprzeciw stawianym administratorom danych osobowych wymaganiom, w zakresie przygotowania dokumentacji ochronnej oferuję fachowe i rzeczowe przygotowanie niżej wymienionej dokumentacji:
- polityki bezpieczeństwa danych osobowych (Polityka bezpieczeństwa informacji),
- instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych,
- ewidencji osób upoważnionych do przetwarzania danych osobowych,
- upoważnienia do przetwarzania danych osobowych,
- przygotowanie rejestrów czynności i kategorii przetwarzania danych osobowych,
- przygotowanie umów powierzenia i przekazania danych osobowych,
- dokumentacji pracowniczej (kwestionariusze osobowe, oświadczenia o zachowaniu danych osobowych w poufności),
- innych dokumentów i formularzy związanych z przetwarzaniem danych osobowych (np. zgoda na przetwarzanie danych osobowych itp.
Audyt jednostki organizacyjnej oraz ocena ochrony przetwarzanych danych osobowych
Aby dostosować jednostkę organizacyjna do wymogów RODO, wdrożyć Politykę bezpieczeństwa informacji i Ochrony Danych Osobowych oraz Instrukcję zarządzania systemami teleinformatycznymi, należy przeprowadzić audyt procesów, w ramach których przetwarzają Państwo dane osobowe oraz wskazać bazy danych podlegające rejestracji. Po zakończeniu audytu sporządzamy dla Państwa raport, w którym szczegółowo wskażemy jakie działania należy podjąć, aby przystosować proces przetwarzania danych osobowych do wymogów ustawowych.
W ramach audytu wykonuję następujące czynności:
- weryfikuję legalność procesów biznesowych wymienionych pod kątem zgodności z przepisami RODO oraz innych przepisów składających się na spełnienie przesłanki legalności przetwarzania danych osobowych,
- dokonuję oceny poziomu bezpieczeństwa informacji, poprawności stosowanych środków organizacyjnych i technicznych zapewniających ochronę przetwarzanych danych osobowych w odniesieniu do poziomu zagrożeń oraz kategorii przetwarzanych danych osobowych,
- identyfikuję i inwentaryzuję zbiory danych osobowych przetwarzane w jednostce organizacyjnej w wersji papierowej oraz w wersji elektronicznej,
- sprawdzam zgodność systemów informatycznych przeznaczonych do przetwarzania danych osobowych z wymogami stawianymi przez RODO,
- sprawdzam poziom zabezpieczeń stosowanych przez systemy informatyczne, w których przetwarzane są dane osobowe,
- sprawdzam poziom zabezpieczeń zbiorów danych przetwarzanych w formie papierowej.
Szkolenie personelu w zakresie stosowania przepisów RODO, które obejmie:
- szkolenie wszystkich pracowników administracyjnych zatrudnionych i biorących udział w procesie przetwarzania danych osobowych w zakresie koniecznym do zajmowanego stanowiska służbowego oraz posiadanego upoważnienia do przetwarzania danych osobowych,
- szkolenie teoretyczne i praktyczne dla osób wyznaczonych przez Administratora Danych Osobowych i realizujących w ramach uzyskanego upoważnienia zadań Inspektora Ochrony Danych,
- przygotowanie dla uczestników szkoleń materiałów informacyjno–szkoleniowych tematycznie dostosowanych do zakresów obowiązków pracowników przetwarzających dane osobowe.