Ochrona Danych Osobowych

Ochrona danych osobowych

Jednym z nabierających znaczenia aspektów prowadzenia działalności gospodarczej jest konieczność spełnienia wymogów w zakresie ochrony danych osobowych, regulowanych nowelizacją ustawy o ochronie danych osobowych, obowiązującej od dnia 1 stycznia 2015 r, a już od maja 2018 r. – ogólnym rozporządzeniem o ochronie danych (RODO General Data Protection Regulation GDPR). Virtuologic oferuje szereg usług związanych ze spełnieniem tych wymogów.

Opracowanie wymaganej dokumentacji

Zgodnie z aktualnymi wymogami ustawy o ochronie danych osobowych, każdy podmiot przetwarzający dane osobowe zobowiązany jest do opracowania i wdrożenia przynajmniej następujących wewnętrznych regulacji z zakresu ochrony danych osobowych:

  • Polityki bezpieczeństwa
  • Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Minimalny zakres informacji i procedur jakie powinny obejmować powyżej wskazane dokumenty reguluje Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 r. Nr 100, poz. 1024).

Warto zaznaczyć, że każda procedura powinna być dostosowana do realiów działalności konkretnej organizacji. Oferujemy opracowanie zarówno regulacji obligatoryjnie wymaganych na gruncie obowiązujących przepisów prawa jak i wszelkich innych, które pozwalają lepiej przygotować organizację oraz jej pracowników do przetwarzania danych osobowych zgodnie z poszczególnymi wymogami ustawowymi. Zapewniamy opracowanie dedykowanych polityk i procedur, każdorazowo dostosowanych do specyfiki i sposobu funkcjonowania konkretnej organizacji.

Usługa opracowania dokumentacji obejmuje między innymi przygotowanie następujących dokumentów:

  • Polityki bezpieczeństwa,
  • Instrukcji zarządzania systemem informatycznym,
  • wzorów dokumentacji i formularzy związanych z przetwarzaniem danych osobowych,
    • upoważnień do przetwarzania danych osobowych, ewidencji osób upoważnionych,
    • oświadczeń pracowników o zachowaniu tajemnicy,
    • wzorów klauzul do stosowania (oświadczeń o wyrażeniu „zgody” na przetwarzanie danych osobowych wraz z określeniem przypadków w zakresie ich stosowania, treści klauzul informacyjnych zgodnie z art. 24 i 25 ustawy o ochronie danych osobowych wraz z określeniem przypadków w zakresie ich stosowania)
    • wzorów umów powierzenia przetwarzania danych osobowych oraz umów udostępnienia danych.

Pełnienie funkcji ABI

Świadczymy usługę pełnienia funkcji Administratora Bezpieczeństwa Informacji (ABI) powoływanego na podstawie aktualnie obowiązującej ustawy o ochronie danych osobowych. Administrator Bezpieczeństwa Informacji podlega każdorazowo zgłoszeniu do publicznego rejestru ABI prowadzonego przez Generalnego inspektora Ochrony Danych.

W ramach funkcji nadzoru w obszarze ochrony danych osobowych, nasi pracownicy pełniący funkcję Administratora Bezpieczeństwa Informacji w Państwa firmie, realizują szereg zadań, mających na celu zapewnienie kompleksowej obsługi prawnej z zakresu ochrony danych osobowych zgodnie z wymogami art. 36c ustawy o ochronie danych osobowych oraz Rozporządzenia Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych, a także Rozporządzeniem Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.

Dostosowując działalność naszych klientów do nowych wymogów prawa – oferujemy pełnienie funkcji Inspektora Ochrony Danych DPO wymaganego na podstawie Ogólnego Rozporządzenia o Ochronie Danych (RODO). Usługa jest świadczona w formie outsourcingu co jest dopuszczalne na mocy artykułu 37 ogólnego rozporządzenia o ochronie danych RODO (ang. General Data Protection Regulation GDPR).

Zakres czynności Inspektora Ochrony Danych obejmuje m.in.:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia o ochronie danych RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
  • monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,
  • współpraca z organem nadzorczym,
  • pełnienie funkcji punktu kontaktowego dla wszystkich osób , których dane są przetwarzane i dla organu nadzorczego oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach dotyczących ochrony danych osobowych.

Wdrożenie Rozporządzenia o ochronie danych RODO

Od maja 2018 roku zacznie obowiązywać bezpośrednio ogólne rozporządzenie o ochronie danych, które zastąpi dotychczasowe regulacje w zakresie ochrony danych osobowych. Wdrożenie rozporządzenia wymaga od podmiotów przetwarzających dane przygotowania się do nadchodzących zmian, jeszcze przed wskazaną datą.

Ogólne rozporządzenie o ochronie danych jak sama nazwa wskazuje ma charakter „ogólny” i stanowi pewną „ramę”, do której szczegółowe rozwiązania będą przygotowywane na kilku płaszczyznach:

  • w formie aktów prawnych zarówno krajowych jak i europejskich
  • w formie wytycznych, które stanowić będą soft law
  • w formie kodeksów branżowych
  • przez samych administratorów bądź przetwarzających w formie polityk lub konkretnych rozwiązań.

Finalne akty prawne, a także wytyczne dopiero powstają i będzie to proces, który nie zakończy się w pełni przed majem 2018 r., dlatego nie da się dziś przeprowadzić jednorazowo kompleksowego wdrożenia. Tak więc po stronie podmiotów dostosowanie do rozporządzenia to nie jednorazowe działalnie, ale pewien proces.

Na chwilę obecną oferujemy następujące usługi:

  • Inwentaryzacja procesów przetwarzania danych osobowych wraz z mapą procesów przetwarzania danych osobowych,
  • Audyt wymagań RODO (audyt w zakresie spełnienia wymagań ogólnego rozporządzenia o ochronie danych) i przygotowanie check listy wdrożeniowej RODO

Nasze usługi będą ewoluowały wraz pojawiającymi się nowymi aktami prawnymi oraz wytycznymi.