RODO

Chcesz zmierzyć się z RODO samodzielnie? A może wolisz, w całości zrzucić to na kogoś? Niezależnie od strategii – możesz liczyć na Fortecę. Wykonamy dla Ciebie: audyt weryfikujący stopień zgodności z Rodo i definiujący niezbędne zmiany, pomożemy w napisaniu procedur i polityk, przeszkolimy pracowników, oferujemy konfigurację pod kątem RODO, dobierzemy i wdrożymy brakujące narzędzia IT, możemy być Twoim IODO – Inspektorem Ochrony Danych Osobowych.

RODO - wszystko co powinieneś wiedzieć o ustawie o danych osobowych

Obowiązki

  • Obowiązek zgłaszania wycieku danych

  • Obowiązkowa inwentaryzacja danych i wymagania związane z dokumentacją

  • Wyznaczenie Inspektora Ochrony Danych Osobowych

  • Nowe zasady uzyskiwania ważnych i weryfikowalnych zgód na przetwarzanie danych osobowych

  • Rozbudowany obowiązek informacyjny

  • Ocena ryzyka

  • Zastosowanie zabezpieczeń adekwatnych do poziomu rzyka

  • Ograniczenia profilowania

  • I jeszcze sporo zostało…

Odpowiedzialność

Kara od instytucji kontrolującej RODO (przyszłe wcielenie GIODO)

  • Do 20 mln EUR lub 4% obrotów z poprzedniego roku. Kary przewidziane są nie tylko za wyciek danych, ale również za niedopełnienie obowiązków, czyli na przykład zabezpieczenie danych uznane przez kontrolera za niewystarczające.

Odpowiedzialność cywilna

  • RODO przyznaje prawo do dochodzenia zadośćuczynienia szkód majątkowych i niemajątkowych na drodze cywilnej.
    W przypadku  ujawnienia kompromitujących danych np. o stania zdrowia znanych osób publicznych roszczenia cywilne mogą z powodzeniem przekroczyć  kary urzędowe.
  • To na Administratorze Danych Osobowych ciąży obowiązek udowodnienia, że w żaden sposób do wycieku danych się nie przyczynił.

Szantaż

  • O ryzyku szantażu mało kto wspomina. Spodziewać się należy, że znajdzie się masa kancelarii adwokackich i zwykłych naciągaczy, którzy będą intensywnie szukali firm, niespełniających nowych przepisów – przerabialiśmy to z regulaminami e-sklepów i ciasteczkami. A gdy im się to uda – będą proponowali niby-audyt i naprawienie błędów, a w przypadku odrzucenia ich propozycji ze smutkiem będą zmuszeni donieść komu trzeba…

Czy wiesz, że RODO łączy 3 obszary:

Każdy z nich z osobna jest do ogarnięcia, jednak jeśli się je splecie wszystkie razem to zaczyna być z tym problem. Niezależnie czy będziesz się mierzył z RODO ramię w ramię z Fortecą, czy podejmiesz to wyzwanie samodzielnie, poniżej znajdziesz podstawowe informacje i rozwiązania IT, bez których o RODO nie można mówić.

Co realnie oznacza „kontrola przetwarzanych danych osobowych”:

  • Wiem jakie dane osobowe mam i jak wszedłem w ich posiadanie.

  • Wiem w jakich systemach są przetwarzane.

  • Wiem kto ma do nich dostęp.

  • Wiem kto jak i kiedy je modyfikuje.Wiem jak kiedy i gdzie opuszczają moją sieć.

  • Gromadzę powyższą wiedzę w sposób ciągły.

  • Dane są zabezpieczone kryptograficznie w ruchu i w spoczynku.

  • Mam kopie danych i systemów dane przetwarzających oraz narzędzia pozwalające na przywracanie jednych i drugich.

  • Mam procedury dzięki którym kontroluję to wszystko.

  • Regularnie poddaję kontroli moje narzędzia i procedury.

Powyższe wymagania rodzą wyzwania dotyczące infrastruktury i narzędzi IT, oraz procedur i formalności wewnętrznych.

Infrastruktura i narzędzia IT:

Wymogi RODO wypełnisz odpowiednio dobranymi i wdrożonymi czterema narzędziami:

.01

UTM/Firewall z inspekcją SSL – kontrola ruchu na styku sieci firmowej z internetem.

.02

Rozwiązanie do gromadzenia i analizy logów dotyczących dostępu i edycji danych osobowych.

.03

Szyfrowanie baz danych, komputerów z dostępem do danych, transmisji między nimi.

.04

Backup&Recovery –  tworzenia kopii zapasowych i przywracania, zarówno samych danych jak i systemów je przetwarzających.

Na czym polega audyt RODO?

Badanie weryfikujące zgodność procedur, procesów i narzędzi stosowanych w Twojej firmie z przepisami Rozporządzenia O Ochronie Danych Osobowych. Wiele firm straszy RODO namawiając do zakupu kolejnych aplikacji i urządzeń. Inne proponują drogę na skróty – gotową dokumentację i naklejkę „RODO Ready”. Nie można dać się przestraszyć, ale też nie wolno tematu RODO zlekceważyć. Często po audycie okazuje się, że wystarczy trochę porządków wewnętrznych na poziomie procedur, dostępów i dokumentacji. Bardzo często nie potrzeba kupować żadnych nowych narzędzi IT – wystarczy dobra konfiguracja tego co już u siebie masz.

Z Fortecą do RODO przygotujesz się z głową

Audyt odpowie w jakim miejscu jesteś i co jeszcze jest do zrobienia

Podpowiemy  jak wykorzystać narzędzia i rozwiązania, które już masz

Przygotujemy wzory niezbędnej dokumentacji dopasowane do Twojej firmy

Temat Zgodności z RODO załatwimy od "R" do "0"

Jak wygląda zakres audytu RODO?

ETAP I
ANALIZA

  • Identyfikacja przetwarzanych danych.
  • Weryfikacja — cel, zakres, adekwatność, podstawa prawna.
  • Identyfikacja sposobu zabezpieczeń przechowywanych danych (określenie I stopnia konieczności szyfrowania danych).
  • Sprawdzenie informatycznych zabezpieczeń dotyczących m.in: zabezpieczeń antywirusowych i antywłamaniowych, przeglądów i konserwacji systemów.
  • Weryfikacja dokumentacji dotyczącej ochrony danych osobowych.
  • Weryfikacja metody zabezpieczeń przed utratą danych.
  • Weryfikacja metody zapewniającej poufność danych.
  • Weryfikacja funkcjonalności w systemach informatycznych zgodnie z §7 do rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. (Dz. U. z 2004 r. Nr 100, poz. 1024).
  • Weryfikacja struktury organizacyjnej w kontekście procesów związanych z przetwarzaniem danych.

ETAP II
RAPORT

Raport z przeprowadzonych czynności zawierający:

  • Stan wdrożenia wymagań ustawowych, wskazujący ewentualne nieprawidłowości i propozycje ich wyeliminowania (rekomendacje).
  • Skuteczne rozwiązania eliminujące niezgodności ,konkretne i  praktyczne we wdrożeniu i utrzymaniu,odpowiednio dostosowane do struktury firmy i procesów już funkcjonujących.
  • Analizę przedstawionych podczas audytu dokumentów wraz z ich omówieniem pod kątem zgodności z Ustawą o Ochronie Danych Osobowych oraz wskazania dotyczące ich poprawnego uzupełnienia.
  • Rekomendację dotycząca działań IODO oraz jego powołania.,

ETAP III DOKUMENTACJA WEWNĘTRZNA

Dokumenty dostosowujemy do potrzeb danego przedsiębiorstwa. Zależy nam na tym, aby Klient mógł realnie podnieść bezpieczeństwo przetwarzanych danych.

Stworzenie wzorów dokumentacji dotyczącej ochrony danych osobowych, m.in.:

  • Polityki Bezpieczeństwa.
  • Instrukcji Zarządzania Systemem Informatycznym.
  • Niezbędne oświadczenia, klauzule, upoważnienia.
  • Aktualizacja/opisanie sposobu przepływu danych pomiędzy systemami.
  • Stworzenie prostej skutecznej metody zabezpieczeń przed utratą danych.
  • Stworzenie prostej skutecznej metody zapewniającej poufność danych.

ETAP IV
SZKOLENIA DLA PRACOWNIKÓW

Obowiązkowe szkolenia dla pracowników zaangażowanych w procesy związane z przetwarzaniem danych osobowych.

ETAP V
POMOC WE WDRAŻANIU ZALECEŃ POAUDYTOWYCH

Konsultacje wspierające dla osób odpowiedzialnych za zarządzanie danymi osobowymi w firmie, w tym IODO. Od momentu formalnej akceptacji zaproponowanej dokumentacji do końca roku kalendarzowego, w którym ta akceptacja miała miejsce.