Ochrona danych osobowych (RODO)

• analizujemy procesy przetwarzania danych osobowych w przedsiębiorstwie, w tym w relacjach z pracownikami, klientami i kontrahentami,
• weryfikujemy dokumentację z zakresu ochrony danych osobowych (m.in. polityki, procedury, umowy powierzenia oraz rejestry czynności przetwarzania),
• oceniamy stosowane rozwiązania organizacyjne i techniczne służące zabezpieczeniu danych, w tym funkcjonowanie systemów IT i narzędzi wykorzystywanych w działalności firmy,
• przygotowujemy raport z audytu zawierający identyfikację ryzyk oraz rekomendacje działań dostosowujących organizację do wymogów RODO.

• analizujemy przepływy danych osobowych pomiędzy spółkami w grupie kapitałowej i identyfikujemy role poszczególnych podmiotów (administrator, podmiot przetwarzający, współadministrator),
• przygotowujemy i wdrażamy odpowiednie porozumienia regulujące przetwarzanie danych w grupie, w tym umowy powierzenia oraz umowy o współadministrowaniu danymi,
• opracowujemy wewnętrzne zasady i procedury przetwarzania danych w grupie kapitałowej, zapewniające spójność działań oraz zgodność z RODO,
• doradzamy przy transferach danych pomiędzy spółkami, w tym przy przekazywaniu danych poza Europejski Obszar Gospodarczy.

• wspieramy w identyfikacji naruszeń ochrony danych osobowych oraz ocenie ryzyka dla osób, których dane dotyczą,
• doradzamy w zakresie obowiązku zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz przygotowujemy odpowiednie zgłoszenie,
• pomagamy w przygotowaniu zawiadomień dla osób, których dane dotyczą, jeżeli wymagają tego przepisy RODO,
• wspieramy klientów w kontaktach z PUODO oraz w przygotowaniu wyjaśnień i dokumentacji związanej z incydentem

• zapewniamy bieżące doradztwo w zakresie stosowania przepisów o ochronie danych osobowych w codziennej działalności przedsiębiorstwa,
• opiniujemy nowe projekty, procesy biznesowe oraz rozwiązania IT pod kątem zgodności z RODO (privacy by design / privacy by default),
• wspieramy w prowadzeniu wymaganej dokumentacji RODO, w tym rejestrów czynności przetwarzania oraz procedur wewnętrznych,
• pomagamy w przygotowaniu odpowiedzi na zapytania osób, których dane dotyczą, oraz w kontaktach z Prezesem Urzędu Ochrony Danych Osobowych.

• identyfikujemy procesy przetwarzania danych osobowych w organizacji oraz określamy role i zakres odpowiedzialności poszczególnych podmiotów,
• przygotowujemy i wdrażamy kompletną dokumentację z zakresu ochrony danych osobowych (m.in. polityki, procedury, rejestry czynności przetwarzania),
• opracowujemy umowy powierzenia przetwarzania danych oraz klauzule informacyjne dostosowane do specyfiki działalności przedsiębiorstwa,
• wspieramy we wdrożeniu dokumentacji w organizacji, w tym poprzez szkolenia i praktyczne wskazówki dotyczące stosowania procedur w codziennej działalności.

• identyfikujemy procesy przetwarzania danych osobowych, które mogą wiązać się z podwyższonym ryzykiem naruszenia praw lub wolności osób fizycznych,
• przeprowadzamy analizę ryzyka oraz ocenę skutków dla ochrony danych (DPIA) zgodnie z wymaganiami RODO,
• doradzamy w zakresie doboru odpowiednich środków organizacyjnych i technicznych ograniczających zidentyfikowane ryzyka,
• przygotowujemy dokumentację DPIA oraz wspieramy w dalszych działaniach wymaganych przepisami RODO, w tym w ewentualnych konsultacjach z PUODO.

• prowadzimy szkolenia dla pracowników i kadry zarządzającej dotyczące zasad przetwarzania i ochrony danych osobowych w organizacji,
• omawiamy praktyczne obowiązki wynikające z RODO, w tym zasady bezpieczeństwa informacji, reagowania na incydenty oraz obsługi żądań osób, których dane dotyczą,
• dostosowujemy zakres szkolenia do specyfiki działalności przedsiębiorstwa oraz ról pełnionych przez uczestników,
• przekazujemy praktyczne wskazówki i przykłady z praktyki, które pomagają wdrożyć zasady ochrony danych w codziennej pracy.

• udzielamy bieżącego wsparcia prawnego w sytuacjach wymagających szybkiej oceny zgodności działań z przepisami o ochronie danych osobowych,
• doradzamy przy wdrażaniu nowych procesów biznesowych, narzędzi IT, działań marketingowych oraz projektów wymagających przetwarzania danych osobowych,
• wspieramy w przygotowaniu odpowiedzi na żądania osób, których dane dotyczą (np. dostęp do danych, usunięcie danych, ograniczenie przetwarzania),
• pomagamy w wyjaśnianiu wątpliwości związanych ze stosowaniem przepisów RODO oraz w podejmowaniu decyzji dotyczących zgodnego i bezpiecznego przetwarzania danych.

Tak. Przepisy RODO mają zastosowanie do każdej organizacji, która przetwarza dane osobowe – niezależnie od wielkości firmy. Dotyczy to zarówno dużych przedsiębiorstw, jak i małych firm, jednoosobowych działalności gospodarczych czy biur rachunkowych.

W praktyce oznacza to, że jeżeli firma przetwarza dane klientów, pracowników, kontrahentów lub kandydatów do pracy, powinna posiadać odpowiednie procedury i dokumentację dotyczącą ochrony danych osobowych.

Brak przestrzegania zasad ochrony danych osobowych może prowadzić do odpowiedzialności administracyjnej oraz finansowej. W przypadku naruszeń organ nadzorczy – Urząd Ochrony Danych Osobowych – może nałożyć karę pieniężną oraz zobowiązać firmę do wprowadzenia odpowiednich środków bezpieczeństwa. Kary za nieprzestrzeganie RODO mogą sięgać do 20 mln euro lub 4% całkowitego rocznego obrotu firmy, w zależności od tego, która kwota jest wyższa.

Audyt RODO warto przeprowadzić szczególnie wtedy, gdy:

• firma nie weryfikowała zgodności z przepisami od kilku lat,
• w organizacji pojawiły się nowe systemy IT lub narzędzia do przetwarzania danych,
• firma zatrudnia pracowników lub współpracuje z podmiotami zewnętrznymi,
• doszło do incydentu naruszenia danych osobowych.

Audyt pozwala sprawdzić, czy procedury i praktyki stosowane w firmie są zgodne z przepisami i czy nie występują obszary ryzyka.

Tak. Jednym z obowiązków administratora danych jest zapewnienie, aby osoby przetwarzające dane posiadały odpowiednią wiedzę dotyczącą zasad ochrony danych osobowych.

Szkolenie pracowników z RODO pozwala m.in.:

• ograniczyć ryzyko naruszeń danych,
• zwiększyć świadomość pracowników w zakresie bezpieczeństwa informacji,
• przygotować firmę na ewentualne incydenty.

Monitoring wizyjny, monitoring GPS czy kontrola poczty służbowej są dopuszczalne, jednak tylko pod określonymi warunkami.

Pracodawca powinien m.in.:

• poinformować pracowników o stosowaniu monitoringu,
• określić jego cel oraz zakres,
• wdrożyć odpowiednie procedury dotyczące przechowywania nagrań lub danych.

Naruszenie ochrony danych osobowych to każda sytuacja, w której dochodzi do nieuprawnionego ujawnienia, utraty, zmiany lub dostępu do danych osobowych.

Do najczęstszych przykładów naruszeń danych osobowych należą m.in.:

• wysłanie maila z danymi osobowymi do niewłaściwego odbiorcy,
• utrata dokumentów zawierających dane pracowników lub klientów,
• nieuprawniony dostęp do systemów informatycznych,
• udostępnienie danych osobie, która nie powinna mieć do nich dostępu,
• zgubienie laptopa lub pendrive’a z danymi.

Naruszenie danych osobowych to sytuacja, w której dane zostają ujawnione, utracone lub dostęp do nich uzyskuje osoba nieuprawniona.

W takiej sytuacji firma powinna:

• ocenić skalę incydentu,
• podjąć działania ograniczające skutki naruszenia,
• w razie potrzeby zgłosić naruszenie do Urząd Ochrony Danych Osobowych.

Zgłoszenie naruszenia powinno nastąpić co do zasady w ciągu 72 godzin od momentu jego stwierdzenia.

Tak, w niektórych przypadkach naruszenie danych osobowych należy zgłosić do organu nadzorczego. Zgłoszenie powinno nastąpić co do zasady w ciągu 72 godzin od momentu stwierdzenia naruszenia. Obowiązek ten dotyczy sytuacji, w których incydent może powodować ryzyko dla praw lub wolności osób fizycznych.

Nie. Obowiązek wyznaczenia Inspektora Ochrony Danych (IOD) nie dotyczy każdej firmy. Zgodnie z RODO Inspektor Ochrony Danych jest wymagany przede wszystkim w przypadku:

• podmiotów publicznych,
• organizacji, które na dużą skalę monitorują osoby fizyczne,
• firm przetwarzających na dużą skalę szczególne kategorie danych (np. dane dotyczące zdrowia).

W wielu przedsiębiorstwach obowiązek powołania IOD nie występuje, jednak nadal konieczne jest przestrzeganie zasad ochrony danych osobowych oraz wdrożenie odpowiednich procedur bezpieczeństwa. W takiej sytuacji dobrą praktyką jest wyznaczenie w firmie osoby odpowiedzialnej za obszar ochrony danych osobowych, która będzie koordynować kwestie związane z przetwarzaniem danych i nadzorować stosowanie przyjętych zasad.

Nie. Zgoda jest tylko jedną z podstaw przetwarzania danych osobowych wskazanych w RODO. W wielu sytuacjach przetwarzanie danych jest dopuszczalne także na innych podstawach prawnych, np. w celu wykonania umowy, realizacji obowiązków wynikających z przepisów prawa lub w ramach tzw. prawnie uzasadnionego interesu administratora.

W praktyce oznacza to, że nie w każdym przypadku przedsiębiorca musi uzyskiwać zgodę na przetwarzanie danych – ważne jest jednak prawidłowe określenie podstawy prawnej przetwarzania danych w danym procesie.