SPOTCASE

Jest to pakiet nowych unijnych zasad ochrony danych osobowych przewidzianych rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.

O ile podstawowe rozwiązania rozporządzenia ogólnego trudno uznać za rewolucyjne, o tyle zaprezentowane w tym dokumencie podejście do ich praktycznego zastosowania jest już pewną rewolucją. Novum, jakie przynosi rozporządzenie przejawia się w przeniesieniu znacznie większego ciężaru odpowiedzialności za przestrzeganie zasad i obowiązków wynikających z nowych przepisów na administratorów danych osobowych. Wprowadzone zasady mają zwiększać samodzielność, ale i odpowiedzialność administratorów danych. Dlatego tak ważny jest okres dostosowania do rozporządzenia, który zaczął się w momencie wejścia w życie wskazanego aktu prawnego. Administratorzy danych nie mogą bowiem czekać na wdrożenie ogólnego rozporządzenia do ostatniej chwili – od 25.5.2018 r. będą już musieli być rozliczalni, czyli mieć możliwość wykazania, że wszystkie operacje przetwarzania, które prowadzą są zgodne z wymogami RODO.

Ważnym aspektem zasady rozliczalności będzie wykazanie przez administratora przestrzegania prawa, np. poprzez udokumentowane wdrożenie instrumentów prawnych określonych w ogólnym rozporządzeniu, takich jak przeprowadzona ocena skutków dla ochrony danych, wdrożenie zasady privacy by design i privacy by default lub też stosowanie przytoczonych wyżej zatwierdzonych kodeksów postępowania.

Na gruncie przepisów RODO administratorzy danych mają obowiązek przyjęcia środków, które zapewnią poziom bezpieczeństwa odpowiedni do kategorii danych i zagrożeń, niemniej większość podmiotów podchodzi do ochrony danych osobowych jedynie jako do formalnego, jednorazowo spełnianego obowiązku, ograniczającego się do opracowania polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Bywa, że te dokumenty nie są aktualizowane odpowiednio do zmieniających się warunków przetwarzania. Takie podejście do ochrony danych osobowych nie będzie możliwe po rozpoczęciu stosowania ogólnego rozporządzenia. Wyrażone w ogólnym rozporządzeniu podejście oparte na ryzyku (ang. risk based approach) określa sposób, w jaki należy podchodzić do przetwarzania danych – w każdej sytuacji, kiedy zbieramy i korzystamy z danych osobowych, musimy przede wszystkim analizować ryzyko, jakie może to spowodować dla prywatności osób, których te dane dotyczą. Ogólne rozporządzenie ma w założeniu pozostać aktualne przez najbliższe kilka, kilkanaście lat. Z tego powodu, aby instrumenty prawne przewidziane przepisami RODO zachowały aktualność wobec nowych wyzwań technologicznych, wiele przepisów rozporządzenia jest bardzo ogólnych, pełnych klauzul generalnych. W takiej sytuacji nie do przecenienia wydaje się zapewnienie Państwu wsparcia i pomocy we właściwej interpretacji ogólnych przepisów rozporządzenia.

Zupełnie nową zasadą w systemie ochrony danych wprowadzoną przez ogólne rozporządzenie jest zasada rozliczalności (ang. accountability). Zgodnie z nią, na każdym administratorze danych spoczywa obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających zgodność z wymogami RODO (np. wprowadzenie rozwiązań umożliwiających realizację praw osób, których dane dotyczą) i przede wszystkim wykazania ich zgodności z jego wymogami. Ogólne rozporządzenie nie podaje jednak konkretnych przykładów najlepszych rozwiązań. Nie określa też minimalnych standardów technicznych mających na celu zabezpieczenie danych (zachęca jedynie do skorzystania z narzędzi pseudonimizacji czy też szyfrowania danych). Co istotne, przestanie też obowiązywać rozporządzenie MSWiA określające warunki techniczne i organizacyjne, jakie muszą spełniać urządzenia i systemy informatyczne wykorzystywane do przetwarzania danych osobowych. Od 25.5.2018 r. każdy administrator – biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych – będzie musiał samodzielnie zdecydować, jakie zabezpieczenia, dokumentację i procedury przetwarzania danych wdrożyć.

Nasza firma może pomóc Państwu odciążając Państwa merytorycznie
i organizacyjnie już od pierwszego etapu wdrażania procedur.

Celem naszego działania jest kompleksowe wsparcie Klientów w obszarze wdrożenia RODO. W ramach procedury wdrożeniowej oferujemy pomoc m.in. w następujących obszarach:

• Przeprowadzenie audytu zgodności z wymogami RODO obejmującego:
  1. Weryfikację procesów przetwarzania danych występujących w Państwa firmie i dokumentacji dotyczących tych danych,
  2. Identyfikację i rekomendacje w zakresie zabezpieczania się przed potencjalnymi ryzykami,
  3. Przygotowanie raportu stanowiącego punkt wyjścia dla wdrożenia wymagań RODO.
• Analiza ryzyka zgodnie z RODO obejmująca:
  1. Identyfikację ryzyk dotyczących danych osobowych w Państwa firmie,
  2. Analizę aktualnie stosowanych zabezpieczeń i ich skuteczności,
  3. Szacowanie ryzyk w procesach dotyczących danych osobowych,
  4. Rekomendacje odnośnie zabezpieczeń,
  5. Opracowanie i implementacje procedur postępowania z ryzykami.
• Tworzenie procedur i dokumentacji wymaganych przez RODO w tym:
  1. Opracowanie procedur dopasowanych do profilu działalności i struktury organizacyjnej Państwa firmy,
  2. Opracowanie dokumentów, uwzględniających specyfikę branży w jakiej działa Państwa firma, m.in. umowy, regulaminy, formularze, klauzule informacyjne, klauzule zgód, umowy powierzenia przetwarzania danych osobowych.
• Outsourcing funkcji Inspektora Ochrony Danych
  1. Przekazanie specjaliście bieżącej obsługi Państwa firmy w zakresie ochrony danych osobowych,
  2. Minimalizacja ryzyk związanych z przetwarzaniem danych osobowych,
  3. Prowadzenie komunikacji z nowym nadzorcom,
  4. Sprawdzony punktu kontaktowy dla podmiotów danych osobowych.

Nasze usługi są ściśle sprofilowane pod Państwa wymagania i przyjętą strukturę organizacyjną. Wdrażając RODO współpracujemy z osobami zajmującymi stanowiska kierownicze oraz osobą dotychczas pełniącą funkcje administratora bezpieczeństwa dzięki czemu mamy możliwość zapoznania się z funkcjonującymi dotychczas u Państwa procedurami, zachodzącymi procesami przetwarzania danych oraz problemami w zakresie przetwarzania danych osobowych z jakimi w codziennej pracy spotykają się pracownicy.

Dzięki dobrej znajomości powyższych kwestii proces wdrożenia procedur RODO prowadzony jest w sposób możliwie najmniej uciążliwy dla funkcjonowania Państwa jednostki, a dedykowana dla Państwa dokumentacja jest bardziej użyteczna i przystępna dla pracowników.

W ramach stałej współpracy zapewniamy:

1. wsparcie osoby pełniącej funkcje Inspektora Ochrony Danych,
2. bieżące konsultacje w kwestiach systemów i procedur dotyczących osobowych danych,
3. audyty kontrolne,
4. dostosowywanie dokumentacji wewnętrznej do zmian następujących w jednostce,
5. wsparcie w ewentualnej komunikacji z podmiotami danych osobowych i nowym regulatorem.

Uwzględniając to jak duże problemy interpretacyjne związane ze stosowaniem przepisów RODO mogą pojawić się w bieżącej działalności oferujemy również możliwość skorzystania z asysty prawnej. W ramach usługi będą mieli Państwo możliwość korzystania z usług radcy prawnego, który na Państwa życzenie m.in. zaopiniuje umowy powierzenia danych, klauzule zgody na przetwarzanie danych, udzieli bieżących porad prawnych w zakresie stosowania przepisów RODO, udzieli porad w przypadku roszczeń lub wniosków zgłaszanych przez osoby, których dane Państwo przetwarzają.

Uwzględniając zakres gromadzonych danych osobowych, jak również formy ich przetwarzania podmioty przetwarzające dane w bieżącej działalności są szczególnie narażone na incydenty ochrony danych osobowych. Jednostki, będące niejednokrotnie podmiotami zaufania publicznego, nie mogą sobie pozwolić na jakiekolwiek nieuprawnione działania narażające zgromadzone przez nich dane na utratę lub wyciek. Konsekwencją takich działań może być bowiem nie tylko utrata zaufania, ale również utrata płynności finansowej w skutek roszczeń odszkodowawczych osób, których prawa zostały naruszone. W celu zminimalizowania negatywnych konsekwencji płynących z potencjalnego naruszenia danych w wyniku nieuprawnionego dostępu nasza firma, we współpracy ze swoimi partnerami, oferuje Państwu możliwość ubezpieczenia cyber ryzyka dzięki, któremu zminimalizują Państwo negatywne skutki potencjalnego naruszenia danych przez nieuprawnione działanie.

Dane do kontaktu:
Ewa Żuchowska tel. 601-083-131       Andrzej Jaskólski tel. 605-322-452
e-mail: iodo@spotcase.pl

SpotCase Spółka z ograniczoną odpowiedzialnością z/s Skierniewice  (kod pocztowy: 96-100), ul. Gałeckiego 11, wpisana do Krajowego Rejestru Sądowego Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy dla Łodzi – Śródmieścia w Łodzi, XX Wydział Gospodarczy  Krajowego Rejestru Sądowego pod numerem KRS  0000723967, NIP  8361868095, REGON 369750347