Audyt obecnie funkcjonującego systemu ochrony danych osobowych

Pierwszym etapem czynności podczas realizacji zamówienia będzie przeprowadzenie audytu poziomu zerowego, czyli zakresu wdrożonego obecnie systemu ochrony danych osobowych w związku z realizacją wytycznych opisanych w rozporządzeniu RODO. 

Celem prac podejmowanych przez nas w ramach zamówienia będzie weryfikacja wskazanych przez Klienta procesów pod kątem zgodności z wewnętrznymi i zewnętrznymi regulacjami dotyczącymi przetwarzania danych osobowych. 

 

Zadania prowadzone podczas prac projektowych 

Nasi konsultanci zapoznają się z dokumentacją obecnie funkcjonującą w organizacji zawierającą przede wszystkim: 

  • Mapę procesów z obszaru ochrony danych osobowych 
  • Inwentaryzację zasobów (tzw. Asset) 
  • Politykę bezpieczeństwa obszaru ochrony danych osobowych 
  • Analizę bezpieczeństwa  
  • Prowadzone rejestry 
  • Stosowane zabezpieczenia 
  • Umowy i regulację 
  • Regulaminy 

 Weryfikacji poddana zostanie również poprawność i kompleksowość informacji zawartych w procesach obsługujących (zawartych) w Rejestrze czynności przetwarzania. Kolejna  czynnością audytową będzie sprawdzenie umów, klauzul, wniosków, regulaminów, itd. 

Zakres audytu 

  • Identyfikacja przetwarzanych danych (cel, zakres, adekwatność, podstawa prawna) 
  • Badanie spełnienia obowiązku informacyjnego  
  • Analiza i weryfikacja istniejących dokumentów,  
  • Oględziny obszarów przetwarzania danych osobowych i stanowisk pod kątem zabezpieczeń  
  • Sprawdzenie zabezpieczeń organizacyjnych, fizycznych informatycznych oraz osobowych 
  • Zebranie informacji niezbędnych do wdrożenia RODO  
  • Sprawozdanie z przeprowadzonej kontroli i ocena stanu faktycznego związanego z realizacją wymagań proceduralno-prawnych z zakresu ochrony danych osobowych  
  • Przeprowadzenie identyfikacji zagrożeń 
  • Weryfikacja stosowanych ofert, umów ,lub innych dokumentów warunkujących gromadzenie, przetwarzanie, powierzanie bądź udostępnianie danych osobowych 
  • Przegląd oraz analiza posiadanej dokumentacji 
  • Analiza systemów informatycznych 
  • Analiza polityk bezpieczeństwa 
  • Sposób realizacji uprawnień podmiotów danych, w szczególności poprawiania, usuwania, ograniczania przetwarzania, przenoszenia danych 
  • Podstawy prawne przetwarzania szczególnych kategorii danych osobowych (jeżeli występują w procesie) 
  • Cel i podstawy prawne profilowania (jeżeli występuje w procesie) 
  • Okres retencji danych osobowych przetwarzanych w procesie 
  • Sposób zabezpieczeń produktów informatycznych, w których przetwarzane są dane osobowe i które wykorzystywane są w procesie 
  • Zgodność procesów przetwarzania danych osobowych w banku z art 25 art 32 art 33 RODO i sposób udokumentowania zgodności dla celów rozliczalności 
  • Zgodność zabezpieczeń produktów informatycznych z normami PN ISO/IEC 27001 oraz Załącznikiem A normy 
  • Zgodność z Polityką Bezpieczeństwa Danych Osobowych 
  • Zgodność z Regulaminem w sprawie Ochrony Danych Osobowych 
  • Zgodność z odnośnymi Standardami Bezpieczeństwa IT  
  • Zgodność z innymi wewnętrznymi regulacjami dotyczącymi przetwarzania danych osobowych 
  • Zakres i zgodność z korporacyjnymi wytycznymi w obszarze ochrony danych osobowych -GAP 

Wynik audytu – produkt  

Wynikiem przeprowadzonych działań audytowych będzie raport z określeniem poziomu zgodności z wytycznymi oraz zaleceniami poaudytowymi do wdrożenia. Wszystkie prace audytowe będą w oparciu o wytyczne zawarte w normie międzynarodowej ISO/IEC 19011. Raport zostanie przygotowany w jednym egzemplarzu. Będzie to albo wersja papierowa, która zostanie przekazana upoważnionemu pracownikowi Zamawiającego, albo zaszyfrowana mechanizmami PGP (klucz prywatny / klucz publiczny) wersja elektroniczna która również zostanie przekazana upoważnionemu przedstawicielowi Zamawiającego. Klucz deszyfrujący zostanie przekazany innym medium, niż Raport. 

Wdrożenie zaleceń poaudytowych

W związku z przeprowadzonym audytem do wdrożenia zostaną przeznaczone po zaakceptowaniu przez najwyższe kierownictwo zagadnienia z obszarów procesów wymienionych w raporcie. W momencie składania oferty nie jesteśmy w stanie opisać zaleceń jak również procesów i procedur jakie będą przeznaczone do wdrożenia. Z doświadczenia pobranego z innych projektów z adekwatnym zakresem możemy szacować, iż do wdrożenie zostanie przewidziany poniższy obszar: 

  • Inwentaryzacja zasobów 
  • Analiza ryzyka 
  • Plan zarządzania ryzykiem w obszarze ochrony danych osobowych 
  • Polityka bezpieczeństwa 
  • Umowy i rejestry 

Funkcja Inspektora Ochrony Danych

Chcąc prowadzić świadczenia usług związanych z realizacją zadań ochrony danych osobowych oraz zadań przypisanych inspektorowi ochrony danych osobowych zgodnie z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej „RODO” i innymi obowiązującymi przepisami prawa chcemy w zakresie oferty dać Państwu możliwość z korzystania z usług prowadzonych przez IOD.  

Dlaczego taka propozycja? Mianowicie chcemy abyście Państwo wdrażając wytyczne i zalecenia poaudytowe na każdym jego etapie byli pewni, że są zgodne z obowiązująca litera prawa i wytycznymi w momencie wdrażania. Usługa jest wliczona w cenę oferty. Jest to dla Państwa dodatkowa korzyść wynikająca ze współpracy z naszą firmą. 

 

Zadania jakie w ramach swojej funkcji będzie realizował Inspektor Ochrony Danych to: 

  1. weryfikacja i aktualizacja dokumentacji wewnętrznej dotyczącej zasad przetwarzania danych osobowych w BNP wraz z niezbędnymi załącznikami i formularzami;  
  2. prowadzenie rejestrów czynności przetwarzania danych osobowych i rejestrów kategorii czynności;  

 

Kontrola legalności przetwarzania danych zgodnie z przepisami RODO, w tym:  

  1. identyfikacji podstaw prawnych legalizujących przetwarzanie danych osobowych, zgodnie z art. 6 RODO;  
  2. prowadzenie spraw związanych z incydentami naruszenia zasad przetwarzania danych osobowych, w tym obsługa zgłoszonego incydentu lub podejrzenia wystąpienia incydentu bezpieczeństwa danych osobowych;  
  3. w przypadku naruszenia zasad przetwarzania danych osobowych, pomoc w przywróceniu stanu zgodnego z prawem;  

 

Nadzór nad przestrzeganiem zasad ochrony danych u Zamawiającego, w tym:  

 

  1. wsparcie w procesach ochrony danych osobowych u Zamawiającego, uwzględniając charakter, zakres, kontekst oraz cele przetwarzania danych osobowych;  
  2. monitorowanie przestrzegania przepisów RODO, ustawy o ochronie danych osobowych i innych przepisów prawa unijnego i krajowego o ochronie danych oraz polityk Zamawiającego lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych 
  3. podejmowanie działań w ramach monitorowania, m.in. zbieranie informacji w celu identyfikacji procesów przetwarzania, analizowanie i sprawdzanie zgodności przetwarzania, w celu dostarczenia Zamawiającemu wyczerpujących informacji o procesach przetwarzania danych w zakresie zgodności z przepisami prawa w postaci wniosków lub zaleceń; 
  4. Opracowanie wzorów umów powierzenia, klauzul informacyjnych, klauzul zgody, upoważnień i oświadczeń w zakresie ochrony danych.  

 

Zarządzanie w sytuacjach wystąpienia incydentów bezpieczeństwa i sporach:  

  • wsparcie w opanowaniu kryzysów, np. w postaci wycieku danych, upublicznieniu danych, skarg;  
  • wsparcie prawidłowej komunikacji w kontaktach z policją, prasą, poszkodowanymi i innymi instytucjami.  

 

Przeprowadzanie analizy ryzyka i wyznaczanie zabezpieczeń zgodnie z przepisami RODO, w tym:  

  • cykliczne przeprowadzania analizy ryzyka;  
  • wyznaczanie i nadzór nad wdrażaniem zabezpieczeń organizacyjno – technicznych;  

 

  1. Współpraca z odpowiednimi komórkami organizacyjnymi Zamawiającego w zakresie wdrażania zabezpieczeń informatycznych, poprzez wyznaczanie wymaganych ustawowo zabezpieczeń. W przypadku braku, nadzór nad ich prawidłowym wdrożeniem; 
  2. Udzielanie wskazówek Zamawiającemu w przedmiocie wdrożenia odpowiednich i skutecznych środków technicznych oraz organizacyjnych, mających zabezpieczyć dane osobowe oraz wykazanie przestrzegania prawa przez Zamawiającego, w szczególności w zakresie identyfikacji ryzyka związanego z przetwarzaniem danych – w tym ocenę pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz wskazania najlepszych praktyk pozwalających zminimalizować to ryzyko;  
  3. Kontrola zgodności oprogramowania Zamawiającego z przepisami RODO, w tym pomoc w dostosowaniu, doborze lub zmianie oprogramowania do przetwarzania danych osobowych, aby spełniało wymagania RODO oraz innych właściwych przepisów;  
  4. Formułowanie wniosków dla Zamawiającego, dotyczących poprawy bezpieczeństwa danych osobowych zgodnie z przepisami RODO, ze wskazaniem koniecznych, potencjalnych decyzji poprawiających zakres bezpieczeństwa;  
  5. Nadzór nad przeprowadzaniem oceny skutków ochrony danych.  
  6. Planowanie i nadzór nad audytami bezpieczeństwa danych osobowych.  
  7. Odpowiedzi na wszelkie zapytania w kwestiach dotyczących administrowanych danych osobowych, kierowane przez podmioty zewnętrzne oraz osoby fizyczne.  
  8. Opiniowanie w sprawie możliwości oraz prawidłowości zbierania danych osobowych w celu utworzenia rejestru czynności przetwarzania danych osobowych, zbierania nowych kategorii danych lub przetwarzania danych w innym celu niż ten, dla którego dane zostały zebrane.  
  9. Opiniowanie w sprawie obowiązków informacyjnych, o których mowa w art. 13 oraz w art. 14 Rozporządzania o Ochronie Danych Osobowych, przygotowywanie projektów odpowiednich zapisów w umowach i korespondencji Zamawiającego.  
  10. Opiniowanie w sprawie udostępniania danych osobowych zewnętrznym odbiorcom danych.  
  11. Koordynowanie procesu nadawania upoważnień do przetwarzania danych osobowych.  
  12. Bieżąca kontrola czy wszyscy pracownicy przetwarzający dane osobowe posiadają stosowne upoważnienia.  
  13. Opiniowanie legalności powierzenia danych osobowych, których administratorem jest Zamawiający.  
  14. Organizacja formalnych zasad współpracy z podmiotami zewnętrznymi u Zamawiającego, w szczególności:  
  • weryfikacja oraz aktualizacja umów powierzenia przetwarzania danych osobowych;  
  • wsparcie podczas negocjacji i podpisania umów powierzenia przetwarzania danych przez podmioty posiadające dostęp do danych osobowych;  
  • nadzorowanie procesów przetwarzania danych osobowych przez podmioty, którym Zamawiający powierzył swoje dane osobowe do przetwarzania.  

 

  1. W ramach realizacji obowiązków względem organu nadzorczego: 
  • Współpracowanie w kwestiach związanych z przetwarzaniem danych osobowych oraz w stosownych przypadkach zwracać się do niego (zgodnie z artykułem 39 ust. 1 lit. d RODO).  
  • Zgłoszenia naruszenia ochrony danych przez administratora (zgodnie z artykułem 33 RODO).  

 

  1. Pełnienie funkcji punktu kontaktowego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.  

 

W ramach funkcji sprawozdawczych:  

  1. Wykonanie sprawdzeń na zlecenie organu nadzorczego.  
  2. Wykonanie sprawdzeń na zlecenie administratora danych lub Zamawiającego.  

 

W ramach szkoleń pracowników Zamawiającego:  

  1. Ciągłe i cykliczne zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.  
  2. Edukacja i podnoszenie świadomości pracowników Zamawiającego w zakresie prawa do prywatności i ochrony danych osobowych.  
  3. Przygotowanie materiałów informacyjnych dla pracowników.  
  4. Organizacja warsztatów, szkoleń, spotkań oraz innych form kontaktów, zachęcających uczestników do jak najaktywniejszego udziału, a przy tym umożliwiające podnoszenie ich kompetencji w zakresie ochrony danych osobowych.  
  5. Rodzaj przekazywanych informacji powinien być dostosowany do konkretnej grupy docelowej, tj. Inaczej powinno wyglądać szkolenie adresowane do grupy informatyków, inaczej do prawników, a jeszcze inaczej do opiekunów projektów.