Audyt, dokumentacja odo, szkolenia, outsourcing ABI – do kogo kierujemy nasza ofertę?
Ustawa o ochronie danych osobowych nakłada na tzw. administratorów danych osobowych szereg obowiązków. Administrator danych osobowych to każda instytucja państwowa lub samorządowa, każda spółka lub przedsiębiorca indywidualny, każda spółdzielnia, stowarzyszenie czy fundacja, jeżeli tylko przetwarzają dane osobowe i decydują samodzielnie o celach i środkach tego przetwarzania. W praktyce wystarczy więc, że podmiot zatrudnia jakichkolwiek pracowników, aby uznać, że przetwarza dane osobowe, a więc jest administratorem danych osobowych. Administrator danych osobowych i wspomagający go administrator bezpieczeństwa informacji (ABI) odpowiedzialni są za zapewnianie przestrzegania przepisów o ochronie danych osobowych.
Jakie obowiązki ma administrator danych osobowych?
Podstawowymi obowiązkami każdego administratora danych osobowych jest:
- posiadanie podstawy prawnej przetwarzania danych osobowych,
- właściwe zabezpieczenie danych osobowych,
- sporządzenie dokumentacji przetwarzania danych osobowych
- należyte zaznajomienie pracowników z przepisami prawa i zasadami bezpiecznej pracy z danymi osobowymi,
- prowadzenie rejestru zbiorów danych osobowych i ewentualnie zarejestrowanie zbiorów danych osobowych w rejestrze GIODO,
- zarejestrowanie powołania administratora bezpieczeństwa informacji (tzw. ABI).
Zakres naszych usług
Kancelaria Radcy Prawnego Grzegorza Łubkowskiego oferuje kompleksowe usługi w zakresie ochrony danych osobowych. Pomagamy uporządkować ogół kwestii związanych z przetwarzaniem danych osobowych i wypełnić wymagania wynikające z przepisów obowiązującego prawa. W szczególności, wykonujemy audyty bezpieczeństwa danych, opracowujemy niezbędną dokumentację oraz odpowiednie procedury przetwarzania danych osobowych. Szkolimy pracowników oraz osoby, które mają działać jako administrator bezpieczeństwa informacji (ABI). Całość przygotowanych przez nas i wdrożonych rozwiązań tworzy spójny system ochrony danych osobowych. W efekcie, przetwarzanie danych osobowych u naszych Klientów ma być realizowane w pełnej zgodności z przepisami prawa.
Prawidłowe wdrożenie kompleksowego systemu ochrony danych osobowych w każdym podmiocie jest zawsze kilkuetapowym procesem. Realizując tego rodzaju zadanie proponujemy wykonanie kolejno następujących prac:
-
przeprowadzenie audytu danych osobowych, tj. sprawdzenia zgodności przetwarzania danych osobowych z przepisami prawa
• Na tym etapie gromadzimy informacje niezbędne do oceny legalności i zasadności istnienia wykrytych zbiorów danych osobowych, oceny poprawności zastosowanych środków ochrony danych, określenia stopnia efektywności i zgodności z prawem wprowadzonych procedur i zasad przetwarzania danych osobowych, a także do opracowana dokumentacji przetwarzania danych osobowych.
-
opracowanie dokumentacji przetwarzania danych osobowych (m.in. polityka bezpieczeństwa danych osobowych oraz instrukcja zarządzania systemem informatycznym)
• Przepisy powszechnie obowiązującego prawa wymagają od każdego administratora danych osobowych opracowania dokumentacji, w skład której wchodzi m.in. polityka bezpieczeństwa danych osobowych oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych. Opracowujemy te dokumenty, a ponadto przygotowujemy szereg innych dodatkowych dokumentów i wzorów, które ułatwiają bieżące administrowanie procesami przetwarzania danych osobowych.
-
zorganizowanie procesów przetwarzania danych osobowych, opracowanie odpowiednich zasad i procedur oraz pomoc w ich wdrożeniu
• Pomagamy zorganizować procesy udzielania upoważnień do przetwarzania danych oraz ewidencjonowania osób upoważnionych, przekazywania i wymiany danych osobowych w ramach struktury organizacyjnej podmiotu, tworzenia i przechowywania kopii zapasowych zbiorów danych osobowych, udostępniania danych osobowych podmiotom zewnętrznym.
-
utworzenie rejestru zbiorów danych osobowych oraz ewentualnie rejestracja zbiorów danych osobowych e rejestrze Generalnego Inspektora Ochrony Danych Osobowych (GIODO)
• Nie zawsze i nie każdy zbiór danych osobowych musi być zarejestrowany w GIODO. Na gruncie obowiązującego prawa, najczęściej wystarczy jedynie wpisanie posiadanego zbioru danych do specjalnie przygotowanego do tego celu wewnętrznego rejestru zbiorów danych. Tworzymy takie rejestry i podpowiadamy jak zapewnić ich jawność. Jeżeli jednak istnieje potrzeba rejestracji zbioru w GIODO, wówczas przygotowujemy odpowiednie wnioski temu służące.
-
powołanie i rejestracja administratora bezpieczeństwa informacji (tzw. ABI)
• Administrator bezpieczeństwa informacji (ABI) to osoba, której zadaniem jest zapewnianie przestrzegania przepisów o ochronie danych osobowych. Możliwość, a niekiedy wręcz powinność, ustanowienia takiego administratora przewidują przepisy ustawy. Pomagamy powołać ABI-ego, dookreślić jego obowiązki i włączyć go w strukturę pomiotu. Przygotowujemy również odpowiednie zgłoszenie do GIODO faktu powołania ABI, co jest wymogiem prawnym.
-
szkolenia z zakresu ochrony danych osobowych dla pracowników oraz dla administratora bezpieczeństwa informacji (ABI)
• Szkolimy pracowników z zakresu zasad bezpiecznego przetwarzania danych osobowych. Wyjaśniamy jakie powinności ciążą na osobie, która pracuje z danymi osobowymi. Tym samym zapewniamy realizację ustawowego obowiązku zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Ponadto, przeprowadzamy szkolenie dla administratora bezpieczeństwa informacji, które głównie dotyczy praktycznych aspektów wykonywania funkcji ABI.
-
ewentualny outsourcing ABI
• Na zlecenie możemy również samodzielnie podjąć się wykonywania funkcji ABI u naszego Klienta. Tego rodzaju outsourcing ABI jest prawnie dopuszczalny oraz najczęściej korzystniejszy i efektywniejszy dla naszych Klientów. Odpowiedzialność związana z pełnieniem tej funkcji przerzucana jest na podmiot zewnętrzny. Dodatkowo, w ogólnym rozrachunku usługa tego rodzaju może okazać się dużo tańsza, niż ustanawianie administratorem bezpieczeństwa informacji własnego pracownika.
Realizacja zleconych nam prac
Najczęściej realizowane przez nas usługi obejmują całość opisywanych powyżej prac. Takie kompleksowe załatwienie tematyki danych osobowych w instytucji, firmie, jednostce organizacyjnej daje pewność bezpieczeństwa i legalności przetwarzania danych osobowych. Na życzenie Klienta możemy jednak ograniczyć nasza usługę jedynie do konkretnego zakresu prac. Przykładowo, szkolenia pracowników mogą odbywać się odrębna usługa. Niekiedy zaś potrzebnym jest wykonanie jedynie audytu procesów przetwarzania danych osobowych.
Więcej szczegółów naszej oferty znajduje się na podstronach dedykowanych poszczególnym etapom wdrażania systemu ochrony danych osobowych.