Norma ISO/IEC 27701:2019 jest rozszerzeniem normy ISO 27001 w zakresie zarządzania informacją o prywatności. Standaryzuje ona model systemu ochrony danych osobowych wymaganego przez wymogi Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Nasz zespół od wielu lat specjalizuje się we wdrażaniu i zarządzaniu systemem ochrony danych osobowych. Jesteśmy jednym z najstarszych podmiotów w zakresie usług wspierających przygotowywanie systemów ochrony danych osobowych (rok założenia 2006). Nasi specjaliści, zarówno prawnicy jak i eksperci IT, dzielą się swoją wiedzą z naszymi Klientami w celu tworzenia skutecznych rozwiązań bezpieczeństwa informacji. W setkach podmiotów pełnią rolę inspektorów ochrony danych osobowych oraz stale doradzają zarządom w kwestiach dotyczących ochrony istotnych danych.
Zakres usługi
Wdrożenia systemu zarządzania informacjami o prywatności będzie odbywało się zgodnie z następującymi etapami:
- Audyt sytemu ochrony danych osobowych
- Ocena funkcjonowania systemu zarządzania pod kątem zgodności z wymaganiami normy oraz wymagań prawnych.
- Uzupełnienie lub przygotowanie dokumentacji
- Uzupełnienie lub przygotowanie procedur bezpieczeństwa
- Pomoc we wdrożeniu niezbędnych zmian
- Audyt powdrożeniowy i przygotowanie do certyfikacji
Audyt systemu ochrony danych osobowych obejmuje m.in. sprawdzenie:
- zgodności z prawem – dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,
- ograniczenia celu przetwarzania – dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
- minimalizacji danych – dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
- prawidłowości danych – dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane. Należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane,
- ograniczenia przechowywania danych – dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
- Weryfikacja respektowania praw osób, których dane dotyczą, w zakresie:
- prawa dostępu do danych,
- prawa do sprostowania danych,
- prawa do usunięcia danych,
- prawa do ograniczenia przetwarzania,
- obowiązku powiadomienia odbiorców
- sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania,
- prawa do przenoszenia danych,
- prawa do sprzeciwu,
- prawa do niepodlegania decyzji opartej
- wyłącznie zautomatyzowane przetwarzanie, w tym profilowanie.
- Weryfikacja uwzględniania ochrony danych osobowych w fazie projektowania oraz stosowania domyślnej ochrony danych osobowych
- Weryfikacja realizacji obowiązków dotyczących naruszeń ochrony danych osobowych i zawiadamiania osób, których dane dotyczą, o naruszeniu.
- Weryfikacja realizacji obowiązku przeprowadzania oceny skutków dla ochrony danych osobowych.
- Weryfikacja realizacji obowiązku uprzednich konsultacji z organem nadzorczym.
- Weryfikacja realizacji obowiązku prowadzenia dokumentacji przetwarzania danych osobowych w postaci rejestru czynności przetwarzania danych osobowych (RCP) oraz rejestru kategorii przetwarzania (RKCP) – gdy ma to zastosowanie.
- Weryfikacja realizacji obowiązku powołania inspektora ochrony danych, gdy ma to zastosowanie.
- Weryfikacja zawarcia umów powierzenia z podmiotami przetwarzającymi dane w imieniu Klienta.
- Weryfikacja zawarcia umów powierzenia w przypadku, gdy Klient działa jako podmiot przetwarzający dane na zlecenie innego podmiotu.
- Weryfikacja, czy dochodzi do przekazywania danych osobowych do państw poza Europejski Obszar Gospodarczy (EOG) oraz czy odbywa się to na zasadach zgodnych z prawem.
- Weryfikacja posiadania przez Klienta przyjętych wewnętrznie procedur oraz polityk ochrony danych osobowych.
- Weryfikacja prawidłowości prowadzenia dokumentacji pracowniczej w zakresie ochrony danych osobowych, tj. upoważnień do przetwarzania danych osobowych, ewidencji osób upoważnionych oraz zobowiązań dot. zachowania tajemnicy i zapoznania się z zasadami przetwarzania danych osobowych.
- Weryfikacja realizacji przez personel Klienta obowiązku szkoleń z zakresu ochrony danych osobowych.
- Weryfikacja prawidłowości przetwarzania danych w poszczególnych procesach biznesowych.
- Przeprowadzenie przeglądu środków technicznych i organizacyjnych służących do przetwarzania danych osobowych w zakresie (1) zapewnienia poufności, integralności i dostępności, (2) przywracania dostępu do danych w razie incydentu, (3) regularnego testowania, mierzenia i oceniania skuteczności
Uzupełnienie lub przygotowanie dokumentacji ochrony danych osobowych między innymi takiej jak:
- Polityka ochrony danych osobowych
- Rejestr czynności przetwarzania wraz z opisem środków technicznych i organizacyjnych, uzupełnione w oparciu o uzyskane w trakcie inwentaryzacji informacje
- Rejestr kategorii czynności przetwarzania wraz z opisem środków technicznych i organizacyjnych, uzupełnione w oparciu o uzyskane w trakcie inwentaryzacji informacje
- Rejestr podmiotów przetwarzających
- Rejestr podmiotów powierzających
- Rejestr współadministratorów
- Wzory umów powierzenia przetwarzania danych osobowych – do zawarcia z podmiotami przetwarzającymi dane
- Wzór pisma przewodniego do umowy powierzenia przetwarzania danych
- Wzór formularza audytowego dla podmiotu przetwarzającego
- Treść wymaganych klauzul informacyjnych zgodnie z wymogami art. 13 i 14 RODO, dostosowane do okoliczności
- Treść wymaganych zgód na przetwarzanie danych osobowych
- Wzory upoważnień do przetwarzania danych osobowych (zależnie od okoliczności – upoważnienia ogólne, upoważnienia oparte o przepisy Kodeksu pracy, upoważnienia oparte o przepisy ustawy o Zakładowym Funduszu Świadczeń Socjalnych
- Wzór ewidencji osób upoważnionych (zależnie od okoliczności – odnoszącej się do upoważnień ogólnych, opartych o przepisy Kodeksu pracy i/lub opartych o przepisy ustawy o Zakładowym Funduszu Świadczeń Socjalnych)
- Wzór zobowiązania dot. przetwarzania danych osobowych
- Zasady przetwarzania danych osobowych
Uzupełnienie lub przygotowanie procedur wewnętrznych m.in.:
- Instrukcja okresów przechowywania danych osobowych
- Procedura realizacji żądań osób wraz z materiałami pomocniczymi
- Procedura obsługi naruszeń ochrony danych osobowych wraz z materiałami pomocniczymi
- Procedura zarządzania współpracą z kontrahentami wraz z materiałami pomocniczymi
- Procedura uwzględnienia ochrony danych w fazie projektowania i domyślnej ochrony danych
Opis usługi w skrócie
Pytania dotyczące usługi
Celem naszej usługi jest wsparcie merytoryczne we wdrożeniu wymagań normy ISO 27701:2022 w przedsiębiorstwie naszego Klienta. Usługa obejmuje m.in. zidentyfikowanie obszarów wymagających korekty oraz wyznaczenie właściwych kierunków zmian w funkcjonowaniu firmy w celu osiągnięcia wysokich standardów bezpieczeństwa oraz zapewnienie prawidłowego funkcjonowania systemu ochrony danych osobowych.
Metodologię naszych prac będzie stanowić analiza zgodności przetwarzania danych osobowych z przepisami prawa, dobrymi praktykami stosowanymi w podobnie funkcjonujących podmiotach oraz określenie stopnia optymalizacji przyjętych rozwiązań. Usługa jest realizowana zgodnie ze standardami określonymi m.in przez normę ISO/IEC 27701:2022
Prace przebiegają standardowo w kilku etapach:
- Audyt sytemu ochrony danych osobowych
- Ocena funkcjonowania systemu zarządzania pod kątem zgodności z wymaganiami normy oraz wymagań prawnych.
- Uzupełnienie lub przygotowanie dokumentacji
- Uzupełnienie lub przygotowanie procedur bezpieczeństwa
- Pomoc we wdrożeniu niezbędnych zmian
- Audyt powdrożeniowy i przygotowanie do certyfikacji
Czas realizacji usługi zależy od struktury, charakteru i stopnia złożoności prowadzonej przez dany podmiot działalności. W zależności od ustaleń z Klientem czas wdrożenia może wynieść od kilku do kilkunastu tygodni.
Koszt usługi zależy od zakresu prac oraz od wielkości badanego podmiotu. Aby poznać cenę usługi prosimy o kontakt telefoniczny pod nr +48 22 280 94 88 lub kontakt mailowy na adres: biuro@zgodnosc.pl.
Na pewno wielkość rodzaj działalności oraz wielkość danego podmiotu (złożoność struktury, ilość zatrudnionych pracowników). Koszt usługi może wynieść od kilku do kilkudziesięciu tysięcy zł.
Wynikiem naszych prac jest gotowość danego podmiotu do skutecznego przejścia procesu certyfikacji prowadzonego przez akredytowaną jednostkę certyfikującą.
Jak najbardziej. Realizujemy profesjonalne usługi przejęcia obowiązków Pełnomocnika ds. systemu zarządzania bezpieczeństwem informacji.
Jednym zdaniem
Dlaczego właśnie my?
Jesteśmy zespołem specjalistów. Łączymy unikalną wiedzę prawniczą ze specjalistyczną znajomością zagadnień informatycznych. Naszym niewątpliwym atutem jest dogłębna znajomość środowiska biznesowego.
Jak realizujemy nasze projekty?
Pomagamy naszym nowym Klientom na każdym etapie usługi
Ponieważ nasi nowi Klienci nie mają specjalistycznej wiedzy staramy się na każdym etapie naszej współpracy pomagać im dobrze zrozumieć cel naszych działań. Poniżej opisujemy kilka typowych kroków realizowanych standardowo w przypadku nowego projektu:
Jak wygląda współpraca z Klientem?
Przez lata praktyki zrozumieliśmy, że właściwe postępowanie w relacjach z Klientami jest kluczem do sukcesu. Jeśli tym sukcesem będzie zadowolenie naszego Klienta na pewno będziemy stale rozwijać naszą firmę. Filozofia wydaje się prosta ale jednak jej realizacja nastręcza w praktyce wielu problemów. Czasami jest to pragnienie szybkiego i skutecznego osiągnięcia celu a czasami zwykłe niezrozumienie oczekiwań naszych partnerów biznesowych. Jeśli jednak będziemy współpracować na zasadzie poszanowania własnych praw i interesów zrealizujemy wspólne cele. Takie partnerskie podejście tylko w teorii jest codziennością. My jednak wzięliśmy te proste zasady na poważnie. Dzięki temu nieprzerwanie od kilkunastu lat rozwijamy naszą firmę.