Inspektor ochrony danych, IOD, audyt RODO

Prowadzę szkolenia zarówno zamknięte, dla osób upoważnionych do przetwarzania danych osobowych w konkretnej organizacji, uwzględniając specyfikę jej działalności. Szkolenia są wtedy tak organizowane, aby jak najefektywniej przeszkolić możliwie jak największą grupę pracowników. Kwestie czasowe, programowe, organizacyjne, są uzgadniane indywidualnie.
Prowadzę także szkolenia otwarte, organizując je samodzielnie, acz najczęściej jako zewnętrzny ekspert współpracujący z różnymi firmami szkoleniowymi.
Zaletą prowadzonych przeze mnie szkoleń, jak oceniają uczestnicy, jest bardzo rozsądne, rzeczowe, czasami humorystyczne podejście do praktycznych aspektów przetwarzania i ochrony danych osobowych.
Podstawowymi, najważniejszymi zagadnieniami jakie omawiam, przybliżam na szkoleniach, jest:
– obowiązki administratora danych, w świetle przepisów prawa;
– obowiązki i odpowiedzialność osób upoważnionych do przetwarzania danych osobowych;
– zasady i podstawy prawne przetwarzania danych osobowych;
– zmiany w przepisach sektorowych mające wpływ na organizację przetwarzania danych osobowych;
– obowiązki informacyjne administratora – zakres stosowania przez konkretnego administratora;
– prawa osób, których dane dotyczą – kiedy i które mają zastosowanie, a kiedy nie;
– zagrożenia i metody wykradania danych, jak się przed nimi chronić;
– konsekwencje naruszenia przepisów dotyczących bezpieczeństwa informacji, w tym odpowiedzialność prawna.
– organizacyjne i techniczne środki bezpieczeństwa niezbędne do zapewnienia odpowiedniej ochrony dla danych osobowych;

Jako certyfikowany audytor systemów zarządzania bezpieczeństwem informacji, szczególnie związanych z normami ISO z grupy 27000, przeprowadzam audyty polityki bezpieczeństwa informacji ze szczególnym uwzględnieniem ochrony danych osobowych. Celem audytu/sprawdzenia jest dostosowanie procedur ochrony danych osobowych do stanu zgodnego z aktualnymi przepisami. Sprawdzenie stanu zgodności (rozliczalności) stosowania się przez Organizację do wymogów i zasad wynikających z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Zakres usługi:
1. Sprawdzenie dokumentacji składającej się na Politykę bezpieczeństwa danych osobowych i wynikających z niej procedur, takich jak:
– analiza wszystkich operacji przetwarzania danych w organizacji jako wstęp do prowadzenia rejestru czynności przetwarzania, tj. określenia zakresu, celów i podstaw prawnych przetwarzanych danych;
– instrukcja postępowania w przypadku naruszenia ochrony danych osobowych, z uwzględnieniem obowiązku zgłaszania określonych incydentów do urzędu ochrony danych;
– Ocena skutków dla ochrony danych;
– organizacja nadzoru nad przestrzeganiem zasad i przepisów ochrony danych. Analiza obowiązku wyznaczenia Inspektora ochrony danych lub organizacji Zespołu ds. ochrony danych osobowych i bezpieczeństwa informacji;
– przeprowadzanie analizy ryzyka utraty integralności, dostępności lub poufności informacji oraz rekomendacja działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
– procedura nadawania i odbierania uprawnień co do przetwarzania danych. Sprawdzenie czy osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
– procesy i procedury uwierzytelniania użytkowników w systemach informatycznych służących do przetwarzania danych osobowych;
– ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
– regulacja zasad dotyczących współpracy z podmiotami zewnętrznymi w zakresie powierzania danych do przetwarzania. Wykaz podmiotów zewnętrznych oraz wykaz zbiorów danych powierzonych do przetwarzania. Sprawdzenie zasad i umów na współpracę z podmiotami zewnętrznymi, zarówno w kontekście obowiązków administratora danych, a także podmiotu przetwarzającego – procesora;
– Plan ciągłości pracy systemów informatycznych – kopie bezpieczeństwa, minimalizowanie ryzyka utraty informacji w wyniku awarii;
– analiza środków technicznych i organizacyjnych niezbędnych do zapewnienia ochrony przetwarzanych danych, ze szczególnym uwzględnieniem bezpieczeństwa teleinformatycznego oraz bezpieczeństwa fizycznego, w tym polityki czystego biurka i czystego ekranu.
– sprawdzenie polityki realizacji praw podmiotów danych, tj. osób, których dane osobowe dotyczą, ze szczególnym uwzględnieniem realizacji obowiązku informacyjnego oraz realizacji przysługujących sprzeciwów co do przetwarzania danych osobowych.
Audyt obejmuje:
1. Badanie dokumentów źródłowych.
2. Uzyskanie wyjaśnień od kierownictwa i pracowników administratora danych.
3. Dokonanie oględzin miejsca, pomieszczeń, dokumentów, w których są przetwarzane dane osobowe oraz urządzeń i systemów informatycznych służących do przetwarzania danych osobowych.
4. Rekomendacja projektów procedur i instrukcji aktualizujących dokumentację polityki bezpieczeństwa informacji.

Zapewniam dostosowanie procedur ochrony danych osobowych do stanu zgodnego z aktualnymi przepisami.
Celem i skutkiem jest aktualizacja i uzupełnienie systemu zarządzania bezpieczeństwem informacji, jako zestawu różnych instrukcji i procedur dotyczących ochrony danych osobowych, o regulacje wynikające z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO).
Usługi obejmują:
1. Opracowanie aktualnej Polityki bezpieczeństwa danych osobowych i wynikających z nich procedur, takich jak:
– analiza procesów przetwarzania danych w organizacji i opracowanie rejestru czynności przetwarzania;
– instrukcja postępowania w przypadku naruszenia ochrony danych osobowych, z uwzględnieniem obowiązku zgłaszania określonych incydentów do urzędu ochrony danych;
– opracowanie polityki zarządzania ryzykiem i przeprowadzanie analizy ryzyka utraty integralności, dostępności lub poufności informacji dla określonych przez Administratora zadań/czynności;
– procedura nadawania i odbierania uprawnień do przetwarzania danych. Sprawdzenie czy osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
– ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
– regulacja zasad dotyczących współpracy z podmiotami zewnętrznymi w zakresie powierzania danych do przetwarzania. Wykaz podmiotów zewnętrznych oraz wykaz zbiorów danych powierzonych do przetwarzania. Sprawdzenie zasad i umów na współpracę z podmiotami zewnętrznymi, zarówno w kontekście obowiązków administratora danych, a także podmiotu przetwarzającego – procesora;
– Plan ciągłości pracy systemów informatycznych – kopie bezpieczeństwa, minimalizowanie ryzyka utraty informacji w wyniku awarii;
– opis środków technicznych i organizacyjnych niezbędnych do zapewnienia ochrony przetwarzanych danych, ze szczególnym uwzględnieniem bezpieczeństwa teleinformatycznego oraz bezpieczeństwa fizycznego, w tym zredagowanie polityki czystego biurka i czystego ekranu;
– Realizację obowiązku informacyjnego zarówno względem pracowników jak i klientów – aktualizacja klauzul zgód, klauzul informacyjnych dotyczących przetwarzania danych osobowych;
– Opracowanie instrukcji postępowania w przypadku naruszenia ochrony danych.
– Opracowanie polityki współpracy z podmiotami przetwarzającymi;
– Przeszkolenie pracowników z nowych zasad ochrony danych osobowych.

Kontrola zarządcza, czyli bardziej świadome zarządzanie organizacją i kontrolowanie wszelkich obszarów i procesów zachodzących w Organizacji, jako obowiązek ustawowy dotyczy generalnie jednostek budżetowych. Od 2010 roku jednostki budżetowe mają obowiązek wdrażać system kontroli zarządczej. Jak pokazują dotychczasowe doświadczenia, realne wdrożenie kontroli zarządczej nadal przysparza poważne problemy praktyczne, zwłaszcza w świetle ciągłych zmian w przepisach. Zaniedbania w tej dziedzinie mogą narazić kierowników jednostek na zarzut naruszenia dyscypliny finansów publicznych.

Nowa ustawa o Finansach Publicznych wprowadza mechanizm bezpośredniej i bardzo jasno sformułowanej odpowiedzialności zarówno ministrów, burmistrzów i prezydentów miast jak i kierowników jednostek i zakładów budżetowych za kontrolę zarządczą.

Ustawodawca ustanawiając system kontroli zarządczej nie wskazał jednak katalogu działań niezbędnych do jego wprowadzenia. Co zatem należy zrobić, aby wypełnić obowiązek ustawowy? To pytanie, na które może sobie odpowiedzieć wyłącznie kierownik jednostki, a moi specjaliści służą pomocą.

Przejmując funkcję, zadania, odpowiedzialność inspektora ochrony danych, jako zewnętrzny specjalista, wdrażam, aktualizuję, nadzoruję szeroko rozumianą politykę bezpieczeństwa danych osobowych już w ramach swoich obowiązków.

1. Monitorowanie zgodności z RODO;
2. Ocena skutków przetwarzania, zwłaszcza danych wrażliwych, dla ochrony danych;
3. Współpraca z organem nadzorczym i pełnienie funkcji punku kontaktowego;
4. Analiza ryzyka w obszarze bezpieczeństwa danych osobowych;
5. Prowadzenie rejestru czynności przetwarzania.

1. Nadzór stosowania i aktualizacje Polityki bezpieczeństwa danych osobowych w Instytucie.
2. Nadzór nad przestrzeganiem zasad ochrony danych osobowych;
3. Zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Ustalenie przyczyn ewentualnych rozbieżności i sformułowania zaleceń, mających na celu wskazanie sposobów usunięcia niepożądanych zjawisk.
4. Nadzór nad organizacją wydawania upoważnień do przetwarzania danych osobowych;
5. Nadzór nad fizycznymi środkami ochrony obszaru przetwarzania.
6. Sprawdzanie przestrzegania zasad użytkowania komputerów przenośnych, pracy mobilnej, pracy na odległość z wykorzystaniem urządzeń przenośnych.
7. Prowadzenie rejestru czynności przetwarzania, zgodnie z wymogami prawnymi.
8. Nadzór nad udostępnianiem i powierzaniem danych osobowych innym podmiotom. Organizacja współpracy z podmiotami zewnętrznymi w zakresie dostępu do informacji. Weryfikacja treści umów powierzenia przetwarzania danych osobowych. Sprawdzenie czy została zachowana forma pisemna, czy treść umowy zawiera precyzyjne określenie zakresu danych przekazanych do przetwarzania oraz podstawę i cel przetwarzania. Ponadto, czy prawidłowo zostały sformułowane klauzule poufności, klauzule bezpieczeństwa i sposób kontroli podmiotu przetwarzającego dane dla Administratora danych;
9. Sprawdzanie prawidłowości spełnienia obowiązku informacyjnego oraz realizacji praw osób, których dane dotyczą, zwłaszcza w stosunku do osób zgłaszających niepożądane działania uboczne produktów leczniczych.
10. Weryfikacja treści oraz prawnego uzasadnienia klauzul wyrażenia zgody na przetwarzanie danych osobowych;
11. Współpraca z Administratorem Systemu Informatycznego (Informatykiem) w zakresie kontroli bezpieczeństwa systemu informatycznego, w którym przetwarzane są dane osobowe, ze szczególnym uwzględnieniem planów ciągłości działania, tworzenia i testowania kopii bezpieczeństwa.
12. Udział w analizie zagrożeń i oceny ryzyka występującego w procesach przetwarzania danych;
13. Podejmowanie działań w sytuacji naruszenia ochrony danych;
14. Przygotowanie materiałów informacyjnych dla pracowników;
15. Organizowanie i prowadzenie szkoleń dla pracowników z zakresu ochrony danych w organizacji;
16. Pełnienie funkcji punktu kontaktowego dla Urzędu Ochrony Danych Osobowych w kwestiach związanych z przetwarzaniem danych osobowych, włączając w to ewentualne kontrole.
17. Rozpatrywanie skarg i zapytań od osób, których dane dotyczą w zakresie przetwarzania i ochrony ich danych.
18. Zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia z uwzględnieniem zarówno przepisów prawa jak i rozwoju technologii.
19. Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla Administratora danych.