Opis:
Usługa ta doprowadza do pozyskania usystematyzowanego systemu ochrony danych osobowych poprzez przeprowadzenie audytu zerowego i przygotowanie dostosowanej do wymagań dokumentacji spełniającej wymagania ogólnego rozporządzenia unijnego.
Zakres Usługi:
Ustalenia pomiędzy Zamawiającym a Wykonawcą:
- Dokonujemy ustaleń projektu wdrożenia dokumentacji RODO
- Dokonujemy wparcia w ramach określenia założeń projektowych m.in. celu, wyników, terminów, organizacji projektu, zarządzania
Zakres wdrożenia:
Audyt wstępny:
- Weryfikujemy spełnienie wymagań rozporządzenia RODO
- Przekazujemy wykryte spostrzeżenia i uwagi do wdrożonych procedur i rozwiązań
- Rozpoznajemy strukturę organizacyjną i procesową jednostki
- Dokonujemy identyfikacji wymagań prawnych oraz biznesowych
Projektowanie systemu ochrony danych osobowych poprzez następujące procedury i zagadnienia:
- Opracowanie rejestru czynności przetwarzania danych osobowych zgodnie z wymaganymi art. 30 ust. 1 RODO:
- Identyfikacja czynności przetwarzania
- Inwentaryzacja przypadków powierzeń danych podmiotom przetwarzającym
- Identyfikacja jednostek organizacyjnych
- Ocena prawdopodobieństwa wystąpienia wysokiego ryzyka naruszenia praw i wolności osób fizycznych dla poszczególnych czynności przetwarzania
- Opracowanie rejestru wszystkich kategorii czynności przetwarzania zgodnie z wymaganymi art. 30 ust. 2 RODO:
- Identyfikacja przypadków występowania organizacji w roli procesora, któremu powierzono przetwarzanie danych osobowych
- Odnotowanie administratorów, w imieniu których odbywa się przetwarzanie
- Odnotowanie stosowanych środków bezpieczeństwa i nałożonych obowiązków umownych
- Przygotowanie Polityki Bezpieczeństwa Danych Osobowych:
- Przypisanie odpowiedzialności i ról dla osób funkcyjnych
- Ustalenie i opracowanie stosowanych środków bezpieczeństwa (fizycznych, organizacyjnych, technicznych)
- Opis realizacji obowiązków wynikających z RODO (obowiązki informacyjnych, zasady przetwarzania danych, powierzenie, zgody na przetwarzanie)
- Opis kwestii związanych z udostępnianiem danych osobowych
- Przygotowanie Instrukcji Zarządzania Systemami Informatycznymi:
- Przypisanie odpowiedzialności i ról dla osób funkcyjnych
- Ustalenie i opis polityki haseł
- Opracowanie procedur dot. kopii zapasowych
- Opis stosowanych zabezpieczeń technicznych i informatycznych
- Opis przeglądów i konserwacji systemów IT
- Opis kwestii związanych z pracą mobilną
- Przygotowanie metodyki szacowania ryzyka i oceny skutków dla ochrony danych osobowych zgodnie z wymaganiami art. 35 RODO:
- Osoby/Zespoły odpowiedzialne za realizację szacowania ryzyka
- Wyznaczenie metodyki i dopracowanie jej szczegółów
- Przygotowanie formularzy i załączników do stosowania przy szacowaniu ryzyka i ocenie skutków
- Przygotowanie Procedury Zarządzania Uprawnieniami:
- Przypisanie odpowiedzialności i ról
- Przygotowanie załączników i dokumentów stosowanych przy realizacji upoważnień i uprawnień
- Przygotowanie Procedury obsługi żądań:
- Przypisanie odpowiedzialności i ról
- Przygotowanie załączników i dokumentów stosowanych przy odpowiedzi na żądania podmiotów
- Przygotowanie pozostałych polityk ochrony danych i procedur bezpieczeństwa w razie potrzeb:
- Regulamin monitoringu wizyjnego, udostępnienie danych z monitoringu, tabliczki informacyjne
- Instrukcja postępowania z kluczami oraz zabezpieczenia pomieszczeń uwzględniająca upoważnienia do dostępu do kluczy oraz wykazy pracowników
- Regulamin pracy zdalnej lub korzystania ze sprzętu mobilnego wraz z protokołami udostępniania oświadczeniami o odpowiedzialności za sprzęt
- Procedura anonimizacji danych osobowych z dokumentów udostępnianych publicznie
- Procedura zdalnej weryfikacji
- Oceny transferu danych
- Analiza przypadków współadministrowania danych wraz z przygotowaniem umów
- Przygotowanie umów powierzenia przetwarzania danych osobowych
- Identyfikacja przypadków powierzenia
- Analiza obecnie podpisanych umów
- Przygotowanie umów powierzenia
- Przygotowanie wzoru dokumentu wprowadzającego (np. Uchwała, Zarządzenie)
- Przygotowanie klauzul:
- Do zastosowania przy realizacji obowiązku informacyjnego wynikającego z art. 13 i art. 14 RODO
- Do zastosowania podczas zbierania zgód na przetwarzanie danych osobowych
- Przesłanie wykrytych zaleceń w ramach realizowanego projektu do dalszego wdrażania RODO
- Przesłanie instrukcji dalszego postępowania dla spełnienia wymagań RODO