Chroń Dane Osobowe. Personal Data Protection Officer. Konrad Gałaj-Emiliańczyk

Transkrypt

1 01 Personal Data Protection Officer Chroń Dane Osobowe Konrad Gałaj-Emiliańczyk Prowadzę działalność w zakresie wsparcia organizacji w dostosowaniu do przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. oraz przejęcia funkcji Inspektora Ochrony Danych (IOD)..

2 02 Inspektor Ochrony Danych Konrad Gałaj-Emiliańczyk OCHRONĄ DANYCH OSOBOWYCH ZAJMUJĘ SIĘ OD 10 LAT Prawnik Audytor wiodący ISO "Wszystko jest możliwe. Niemożliwe po prostu wymaga więcej czasu [ ]" Ochroną danych osobowych zajmuję się prawie od początku kariery zawodowej. Zaczynając jako administrator bezpieczeństwa informacji w jednostce budżetowej Ministerstwa Edukacji Narodowej. Kolejno przez 8 lat świadczyłem usługi jako freelancer z zakresu dostosowania do przepisów o ochronie danych osobowych na rzecz dziesiątek podmiotów zarówno sektora publicznego jak i prywatnego.

3 04 DOŚWIADCZENIE PUBLIKACJE Jestem autorem 6 samodzielnych publikacji o tematyce ochrony danych osobowych, które w sposób praktyczny opisują proces tworzenia, dostosowa nia i wdrożenia przepisów o ochronie danych osobowych. Najnowsze z nich to: Wdrożenie RODO Nadzór RODO Dokumentacja RODO

4 05 PRZEDMIOT OFERTY HARMONOGRAM PRZEJĘCIA FUNKCJI IOD Dzień 1 Rozpoczęcie projektu. Przedstawienie harmonogramu prac i poszczególnych etapów nadzoru nad systemem ochrony danych. 75% 75% Koniec etapu analitycznego 80% Dzień 2 Szkolenia właścicieli procesów przetwarzania danych oraz personelu z RODO.. 75% Pełnienie obowiązków IOD 40% 35% 21% 32% 31% Audyt RODO organizacji Audyt wszystkich procesów przetwarzania danych osobowych Konsultacje przy DPIA Konsultacje przy analiza ryzyka Przedstawienie Raportu zgodności z RODO i planów postepowania z ryzykiem Przedstawienie rekomendacji do dokumentacji RODO Akceptacja Dokumentacji zgodności z RODO Nadzór nad systemem ochrony danych osobowych zgodnym z RODO Zapoznanie personelu z RODO

5 05 PRZEDMIOT OFERTY (przejęcie funkcji IOD) AUDYT ZGODNOŚCI Z RODO (1-2 dni raz w roku) Celem audytu zgodności z RODO jest ustalenie zgodności stanu faktycznego z przepisami RODO oraz Ustawy o ochronie danych osobowych jak również przepisów branżowych dotyczących organizacji. Audyt zgodności jest przeprowadzany na podstawie harmonogramu następującymi metodami: Wywiad osobowy Wizja lokalna Analiza dokumentów

6 06 PRZEDMIOT OFERTY (przejęcie funkcji IOD) OCENA SKUTKÓW PRZETWARZNIA - DPIA (konsultacje) Konsultacje przy ocenie skutków przetwarzania polegają na ustaleniu w wyniku wywiadu osobowego kontekstu procesu przetwarzania danych osobowych, niezbędności i proporcjonalności przetwarzania danych osobowych w procesie, analizie ryzyka naruszenia prawa do prywatności osób w procesie. Celem oceny skutków przetwarzania jest możliwość udowodnienia, że procesy nie stwarzają wysokiego ryzyka naruszenia prawa do prywatności osób, których dane dotyczą. W zakresie konsultacji zagrożeń identyfikuje się m.in. następujące obszary: nieuprawniony dostęp do danych 85 kradzież tożsamości 75 dyskryminacja osoby 95 szkoda wizerunkowa 90 szkoda finansowa 70

7 07 PRZEDMIOT OFERTY (przejęcie funkcji IOD) ANALIZA RYZYKA (konsultacje) Identyfikacja zasobów Podział zasobów biorących udział w procesach na grupy i poszczególne zasoby 2 Ocena prawdopodobieństwa wystąpienia zagrożeń wobec poszczególnych zasobów 4 Plan postępowania z ryzykiem Określa rekomendacje w zakresie obniżenia ryzyka do poziomu akceptowalnego. Identyfikacja zagrożeń Przypisanie najistotniejszych zagrożeń do zasobów Ocena skutków wystąpienia zagrożeń wobec poszczególnych zasobów

8 08 PRZEDMIOT OFERTY (przejęcie funkcji IOD) OPINIOWANIE DOKUMENTACJI RODO Rekomendacje dot. dokumentacji DOKUMENTACJA MUSI BYĆ DOPASOWANA DO ORGANIZACJI I WDROŻONA W ramach przejęcia funkcji IOD prowadzone jest bieżące opiniowanie dokumentacji ochrony danych osobowych, która musi odzwierciedlać stan faktyczny. Dokumentacja ochrony danych osobowych musi być dopasowana do organizacji i zawierać wszystkie procedury wymagane przez RODO. Wiele procedur jest całkowicie nowych i nie mi ały one do tej pory zastosowania w większości organizacji. W zależności od struktury organizacyjnej podmiotu podział obowiązków wynikających z RODO powinien być ro złożony na całą organizację tak by na ile to możliwe nie zakłócać jej podstawowej działalności. Najważniejsze elementy dokumentacji ochrony danych osobowych to Polit yka bezpieczeństwa, rejestr czynności przetwarzania i procedury realizacji praw osób, których dane dotyczą. Dodatkowo w zależności od zabezpieczeń do tej pory stosow anych przez organizacje proponowane są dodatkowe procedury tak by sprostać wymogowi rozliczalności względem RODO.

9 09 PRZEDMIOT OFERTY (przejęcie funkcji IOD) ZAPOZNANIE PERSONELU Z DOKUMENTACJĄ RODO Szkolenie personelu (2h jedna tura) Stacjonarne szkolenie wszystkich osób przetwarzających dane osobowe w organizacji z RODO z elementami bezpieczeństwa informacji przeprowadzane raz w roku. Przygotowanie instrukcji stanowiskowych Opracowanie dedykowanych instrukcji postępowania z danymi osobowymi dla poszczególnych kategorii pracowników np. nowo zatrudnianych. Zapoznanie personelu

10 10 PRZEDMIOT OFERTY (przejęcie funkcji IOD) ZDALNE KONSULTACJE RODO Odpowiedź w terminie 24h KONTAKTY Z OSOBAMI, KTÓRYCH DANE DOTYCZĄ ORAZ ORGANEM NADZORCZYM Reprezentacja w obszarze ochrony danych osobowych. Oferta przewiduje nieograniczone zdalne wsparcie organizacji w obszarze RODO nie limitowane okresem ważności. Konsultacje są realizowane zdalnie w formie kontaktu telefonicznego, korespondencji mailowej oraz w ostateczności spotkań roboczych.

11 11 PRZEDMIOT OFERTY Przejęcie funkcji Inspektora Ochrony Danych Konrad Gałaj-Emiliańczyk SYSTEMATYCZNA WERYFIKACJA ZGODNOŚCI Z RODO... ZAPEWNIA BEZPIECZEŃSTWO Inspektor Ochrony Danych Powołanie IOD jako zewnętrznego specjalisty na podstawie umowy zlecenia lub umowy o dzieło jest coraz częściej stosowanym rozwiązaniem. Rozwiązanie to wydaje się najbardziej optymalne dla tych podmiotów, które muszą powołać IOD ale nie koniecznie potrzebują go mieć na co dzień w organizacji. Rozwiązanie to niweluje dwie największe wady IOD jako pracownika. Po pierwsze doskonalenie zawodowe IOD, które w przeciwieństwie do pracownika leży po stronie IOD. Po drugie umowa cywilnoprawna zwłaszcza gdy IOD prowadzi działalność gospodarczą będzie zdecydowanie tańsza dla organizacji niż etat. W tym obszarze wybór osób jest dużo większy jednak dokonując wyboru należy brać pod uwagę doświadczenie IOD, gdyż jest dużo początkujących IOD na rynku. Podstawową wadą tego rozwiązania jest właśnie dużo niesamodzielnych i niedoświadczonych IOD, co oznacza że wybór również nie będzie prosty.

12 12 WYCENA Przejęcia funkcji IOD OUTSOURCING IOD od 799 zł/m-c Usługa nadzoru nad przestrzeganiem przepisów RODO Inspektor ochrony danych jest osobą nadzorującą przestrzeganie przepisów o ochronie danych osobowych w organizacji. W ramach świadczonej usługi realizuje on następujące działania: Usługa realizuje obowiązek powołania i zgłoszenia IOD do Prezesa UODO wynikający z Art. 37 RODO. Umowa na czas nieokreślony z 3 miesięcznym okresem wypowiedzenia. Audyty zgodności z RODO Konsultacje przy DPIA Kontakty z osobami, których dane dotyczą Więcej Kontakty z organem nadzorczym Szkolenia personelu

13 KONTAKT Chroń Dane Osobowe RODO Konrad Gałaj-Emiliańczyk tel mail. PDPSystem Polecam aplikację PDPS