2. Wdrożenie
1. Wdrożenie RODO w organizacji
1.1. Inwentaryzacja
1.2 Analiza luki
1.3 Analizy ryzyka i skutków dla
przetwarzania danych (DPIA)
1.4 Przygotowanie
dokumentów/procedur/analiz
1.5 Dostosowanie IT/SEC
2. Audyt powdrożeniowy
3. Transfery Transgraniczne
PwC | GDPR Readiness
3. PwC | GDPR Readiness 33
1. Wdrożenie RODO w Organizacji
Dlaczego to ważne?
Jak możemy pomóc?
• RODO osiągnęło pełną stosowalność 25 maja 2018 roku a brak zgodności z rozporządzeniem może skutkować karami finansowymi
w wysokości do 20 mln euro lub 4% rocznego przychodu organizacji oraz stratami wynikającymi z postępowań sądowych wszczętych przez
podmioty danych
• Administrator musi mieć pełną i aktualną wiedzę na temat danych osobowych przetwarzanych w jego organizacji, zarówno w roli
administratora, jak i podmiotu, któremu dane zostały powierzone
• Art. 30 RODO nakłada na administratora obowiązek prowadzenia rejestru czynności przetwarzania
• Zgodnie z art. 25 RODO, administrator zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, zarówno na
etapie określania sposobów przetwarzania, jak i podczas przetwarzania danych
• Administrator ma obowiązek zabezpieczenia danych przed przetwarzaniem niezgodnym z prawem
Zgodność
z RODO
Art. 30 RODO
Art. 25 RODO
Art. 5 RODO
Art. 35 RODO
• Pomożemy zinwentaryzować procesy przetwarzania danych osobowych w organizacji
• Stworzymy rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania (procesora)
• Przeanalizujemy czynności krytyczne z punktu widzenia praw i wolności podmiotów, których dane dotyczą
• Dokonamy analizy wpływu czynności przetwarzania na prawa i wolności podmiotów (Data Protection Impact Assessment – DPIA)
• Wskażemy obszary doskonalenia lub zmiany pod względem obowiązków prawnych wynikających z RODO w IT oraz procesach
i procedurach obowiązujących w organizacji
• Opracujemy dokumentację opisująca sposób przetwarzania danych oraz środki organizacyjne i techniczne służące ochronie danych
osobowych (polityki bezpieczeństwa, procedury operacyjne, wytyczne i wymagania bezpieczeństwa dla procesów biznesowych oraz
systemów IT)
• Stworzymy i zaktualizujemy stosowane w organizacji dokumenty, dostosowując je do wymogów RODO (obowiązki informacyjne, treści
zgód itd.)
4. PwC | GDPR Readiness 44
2. Audyt powdrożeniowy
Dlaczego to ważne?
Jak możemy pomóc?
• Prowadzenie działań służących zapewnieniu zgodności z RODO to wielopłaszczyznowy projekt angażujący całą organizację i skutkujący
licznymi zmianami dla organizacji. Administrator powinien mieć pewność, że podjęty wysiłek związany z wdrożeniem przyniósł
spodziewany efekt
• Najlepszym narzędziem na weryfikację czy w organizacji zostały zrealizowane wszystkie działania oraz wdrożone wszystkie rekomendacje
niezbędne do zapewnienia zgodności z RODO jest audyt powdrożeniowy
• Dodatkowo, w przypadku przeprowadzenia audytu przez niezależną stronę trzecią, przekazanie jego wyniku w przypadku kontroli
organowi nadzorującemu może ograniczyć zakres i czas kontroli
Audyt zgodności
• Przeanalizujemy metodykę wdrożenia RODO w organizacji
• Zweryfikujemy kompletność rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania
• Zweryfikujemy efekty prac zespołów wdrożeniowych w poszczególnych obszarach działalności biznesowej odnoszących się do wymogów
RODO takich jak analizy ryzyka, analizy DPIA, obowiązki informacyjne, zgody, procedury raportowania naruszeń ochrony danych i inne
• Dokonamy analizy procesów biznesowych pod kątem zapewnienia bezpieczeństwa przetwarzanych danych
• Przeprowadzimy audyt środków organizacyjno-technicznych oraz stosowanych wewnętrznych mechanizmów zapewniających zgodność
organizacji z RODO
• Przenalizujemy poziom dojrzałości organizacji w zakresie zgodności z RODO, bazując na najlepszych praktykach rynkowych
Art. 5 RODO
Art. 32 RODO
Art. 35 RODO
5. PwC | GDPR Readiness 55
3. Transfery transgraniczne
Dlaczego to ważne?
Jak możemy pomóc?
• Transfer danych poza Europejski Obszar Gospodarczy (EOG) jest coraz powszechniejszy (np.: usługi w chmurach obliczeniowych, wsparcie
utrzymania systemów IT itd.)
• Przekazywanie danych osobowych innym podmiotom zlokalizowanym w krajach trzecich może wymagać spełnienia dodatkowych
wymagań wynikających z przepisów RODO
• Konsekwencją braku spełnienia dodatkowych wymogów może być ryzyko nałożenia kar finansowych (do 20 mln/4% rocznego przychodu
organizacji)
• Nie każdy kraj może przyjąć dane osobowe organizacji bez spełnienia dodatkowych wymagań wynikających z RODO
• Administrator ma obowiązek zabezpieczyć transfer, zapewniając poufność i integralność danych osobowych oraz zapewniając rozliczalność
przestrzegania przepisów RODO
Transfer danych
poza EOG
Art. 44 RODO
Art. 46 RODO
Art. 49 RODO • Pomożemy zidentyfikować obszary, w których dochodzi do przetwarzania danych osobowych poza EOG
• Opracujemy zasady i wymagania dotyczące bezpiecznego transferu danych osobowych poza EOG
• Przeanalizujemy przesłanki prawne jakie administrator powinien spełnić w celu zapewnienia, że transfer odbywa się zgodnie z prawem
• Zaproponujemy wzory klauzul umownych i innych istotnych dokumentów (np. wiążące reguły korporacyjne) w celu zapewnienia pełnej
zgodności transferu z RODO