2. Utrzymanie zgodności zgodności
4. Stały system kontroli wewnętrznej w
zakresie RODO
5. Radar ryzyka („Risk Radar”) dla Zarządu
6. Cykliczne audyty
7. Wsparcie DPO
8. Wsparcie przy realizacji praw
podmiotów danych
9. Weryfikacja dostawców i zarządzanie
ryzykiem stron trzecich
10. Analiza wpływu nowych czynności /
procesów
11. Aktualizacja dokumentów / procedur
12. Privacy by design dla nowych rozwiązań
biznesowych
13. Zarządzanie cyklem życia danych (Data
Lifecycle Management)
15. Rekonfiguracja / doskonalenie
istniejących rozwiązań bezpieczeństwa IT
16. Analizy zasadności wdrożenia nowych
rozwiązań bezpieczeństwa IT
17. Budowanie świadomości – szkolenia
18. Asysta podczas kontroli Organu
Nadzorczego
PwC | GDPR Readiness
3. PwC | GDPR Readiness 3
Dlaczego to ważne?
Jak możemy pomóc?
• Jedną z kluczowych zasad wprowadzanych przez RODO jest zapewnienie rozliczalności. Administratorzy będą już nie tylko odpowiedzialni
za przestrzeganie przepisów, ale w razie kontroli będą także musieli ich przestrzeganie udowodnić.
• Zasadę rozliczalności można realizować za pomocą różnorodnych instrumentów, z których kluczowym jest wdrożenie odpowiednich
programów służących do monitorowania efektywności wdrożonych środków organizacyjnych i technicznych, które mogą demonstrować
zgodność
• Wdrożenie stałego systemu kontroli umożliwia łatwe zarządzanie i raportowanie, a w konsekwencji: szybkie reagowanie, gdy rośnie ryzyko
związane z brakiem zgodności z RODO
• Opracujemy listę kluczowych kontroli w istotnych procesach przetwarzania danych osobowych, służących potwierdzeniu przetwarzania
danych w zgodności z RODO
• Zidentyfikujemy obecnie funkcjonujące kontrole oraz ich wpływ na zapewnienie zgodności z RODO
• Opracujemy proces raportowania ryzyka związanego z brakiem zgodności z RODO
System kontroli
wewnętrznej
Art. 24-30 RODO
Art. 32-34 RODO
Art 35-36 RODO
3
4. Stały system kontroli wewnętrznej w zakresie RODO
4. PwC | GDPR Readiness 4
Dlaczego to ważne?
Jak możemy pomóc?
• Podejmowanie optymalnych działań zmierzających do zapewnienia zgodności z przepisami RODO wymaga odpowiedniego przepływu
informacji do osób odpowiedzialnych za podejmowanie decyzji w organizacji
• Risk Radar umożliwia wizualizację zidentyfikowanych z perspektywy RODO ryzyk. Dzięki terminowemu przekazywaniu informacji, radar
pozwala administratorowi na szybkie podjęcie odpowiednich działań zmierzających do zwiększenia poziomu zgodności z wymogami RODO
• Zidentyfikujemy zagadnienia w obszarach, na które wpływ mają przepisy RODO, a które powinny być objęte systemem informacji
zarządczej
• Określimy sposób i zasady udostępniania i pozyskiwania informacji ze wskazaniem źródła ich pochodzenia w zidentyfikowanych
obszarach, na które wpływ mają przepisy RODO
• Opracujemy adekwatny zakres i częstotliwość raportowania
• Opracujemy listę osób lub funkcji, które powinny być odbiorcami poszczególnych informacji
• Określimy standardy raportowania, aby zapewnić czytelność, rzetelność oraz aktualność przekazywanych informacji
Risk Radar
Art. 24-30 RODO
Art. 32-34 RODO
Art 35-36 RODO
4
5. Risk Radar dla Zarządu
5. PwC | GDPR Readiness 55
6. Cykliczne audyty
Dlaczego to ważne?
Jak możemy pomóc?
• Cykliczne audyty pozwalają na wykrycie ewentualnych niezgodności z wymogami RODO
• Sprawdzenia dokonywane w sposób zaplanowany i zgodny z metodyką pozwalają zidentyfikować obszary wymagające doskonalenia
• Wdrożenie planów naprawczych przywraca zgodność z wymogami RODO i pozwala na uniknięcie ewentualnych kar finansowych
• W razie kontroli Organu Nadzorczego przedstawienie wyników procesu audytowego i ewentualnych planów naprawczych pozwoli na
minimalizowanie ewentualnych konsekwencji kontroli
Audyty
• Opracujemy metodykę prowadzenia audytów zgodności z RODO oraz bezpieczeństwa danych osobowych opartą o analizę ryzyka naruszeń
wymogów RODO
• Przeprowadzimy wstępną analizę ryzyka procesów biznesowych i wskażemy procesy priorytetowe pod kątem audytów
• Przeprowadzimy audyty zgodności z formalnymi wymagania RODO i bezpieczeństwa danych osobowych
• Opracujemy plany naprawcze po audytach
• Przeprowadzimy nadzór nad wdrożeniem działań naprawczych
Art. 28 RODO
Art. 25 RODO
Art. 39 RODO
6. PwC | GDPR Readiness 66
7. Wsparcie DPO
Dlaczego to ważne?
Jak możemy pomóc?
• Inspektor Ochrony Danych (ang. Data Protection Officer – DPO) jest kluczową funkcją przewidzianą przez RODO w ramach struktury
organizacyjnej przedsiębiorstwa i musi zostać powołany, gdy spełnione są określone w przepisach RODO kryteria
• DPO bierze udział w wielu procesach związanych z zapewnieniem zgodności z RODO, m.in.:
• jest pierwszym punktem kontaktu dla podmiotów danych i organu nadzorczego
• odpowiada za zgłaszanie incydentów naruszenia ochrony danych osobowych
• bierze udział w Ocenie Skutków dla Ochrony Danych
• Administrator może również zlecić DPO inne zadania do wykonywania, które związane są z ochroną danych osobowych
• Pomożemy ocenić konieczność powołania DPO i, jeżeli zajdzie taka potrzeba, zapewnimy wsparcie przy wyborze odpowiedniego kandydata
lub podmiotu pełniącego funkcję DPO
• Zaproponujemy odpowiednie zdefiniowanie funkcji oraz obowiązków DPO w strukturze organizacyjnej
• Zapewnimy pełne wsparcie prawne we wszystkich aspektach związanych z RODO
• Opracujemy proces raportowania wypełniania obowiązków DPO do zarządu oraz proces komunikacji DPO z Organem Nadzorczym oraz
z podmiotami danych. Przygotujemy odpowiednie szablony i wersje wzorcowe uwzględniając możliwość wystąpienia różnych praktycznych
scenariuszy
• Wesprzemy DPO w prowadzeniu rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania
• Zorganizujemy szkolenie dla DPO i jego zespołu dotyczące poszczególnych aspektów ochrony danych osobowych
Wsparcie DPO
Art. 37-39 RODO
Art. 13-14 RODO
Art. 30 RODO
Art 33 RODO
Art 35-36 RODO
Art 47 RODO
7. PwC | GDPR Readiness 77
8. Prawa podmiotów danych – wsparcie w realizacji
Dlaczego to ważne?
Jak możemy pomóc?
• Każdy podmiot danych, którego dane są przetwarzane w organizacji ma prawo wystąpić do administratora z żądaniem realizacji jego praw
wynikających z RODO
• Co do zasady, prawa podmiotów danych, muszą być zrealizowane w ciągu miesiąca od otrzymania żądania
• Brak realizacji praw podmiotów danych lub opóźnienie w ich realizacji może skutkować nałożeniem kar finansowych oraz roszczeniami
podmiotów danych
• Realizacja niektórych praw podmiotów danych wymaga szczególnej ostrożności organizacyjnej, a jej niewłaściwe wykonanie może
generować ryzyko przerwania ciągłości działania organizacji
Prawa
podmiotów
danych
Art. 13-14 RODO
Art. 17 RODO
Art. 20 RODO • Opracujemy procedury operacyjne związane z realizacją poszczególnych praw podmiotów danych
• Zaproponujemy praktyczne rozwiązania organizacyjne dla ułatwienia kontaktu z podmiotami danych
• Pomożemy zaprojektować procesy IT wspierające realizację praw podmiotów danych
• Stworzymy wytyczne dla jednostek biznesowych odnośnie realizacji każdego z praw podmiotów
• Stworzymy modelowe schematy realizacji praw podmiotów pozwalające na spełnienie żądań podmiotów w czasie wskazanym w RODO
• Przygotujemy szablony i wzorce komunikacji z podmiotami danych
• Przeprowadzimy weryfikację typu Mystery Client – sprawdzenie jakości wprowadzonych procedur obsługi podmiotów danych
• Poprowadzimy postępowania administracyjne i sądowe w związku z naruszeniem praw podmiotów danych
8. PwC | GDPR Readiness 88
9. Weryfikacja dostawców i zarządzanie ryzykiem stron trzecich
• Administrator danych osobowych może korzystać z usług dostawców w zakresie utrzymania i rozwoju systemów informatycznych,
wsparcia prawnego itp., co związane jest z koniecznością powierzenia lub udostępnienia przetwarzania danych osobowych do dostawcy
• W wielu przypadkach przetwarzanie może odbywać się poza infrastrukturą i fizyczną lokalizacją administratora
• Skorzystanie z usług dostawcy nie zwalnia administratora danych osobowych z odpowiedzialności za bezpieczeństwo i zgodność
z przepisami RODO
• Administrator powinien zapewnić, że współpraca z dostawcą odbywa się w oparciu o odpowiednie standardy bezpieczeństwa i sposoby
realizacji świadczonych usług
• Proces współpracy powinien być realizowany w oparciu o odpowiednie mechanizmy kontrolne od momentu rozpoczęcia współpracy aż do
jej zakończenia
Dlaczego to ważne?
Jak możemy pomóc?
• Opracujemy metody segmentacji i oceny dostawców usług przetwarzania danych osobowych
• Przeprowadzimy przegląd systemu ocen dostawców
• Zapewnimy wsparcie w opracowaniu procesu audytu dostawcy w oparciu o analizę ryzyka (Vendor Risk Assessment) w obszarze
Cyber/Information Security oraz prawnym
• Wesprzemy w opracowaniu procesu monitorowania ryzyka związanego z dostawcami (Vendor Risk Management) w obszarze
Cyber/Information Security oraz prawnym
• Opracujemy procedury oraz kwestionariusze oceny wspierające procesy VRA/VRM
• Wykonamy audyty i przeglądy wstępne oraz okresowe dotyczące działalności podmiotów przetwarzających
Wsparcie
w procesie
VRA/VRM
Art. 28 RODO
Art. 29 RODO
Art. 30 RODO
Art. 32 - 36 RODO
9. PwC | GDPR Readiness 9
Dlaczego to ważne?
Jak możemy pomóc?
• Rozporządzenie wprowadza całkowicie nowy obowiązek, którym jest Ocena Skutków dla Ochrony Danych – brak wypełnienia tego
obowiązku lub jego błędna realizacja mogą prowadzić do nałożenia wysokich kar
• Utrzymanie zgodności z RODO jest procesem ciągłym. Z tego powodu, należy zapewnić mechanizmy umożliwiające weryfikację wpływu
nowych czynności / procesów wdrażanych w organizacji na zgodność z wymogami rozporządzenia
• Zgodnie z art. 35 RODO, administrator jest zobowiązany do przeprowadzenia analizy ryzyka naruszenia praw i wolności osób fizycznych
jeszcze przed rozpoczęciem przetwarzania dotyczących ich danych osobowych
• Prawidłowa analiza wpływu nowych czynności/procesów to efektywniejsza identyfikacja luk oraz lepsze dostosowanie poziomu zgodności
z RODO, jeszcze przed wprowadzeniem w życie nowych czynności/procesów
• Przeprowadzenie analizy umożliwia identyfikację dodatkowych środków technicznych i organizacyjnych potrzebnych do zapewnienia
odpowiedniej ochrony danych osobowych
• Opracujemy procedury i metodyki prowadzenia Oceny Skutków dla Ochrony Danych (Data Protection Impact Assessment – DPIA)
• Przeprowadzimy Ocenę Skutków dla Ochrony Danych obejmującą: analizę prawną, analizę podatności systemów IT (VA – Vulnerability
Assessment) oraz testy penetracyjne dla elementów IT wspierających planowane czynności przetwarzania
• Dostarczymy narzędzia wspierające proces Oceny Skutków dla Ochrony Danych
• Opracujemy proces i strategię konsultacji z Organem Nadzorczym oraz podmiotami danych w przypadku identyfikacji czynności
przetwarzania stwarzającej wysokie ryzyko dla praw i wolności podmiotów danych
Wpływ nowych
czynności
Art 35 RODO
Art. 32 RODO
Art 36 RODO
9
10. Analiza wpływu nowych czynności / procesów
10. PwC | GDPR Readiness 10
Dlaczego to ważne?
Jak możemy pomóc?
• Zgodnie z treścią art. 32 RODO, administrator danych oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne , prawne
i organizacyjne odpowiadające zidentyfikowanemu poziomowi ryzyka związanego z przetwarzaniem danych osobowych
• Procedury i polityki takie jak: polityka bezpieczeństwa, procedura zgłaszania incydentów itp. stanowią istotny element w systemie
zapewniania bezpieczeństwa organizacji, a w rezultacie przyczyniają się do zapewnienia zgodności z przepisami RODO
• Szczególnie istotne jest dokonanie aktualizacji procedur dla procesów, w których dochodzi do bezpośredniej styczności z podmiotem
danych – np. procedur dotyczących kontaktu z klientem
• Przeprowadzimy Ocenę Skutków dla Ochrony Danych, która wesprze w określeniu jakie środki organizacyjne, prawne i techniczne należy
wdrożyć w organizacji w celu zapewnienia zgodności z RODO oraz jakie zapisy powinny zostać umieszczone w poszczególnych
dokumentach
• Przygotujemy bądź przeanalizujemy obecnie funkcjonujące polityki/procedury i inne dokumenty pod kątem zasadności aktualizacji w celu
dostosowania do przepisów RODO
• Przeprowadzimy aktualizację polityk bezpieczeństwa
• Przeprowadzimy aktualizację procesów i procedur zarządzania bezpieczeństwem
• Przeprowadzimy aktualizację umów / aneksów do umów
• Przeprowadzimy aktualizację klauzul informacyjnych
• Przeprowadzimy aktualizację zgód na przetwarzanie danych osobowych
Aktualizacja
dokumentów
Art. 32 RODO
10
11. Aktualizacja dokumentów/ procedur
11. PwC | GDPR Readiness 1111
12. Privacy by design dla nowych rozwiązań biznesowych
Dlaczego to ważne?
Jak możemy pomóc?
• Privacy by Design jest podejściem mającym zapewnić uwzględnienie ochrony danych osobowych już w fazie projektowania danego
systemu/procesu/inicjatywy
• Zgodnie z treścią art. 25 RODO, administrator jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych,
zarówno na etapie określania sposobów przetwarzania jak i podczas przetwarzania danych osobowych
• Ponadto, w ramach Privacy by Design należy zapewnić stosowanie zasady minimalizacji danych oraz domyślnego przetwarzania wyłącznie
danych niezbędnych do realizacji konkretnego celu (Privacy by Default)
• Prawidłowe wdrożenie podejścia Privacy by Design umożliwia łatwiejsze wykazanie zgodności z wymaganiami RODO w innych obszarach
• Opracujemy metodykę Privacy by Design obejmującą sposób realizacji Privacy by Design oraz zasady uruchamiania procesu
• Przeprowadzimy Ocenę Skutków dla Ochrony Danych (Data Protection Impact Assessment – DPIA) obejmującą: analizę prawną, analizę
podatności systemów IT (VA – Vulnerability Assessment) oraz testy penetracyjne dla elementów IT wspierających planowane czynności
przetwarzania
• Przeanalizujemy czynności przetwarzania i dostosujemy je pod kątem realizacji podejścia Privacy by Design oraz Privacy by Default
• Opracujemy i wdrożymy Security/Privacy by Design do Systems Development Life Cycle (SDLC)
• Przeprowadzimy analizę kodu źródłowego rozwijanych aplikacji pod kątem bezpieczeństwa
• Opracujemy standardy i dobre praktyki programistyczne
Privacy
by Design
Art. 25 RODO
Art. 24 RODO
Art. 28 RODO
Art 32 RODO
Art 34 RODO
12. PwC | GDPR Readiness 1212
13. Zarządzanie cyklem życia danych (Data Lifecycle Management)
Dlaczego to ważne?
Jak możemy pomóc?
• Administrator powinien mieć, na każdym etapie procesów biznesowych, kontrolę nad przetwarzanymi danymi
• Na podstawie art. 5 RODO dane muszą być zbierane zgodnie z prawem, adekwatnie do celów przetwarzania, aktualizowane,
przechowywane w bezpieczny sposób oraz usuwane po zakończeniu okresu retencji
• Zgodnie z art. 6 RODO dane mogą być przetwarzane wyłącznie na podstawie jednej z sześciu przesłanek
• Dane powinny być usunięte lub zanonimizowane po upływie określonego dla nich okresu retencji
• Polityka retencji danych jest dokumentem niezbędnym dla prawidłowego funkcjonowania każdej organizacji
• Nasza metodologia zakłada stosowanie tabeli retencji jako załącznika do polityki retencji danych
Cykl życia
danych
Art. 6 RODO
Art. 25 RODO
Art. 16 RODO • Opracujemy i pomożemy wdrożyć model zarządzania danymi osobowymi na każdym etapie ich przetwarzania
• Stworzymy klauzule zgód i obowiązków informacyjnych na etapie zbierania danych
• Opracujemy standardowe klauzule umowne do umów powierzenia i zakupu baz danych
• Opracujemy i wdrożymy zasady retencji danych (polityka retencji danych, tabela retencji, mechanizmy IT służące zapewnieniu retencji itp.)
• Opracujemy i pomożemy wdrożyć mechanizmy poprawiania jakości danych i ich usuwania lub anonimizacji
• Stworzymy wymagania odnośnie bezpiecznego przechowywania danych (dane w spoczynku) oraz transferu danych (dane w ruchu)
13. PwC | GDPR Readiness 13
Dlaczego to ważne?
Jak możemy pomóc?
• Zgodnie z art. 32 RODO, administrator danych oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne
odpowiadające zidentyfikowanemu poziomowi ryzyka związanego z przetwarzaniem danych osobowych
• Rozwiązania techniczne mogą wspierać proces zapewnienia zgodności z RODO poprzez funkcjonalność monitorowania ryzyka, zgodności,
bezpieczeństwa i audyty wewnętrzne
• Ponadto, rozwiązania techniczne mogą wspierać inne istotne procesy związane z zapewnianiem zgodności z RODO, takie jak utrzymanie
rejestru czynności przetwarzania czy wsparcie procesu analizy DPIA
• Proponujemy dwa rozwiązania, które są odpowiedzią na Państwa potrzeby:
• Autorskie rozwiązanie klasy GRC – Governance, Risk management, and Compliance (enforce) integrujące funkcjonalność sprawnego
zarządzania ryzykiem, zarządzania zgodnością z przepisami, zarządzania audytem wewnętrznym. Dzięki integracji trzech obszarów
w jednym narzędziu, możliwe jest efektywne zarządzanie i przejrzyste raportowanie
• Autorskie rozwiązanie wspierające wykazanie zgodności z RODO (PwC RODO Compliance Tool) umożliwiające utrzymanie Rejestru
Czynności Przetwarzania, przeprowadzenie analizy DPIA (wraz z oceną wstępną) oraz łatwe i automatyczne raportowanie i prezentacja
najważniejszych informacji w formie dashboard’u
Wdrożenia
rozwiązań
klasy GRC
Art. 32 RODO
13
14. Wdrożenie rozwiązania klasy GRC
Art. 35 - 36 RODO
Art. 32 - 34 RODO
14. PwC | GDPR Readiness 14
Dlaczego to ważne?
Jak możemy pomóc?
• Zgodnie z art. 32 RODO, administrator oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne
odpowiadające zidentyfikowanemu poziomowi ryzyka związanego z przetwarzaniem danych osobowych
• Rozwiązania techniczne takie jak systemy DLP, IDM, IDS/IPS, SIEM, PIM/PAM, DAM, itp. stanowią istotny element w systemie
zapewniania bezpieczeństwa organizacji, w rezultacie przyczyniając się do zapewnienia zgodności z przepisami RODO
• Szczególnie istotne jest dokonanie przeglądu konfiguracji obecnie wykorzystywanych w organizacji systemów pod kątem poprawności
działania i skuteczności wykrywania potencjalnych zagrożeń
• Dostosujemy reguły, polityki, korelacje oraz konfiguracje istniejących systemów zgodnie z najlepszymi praktykami
• Wdrożymy nowe reguły, polityki, korelacje oraz konfiguracje w istniejących systemach bezpieczeństwa
• Wdrożymy nowe systemy bezpieczeństwa w celu uzupełnienia istniejącego systemu bezpieczeństwa organizacji (DLP, IDM, SIEM,
PIM/PAM, DAM)
Konfiguracja
rozwiązań
bezpieczeństwa
Art. 32 RODO
14
15. Rekonfiguracja / doskonalenie istniejących rozwiązań bezpieczeństwa IT
15. PwC | GDPR Readiness 15
Dlaczego to ważne?
Jak możemy pomóc?
• Zgodnie z art. 32 RODO, administrator oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne
odpowiadające zidentyfikowanemu poziomowi ryzyka związanego z przetwarzaniem danych osobowych
• Rozwiązania techniczne takie jak systemy DLP, IDS/IPS, SIEM, PIM/PAM, DAM, itp. stanowią istotny element w systemie zapewniania
bezpieczeństwa organizacji, a co za tym idzie – przyczyniają się do zapewnienia zgodności z przepisami RODO
• Istotne jest, aby informację o zasadności wdrożenia wybranych rozwiązań przekazać kierownictwu organizacji w sposób pozwalający na
porównanie korzyści z wdrożenia (ewentualnych strat wynikających z materializacji ryzyk, które są mitygowane przez wdrożony system i
automatyzacji procesów bezpieczeństwa) oraz kosztów wdrożenia
• Przeprowadzimy analizę dojrzałości obecnie wykorzystywanej w organizacji architektury bezpieczeństwa
• Przeprowadzimy testy penetracyjne
• Przeprowadzimy kontrolowany atak zakładający „wiedzę zerową” – STRIKE, obejmujący zarówno próby przełamania zabezpieczeń
fizycznych, jak i próbę uzyskania dostępu do systemów informatycznych organizacji
• Na podstawie wyników powyższych działań, przeprowadzimy analizę zasadności wdrożenia rozwiązania IT, tzn. ryzyko braku wdrożenia
w porównaniu z kosztem wdrożenia
• Opracujemy inicjatywy mające na celu uwzględnienie wyników analizy wraz ze wskazaniem priorytetów
Wdrożenia
rozwiązań
bezpieczeństwa
Art. 32 RODO
15
16. Analiza zasadności wdrożenia nowych rozwiązań bezpieczeństwa IT
16. PwC | GDPR Readiness 1616
17. Budowanie świadomości pracowników o ochronie danych osobowych
Dlaczego to ważne?
Jak możemy pomóc?
• Stałe i podnoszenie świadomości pracowników w zakresie ochrony danych osobowych powoduje, że działania związane z ochroną danych
osobowych realizowane są szybciej i efektywniej
• Podnoszenie świadomości pracowników zmniejsza ryzyko naruszeń bezpieczeństwa oraz pozwala uniknąć kar finansowych
• Kampanie podnoszące świadomość pozwalają wskazać pracownikom typowe metody działania przestępców – pozwala to uszczelnić system
bezpieczeństwa informacyjnego
Szkolenie
pracowników
Art. 25 RODO
Art. 32 RODO
Art. 39 RODO • Opracujemy i wdrożymy program podnoszenia świadomości bezpieczeństwa informacji
• Opracujemy materiały szkoleniowe i przeprowadzimy szkolenia
• Zakres i poruszane tematy będą dostosowane indywidualnie do organizacji oraz grupy docelowej – proponujemy szkolenia „szyte na
miarę”, dopasowane do specyfiki organizacji
• Stworzymy materiały informacyjne przydatne w bieżącej pracy
• Opracujemy i przeprowadzimy szkolenia e-learningowe
• Opracujemy i przeprowadzimy kampanie szkoleniowe symulujące w bezpieczny sposób ataki przestępców (ataki socjotechniczne,
podszywanie się w korespondencji elektronicznej itd.)
• Przeprowadzimy weryfikację typu Mystery Client – sprawdzenie jakości wprowadzonych procedur obsługi podmiotów danych oraz reakcji
na naruszenia ochrony danych osobowych
17. PwC | GDPR Readiness 1717
18. Asysta przy kontroli Organu Nadzorczego
Dlaczego to ważne?
Jak możemy pomóc?
• Przepisy RODO oraz liczne niejasności interpretacyjne powodują poczucie niepewności w obliczu nadchodzącej kontroli Organu
Nadzorczego
• Organizacje, które podlegają inspekcji Organu Nadzorczego mają obowiązek czynnej współpracy z kontrolerem i podejmowania inicjatywy
podczas kontroli
• Przygotowanie organizacji do kontroli skraca czas czynności kontrolnych i minimalizuje ryzyko wykrycia niezgodności
• Czynności, działania i żądania kontrolerów wymagają precyzyjnego rozumienia wymogów RODO
• Pierwsza wizyta reprezentantów Organu Nadzorczego jest zazwyczaj początkiem procesu kontroli zgodności organizacji z prawem ochrony
danych osobowych
Asysta przy
kontroli organu
nadzorczego
Art. 57 RODO
Art. 58 RODO
• Przygotujemy organizację do wizyty kontrolerów
• Zapewnimy wsparcie i doradztwo w trakcie kontroli
• Pomożemy ustosunkować się do raportu pokontrolnego
• Zapewnimy wsparcie w minimalizacji skutków kontroli
• W razie potrzeby, wdrożymy odpowiednia środki organizacyjne i techniczne w celu zabezpieczenia tych aspektów ochrony danych, które
tego wymagają
• Pomożemy w podjęciu odpowiednich działań mających na celu minimalizację ryzyka wystąpienia negatywnych konsekwencji przyszłych
kontroli
Art. 6 ust. 2 RODO