SlideShare a Scribd company logo

Usługi RODO PwC | Utrzymanie zgodności z RODO

PwC Polska
PwC Polska

Informacje na temat utrzymania zgodności z RODO

Business
1 of 18
pwc.pl/rodo Usługi RODO wdrożenie | utrzymanie zgodności | incydenty bezpieczeństwa
Utrzymanie zgodności zgodności 4. Stały system kontroli wewnętrznej w zakresie RODO 5. Radar ryzyka („Risk Radar”) dla Zarządu 6. Cykliczne audyty 7. Wsparcie DPO 8. Wsparcie przy realizacji praw podmiotów danych 9. Weryfikacja dostawców i zarządzanie ryzykiem stron trzecich 10. Analiza wpływu nowych czynności / procesów 11. Aktualizacja dokumentów / procedur 12. Privacy by design dla nowych rozwiązań biznesowych 13. Zarządzanie cyklem życia danych (Data Lifecycle Management) 15. Rekonfiguracja / doskonalenie istniejących rozwiązań bezpieczeństwa IT 16. Analizy zasadności wdrożenia nowych rozwiązań bezpieczeństwa IT 17. Budowanie świadomości – szkolenia 18. Asysta podczas kontroli Organu Nadzorczego PwC | GDPR Readiness
PwC | GDPR Readiness 3 Dlaczego to ważne? Jak możemy pomóc? • Jedną z kluczowych zasad wprowadzanych przez RODO jest zapewnienie rozliczalności. Administratorzy będą już nie tylko odpowiedzialni za przestrzeganie przepisów, ale w razie kontroli będą także musieli ich przestrzeganie udowodnić. • Zasadę rozliczalności można realizować za pomocą różnorodnych instrumentów, z których kluczowym jest wdrożenie odpowiednich programów służących do monitorowania efektywności wdrożonych środków organizacyjnych i technicznych, które mogą demonstrować zgodność • Wdrożenie stałego systemu kontroli umożliwia łatwe zarządzanie i raportowanie, a w konsekwencji: szybkie reagowanie, gdy rośnie ryzyko związane z brakiem zgodności z RODO • Opracujemy listę kluczowych kontroli w istotnych procesach przetwarzania danych osobowych, służących potwierdzeniu przetwarzania danych w zgodności z RODO • Zidentyfikujemy obecnie funkcjonujące kontrole oraz ich wpływ na zapewnienie zgodności z RODO • Opracujemy proces raportowania ryzyka związanego z brakiem zgodności z RODO System kontroli wewnętrznej Art. 24-30 RODO Art. 32-34 RODO Art 35-36 RODO 3 4. Stały system kontroli wewnętrznej w zakresie RODO
PwC | GDPR Readiness 4 Dlaczego to ważne? Jak możemy pomóc? • Podejmowanie optymalnych działań zmierzających do zapewnienia zgodności z przepisami RODO wymaga odpowiedniego przepływu informacji do osób odpowiedzialnych za podejmowanie decyzji w organizacji • Risk Radar umożliwia wizualizację zidentyfikowanych z perspektywy RODO ryzyk. Dzięki terminowemu przekazywaniu informacji, radar pozwala administratorowi na szybkie podjęcie odpowiednich działań zmierzających do zwiększenia poziomu zgodności z wymogami RODO • Zidentyfikujemy zagadnienia w obszarach, na które wpływ mają przepisy RODO, a które powinny być objęte systemem informacji zarządczej • Określimy sposób i zasady udostępniania i pozyskiwania informacji ze wskazaniem źródła ich pochodzenia w zidentyfikowanych obszarach, na które wpływ mają przepisy RODO • Opracujemy adekwatny zakres i częstotliwość raportowania • Opracujemy listę osób lub funkcji, które powinny być odbiorcami poszczególnych informacji • Określimy standardy raportowania, aby zapewnić czytelność, rzetelność oraz aktualność przekazywanych informacji Risk Radar Art. 24-30 RODO Art. 32-34 RODO Art 35-36 RODO 4 5. Risk Radar dla Zarządu
PwC | GDPR Readiness 55 6. Cykliczne audyty Dlaczego to ważne? Jak możemy pomóc? • Cykliczne audyty pozwalają na wykrycie ewentualnych niezgodności z wymogami RODO • Sprawdzenia dokonywane w sposób zaplanowany i zgodny z metodyką pozwalają zidentyfikować obszary wymagające doskonalenia • Wdrożenie planów naprawczych przywraca zgodność z wymogami RODO i pozwala na uniknięcie ewentualnych kar finansowych • W razie kontroli Organu Nadzorczego przedstawienie wyników procesu audytowego i ewentualnych planów naprawczych pozwoli na minimalizowanie ewentualnych konsekwencji kontroli Audyty • Opracujemy metodykę prowadzenia audytów zgodności z RODO oraz bezpieczeństwa danych osobowych opartą o analizę ryzyka naruszeń wymogów RODO • Przeprowadzimy wstępną analizę ryzyka procesów biznesowych i wskażemy procesy priorytetowe pod kątem audytów • Przeprowadzimy audyty zgodności z formalnymi wymagania RODO i bezpieczeństwa danych osobowych • Opracujemy plany naprawcze po audytach • Przeprowadzimy nadzór nad wdrożeniem działań naprawczych Art. 28 RODO Art. 25 RODO Art. 39 RODO
PwC | GDPR Readiness 66 7. Wsparcie DPO Dlaczego to ważne? Jak możemy pomóc? • Inspektor Ochrony Danych (ang. Data Protection Officer – DPO) jest kluczową funkcją przewidzianą przez RODO w ramach struktury organizacyjnej przedsiębiorstwa i musi zostać powołany, gdy spełnione są określone w przepisach RODO kryteria • DPO bierze udział w wielu procesach związanych z zapewnieniem zgodności z RODO, m.in.: • jest pierwszym punktem kontaktu dla podmiotów danych i organu nadzorczego • odpowiada za zgłaszanie incydentów naruszenia ochrony danych osobowych • bierze udział w Ocenie Skutków dla Ochrony Danych • Administrator może również zlecić DPO inne zadania do wykonywania, które związane są z ochroną danych osobowych • Pomożemy ocenić konieczność powołania DPO i, jeżeli zajdzie taka potrzeba, zapewnimy wsparcie przy wyborze odpowiedniego kandydata lub podmiotu pełniącego funkcję DPO • Zaproponujemy odpowiednie zdefiniowanie funkcji oraz obowiązków DPO w strukturze organizacyjnej • Zapewnimy pełne wsparcie prawne we wszystkich aspektach związanych z RODO • Opracujemy proces raportowania wypełniania obowiązków DPO do zarządu oraz proces komunikacji DPO z Organem Nadzorczym oraz z podmiotami danych. Przygotujemy odpowiednie szablony i wersje wzorcowe uwzględniając możliwość wystąpienia różnych praktycznych scenariuszy • Wesprzemy DPO w prowadzeniu rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania • Zorganizujemy szkolenie dla DPO i jego zespołu dotyczące poszczególnych aspektów ochrony danych osobowych Wsparcie DPO Art. 37-39 RODO Art. 13-14 RODO Art. 30 RODO Art 33 RODO Art 35-36 RODO Art 47 RODO
PwC | GDPR Readiness 77 8. Prawa podmiotów danych – wsparcie w realizacji Dlaczego to ważne? Jak możemy pomóc? • Każdy podmiot danych, którego dane są przetwarzane w organizacji ma prawo wystąpić do administratora z żądaniem realizacji jego praw wynikających z RODO • Co do zasady, prawa podmiotów danych, muszą być zrealizowane w ciągu miesiąca od otrzymania żądania • Brak realizacji praw podmiotów danych lub opóźnienie w ich realizacji może skutkować nałożeniem kar finansowych oraz roszczeniami podmiotów danych • Realizacja niektórych praw podmiotów danych wymaga szczególnej ostrożności organizacyjnej, a jej niewłaściwe wykonanie może generować ryzyko przerwania ciągłości działania organizacji Prawa podmiotów danych Art. 13-14 RODO Art. 17 RODO Art. 20 RODO • Opracujemy procedury operacyjne związane z realizacją poszczególnych praw podmiotów danych • Zaproponujemy praktyczne rozwiązania organizacyjne dla ułatwienia kontaktu z podmiotami danych • Pomożemy zaprojektować procesy IT wspierające realizację praw podmiotów danych • Stworzymy wytyczne dla jednostek biznesowych odnośnie realizacji każdego z praw podmiotów • Stworzymy modelowe schematy realizacji praw podmiotów pozwalające na spełnienie żądań podmiotów w czasie wskazanym w RODO • Przygotujemy szablony i wzorce komunikacji z podmiotami danych • Przeprowadzimy weryfikację typu Mystery Client – sprawdzenie jakości wprowadzonych procedur obsługi podmiotów danych • Poprowadzimy postępowania administracyjne i sądowe w związku z naruszeniem praw podmiotów danych
PwC | GDPR Readiness 88 9. Weryfikacja dostawców i zarządzanie ryzykiem stron trzecich • Administrator danych osobowych może korzystać z usług dostawców w zakresie utrzymania i rozwoju systemów informatycznych, wsparcia prawnego itp., co związane jest z koniecznością powierzenia lub udostępnienia przetwarzania danych osobowych do dostawcy • W wielu przypadkach przetwarzanie może odbywać się poza infrastrukturą i fizyczną lokalizacją administratora • Skorzystanie z usług dostawcy nie zwalnia administratora danych osobowych z odpowiedzialności za bezpieczeństwo i zgodność z przepisami RODO • Administrator powinien zapewnić, że współpraca z dostawcą odbywa się w oparciu o odpowiednie standardy bezpieczeństwa i sposoby realizacji świadczonych usług • Proces współpracy powinien być realizowany w oparciu o odpowiednie mechanizmy kontrolne od momentu rozpoczęcia współpracy aż do jej zakończenia Dlaczego to ważne? Jak możemy pomóc? • Opracujemy metody segmentacji i oceny dostawców usług przetwarzania danych osobowych • Przeprowadzimy przegląd systemu ocen dostawców • Zapewnimy wsparcie w opracowaniu procesu audytu dostawcy w oparciu o analizę ryzyka (Vendor Risk Assessment) w obszarze Cyber/Information Security oraz prawnym • Wesprzemy w opracowaniu procesu monitorowania ryzyka związanego z dostawcami (Vendor Risk Management) w obszarze Cyber/Information Security oraz prawnym • Opracujemy procedury oraz kwestionariusze oceny wspierające procesy VRA/VRM • Wykonamy audyty i przeglądy wstępne oraz okresowe dotyczące działalności podmiotów przetwarzających Wsparcie w procesie VRA/VRM Art. 28 RODO Art. 29 RODO Art. 30 RODO Art. 32 - 36 RODO
PwC | GDPR Readiness 9 Dlaczego to ważne? Jak możemy pomóc? • Rozporządzenie wprowadza całkowicie nowy obowiązek, którym jest Ocena Skutków dla Ochrony Danych – brak wypełnienia tego obowiązku lub jego błędna realizacja mogą prowadzić do nałożenia wysokich kar • Utrzymanie zgodności z RODO jest procesem ciągłym. Z tego powodu, należy zapewnić mechanizmy umożliwiające weryfikację wpływu nowych czynności / procesów wdrażanych w organizacji na zgodność z wymogami rozporządzenia • Zgodnie z art. 35 RODO, administrator jest zobowiązany do przeprowadzenia analizy ryzyka naruszenia praw i wolności osób fizycznych jeszcze przed rozpoczęciem przetwarzania dotyczących ich danych osobowych • Prawidłowa analiza wpływu nowych czynności/procesów to efektywniejsza identyfikacja luk oraz lepsze dostosowanie poziomu zgodności z RODO, jeszcze przed wprowadzeniem w życie nowych czynności/procesów • Przeprowadzenie analizy umożliwia identyfikację dodatkowych środków technicznych i organizacyjnych potrzebnych do zapewnienia odpowiedniej ochrony danych osobowych • Opracujemy procedury i metodyki prowadzenia Oceny Skutków dla Ochrony Danych (Data Protection Impact Assessment – DPIA) • Przeprowadzimy Ocenę Skutków dla Ochrony Danych obejmującą: analizę prawną, analizę podatności systemów IT (VA – Vulnerability Assessment) oraz testy penetracyjne dla elementów IT wspierających planowane czynności przetwarzania • Dostarczymy narzędzia wspierające proces Oceny Skutków dla Ochrony Danych • Opracujemy proces i strategię konsultacji z Organem Nadzorczym oraz podmiotami danych w przypadku identyfikacji czynności przetwarzania stwarzającej wysokie ryzyko dla praw i wolności podmiotów danych Wpływ nowych czynności Art 35 RODO Art. 32 RODO Art 36 RODO 9 10. Analiza wpływu nowych czynności / procesów
PwC | GDPR Readiness 10 Dlaczego to ważne? Jak możemy pomóc? • Zgodnie z treścią art. 32 RODO, administrator danych oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne , prawne i organizacyjne odpowiadające zidentyfikowanemu poziomowi ryzyka związanego z przetwarzaniem danych osobowych • Procedury i polityki takie jak: polityka bezpieczeństwa, procedura zgłaszania incydentów itp. stanowią istotny element w systemie zapewniania bezpieczeństwa organizacji, a w rezultacie przyczyniają się do zapewnienia zgodności z przepisami RODO • Szczególnie istotne jest dokonanie aktualizacji procedur dla procesów, w których dochodzi do bezpośredniej styczności z podmiotem danych – np. procedur dotyczących kontaktu z klientem • Przeprowadzimy Ocenę Skutków dla Ochrony Danych, która wesprze w określeniu jakie środki organizacyjne, prawne i techniczne należy wdrożyć w organizacji w celu zapewnienia zgodności z RODO oraz jakie zapisy powinny zostać umieszczone w poszczególnych dokumentach • Przygotujemy bądź przeanalizujemy obecnie funkcjonujące polityki/procedury i inne dokumenty pod kątem zasadności aktualizacji w celu dostosowania do przepisów RODO • Przeprowadzimy aktualizację polityk bezpieczeństwa • Przeprowadzimy aktualizację procesów i procedur zarządzania bezpieczeństwem • Przeprowadzimy aktualizację umów / aneksów do umów • Przeprowadzimy aktualizację klauzul informacyjnych • Przeprowadzimy aktualizację zgód na przetwarzanie danych osobowych Aktualizacja dokumentów Art. 32 RODO 10 11. Aktualizacja dokumentów/ procedur
PwC | GDPR Readiness 1111 12. Privacy by design dla nowych rozwiązań biznesowych Dlaczego to ważne? Jak możemy pomóc? • Privacy by Design jest podejściem mającym zapewnić uwzględnienie ochrony danych osobowych już w fazie projektowania danego systemu/procesu/inicjatywy • Zgodnie z treścią art. 25 RODO, administrator jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, zarówno na etapie określania sposobów przetwarzania jak i podczas przetwarzania danych osobowych • Ponadto, w ramach Privacy by Design należy zapewnić stosowanie zasady minimalizacji danych oraz domyślnego przetwarzania wyłącznie danych niezbędnych do realizacji konkretnego celu (Privacy by Default) • Prawidłowe wdrożenie podejścia Privacy by Design umożliwia łatwiejsze wykazanie zgodności z wymaganiami RODO w innych obszarach • Opracujemy metodykę Privacy by Design obejmującą sposób realizacji Privacy by Design oraz zasady uruchamiania procesu • Przeprowadzimy Ocenę Skutków dla Ochrony Danych (Data Protection Impact Assessment – DPIA) obejmującą: analizę prawną, analizę podatności systemów IT (VA – Vulnerability Assessment) oraz testy penetracyjne dla elementów IT wspierających planowane czynności przetwarzania • Przeanalizujemy czynności przetwarzania i dostosujemy je pod kątem realizacji podejścia Privacy by Design oraz Privacy by Default • Opracujemy i wdrożymy Security/Privacy by Design do Systems Development Life Cycle (SDLC) • Przeprowadzimy analizę kodu źródłowego rozwijanych aplikacji pod kątem bezpieczeństwa • Opracujemy standardy i dobre praktyki programistyczne Privacy by Design Art. 25 RODO Art. 24 RODO Art. 28 RODO Art 32 RODO Art 34 RODO
PwC | GDPR Readiness 1212 13. Zarządzanie cyklem życia danych (Data Lifecycle Management) Dlaczego to ważne? Jak możemy pomóc? • Administrator powinien mieć, na każdym etapie procesów biznesowych, kontrolę nad przetwarzanymi danymi • Na podstawie art. 5 RODO dane muszą być zbierane zgodnie z prawem, adekwatnie do celów przetwarzania, aktualizowane, przechowywane w bezpieczny sposób oraz usuwane po zakończeniu okresu retencji • Zgodnie z art. 6 RODO dane mogą być przetwarzane wyłącznie na podstawie jednej z sześciu przesłanek • Dane powinny być usunięte lub zanonimizowane po upływie określonego dla nich okresu retencji • Polityka retencji danych jest dokumentem niezbędnym dla prawidłowego funkcjonowania każdej organizacji • Nasza metodologia zakłada stosowanie tabeli retencji jako załącznika do polityki retencji danych Cykl życia danych Art. 6 RODO Art. 25 RODO Art. 16 RODO • Opracujemy i pomożemy wdrożyć model zarządzania danymi osobowymi na każdym etapie ich przetwarzania • Stworzymy klauzule zgód i obowiązków informacyjnych na etapie zbierania danych • Opracujemy standardowe klauzule umowne do umów powierzenia i zakupu baz danych • Opracujemy i wdrożymy zasady retencji danych (polityka retencji danych, tabela retencji, mechanizmy IT służące zapewnieniu retencji itp.) • Opracujemy i pomożemy wdrożyć mechanizmy poprawiania jakości danych i ich usuwania lub anonimizacji • Stworzymy wymagania odnośnie bezpiecznego przechowywania danych (dane w spoczynku) oraz transferu danych (dane w ruchu)
PwC | GDPR Readiness 13 Dlaczego to ważne? Jak możemy pomóc? • Zgodnie z art. 32 RODO, administrator danych oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne odpowiadające zidentyfikowanemu poziomowi ryzyka związanego z przetwarzaniem danych osobowych • Rozwiązania techniczne mogą wspierać proces zapewnienia zgodności z RODO poprzez funkcjonalność monitorowania ryzyka, zgodności, bezpieczeństwa i audyty wewnętrzne • Ponadto, rozwiązania techniczne mogą wspierać inne istotne procesy związane z zapewnianiem zgodności z RODO, takie jak utrzymanie rejestru czynności przetwarzania czy wsparcie procesu analizy DPIA • Proponujemy dwa rozwiązania, które są odpowiedzią na Państwa potrzeby: • Autorskie rozwiązanie klasy GRC – Governance, Risk management, and Compliance (enforce) integrujące funkcjonalność sprawnego zarządzania ryzykiem, zarządzania zgodnością z przepisami, zarządzania audytem wewnętrznym. Dzięki integracji trzech obszarów w jednym narzędziu, możliwe jest efektywne zarządzanie i przejrzyste raportowanie • Autorskie rozwiązanie wspierające wykazanie zgodności z RODO (PwC RODO Compliance Tool) umożliwiające utrzymanie Rejestru Czynności Przetwarzania, przeprowadzenie analizy DPIA (wraz z oceną wstępną) oraz łatwe i automatyczne raportowanie i prezentacja najważniejszych informacji w formie dashboard’u Wdrożenia rozwiązań klasy GRC Art. 32 RODO 13 14. Wdrożenie rozwiązania klasy GRC Art. 35 - 36 RODO Art. 32 - 34 RODO
PwC | GDPR Readiness 14 Dlaczego to ważne? Jak możemy pomóc? • Zgodnie z art. 32 RODO, administrator oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne odpowiadające zidentyfikowanemu poziomowi ryzyka związanego z przetwarzaniem danych osobowych • Rozwiązania techniczne takie jak systemy DLP, IDM, IDS/IPS, SIEM, PIM/PAM, DAM, itp. stanowią istotny element w systemie zapewniania bezpieczeństwa organizacji, w rezultacie przyczyniając się do zapewnienia zgodności z przepisami RODO • Szczególnie istotne jest dokonanie przeglądu konfiguracji obecnie wykorzystywanych w organizacji systemów pod kątem poprawności działania i skuteczności wykrywania potencjalnych zagrożeń • Dostosujemy reguły, polityki, korelacje oraz konfiguracje istniejących systemów zgodnie z najlepszymi praktykami • Wdrożymy nowe reguły, polityki, korelacje oraz konfiguracje w istniejących systemach bezpieczeństwa • Wdrożymy nowe systemy bezpieczeństwa w celu uzupełnienia istniejącego systemu bezpieczeństwa organizacji (DLP, IDM, SIEM, PIM/PAM, DAM) Konfiguracja rozwiązań bezpieczeństwa Art. 32 RODO 14 15. Rekonfiguracja / doskonalenie istniejących rozwiązań bezpieczeństwa IT
PwC | GDPR Readiness 15 Dlaczego to ważne? Jak możemy pomóc? • Zgodnie z art. 32 RODO, administrator oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne odpowiadające zidentyfikowanemu poziomowi ryzyka związanego z przetwarzaniem danych osobowych • Rozwiązania techniczne takie jak systemy DLP, IDS/IPS, SIEM, PIM/PAM, DAM, itp. stanowią istotny element w systemie zapewniania bezpieczeństwa organizacji, a co za tym idzie – przyczyniają się do zapewnienia zgodności z przepisami RODO • Istotne jest, aby informację o zasadności wdrożenia wybranych rozwiązań przekazać kierownictwu organizacji w sposób pozwalający na porównanie korzyści z wdrożenia (ewentualnych strat wynikających z materializacji ryzyk, które są mitygowane przez wdrożony system i automatyzacji procesów bezpieczeństwa) oraz kosztów wdrożenia • Przeprowadzimy analizę dojrzałości obecnie wykorzystywanej w organizacji architektury bezpieczeństwa • Przeprowadzimy testy penetracyjne • Przeprowadzimy kontrolowany atak zakładający „wiedzę zerową” – STRIKE, obejmujący zarówno próby przełamania zabezpieczeń fizycznych, jak i próbę uzyskania dostępu do systemów informatycznych organizacji • Na podstawie wyników powyższych działań, przeprowadzimy analizę zasadności wdrożenia rozwiązania IT, tzn. ryzyko braku wdrożenia w porównaniu z kosztem wdrożenia • Opracujemy inicjatywy mające na celu uwzględnienie wyników analizy wraz ze wskazaniem priorytetów Wdrożenia rozwiązań bezpieczeństwa Art. 32 RODO 15 16. Analiza zasadności wdrożenia nowych rozwiązań bezpieczeństwa IT
PwC | GDPR Readiness 1616 17. Budowanie świadomości pracowników o ochronie danych osobowych Dlaczego to ważne? Jak możemy pomóc? • Stałe i podnoszenie świadomości pracowników w zakresie ochrony danych osobowych powoduje, że działania związane z ochroną danych osobowych realizowane są szybciej i efektywniej • Podnoszenie świadomości pracowników zmniejsza ryzyko naruszeń bezpieczeństwa oraz pozwala uniknąć kar finansowych • Kampanie podnoszące świadomość pozwalają wskazać pracownikom typowe metody działania przestępców – pozwala to uszczelnić system bezpieczeństwa informacyjnego Szkolenie pracowników Art. 25 RODO Art. 32 RODO Art. 39 RODO • Opracujemy i wdrożymy program podnoszenia świadomości bezpieczeństwa informacji • Opracujemy materiały szkoleniowe i przeprowadzimy szkolenia • Zakres i poruszane tematy będą dostosowane indywidualnie do organizacji oraz grupy docelowej – proponujemy szkolenia „szyte na miarę”, dopasowane do specyfiki organizacji • Stworzymy materiały informacyjne przydatne w bieżącej pracy • Opracujemy i przeprowadzimy szkolenia e-learningowe • Opracujemy i przeprowadzimy kampanie szkoleniowe symulujące w bezpieczny sposób ataki przestępców (ataki socjotechniczne, podszywanie się w korespondencji elektronicznej itd.) • Przeprowadzimy weryfikację typu Mystery Client – sprawdzenie jakości wprowadzonych procedur obsługi podmiotów danych oraz reakcji na naruszenia ochrony danych osobowych
PwC | GDPR Readiness 1717 18. Asysta przy kontroli Organu Nadzorczego Dlaczego to ważne? Jak możemy pomóc? • Przepisy RODO oraz liczne niejasności interpretacyjne powodują poczucie niepewności w obliczu nadchodzącej kontroli Organu Nadzorczego • Organizacje, które podlegają inspekcji Organu Nadzorczego mają obowiązek czynnej współpracy z kontrolerem i podejmowania inicjatywy podczas kontroli • Przygotowanie organizacji do kontroli skraca czas czynności kontrolnych i minimalizuje ryzyko wykrycia niezgodności • Czynności, działania i żądania kontrolerów wymagają precyzyjnego rozumienia wymogów RODO • Pierwsza wizyta reprezentantów Organu Nadzorczego jest zazwyczaj początkiem procesu kontroli zgodności organizacji z prawem ochrony danych osobowych Asysta przy kontroli organu nadzorczego Art. 57 RODO Art. 58 RODO • Przygotujemy organizację do wizyty kontrolerów • Zapewnimy wsparcie i doradztwo w trakcie kontroli • Pomożemy ustosunkować się do raportu pokontrolnego • Zapewnimy wsparcie w minimalizacji skutków kontroli • W razie potrzeby, wdrożymy odpowiednia środki organizacyjne i techniczne w celu zabezpieczenia tych aspektów ochrony danych, które tego wymagają • Pomożemy w podjęciu odpowiednich działań mających na celu minimalizację ryzyka wystąpienia negatywnych konsekwencji przyszłych kontroli Art. 6 ust. 2 RODO
29/08/18 Kontakt Michał Mastalerz Partner odpowiedzialny za portfolio usług RODO Michal.Mastalerz@pwc.com Gerard Karp Partner, PwC Legal Gerard.Karp@pwc.com Marcin Makusak Partner, Risk Assurance Marcin.Makusak@pwc.com Arwid Mednis Partner, PwC Legal Arwid.Mednis@pwc.com © 2018 PricewaterhouseCoopers Sp. z o.o. Wszelkie prawa zastrzeżone. PwC może odnosić się zarówno do spółki członkowskiej w Polsce jak również do sieci PwC. Każda ze spółek stanowi odrębny i niezależny podmiot prawny. Niniejsza treść ma charakter ogólny i nie powinna być używana jako odpowiednik konsultacji z profesjonalnymi doradcami. W PwC naszym celem jest budowanie zaufania wśród społeczeństwa i odpowiadanie na kluczowe wyzwania współczesnego świata. Jesteśmy siecią firm działającą w 158 krajach. Zatrudniamy ponad 236 tysięcy osób, dostarczających naszym klientom najwyższą jakość usług w zakresie audytu, doradztwa biznesowego oraz doradztwa podatkowego i prawnego. Dowiedz się więcej na www.pwc.pl

Recommended

Usługi RODO PwC | Wdrożenie RODO
Usługi RODO PwC | Wdrożenie RODOUsługi RODO PwC | Wdrożenie RODO
Usługi RODO PwC | Wdrożenie RODOPwC Polska
 
Usługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaUsługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaPwC Polska
 
Cała prawda o RODO w praktyce
Cała prawda o RODO w praktyceCała prawda o RODO w praktyce
Cała prawda o RODO w praktycePwC Polska
 
GDPR. Co powinieneś wiedzieć o ogólnym rozporządzeniu o danych osobowych?
GDPR. Co powinieneś wiedzieć o ogólnym rozporządzeniu o danych osobowych?GDPR. Co powinieneś wiedzieć o ogólnym rozporządzeniu o danych osobowych?
GDPR. Co powinieneś wiedzieć o ogólnym rozporządzeniu o danych osobowych?CIONET Polska
 
Wdrozenie rodo krok po kroku
Wdrozenie rodo krok po krokuWdrozenie rodo krok po kroku
Wdrozenie rodo krok po krokuPwC Polska
 
DPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIADPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIAPwC Polska
 
Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...
Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...
Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...ViDiS SA
 
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychNaruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychPwC Polska
 

Recommended

Usługi RODO PwC | Wdrożenie RODO
Usługi RODO PwC | Wdrożenie RODOUsługi RODO PwC | Wdrożenie RODO
Usługi RODO PwC | Wdrożenie RODOPwC Polska
 
Usługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaUsługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaPwC Polska
 
Cała prawda o RODO w praktyce
Cała prawda o RODO w praktyceCała prawda o RODO w praktyce
Cała prawda o RODO w praktycePwC Polska
 
GDPR. Co powinieneś wiedzieć o ogólnym rozporządzeniu o danych osobowych?
GDPR. Co powinieneś wiedzieć o ogólnym rozporządzeniu o danych osobowych?GDPR. Co powinieneś wiedzieć o ogólnym rozporządzeniu o danych osobowych?
GDPR. Co powinieneś wiedzieć o ogólnym rozporządzeniu o danych osobowych?CIONET Polska
 
Wdrozenie rodo krok po kroku
Wdrozenie rodo krok po krokuWdrozenie rodo krok po kroku
Wdrozenie rodo krok po krokuPwC Polska
 
DPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIADPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIAPwC Polska
 
Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...
Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...
Dlaczego polityka w zakresie bezpieczenstwa dokumentow jest integralnym warun...ViDiS SA
 
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychNaruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychPwC Polska
 
Narzędziownik Compliance Officera
Narzędziownik Compliance OfficeraNarzędziownik Compliance Officera
Narzędziownik Compliance OfficeraPwC Polska
 
Rodo: 5 wyzwań dla audytu wewnętrznego
Rodo: 5 wyzwań dla audytu wewnętrznegoRodo: 5 wyzwań dla audytu wewnętrznego
Rodo: 5 wyzwań dla audytu wewnętrznegoPwC Polska
 
Praktyczne aspekty wdrożenia RODO
Praktyczne aspekty wdrożenia RODOPraktyczne aspekty wdrożenia RODO
Praktyczne aspekty wdrożenia RODOPwC Polska
 
Jak RODO wpłynie na działania sprzedażowe webinarium
Jak RODO wpłynie na działania sprzedażowe webinariumJak RODO wpłynie na działania sprzedażowe webinarium
Jak RODO wpłynie na działania sprzedażowe webinariumLivespace
 
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte Deloitte Polska
 
DPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIADPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIAPwC Polska
 
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacjiZarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacjiPawel Wawrzyniak
 
RODO - Podwykonawcy Maciej Gawroński 180408
RODO - Podwykonawcy Maciej Gawroński 180408RODO - Podwykonawcy Maciej Gawroński 180408
RODO - Podwykonawcy Maciej Gawroński 180408Maciej Gawronski
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)ngopl
 
Webinarium Obowiązki członków Rad Nadzorczych w związku z nowymi regulacjami ...
Webinarium Obowiązki członków Rad Nadzorczych w związku z nowymi regulacjami ...Webinarium Obowiązki członków Rad Nadzorczych w związku z nowymi regulacjami ...
Webinarium Obowiązki członków Rad Nadzorczych w związku z nowymi regulacjami ...PwC Polska
 
Webinarium: Jak skutecznie zorganizować compliance i audyt wewnętrzny w firmie
Webinarium: Jak skutecznie zorganizować compliance i audyt wewnętrzny w firmieWebinarium: Jak skutecznie zorganizować compliance i audyt wewnętrzny w firmie
Webinarium: Jak skutecznie zorganizować compliance i audyt wewnętrzny w firmiePwC Polska
 
Webinarium Paperless 02.03.2021
Webinarium Paperless 02.03.2021Webinarium Paperless 02.03.2021
Webinarium Paperless 02.03.2021PwC Polska
 
Droga Rozwoju Digitalnego
Droga Rozwoju Digitalnego Droga Rozwoju Digitalnego
Droga Rozwoju Digitalnego Piotr Wiśniewski
 
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)PwC Polska
 
Prawo i biznes 2017 - Zmiany. Trendy. Wyzwania. Wierzbowski Eversheds Sutherland
Prawo i biznes 2017 - Zmiany. Trendy. Wyzwania. Wierzbowski Eversheds SutherlandPrawo i biznes 2017 - Zmiany. Trendy. Wyzwania. Wierzbowski Eversheds Sutherland
Prawo i biznes 2017 - Zmiany. Trendy. Wyzwania. Wierzbowski Eversheds SutherlandEversheds Sutherland Wierzbowski
 
Tester.pl - Numer 10
Tester.pl - Numer 10Tester.pl - Numer 10
Tester.pl - Numer 10Stowarzyszenie Jakości Systemów Informatycznych (SJSI)
 
IT Breakafst for FIN 28 sierpnia 2014, Warszawa, Pałac Sobańskich
IT Breakafst for FIN 28 sierpnia 2014, Warszawa, Pałac SobańskichIT Breakafst for FIN 28 sierpnia 2014, Warszawa, Pałac Sobańskich
IT Breakafst for FIN 28 sierpnia 2014, Warszawa, Pałac SobańskichFoundation IT Leader Club Poland
 
Zmiany w przepisach o ochronie danych osobowych
Zmiany w przepisach o ochronie danych osobowychZmiany w przepisach o ochronie danych osobowych
Zmiany w przepisach o ochronie danych osobowychGrant Thornton
 
Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13magda3695
 
Jak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjne
Jak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjneJak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjne
Jak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjnePwC Polska
 
Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023
Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023
Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023PwC Polska
 

More Related Content

Similar to Usługi RODO PwC | Utrzymanie zgodności z RODO

Narzędziownik Compliance Officera
Narzędziownik Compliance OfficeraNarzędziownik Compliance Officera
Narzędziownik Compliance OfficeraPwC Polska
 
Rodo: 5 wyzwań dla audytu wewnętrznego
Rodo: 5 wyzwań dla audytu wewnętrznegoRodo: 5 wyzwań dla audytu wewnętrznego
Rodo: 5 wyzwań dla audytu wewnętrznegoPwC Polska
 
Praktyczne aspekty wdrożenia RODO
Praktyczne aspekty wdrożenia RODOPraktyczne aspekty wdrożenia RODO
Praktyczne aspekty wdrożenia RODOPwC Polska
 
Jak RODO wpłynie na działania sprzedażowe webinarium
Jak RODO wpłynie na działania sprzedażowe webinariumJak RODO wpłynie na działania sprzedażowe webinarium
Jak RODO wpłynie na działania sprzedażowe webinariumLivespace
 
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte Deloitte Polska
 
DPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIADPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIAPwC Polska
 
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacjiZarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacjiPawel Wawrzyniak
 
RODO - Podwykonawcy Maciej Gawroński 180408
RODO - Podwykonawcy Maciej Gawroński 180408RODO - Podwykonawcy Maciej Gawroński 180408
RODO - Podwykonawcy Maciej Gawroński 180408Maciej Gawronski
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)ngopl
 
Webinarium Obowiązki członków Rad Nadzorczych w związku z nowymi regulacjami ...
Webinarium Obowiązki członków Rad Nadzorczych w związku z nowymi regulacjami ...Webinarium Obowiązki członków Rad Nadzorczych w związku z nowymi regulacjami ...
Webinarium Obowiązki członków Rad Nadzorczych w związku z nowymi regulacjami ...PwC Polska
 
Webinarium: Jak skutecznie zorganizować compliance i audyt wewnętrzny w firmie
Webinarium: Jak skutecznie zorganizować compliance i audyt wewnętrzny w firmieWebinarium: Jak skutecznie zorganizować compliance i audyt wewnętrzny w firmie
Webinarium: Jak skutecznie zorganizować compliance i audyt wewnętrzny w firmiePwC Polska
 
Webinarium Paperless 02.03.2021
Webinarium Paperless 02.03.2021Webinarium Paperless 02.03.2021
Webinarium Paperless 02.03.2021PwC Polska
 
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)PwC Polska
 
Prawo i biznes 2017 - Zmiany. Trendy. Wyzwania. Wierzbowski Eversheds Sutherland
Prawo i biznes 2017 - Zmiany. Trendy. Wyzwania. Wierzbowski Eversheds SutherlandPrawo i biznes 2017 - Zmiany. Trendy. Wyzwania. Wierzbowski Eversheds Sutherland
Prawo i biznes 2017 - Zmiany. Trendy. Wyzwania. Wierzbowski Eversheds SutherlandEversheds Sutherland Wierzbowski
 
IT Breakafst for FIN 28 sierpnia 2014, Warszawa, Pałac Sobańskich
IT Breakafst for FIN 28 sierpnia 2014, Warszawa, Pałac SobańskichIT Breakafst for FIN 28 sierpnia 2014, Warszawa, Pałac Sobańskich
IT Breakafst for FIN 28 sierpnia 2014, Warszawa, Pałac SobańskichFoundation IT Leader Club Poland
 
Zmiany w przepisach o ochronie danych osobowych
Zmiany w przepisach o ochronie danych osobowychZmiany w przepisach o ochronie danych osobowych
Zmiany w przepisach o ochronie danych osobowychGrant Thornton
 
Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13magda3695
 

Similar to Usługi RODO PwC | Utrzymanie zgodności z RODO (20)

Narzędziownik Compliance Officera
Narzędziownik Compliance OfficeraNarzędziownik Compliance Officera
Narzędziownik Compliance Officera
 
Rodo: 5 wyzwań dla audytu wewnętrznego
Rodo: 5 wyzwań dla audytu wewnętrznegoRodo: 5 wyzwań dla audytu wewnętrznego
Rodo: 5 wyzwań dla audytu wewnętrznego
 
Praktyczne aspekty wdrożenia RODO
Praktyczne aspekty wdrożenia RODOPraktyczne aspekty wdrożenia RODO
Praktyczne aspekty wdrożenia RODO
 
Jak RODO wpłynie na działania sprzedażowe webinarium
Jak RODO wpłynie na działania sprzedażowe webinariumJak RODO wpłynie na działania sprzedażowe webinarium
Jak RODO wpłynie na działania sprzedażowe webinarium
 
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
 
DPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIADPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIA
 
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacjiZarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji
 
RODO - Podwykonawcy Maciej Gawroński 180408
RODO - Podwykonawcy Maciej Gawroński 180408RODO - Podwykonawcy Maciej Gawroński 180408
RODO - Podwykonawcy Maciej Gawroński 180408
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
 
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)
Webinarium SCWO 2018: Jak stworzyć politykę danych osobowych(PDO)
 
Webinarium Obowiązki członków Rad Nadzorczych w związku z nowymi regulacjami ...
Webinarium Obowiązki członków Rad Nadzorczych w związku z nowymi regulacjami ...Webinarium Obowiązki członków Rad Nadzorczych w związku z nowymi regulacjami ...
Webinarium Obowiązki członków Rad Nadzorczych w związku z nowymi regulacjami ...
 
Webinarium: Jak skutecznie zorganizować compliance i audyt wewnętrzny w firmie
Webinarium: Jak skutecznie zorganizować compliance i audyt wewnętrzny w firmieWebinarium: Jak skutecznie zorganizować compliance i audyt wewnętrzny w firmie
Webinarium: Jak skutecznie zorganizować compliance i audyt wewnętrzny w firmie
 
Webinarium Paperless 02.03.2021
Webinarium Paperless 02.03.2021Webinarium Paperless 02.03.2021
Webinarium Paperless 02.03.2021
 
Droga Rozwoju Digitalnego
Droga Rozwoju Digitalnego Droga Rozwoju Digitalnego
Droga Rozwoju Digitalnego
 
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
 
Prawo i biznes 2017 - Zmiany. Trendy. Wyzwania. Wierzbowski Eversheds Sutherland
Prawo i biznes 2017 - Zmiany. Trendy. Wyzwania. Wierzbowski Eversheds SutherlandPrawo i biznes 2017 - Zmiany. Trendy. Wyzwania. Wierzbowski Eversheds Sutherland
Prawo i biznes 2017 - Zmiany. Trendy. Wyzwania. Wierzbowski Eversheds Sutherland
 
Tester.pl - Numer 10
Tester.pl - Numer 10Tester.pl - Numer 10
Tester.pl - Numer 10
 
IT Breakafst for FIN 28 sierpnia 2014, Warszawa, Pałac Sobańskich
IT Breakafst for FIN 28 sierpnia 2014, Warszawa, Pałac SobańskichIT Breakafst for FIN 28 sierpnia 2014, Warszawa, Pałac Sobańskich
IT Breakafst for FIN 28 sierpnia 2014, Warszawa, Pałac Sobańskich
 
Zmiany w przepisach o ochronie danych osobowych
Zmiany w przepisach o ochronie danych osobowychZmiany w przepisach o ochronie danych osobowych
Zmiany w przepisach o ochronie danych osobowych
 
Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13
 

More from PwC Polska

Jak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjne
Jak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjneJak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjne
Jak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjnePwC Polska
 
Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023
Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023
Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023PwC Polska
 
Jak zyskać na Polskim Ładzie? Praktyczne aspekty ulg podatkowych obowiązujący...
Jak zyskać na Polskim Ładzie? Praktyczne aspekty ulg podatkowych obowiązujący...Jak zyskać na Polskim Ładzie? Praktyczne aspekty ulg podatkowych obowiązujący...
Jak zyskać na Polskim Ładzie? Praktyczne aspekty ulg podatkowych obowiązujący...PwC Polska
 
Webinar important tax changes in poland from 2022 the polish deal (7.12)
Webinar important tax changes in poland from 2022 the polish deal (7.12)Webinar important tax changes in poland from 2022 the polish deal (7.12)
Webinar important tax changes in poland from 2022 the polish deal (7.12)PwC Polska
 
Webinarium 3 istotne wyzwania pracownicze 15-11-2021 | PwC
Webinarium 3 istotne wyzwania pracownicze 15-11-2021 | PwCWebinarium 3 istotne wyzwania pracownicze 15-11-2021 | PwC
Webinarium 3 istotne wyzwania pracownicze 15-11-2021 | PwCPwC Polska
 
Konferencja hybrydowa Polski Ład, dzień 1 (11.10.2021)
Konferencja hybrydowa Polski Ład, dzień 1 (11.10.2021) Konferencja hybrydowa Polski Ład, dzień 1 (11.10.2021)
Konferencja hybrydowa Polski Ład, dzień 1 (11.10.2021) PwC Polska
 
Konferencja hybrydowa Polski Ład, dzień 2.(12.10.2021)
Konferencja hybrydowa Polski Ład, dzień 2.(12.10.2021)Konferencja hybrydowa Polski Ład, dzień 2.(12.10.2021)
Konferencja hybrydowa Polski Ład, dzień 2.(12.10.2021)PwC Polska
 
07.10.2021 Prezentacja o strefach praktycznie
07.10.2021 Prezentacja o strefach praktycznie07.10.2021 Prezentacja o strefach praktycznie
07.10.2021 Prezentacja o strefach praktyczniePwC Polska
 
Raportowanie ESEF. Pierwsze doświadczenia praktyczne spółek w Polsce
Raportowanie ESEF. Pierwsze doświadczenia praktyczne spółek w PolsceRaportowanie ESEF. Pierwsze doświadczenia praktyczne spółek w Polsce
Raportowanie ESEF. Pierwsze doświadczenia praktyczne spółek w PolscePwC Polska
 
Podsumowanie konferencji FRN na temat DPSN 2021 z 16.06.2021
Podsumowanie konferencji FRN na temat DPSN 2021 z 16.06.2021Podsumowanie konferencji FRN na temat DPSN 2021 z 16.06.2021
Podsumowanie konferencji FRN na temat DPSN 2021 z 16.06.2021PwC Polska
 
Webinar praca-zdalna-30.06.21
Webinar praca-zdalna-30.06.21Webinar praca-zdalna-30.06.21
Webinar praca-zdalna-30.06.21PwC Polska
 
Nowe obowiązki i opłaty środowiskowe 17.06.2021
Nowe obowiązki i opłaty środowiskowe 17.06.2021Nowe obowiązki i opłaty środowiskowe 17.06.2021
Nowe obowiązki i opłaty środowiskowe 17.06.2021PwC Polska
 
Co dalej z pakietem VAT e-commerce? Case studies i status legislacyjny
Co dalej z pakietem VAT e-commerce? Case studies i status legislacyjnyCo dalej z pakietem VAT e-commerce? Case studies i status legislacyjny
Co dalej z pakietem VAT e-commerce? Case studies i status legislacyjnyPwC Polska
 
Automatyzacja raportowania-podatkowego-finansowego
Automatyzacja raportowania-podatkowego-finansowegoAutomatyzacja raportowania-podatkowego-finansowego
Automatyzacja raportowania-podatkowego-finansowegoPwC Polska
 
Wyniki badania build the future 2020
Wyniki badania build the future 2020Wyniki badania build the future 2020
Wyniki badania build the future 2020PwC Polska
 
Webinarium e faktury prezentacja
Webinarium e faktury prezentacjaWebinarium e faktury prezentacja
Webinarium e faktury prezentacjaPwC Polska
 
Restrukturyzacja i upadłość w ramach grupy kapitałowej
Restrukturyzacja i upadłość w ramach grupy kapitałowejRestrukturyzacja i upadłość w ramach grupy kapitałowej
Restrukturyzacja i upadłość w ramach grupy kapitałowejPwC Polska
 
Webinarium E-Commerce Vat package 03.03.21
Webinarium E-Commerce Vat package 03.03.21Webinarium E-Commerce Vat package 03.03.21
Webinarium E-Commerce Vat package 03.03.21PwC Polska
 
Webinarium podatek handlowy - Slim vat 11.02
Webinarium podatek handlowy - Slim vat 11.02Webinarium podatek handlowy - Slim vat 11.02
Webinarium podatek handlowy - Slim vat 11.02PwC Polska
 
Analiza rynku ecommerce w Polsce 2021-2026
Analiza rynku ecommerce w Polsce 2021-2026Analiza rynku ecommerce w Polsce 2021-2026
Analiza rynku ecommerce w Polsce 2021-2026PwC Polska
 

More from PwC Polska (20)

Jak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjne
Jak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjneJak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjne
Jak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjne
 
Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023
Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023
Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023
 
Jak zyskać na Polskim Ładzie? Praktyczne aspekty ulg podatkowych obowiązujący...
Jak zyskać na Polskim Ładzie? Praktyczne aspekty ulg podatkowych obowiązujący...Jak zyskać na Polskim Ładzie? Praktyczne aspekty ulg podatkowych obowiązujący...
Jak zyskać na Polskim Ładzie? Praktyczne aspekty ulg podatkowych obowiązujący...
 
Webinar important tax changes in poland from 2022 the polish deal (7.12)
Webinar important tax changes in poland from 2022 the polish deal (7.12)Webinar important tax changes in poland from 2022 the polish deal (7.12)
Webinar important tax changes in poland from 2022 the polish deal (7.12)
 
Webinarium 3 istotne wyzwania pracownicze 15-11-2021 | PwC
Webinarium 3 istotne wyzwania pracownicze 15-11-2021 | PwCWebinarium 3 istotne wyzwania pracownicze 15-11-2021 | PwC
Webinarium 3 istotne wyzwania pracownicze 15-11-2021 | PwC
 
Konferencja hybrydowa Polski Ład, dzień 1 (11.10.2021)
Konferencja hybrydowa Polski Ład, dzień 1 (11.10.2021) Konferencja hybrydowa Polski Ład, dzień 1 (11.10.2021)
Konferencja hybrydowa Polski Ład, dzień 1 (11.10.2021)
 
Konferencja hybrydowa Polski Ład, dzień 2.(12.10.2021)
Konferencja hybrydowa Polski Ład, dzień 2.(12.10.2021)Konferencja hybrydowa Polski Ład, dzień 2.(12.10.2021)
Konferencja hybrydowa Polski Ład, dzień 2.(12.10.2021)
 
07.10.2021 Prezentacja o strefach praktycznie
07.10.2021 Prezentacja o strefach praktycznie07.10.2021 Prezentacja o strefach praktycznie
07.10.2021 Prezentacja o strefach praktycznie
 
Raportowanie ESEF. Pierwsze doświadczenia praktyczne spółek w Polsce
Raportowanie ESEF. Pierwsze doświadczenia praktyczne spółek w PolsceRaportowanie ESEF. Pierwsze doświadczenia praktyczne spółek w Polsce
Raportowanie ESEF. Pierwsze doświadczenia praktyczne spółek w Polsce
 
Podsumowanie konferencji FRN na temat DPSN 2021 z 16.06.2021
Podsumowanie konferencji FRN na temat DPSN 2021 z 16.06.2021Podsumowanie konferencji FRN na temat DPSN 2021 z 16.06.2021
Podsumowanie konferencji FRN na temat DPSN 2021 z 16.06.2021
 
Webinar praca-zdalna-30.06.21
Webinar praca-zdalna-30.06.21Webinar praca-zdalna-30.06.21
Webinar praca-zdalna-30.06.21
 
Nowe obowiązki i opłaty środowiskowe 17.06.2021
Nowe obowiązki i opłaty środowiskowe 17.06.2021Nowe obowiązki i opłaty środowiskowe 17.06.2021
Nowe obowiązki i opłaty środowiskowe 17.06.2021
 
Co dalej z pakietem VAT e-commerce? Case studies i status legislacyjny
Co dalej z pakietem VAT e-commerce? Case studies i status legislacyjnyCo dalej z pakietem VAT e-commerce? Case studies i status legislacyjny
Co dalej z pakietem VAT e-commerce? Case studies i status legislacyjny
 
Automatyzacja raportowania-podatkowego-finansowego
Automatyzacja raportowania-podatkowego-finansowegoAutomatyzacja raportowania-podatkowego-finansowego
Automatyzacja raportowania-podatkowego-finansowego
 
Wyniki badania build the future 2020
Wyniki badania build the future 2020Wyniki badania build the future 2020
Wyniki badania build the future 2020
 
Webinarium e faktury prezentacja
Webinarium e faktury prezentacjaWebinarium e faktury prezentacja
Webinarium e faktury prezentacja
 
Restrukturyzacja i upadłość w ramach grupy kapitałowej
Restrukturyzacja i upadłość w ramach grupy kapitałowejRestrukturyzacja i upadłość w ramach grupy kapitałowej
Restrukturyzacja i upadłość w ramach grupy kapitałowej
 
Webinarium E-Commerce Vat package 03.03.21
Webinarium E-Commerce Vat package 03.03.21Webinarium E-Commerce Vat package 03.03.21
Webinarium E-Commerce Vat package 03.03.21
 
Webinarium podatek handlowy - Slim vat 11.02
Webinarium podatek handlowy - Slim vat 11.02Webinarium podatek handlowy - Slim vat 11.02
Webinarium podatek handlowy - Slim vat 11.02
 
Analiza rynku ecommerce w Polsce 2021-2026
Analiza rynku ecommerce w Polsce 2021-2026Analiza rynku ecommerce w Polsce 2021-2026
Analiza rynku ecommerce w Polsce 2021-2026
 

Usługi RODO PwC | Utrzymanie zgodności z RODO

  • 1. pwc.pl/rodo Usługi RODO wdrożenie | utrzymanie zgodności | incydenty bezpieczeństwa
  • 2. Utrzymanie zgodności zgodności 4. Stały system kontroli wewnętrznej w zakresie RODO 5. Radar ryzyka („Risk Radar”) dla Zarządu 6. Cykliczne audyty 7. Wsparcie DPO 8. Wsparcie przy realizacji praw podmiotów danych 9. Weryfikacja dostawców i zarządzanie ryzykiem stron trzecich 10. Analiza wpływu nowych czynności / procesów 11. Aktualizacja dokumentów / procedur 12. Privacy by design dla nowych rozwiązań biznesowych 13. Zarządzanie cyklem życia danych (Data Lifecycle Management) 15. Rekonfiguracja / doskonalenie istniejących rozwiązań bezpieczeństwa IT 16. Analizy zasadności wdrożenia nowych rozwiązań bezpieczeństwa IT 17. Budowanie świadomości – szkolenia 18. Asysta podczas kontroli Organu Nadzorczego PwC | GDPR Readiness
  • 3. PwC | GDPR Readiness 3 Dlaczego to ważne? Jak możemy pomóc? • Jedną z kluczowych zasad wprowadzanych przez RODO jest zapewnienie rozliczalności. Administratorzy będą już nie tylko odpowiedzialni za przestrzeganie przepisów, ale w razie kontroli będą także musieli ich przestrzeganie udowodnić. • Zasadę rozliczalności można realizować za pomocą różnorodnych instrumentów, z których kluczowym jest wdrożenie odpowiednich programów służących do monitorowania efektywności wdrożonych środków organizacyjnych i technicznych, które mogą demonstrować zgodność • Wdrożenie stałego systemu kontroli umożliwia łatwe zarządzanie i raportowanie, a w konsekwencji: szybkie reagowanie, gdy rośnie ryzyko związane z brakiem zgodności z RODO • Opracujemy listę kluczowych kontroli w istotnych procesach przetwarzania danych osobowych, służących potwierdzeniu przetwarzania danych w zgodności z RODO • Zidentyfikujemy obecnie funkcjonujące kontrole oraz ich wpływ na zapewnienie zgodności z RODO • Opracujemy proces raportowania ryzyka związanego z brakiem zgodności z RODO System kontroli wewnętrznej Art. 24-30 RODO Art. 32-34 RODO Art 35-36 RODO 3 4. Stały system kontroli wewnętrznej w zakresie RODO
  • 4. PwC | GDPR Readiness 4 Dlaczego to ważne? Jak możemy pomóc? • Podejmowanie optymalnych działań zmierzających do zapewnienia zgodności z przepisami RODO wymaga odpowiedniego przepływu informacji do osób odpowiedzialnych za podejmowanie decyzji w organizacji • Risk Radar umożliwia wizualizację zidentyfikowanych z perspektywy RODO ryzyk. Dzięki terminowemu przekazywaniu informacji, radar pozwala administratorowi na szybkie podjęcie odpowiednich działań zmierzających do zwiększenia poziomu zgodności z wymogami RODO • Zidentyfikujemy zagadnienia w obszarach, na które wpływ mają przepisy RODO, a które powinny być objęte systemem informacji zarządczej • Określimy sposób i zasady udostępniania i pozyskiwania informacji ze wskazaniem źródła ich pochodzenia w zidentyfikowanych obszarach, na które wpływ mają przepisy RODO • Opracujemy adekwatny zakres i częstotliwość raportowania • Opracujemy listę osób lub funkcji, które powinny być odbiorcami poszczególnych informacji • Określimy standardy raportowania, aby zapewnić czytelność, rzetelność oraz aktualność przekazywanych informacji Risk Radar Art. 24-30 RODO Art. 32-34 RODO Art 35-36 RODO 4 5. Risk Radar dla Zarządu
  • 5. PwC | GDPR Readiness 55 6. Cykliczne audyty Dlaczego to ważne? Jak możemy pomóc? • Cykliczne audyty pozwalają na wykrycie ewentualnych niezgodności z wymogami RODO • Sprawdzenia dokonywane w sposób zaplanowany i zgodny z metodyką pozwalają zidentyfikować obszary wymagające doskonalenia • Wdrożenie planów naprawczych przywraca zgodność z wymogami RODO i pozwala na uniknięcie ewentualnych kar finansowych • W razie kontroli Organu Nadzorczego przedstawienie wyników procesu audytowego i ewentualnych planów naprawczych pozwoli na minimalizowanie ewentualnych konsekwencji kontroli Audyty • Opracujemy metodykę prowadzenia audytów zgodności z RODO oraz bezpieczeństwa danych osobowych opartą o analizę ryzyka naruszeń wymogów RODO • Przeprowadzimy wstępną analizę ryzyka procesów biznesowych i wskażemy procesy priorytetowe pod kątem audytów • Przeprowadzimy audyty zgodności z formalnymi wymagania RODO i bezpieczeństwa danych osobowych • Opracujemy plany naprawcze po audytach • Przeprowadzimy nadzór nad wdrożeniem działań naprawczych Art. 28 RODO Art. 25 RODO Art. 39 RODO
  • 6. PwC | GDPR Readiness 66 7. Wsparcie DPO Dlaczego to ważne? Jak możemy pomóc? • Inspektor Ochrony Danych (ang. Data Protection Officer – DPO) jest kluczową funkcją przewidzianą przez RODO w ramach struktury organizacyjnej przedsiębiorstwa i musi zostać powołany, gdy spełnione są określone w przepisach RODO kryteria • DPO bierze udział w wielu procesach związanych z zapewnieniem zgodności z RODO, m.in.: • jest pierwszym punktem kontaktu dla podmiotów danych i organu nadzorczego • odpowiada za zgłaszanie incydentów naruszenia ochrony danych osobowych • bierze udział w Ocenie Skutków dla Ochrony Danych • Administrator może również zlecić DPO inne zadania do wykonywania, które związane są z ochroną danych osobowych • Pomożemy ocenić konieczność powołania DPO i, jeżeli zajdzie taka potrzeba, zapewnimy wsparcie przy wyborze odpowiedniego kandydata lub podmiotu pełniącego funkcję DPO • Zaproponujemy odpowiednie zdefiniowanie funkcji oraz obowiązków DPO w strukturze organizacyjnej • Zapewnimy pełne wsparcie prawne we wszystkich aspektach związanych z RODO • Opracujemy proces raportowania wypełniania obowiązków DPO do zarządu oraz proces komunikacji DPO z Organem Nadzorczym oraz z podmiotami danych. Przygotujemy odpowiednie szablony i wersje wzorcowe uwzględniając możliwość wystąpienia różnych praktycznych scenariuszy • Wesprzemy DPO w prowadzeniu rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania • Zorganizujemy szkolenie dla DPO i jego zespołu dotyczące poszczególnych aspektów ochrony danych osobowych Wsparcie DPO Art. 37-39 RODO Art. 13-14 RODO Art. 30 RODO Art 33 RODO Art 35-36 RODO Art 47 RODO
  • 7. PwC | GDPR Readiness 77 8. Prawa podmiotów danych – wsparcie w realizacji Dlaczego to ważne? Jak możemy pomóc? • Każdy podmiot danych, którego dane są przetwarzane w organizacji ma prawo wystąpić do administratora z żądaniem realizacji jego praw wynikających z RODO • Co do zasady, prawa podmiotów danych, muszą być zrealizowane w ciągu miesiąca od otrzymania żądania • Brak realizacji praw podmiotów danych lub opóźnienie w ich realizacji może skutkować nałożeniem kar finansowych oraz roszczeniami podmiotów danych • Realizacja niektórych praw podmiotów danych wymaga szczególnej ostrożności organizacyjnej, a jej niewłaściwe wykonanie może generować ryzyko przerwania ciągłości działania organizacji Prawa podmiotów danych Art. 13-14 RODO Art. 17 RODO Art. 20 RODO • Opracujemy procedury operacyjne związane z realizacją poszczególnych praw podmiotów danych • Zaproponujemy praktyczne rozwiązania organizacyjne dla ułatwienia kontaktu z podmiotami danych • Pomożemy zaprojektować procesy IT wspierające realizację praw podmiotów danych • Stworzymy wytyczne dla jednostek biznesowych odnośnie realizacji każdego z praw podmiotów • Stworzymy modelowe schematy realizacji praw podmiotów pozwalające na spełnienie żądań podmiotów w czasie wskazanym w RODO • Przygotujemy szablony i wzorce komunikacji z podmiotami danych • Przeprowadzimy weryfikację typu Mystery Client – sprawdzenie jakości wprowadzonych procedur obsługi podmiotów danych • Poprowadzimy postępowania administracyjne i sądowe w związku z naruszeniem praw podmiotów danych
  • 8. PwC | GDPR Readiness 88 9. Weryfikacja dostawców i zarządzanie ryzykiem stron trzecich • Administrator danych osobowych może korzystać z usług dostawców w zakresie utrzymania i rozwoju systemów informatycznych, wsparcia prawnego itp., co związane jest z koniecznością powierzenia lub udostępnienia przetwarzania danych osobowych do dostawcy • W wielu przypadkach przetwarzanie może odbywać się poza infrastrukturą i fizyczną lokalizacją administratora • Skorzystanie z usług dostawcy nie zwalnia administratora danych osobowych z odpowiedzialności za bezpieczeństwo i zgodność z przepisami RODO • Administrator powinien zapewnić, że współpraca z dostawcą odbywa się w oparciu o odpowiednie standardy bezpieczeństwa i sposoby realizacji świadczonych usług • Proces współpracy powinien być realizowany w oparciu o odpowiednie mechanizmy kontrolne od momentu rozpoczęcia współpracy aż do jej zakończenia Dlaczego to ważne? Jak możemy pomóc? • Opracujemy metody segmentacji i oceny dostawców usług przetwarzania danych osobowych • Przeprowadzimy przegląd systemu ocen dostawców • Zapewnimy wsparcie w opracowaniu procesu audytu dostawcy w oparciu o analizę ryzyka (Vendor Risk Assessment) w obszarze Cyber/Information Security oraz prawnym • Wesprzemy w opracowaniu procesu monitorowania ryzyka związanego z dostawcami (Vendor Risk Management) w obszarze Cyber/Information Security oraz prawnym • Opracujemy procedury oraz kwestionariusze oceny wspierające procesy VRA/VRM • Wykonamy audyty i przeglądy wstępne oraz okresowe dotyczące działalności podmiotów przetwarzających Wsparcie w procesie VRA/VRM Art. 28 RODO Art. 29 RODO Art. 30 RODO Art. 32 - 36 RODO
  • 9. PwC | GDPR Readiness 9 Dlaczego to ważne? Jak możemy pomóc? • Rozporządzenie wprowadza całkowicie nowy obowiązek, którym jest Ocena Skutków dla Ochrony Danych – brak wypełnienia tego obowiązku lub jego błędna realizacja mogą prowadzić do nałożenia wysokich kar • Utrzymanie zgodności z RODO jest procesem ciągłym. Z tego powodu, należy zapewnić mechanizmy umożliwiające weryfikację wpływu nowych czynności / procesów wdrażanych w organizacji na zgodność z wymogami rozporządzenia • Zgodnie z art. 35 RODO, administrator jest zobowiązany do przeprowadzenia analizy ryzyka naruszenia praw i wolności osób fizycznych jeszcze przed rozpoczęciem przetwarzania dotyczących ich danych osobowych • Prawidłowa analiza wpływu nowych czynności/procesów to efektywniejsza identyfikacja luk oraz lepsze dostosowanie poziomu zgodności z RODO, jeszcze przed wprowadzeniem w życie nowych czynności/procesów • Przeprowadzenie analizy umożliwia identyfikację dodatkowych środków technicznych i organizacyjnych potrzebnych do zapewnienia odpowiedniej ochrony danych osobowych • Opracujemy procedury i metodyki prowadzenia Oceny Skutków dla Ochrony Danych (Data Protection Impact Assessment – DPIA) • Przeprowadzimy Ocenę Skutków dla Ochrony Danych obejmującą: analizę prawną, analizę podatności systemów IT (VA – Vulnerability Assessment) oraz testy penetracyjne dla elementów IT wspierających planowane czynności przetwarzania • Dostarczymy narzędzia wspierające proces Oceny Skutków dla Ochrony Danych • Opracujemy proces i strategię konsultacji z Organem Nadzorczym oraz podmiotami danych w przypadku identyfikacji czynności przetwarzania stwarzającej wysokie ryzyko dla praw i wolności podmiotów danych Wpływ nowych czynności Art 35 RODO Art. 32 RODO Art 36 RODO 9 10. Analiza wpływu nowych czynności / procesów
  • 10. PwC | GDPR Readiness 10 Dlaczego to ważne? Jak możemy pomóc? • Zgodnie z treścią art. 32 RODO, administrator danych oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne , prawne i organizacyjne odpowiadające zidentyfikowanemu poziomowi ryzyka związanego z przetwarzaniem danych osobowych • Procedury i polityki takie jak: polityka bezpieczeństwa, procedura zgłaszania incydentów itp. stanowią istotny element w systemie zapewniania bezpieczeństwa organizacji, a w rezultacie przyczyniają się do zapewnienia zgodności z przepisami RODO • Szczególnie istotne jest dokonanie aktualizacji procedur dla procesów, w których dochodzi do bezpośredniej styczności z podmiotem danych – np. procedur dotyczących kontaktu z klientem • Przeprowadzimy Ocenę Skutków dla Ochrony Danych, która wesprze w określeniu jakie środki organizacyjne, prawne i techniczne należy wdrożyć w organizacji w celu zapewnienia zgodności z RODO oraz jakie zapisy powinny zostać umieszczone w poszczególnych dokumentach • Przygotujemy bądź przeanalizujemy obecnie funkcjonujące polityki/procedury i inne dokumenty pod kątem zasadności aktualizacji w celu dostosowania do przepisów RODO • Przeprowadzimy aktualizację polityk bezpieczeństwa • Przeprowadzimy aktualizację procesów i procedur zarządzania bezpieczeństwem • Przeprowadzimy aktualizację umów / aneksów do umów • Przeprowadzimy aktualizację klauzul informacyjnych • Przeprowadzimy aktualizację zgód na przetwarzanie danych osobowych Aktualizacja dokumentów Art. 32 RODO 10 11. Aktualizacja dokumentów/ procedur
  • 11. PwC | GDPR Readiness 1111 12. Privacy by design dla nowych rozwiązań biznesowych Dlaczego to ważne? Jak możemy pomóc? • Privacy by Design jest podejściem mającym zapewnić uwzględnienie ochrony danych osobowych już w fazie projektowania danego systemu/procesu/inicjatywy • Zgodnie z treścią art. 25 RODO, administrator jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, zarówno na etapie określania sposobów przetwarzania jak i podczas przetwarzania danych osobowych • Ponadto, w ramach Privacy by Design należy zapewnić stosowanie zasady minimalizacji danych oraz domyślnego przetwarzania wyłącznie danych niezbędnych do realizacji konkretnego celu (Privacy by Default) • Prawidłowe wdrożenie podejścia Privacy by Design umożliwia łatwiejsze wykazanie zgodności z wymaganiami RODO w innych obszarach • Opracujemy metodykę Privacy by Design obejmującą sposób realizacji Privacy by Design oraz zasady uruchamiania procesu • Przeprowadzimy Ocenę Skutków dla Ochrony Danych (Data Protection Impact Assessment – DPIA) obejmującą: analizę prawną, analizę podatności systemów IT (VA – Vulnerability Assessment) oraz testy penetracyjne dla elementów IT wspierających planowane czynności przetwarzania • Przeanalizujemy czynności przetwarzania i dostosujemy je pod kątem realizacji podejścia Privacy by Design oraz Privacy by Default • Opracujemy i wdrożymy Security/Privacy by Design do Systems Development Life Cycle (SDLC) • Przeprowadzimy analizę kodu źródłowego rozwijanych aplikacji pod kątem bezpieczeństwa • Opracujemy standardy i dobre praktyki programistyczne Privacy by Design Art. 25 RODO Art. 24 RODO Art. 28 RODO Art 32 RODO Art 34 RODO
  • 12. PwC | GDPR Readiness 1212 13. Zarządzanie cyklem życia danych (Data Lifecycle Management) Dlaczego to ważne? Jak możemy pomóc? • Administrator powinien mieć, na każdym etapie procesów biznesowych, kontrolę nad przetwarzanymi danymi • Na podstawie art. 5 RODO dane muszą być zbierane zgodnie z prawem, adekwatnie do celów przetwarzania, aktualizowane, przechowywane w bezpieczny sposób oraz usuwane po zakończeniu okresu retencji • Zgodnie z art. 6 RODO dane mogą być przetwarzane wyłącznie na podstawie jednej z sześciu przesłanek • Dane powinny być usunięte lub zanonimizowane po upływie określonego dla nich okresu retencji • Polityka retencji danych jest dokumentem niezbędnym dla prawidłowego funkcjonowania każdej organizacji • Nasza metodologia zakłada stosowanie tabeli retencji jako załącznika do polityki retencji danych Cykl życia danych Art. 6 RODO Art. 25 RODO Art. 16 RODO • Opracujemy i pomożemy wdrożyć model zarządzania danymi osobowymi na każdym etapie ich przetwarzania • Stworzymy klauzule zgód i obowiązków informacyjnych na etapie zbierania danych • Opracujemy standardowe klauzule umowne do umów powierzenia i zakupu baz danych • Opracujemy i wdrożymy zasady retencji danych (polityka retencji danych, tabela retencji, mechanizmy IT służące zapewnieniu retencji itp.) • Opracujemy i pomożemy wdrożyć mechanizmy poprawiania jakości danych i ich usuwania lub anonimizacji • Stworzymy wymagania odnośnie bezpiecznego przechowywania danych (dane w spoczynku) oraz transferu danych (dane w ruchu)
  • 13. PwC | GDPR Readiness 13 Dlaczego to ważne? Jak możemy pomóc? • Zgodnie z art. 32 RODO, administrator danych oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne odpowiadające zidentyfikowanemu poziomowi ryzyka związanego z przetwarzaniem danych osobowych • Rozwiązania techniczne mogą wspierać proces zapewnienia zgodności z RODO poprzez funkcjonalność monitorowania ryzyka, zgodności, bezpieczeństwa i audyty wewnętrzne • Ponadto, rozwiązania techniczne mogą wspierać inne istotne procesy związane z zapewnianiem zgodności z RODO, takie jak utrzymanie rejestru czynności przetwarzania czy wsparcie procesu analizy DPIA • Proponujemy dwa rozwiązania, które są odpowiedzią na Państwa potrzeby: • Autorskie rozwiązanie klasy GRC – Governance, Risk management, and Compliance (enforce) integrujące funkcjonalność sprawnego zarządzania ryzykiem, zarządzania zgodnością z przepisami, zarządzania audytem wewnętrznym. Dzięki integracji trzech obszarów w jednym narzędziu, możliwe jest efektywne zarządzanie i przejrzyste raportowanie • Autorskie rozwiązanie wspierające wykazanie zgodności z RODO (PwC RODO Compliance Tool) umożliwiające utrzymanie Rejestru Czynności Przetwarzania, przeprowadzenie analizy DPIA (wraz z oceną wstępną) oraz łatwe i automatyczne raportowanie i prezentacja najważniejszych informacji w formie dashboard’u Wdrożenia rozwiązań klasy GRC Art. 32 RODO 13 14. Wdrożenie rozwiązania klasy GRC Art. 35 - 36 RODO Art. 32 - 34 RODO
  • 14. PwC | GDPR Readiness 14 Dlaczego to ważne? Jak możemy pomóc? • Zgodnie z art. 32 RODO, administrator oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne odpowiadające zidentyfikowanemu poziomowi ryzyka związanego z przetwarzaniem danych osobowych • Rozwiązania techniczne takie jak systemy DLP, IDM, IDS/IPS, SIEM, PIM/PAM, DAM, itp. stanowią istotny element w systemie zapewniania bezpieczeństwa organizacji, w rezultacie przyczyniając się do zapewnienia zgodności z przepisami RODO • Szczególnie istotne jest dokonanie przeglądu konfiguracji obecnie wykorzystywanych w organizacji systemów pod kątem poprawności działania i skuteczności wykrywania potencjalnych zagrożeń • Dostosujemy reguły, polityki, korelacje oraz konfiguracje istniejących systemów zgodnie z najlepszymi praktykami • Wdrożymy nowe reguły, polityki, korelacje oraz konfiguracje w istniejących systemach bezpieczeństwa • Wdrożymy nowe systemy bezpieczeństwa w celu uzupełnienia istniejącego systemu bezpieczeństwa organizacji (DLP, IDM, SIEM, PIM/PAM, DAM) Konfiguracja rozwiązań bezpieczeństwa Art. 32 RODO 14 15. Rekonfiguracja / doskonalenie istniejących rozwiązań bezpieczeństwa IT
  • 15. PwC | GDPR Readiness 15 Dlaczego to ważne? Jak możemy pomóc? • Zgodnie z art. 32 RODO, administrator oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne odpowiadające zidentyfikowanemu poziomowi ryzyka związanego z przetwarzaniem danych osobowych • Rozwiązania techniczne takie jak systemy DLP, IDS/IPS, SIEM, PIM/PAM, DAM, itp. stanowią istotny element w systemie zapewniania bezpieczeństwa organizacji, a co za tym idzie – przyczyniają się do zapewnienia zgodności z przepisami RODO • Istotne jest, aby informację o zasadności wdrożenia wybranych rozwiązań przekazać kierownictwu organizacji w sposób pozwalający na porównanie korzyści z wdrożenia (ewentualnych strat wynikających z materializacji ryzyk, które są mitygowane przez wdrożony system i automatyzacji procesów bezpieczeństwa) oraz kosztów wdrożenia • Przeprowadzimy analizę dojrzałości obecnie wykorzystywanej w organizacji architektury bezpieczeństwa • Przeprowadzimy testy penetracyjne • Przeprowadzimy kontrolowany atak zakładający „wiedzę zerową” – STRIKE, obejmujący zarówno próby przełamania zabezpieczeń fizycznych, jak i próbę uzyskania dostępu do systemów informatycznych organizacji • Na podstawie wyników powyższych działań, przeprowadzimy analizę zasadności wdrożenia rozwiązania IT, tzn. ryzyko braku wdrożenia w porównaniu z kosztem wdrożenia • Opracujemy inicjatywy mające na celu uwzględnienie wyników analizy wraz ze wskazaniem priorytetów Wdrożenia rozwiązań bezpieczeństwa Art. 32 RODO 15 16. Analiza zasadności wdrożenia nowych rozwiązań bezpieczeństwa IT
  • 16. PwC | GDPR Readiness 1616 17. Budowanie świadomości pracowników o ochronie danych osobowych Dlaczego to ważne? Jak możemy pomóc? • Stałe i podnoszenie świadomości pracowników w zakresie ochrony danych osobowych powoduje, że działania związane z ochroną danych osobowych realizowane są szybciej i efektywniej • Podnoszenie świadomości pracowników zmniejsza ryzyko naruszeń bezpieczeństwa oraz pozwala uniknąć kar finansowych • Kampanie podnoszące świadomość pozwalają wskazać pracownikom typowe metody działania przestępców – pozwala to uszczelnić system bezpieczeństwa informacyjnego Szkolenie pracowników Art. 25 RODO Art. 32 RODO Art. 39 RODO • Opracujemy i wdrożymy program podnoszenia świadomości bezpieczeństwa informacji • Opracujemy materiały szkoleniowe i przeprowadzimy szkolenia • Zakres i poruszane tematy będą dostosowane indywidualnie do organizacji oraz grupy docelowej – proponujemy szkolenia „szyte na miarę”, dopasowane do specyfiki organizacji • Stworzymy materiały informacyjne przydatne w bieżącej pracy • Opracujemy i przeprowadzimy szkolenia e-learningowe • Opracujemy i przeprowadzimy kampanie szkoleniowe symulujące w bezpieczny sposób ataki przestępców (ataki socjotechniczne, podszywanie się w korespondencji elektronicznej itd.) • Przeprowadzimy weryfikację typu Mystery Client – sprawdzenie jakości wprowadzonych procedur obsługi podmiotów danych oraz reakcji na naruszenia ochrony danych osobowych
  • 17. PwC | GDPR Readiness 1717 18. Asysta przy kontroli Organu Nadzorczego Dlaczego to ważne? Jak możemy pomóc? • Przepisy RODO oraz liczne niejasności interpretacyjne powodują poczucie niepewności w obliczu nadchodzącej kontroli Organu Nadzorczego • Organizacje, które podlegają inspekcji Organu Nadzorczego mają obowiązek czynnej współpracy z kontrolerem i podejmowania inicjatywy podczas kontroli • Przygotowanie organizacji do kontroli skraca czas czynności kontrolnych i minimalizuje ryzyko wykrycia niezgodności • Czynności, działania i żądania kontrolerów wymagają precyzyjnego rozumienia wymogów RODO • Pierwsza wizyta reprezentantów Organu Nadzorczego jest zazwyczaj początkiem procesu kontroli zgodności organizacji z prawem ochrony danych osobowych Asysta przy kontroli organu nadzorczego Art. 57 RODO Art. 58 RODO • Przygotujemy organizację do wizyty kontrolerów • Zapewnimy wsparcie i doradztwo w trakcie kontroli • Pomożemy ustosunkować się do raportu pokontrolnego • Zapewnimy wsparcie w minimalizacji skutków kontroli • W razie potrzeby, wdrożymy odpowiednia środki organizacyjne i techniczne w celu zabezpieczenia tych aspektów ochrony danych, które tego wymagają • Pomożemy w podjęciu odpowiednich działań mających na celu minimalizację ryzyka wystąpienia negatywnych konsekwencji przyszłych kontroli Art. 6 ust. 2 RODO
  • 18. 29/08/18 Kontakt Michał Mastalerz Partner odpowiedzialny za portfolio usług RODO Michal.Mastalerz@pwc.com Gerard Karp Partner, PwC Legal Gerard.Karp@pwc.com Marcin Makusak Partner, Risk Assurance Marcin.Makusak@pwc.com Arwid Mednis Partner, PwC Legal Arwid.Mednis@pwc.com © 2018 PricewaterhouseCoopers Sp. z o.o. Wszelkie prawa zastrzeżone. PwC może odnosić się zarówno do spółki członkowskiej w Polsce jak również do sieci PwC. Każda ze spółek stanowi odrębny i niezależny podmiot prawny. Niniejsza treść ma charakter ogólny i nie powinna być używana jako odpowiednik konsultacji z profesjonalnymi doradcami. W PwC naszym celem jest budowanie zaufania wśród społeczeństwa i odpowiadanie na kluczowe wyzwania współczesnego świata. Jesteśmy siecią firm działającą w 158 krajach. Zatrudniamy ponad 236 tysięcy osób, dostarczających naszym klientom najwyższą jakość usług w zakresie audytu, doradztwa biznesowego oraz doradztwa podatkowego i prawnego. Dowiedz się więcej na www.pwc.pl