Audyt zgodności procesorów z RODO

Audyt zgodności procesorów z RODO

ZAPEWNIJ BEZPIECZEŃSTWO POWIERZONYCH DANYCH OSOBOWYCH

Wyzwanie rynkowe

Od 25 maja 2018r. każda organizacja przetwarzająca dane osobowe (administrator danych/procesor) powinna być zgodna z wymogami RODO.

Dostosowanie większości organizacji do RODO było na tyle czasochłonne i kosztowne, że w wielu przypadkach zabrakło czasu na zweryfikowanie również i podwykonawców pod kątem poziomu ich zgodności z nowymi przepisami ochrony danych osobowych. Niemal każda organizacja zgodnie z RODO powierza dane osobowe dostawcom np. w obszarze kadrowym i płacowym, informatycznym czy szkoleniowym. Pomimo dostosowania do przepisów RODO administratora danych wciąż istnieje wysokie ryzyko niezgodności z RODO, gdy podwykonawcy mają wyraźne braki w tym zakresie.

Warto pamiętać, że odpowiedzialność za zgodność działań dostawców (podmiotów przetwarzających) z RODO spoczywa solidarnie zarówno na administratorach danych jak i na podwykonawcach. Podpisanie umów powierzenia przetwarzania danych osobowych z podmiotami przetwarzającymi to dopiero pierwszy krok ku zgodności z RODO. Kolejnym krokiem są audyty zgodności procesorów z przepisami o ochronie danych osobowych.

Rozwiązanie

AUDYT ZGODNOŚCI PODMIOTÓW PRZETWARZAJĄCYCH Z PRZEPISAMI RODO

Usługa polega na zweryfikowaniu zgodności z RODO - od strony formalno-prawnej i faktycznej - rozwiązań wdrożonych przez dostawcę (podmiot przetwarzający) z którego usług korzysta klient (administrator danych) wobec powierzonych danych osobowych. Wynikiem usługi jest raport określający procentowy poziom zgodności podmiotu przetwarzającego z RODO wraz z rekomendacją dla administratora danych co do poziomu ryzyka jaki zgodnie z RODO wiąże się z dalszym powierzaniem przetwarzania danych osobowych tej organizacji.

  1. Audyt adekwatności zastosowanych zabezpieczeń: usługa audytu zgodności może być rozszerzona o badanie adekwatności zastosowanych środków technicznych i organizacyjnych wobec powierzonych danych osobowych. W tym wariancie usługi zostanie przeprowadzona również weryfikacja zabezpieczeń oparta na normie ISO/IEC 27001. Wynikiem usługi jest nie tylko Raport określający poziom zgodności z RODO podmiotu przetwarzającego ale również Raport wskazujący słabe punkty zabezpieczeń stosowanych przez podmiot przetwarzający wraz z oszacowanym poziomem ryzyka wystąpienia naruszeń wobec powierzonych danych osobowych.
  2. Audyt podmiotu przetwarzającego w razie incydentu: usługa ta polega na zweryfikowaniu zgodności z RODO czynności przetwarzania powierzonych danych osobowych w razie wystąpienia naruszenia po stronie podwykonawcy. Powierzone dane osobowe nie są często tak dobrze chronione przez procesora jak przez administratora danych. W razie wystąpienia naruszenia po stronie podwykonawcy nie zawsze chce on współpracować, a odpowiedzialność i konsekwencje jego zaniechania spadają na administratora danychzgodnie z RODO. Usługa polega na przeprowadzeniu audytu tzw. incydentalnego, którego wynikiem jest pełny raport określający stan faktyczny zdarzenia, przyczyny, konsekwencje oraz rekomendacje w zakresie np. zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych
  3. Usługa audytu podmiotu przetwarzającego: usługa audytu zgodności z RODO podmiotu przetwarzającego może zostać dopasowana do branżowych potrzeb klienta na przykład w obszarze zgodności z normą ISO/IEC 29151, ISO/IEC 29134, wytycznych KNF, wymogów URE czy UKE.

Zapytaj

o szczegóły

oferty

Wyślij zapytanie

Nasze podejście

Usługa audytu zgodności z RODO podmiotu przetwarzającego jest świadczona na podstawie umowy z klientem, który posiada zawartą umowę powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym.

Korzyści

  • redukcja ryzyka niezgodności z RODO
  • weryfikacja poziomu zgodności podwykonawców z RODO
  • ujednolicenie poziomu bezpieczeństwa danych osobowych w łańcuchu dostaw
  • ograniczenie ryzyka wystąpienia naruszeń po stronie podwykonawców
  • w przyszłości - ułatwienie uzyskania certyfikatu zgodności z RODO
  • budowa wizerunku odpowiedzialnej organizacji, dbającej o ochronę danych osobowych i bezpieczeństwo informacji.

Dlaczego Bureau Veritas?

  1. Wiodąca, globalnie uznana jednostka certyfikacyjna (ponad 4 miliony certyfikatów wydawanych rocznie).
  2. Doświadczenie audytorów zdobyte podczas wielu audytów zgodności z ISO 27001 i ISO 22301.
  3. Unikalny „Standard techniczny” implementacji RODO do systemów zarządzania opracowany przez Grupę Bureau Veritas.
  4. Praktyczna znajomość RODO poparta Kodeksem dobrych praktyk wynikającym z ISO 29151.

DLACZEGO AUDYT PODMIOTÓW PRZETWARZAJĄCYCH JEST WAŻNY?

Znaczna cześć podmiotów nie dostosowała swoich procesów i zabezpieczeń do wymogów RODO za co odpowiedzialność, również karną może ponieść administrator danych zgodnie z Art. 28 ust. 1 RODO oraz Art. 107 Ustawy o ochronie danych osobowych.

CO MOŻE SIĘ STAĆ, JEŻELI ORGANIZACJA NIE ZWERYFIKUJE ZGODNOŚCI PODWYKONAWCÓW Z RODO?

W związku z tym, że odpowiedzialność podmiotów przetwarzających jest solidarna - administrator danych może być zmuszony do zapłaty odszkodowania za zawinienia swojego podwykonawcy zgodnie z Art. 82 ust. 4 RODO.

DLACZEGO WARTO SKORZYSTAĆ Z AUDYTU PROCESORA WYKONANEGO PRZEZ BUREAU VERITAS?

Przeprowadzając audyt zgodności z RODO Bureau Veritas uwzględnia wszelkie wytyczne Prezesa UODO oraz ERODO jak również dobre praktyki wynikające z normy ISO 29151. Innymi słowy racjonalnie i odpowiedzialnie podchodzi do wymogów RODO.