Przygotuj swoją firmę na RODO

Wspieramy wdrażanie ogólnego rozporządzenia
o ochronie danych osobowych


Poznaj naszą ofertę

AUDYT ZGODNOŚCI

Przepisy ogólnego rozporządzenia o ochronie danych osobowych nasuwają wiele wątpliwości w ich interpretacji. Dodatkowo tworzą szereg nowych obowiązków i wyzwań dla firm przetwarzających dane osobowe. W ramach naszej usługi przeprowadzimy działania audytowe, których celem będzie ocena stopnia przygotowania Twojej firmy do RODO oraz zgodności z przepisami.

DOKUMENTACJA

Administratorzy danych osobowych, a w tym Twoja firma, obowiązani są prowadzić dokumentację która wykaże, że przestrzegane są wszystkie zasady dotyczące przetwarzania danych osobowych zawarte w RODO. Nasz oferta obejmuje stworzenie kompletnej dokumentacji przetwarzania danych osobowych wraz z załącznikami.

USŁUGA ABI

Usługa ABI to usługa polegająca na wsparciu merytorycznym z zakresu ochrony danych osobowych. Przeszedłeś audyt i dostosowałeś się do jego wymagań? Masz już opracowaną dokumentację? Czas na dalsze kroki, czyli wprowadzenie wymagań RODO w życie. Przeprowadzimy Cię krok po kroku przez etap wdrożenia dokumentacji i późniejszego jej utrzymania.

LegalneDane.pl to projekt stworzony przez prawników Kancelarii Prawnej Kantorowski i Wspólnicy, obejmujący kompleksowe usługi z zakresu ochrony danych osobowych.

Kompleksowość

Szybkośc działania

Indywidualizm

Odpowiedzialność

Profesjonalizm

Doświadczenie

Co nas wyróżnia? Jesteśmy kancelarią prawniczą. Wszelkie oferowane przez nas dokumenty tworzone są przez wykwalifikowanych prawników ponoszących pełną odpowiedzialność w ramach swojej działalności.

FAQ

Najczęściej zadawane pytania



Już za kilka miesięcy (a dokładnie dnia 25 maja 2018 r.) zacznie obowiązywać unijne prawo RODO/GDPR, które dotyczy ochrony danych osobowych. Ogólne rozporządzenie o ochronie danych osobowych przedstawia przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy regulujące swobodny ich przepływ.

W ramach przeprowadzanej reformy przepisy ogólnego rozporządzenia o ochronie danych osobowych z dniem 25 maja 2018 roku zastąpią Dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995). Dyrektywa 95/46/WE była powodem dla uchwalenia i obowiązywania polskiej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Nazwa rozporządzenia jest akronimem angielskich słów „The General Data Protection Regulation”. GDPR ma doprowadzić do harmonizacji prawa materialnego w ramach wszystkich krajów UE. W momencie wejścia rozporządzenia w życie, nowe prawo zacznie obowiązywać równocześnie we wszystkich krajach Unii Europejskiej. GDPR wchodzi do porządku prawnego bezpośrednio, tj. bez potrzeby wydawania dodatkowych aktów prawnych implementujących je do prawa krajowego. GDPR wprowadza nowe obowiązki dla podmiotów, które przetwarzają dane osobowe (tj. administratorów danych), a także zmienia zasady dostępu do danych osobowych i zasady ich przetwarzania.

W rozumieniu ogólnego rozporządzenia o ochronie danych osobowych (RODO/GDPR) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Unijny ustawodawca uznał, że osoba możliwa do zidentyfikowania to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Przepisy w żaden sposób nie określają granicy, dolnego progu, od którego możemy mówić, że przetwarzamy dane osobowe. Jeżeli więc w ramach prowadzonej działalności gromadzimy jakiekolwiek informacje dotyczące osób fizycznych, które pozwalają na ich identyfikację, to można mówić, że mamy do czynienia ze zbiorem danych osobowych, który podlegał będzie przepisom ogólnego rozporządzenia o ochronie danych osobowych.

Zgodnie z ogólnym rozporządzeniem o ochronie danych osobowych (RODO/GDPR) dane osobowe będą musiały być przetwarzane przez naszą firmę z:
1) zapewnieniem wysokiego poziomu bezpieczeństwa, co jest rozumiane przez Rozporządzenie jako ochrona przed nieautoryzowanym lub bezprawnym dostępem, przypadkową utratą oraz zniszczeniem,
2) poszanowaniem praw i wolności osób, których dane dotyczą.

Dodatkowo wiodące dla Administratorów będą następujące zasady:

1) zasada zgodności z prawem, tj. przetwarzanie danych przez naszą firmę będzie miało miejsce wyłącznie na podstawie określonych w przepisach przesłanek przetwarzania danych osobowych;
2) zasada rzetelności i przejrzystości tj. nasza firma będzie musiała zapewnić aby dla osób fizycznych było przejrzyste i czytelne, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane
z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym
i prostym językiem;
3) zasada ograniczenia celu, tj. nasza firma musi mieć pewność że dane będą zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
4) zasada minimalizacji danych, tj. nasza firma będzie przetwarzać nie więcej danych niż potrzebne,
a ilość danych będzie odpowiednia do celów, w których dane są przetwarzane;
5) zasada prawidłowości danych, tj. nasza firma gwarantuje że, dane które przetwarza są prawidłowe
i w razie potrzeby uaktualniane;
6) zasada ograniczenia przechowywania, tj. nasza firma, która przetwarza dane osobowe zapewnia,
że dane osobowe będą przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
7) zasada integralności i poufności, tj. nasza firma organizuje operacje przetwarzania danych osobowych w sposób zapewniający odpowiednie bezpieczeństwo tych danych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem
lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych;

Istotą realizacji tych zasad przez Administratora będzie organizacja wszystkich realizowanych procesów przetwarzania danych osobowych w sposób, który zagwarantuje przestrzeganie przepisów oraz pozwoli wykazać ich przestrzeganie. Dlatego też firmy przetwarzające dane osobowe powinny opracować i wdrożyć stosowne polityki ochrony danych.

Ogólne rozporządzenie o ochronie danych RODO reguluje instytucję powierzenia przetwarzania danych osobowych. Powierzenie następuję poprzez zawarcie pisemnej umowy podmiotowi, którego przepisy określają jako Podmiot Przetwarzający. Dokonując doboru podmiotu przetwarzającego firma może korzystać usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Dlatego zanim dokonamy powierzenia danych osobowych powinniśmy drobiazgowo ocenić dostawcę usługi pod kątem realizacji przez niego wymagań płynących z ogólnego rozporządzenia o ochronie danych osobowych.

Umowa dotycząca powierzenia danych osobowych do przetwarzania winna określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Jednocześnie z umowy powinno wynikać, że podmiot przetwarzający na nasze zlecenie dane osobowe:

1) przetwarza dane osobowe wyłącznie na nasze udokumentowane polecenie;
2) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
3) podejmuje wszelkie środki techniczne i organizacyjne w celu zapewniania odpowiedniego stopnia bezpieczeństwa przetwarzanych danych osobowych;
4) pomaga firmie realizować uprawnienia osób fizycznych zawarte w rozdziale III ogólnego rozporządzenia o ochronie danych;
5) pomaga firmie we wszelkich sprawach związanych z naruszeniami bezpieczeństwa danych osobowych oraz w procesach dotyczących oceny skutków przetwarzania danych osobowych;
6) po zakończeniu realizacji usługi zwróci wszystkie dane osobowe pozyskane w związku z realizacją umowy lub na nasze zlecenie dokona ich usunięcia;
7) udostępnia naszej firmie wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w RODO oraz umożliwia naszej firmie lub audytorowi upoważnionemu przez naszą firmę przeprowadzanie audytów, w tym inspekcji w zakresie zgodności z RODO.

„Prawo do bycia zapomnianym” - oznacza prawo osoby fizyczne do zażądania od naszej firmy usunięcia wszystkich danych osobowych zgłaszającego takie roszczenie. W przypadku zgłoszenia żądania „do bycia zapomnianym”, przedsiębiorstwo lub organizacja będzie musiała niezwłocznie usunąć wszystkie dane osobowe oraz związane z nimi odnośniki. Należy pamiętać, że usunięcie danych osobowych jest niezwykle trudne. Dane takie muszą bowiem zniknąć z wszystkich miejsc, w których kiedykolwiek się pojawiły, np. ze zarchiwizowanych kopii bezpieczeństwa, nagrań, archiwów przedsiębiorstwa, kopii roboczych itp. Bez odpowiednich narzędzi usuniecie danych osobowych z tak wielu miejsc jest procesem żmudnym i długotrwałym. Według szacunków ekspertów około połowa polskich przedsiębiorstw nie dysponuje żadnymi narzędziami i procedurami umożliwiającymi zapewnienie klientom prawa do „bycia zapomnianym”.

„Raportowanie naruszeń bezpieczeństwa danych osobowych w ciągu 72 godzin” - rozporządzenie GDPR obliguje przedsiębiorstwa do informowania organu nadzorczego o pojawiających się naruszeniach bezpieczeństwa. Od czasu wejścia w życie nowych regulacji każdy przypadek wycieku danych osobowych, ich nieautoryzowanej modyfikacji lub innego naruszenia, musi zostać zgłoszony do organu nadzorującego w czasie do 72 godzin od wykrycia. Zgłoszenie takie musi być szczegółowe, m.in. opisywać przebieg włamania, zakres zagrożonych danych oraz środki zaradcze jakie zostały podjęte, aby uniknąć podobnych zdarzeń w przyszłości. Celem regulacji jest wymuszenie na przedsiębiorstwach zaprzestania ukrywania przed opinią publiczną naruszeń bezpieczeństwa danych osobowych i stałe modyfikowanie istniejących zabezpieczeń.

Prawodawca unijny pozostawił pole do popisu dla administratorów danych w zakresie sposobów zapewniania bezpieczeństwa, bowiem nie przewidział on żadnych skonkretyzowanych sposobów zabezpieczeń. Uznaje się, że obszarze bezpieczeństwa danych osobowych: fizycznego, organizacyjnego czy teleinformatycznego przepisy RODO są technologicznie neutralne. Od administratora wymagana jest świadomość, wiedza oraz doświadczenie w zakresie ochrony danych osobowych i bezpieczeństwa informacji, bo sam będzie musiał ocenić zagrożenia wynikające z przetwarzania danych oraz do nich dostosować zabezpieczenia.

Niewypełniania postanowień zawartych w rozporządzeniu RODO/GDPR wiąże się z możliwością otrzymania bardzo wysokiej kary. W przypadku rażących naruszeń, w regulacji założono możliwość nałożenia grzywny w wysokości do 4 proc. rocznych obrotów przedsiębiorstwa lub do 20 milionów euro. Lżejsze naruszenia mogą być karane grzywną w wysokości do 2% całkowitego rocznego obrotu lub 10 milionów euro. Przy czym nie można zapomnieć o ewentualnej odpowiedzialności karnej Administratora oraz odpowiedzialności cywilnej w przypadku naruszenia praw i wolności osób fizycznych.



Nasze pakiety

Poznaj przygotowane przez nas pakiety

Audyt zgodności z RODO

od399*
Przeprowadzenie audytu oceniającego poziom zgodności firmy z RODO/GDPR, którego wynikiem będzie Raport. W ramach audytu zostaną przeprowadzone następujące działania:
  • Identyfikacja procesów przetwarzania danych
    osobowych i ich weryfikacja pod kątem
    wymagań wynikających z RODO;
  • Analiza systemów informatycznych, w których
    przetwarzane są dane osobowe na zgodność z RODO;
  • Przegląd podstaw prawnych przetwarzania danych osobowych;
  • Analiza wypełnienia obowiązku informacyjnego wynikającego z RODO oraz podejścia firmy do realizacji praw osób, których dane dotyczą;
  • Analiza realizacji głównych zasad przetwarzania danych osobowych oraz zgodności przetwarzania z prawem;
  • Analiza warunków wyrażania zgody;
  • Ustalenie czy ma miejsce powierzenie przetwarzania
    danych osobowych podmiotom przetwarzającym;
  • Ocena podejścia firmy do bezpieczeństwa danych osobowych;
  • Ocena podejścia firmy do wykrywania i zgłaszania
    naruszeń danych osobowych;
  • Ocena konieczności przeprowadzenia oceny
    skutków dla ochrony danych;
  • Ocena konieczności wyznaczenia Inspektora Ochrony Danych Osobowych;
  • Identyfikacja sytuacji przekazywania danych
    osobowych do Państw Trzecich oraz ocena zgodności
    tych przypadków z RODO.

Dokumentacja
zgodna z RODO

Najlpopularniejszy
od1499*
Dopasowana do Twojej firmy Polityka Bezpieczeństwa Informacji, która będzie zawierać:
  • Klasyfikację systemów informatycznych;
  • Wymagania wobec bezpieczeństwa informacji,
    poziomy bezpieczeństwa;
  • Zasady dysponowania informacją;
  • Zarządzanie dostępem do danych osobowych
    i systemów informatycznych;
  • Zasady ustanawiania odpowiedzialności
    za bezpieczeństwo informacji;
  • Zasady zapewniania zgodności z zasadami przetwarzania danych osobowych oraz zgodności z prawem;
  • Zasady realizacji praw osób, których dane dotyczą;
  • Zasady zarządzania ryzykiem danych osobowych;
  • Zasady zarządzania incydentami oraz naruszeniami bezpieczeństwa danych osobowych;
  • Zasady zarządzania ciągłością działania;
  • Zasady bezpieczeństwa sprzętu informatycznego, oprogramowania i nośników informacji;
  • Zasady rozwoju, utrzymania i wycofania systemów informatycznych;
  • Edukację pracowników;
  • Zasady przeprowadzania przeglądów, aktualizacji dokumentacji ochrony danych;
  • Zasady audytowania i kontroli systemów informatycznych;

Usługa ABI

od299 złzł/msc.*
  • Wsparcie merytoryczne z zakresu
    ochrony danych osobowych;
  • Pilotaż przez etap wdrożenia dokumentacji
    i późniejszego jej utrzymania;
  • Prowadzenie konsultacji i poradnictwa
    we wszelkich sprawach związanych z ochroną
    danych osobowych w Twojej firmie;
  • Informowanie o wszystkich istotnych zamianach
    w prawie, praktykach organu i orzecznictwie sądowym
    z zakresu ochrony danych osobowych.

W PAKIECIE TANIEJ!


AUDYT ZGODNOŚCI Z RODO
+ DOKUMENTACJA ZGODNA Z RODO

Pakiet obejmuje przeprowadzenie audytu oceniającego poziom zgodności firmy z RODO/GDPR, którego wynikiem będzie Raport oraz opracowanie dopasowanej do Twojej firmy Polityki Bezpieczeństwa Informacji.
JUŻ OD
1799złotych*
* Podane ceny są cenami netto.


Nasze pakiety nie spełniają Twoich oczekiwań? Skontaktuj się z nami, a sporządzimy dla Ciebie indwywidualną ofertę!

Napisz lub zadzwoń







Skontaktuj się z nami!

Kancelaria Prawna
Kantorowski i Wspólnicy Sp.k.

ul. Siemieńskiego 14
35-234 Rzeszów

Email: kontakt@legalnedane.pl
Telefon: (17) 30 70 522

Znajdziesz nas na:



 Wyrażam zgodę na przetwarzanie moich danych osobowych przez Kancelaria Prawna Kantorowski i Wspólnicy Sp.k., w celu udzielenia odpowiedzi na przesłaną wiadomość, w zakresie mojego imienia i nazwiska oraz adresu e-mail. Jestem świadomy/świadoma, że podanie danych osobowych jest całkowicie dobrowolne, ale niezbędne do udzielenia odpowiedzi, a udzieloną zgodę mogę wycofać w dowolnym momencie. Szczegółowe informacje znajdziesz w naszej Polityce prywatności.