Badamy jakie informacje przetwarzasz i kto ma do nich dostęp.

Opracowujemy rejestr czynności przetwarzania, który jest wymagany dla wszystkich podmiotów publicznych. Organizacje zatrudniające co najmniej 250 pracowników lub przetwarzające dane o podwyższonym ryzyku (dane medyczne, CV, dane o osobach niepełnosprawnych, związane z pomocą społeczną) są zobowiązane do prowadzenia aktualnej i szczegółowej listy swoich działań związanych z przetwarzaniem danych oraz do przygotowywania się do przedstawienia tej listy organom regulacyjnym na żądanie. Najlepszym sposobem wykazania zgodności z RODO jest ocena skutków przetwarzania danych osobowych (DPIA). Organizacje zatrudniające mniej niż 250 pracowników powinny również przeprowadzić ocenę, ponieważ ułatwi to spełnienie innych wymagań RODO. W ramach badania oceniamy również zastosowane środki organizacyjne i techniczne w celu ochrony danych.

Badamy zakres, cele oraz bezpieczeństwo przetwarzania względem podstaw prawnych

Przetwarzanie danych osobowych jest zgodne z RODO tylko wtedy, gdy można je uzasadnić jednym z sześciu warunków wymienionych w art. 6 lub w art. 7-11 dotyczące dzieci i szczególnych kategorii danych osobowych. Badamy podstawę prawną i dokumentujemy. Badamy zasadność oraz konieczność przetwarzania na podstawie zgody osoby fizycznej. Jeżeli podstawę prawną stanowi art. 6 ust. 1 lit. f „uzasadnione interesy” badamy ocenę wpływu na prywatność.

Badamy jasność przekazu dotyczącego ochrony danych

Weryfikujemy czy poprawnie informujesz osoby o tym w jaki sposób i w jakim celu zbierasz dane osobowe: w jaki sposób przetwarzane są dane, kto ma do nich dostęp i jak je zabezpieczasz. Tworzymy dokumentację dotyczącą obowiązku informacyjnego aby przedstawić wszystkie elementy w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka, w szczególności w przypadku wszelkich informacji adresowanych konkretnie do dziecka.

Weryfikujemy przetwarzanie danych od chwili rozpoczęcia przez cały czas trwania

Weryfikujemy przestrzegania zasad ochrony danych fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default). Badamy stan wdrożenia środków technicznych i organizacyjnych w celu ochrony danych nie tylko osobowych. Weryfikujemy czy przed rozpoczęciem jakiegokolwiek działania badasz jego wpływ na ochronę danych. Upewniamy się, że przetwarzanie danych osobowych jest zgodne z zasadami ochrony danych opisanymi w art. 5. Środki techniczne obejmują szyfrowanie, przesyłanie w bezpieczny sposób np.: ePUAP, a środki organizacyjne to między innymi ograniczenie ilości gromadzonych danych osobowych lub usuwanie danych, których już nie potrzebujesz. Sprawdzamy czy Ty i T woi pracownicy jesteście świadomi zasada ochrony danych.

Budujemy System Zarządzania Bezpieczeństwem Informacji

Bezpieczeństwo to nie tylko elementy techniczne, ale również skuteczna oraz możliwa do wdrożenia polityka bezpieczeństwa informacji oraz polityka ochrony danych osobowych w postaci zestawu procedur, instrukcji oraz zaleceń, które mają na celu systematyzację procesów przetwarzania danych. Przedstawiana przez nas dokumentacja jest zrozumiała oraz czytelna dla pracowników. Zabezpiecza również na wypadek kontroli zewnętrznej i umożliwia rozliczenie na wypadek kontroli zgodności z RODO.

Sprawdzamy procesy pseudonimizacji, szyfrowania, anonimizacji

Weryfikujemy oraz radzimy w jaki sposób wdrożyć szyfrowanie, anonimizację oraz procesy ograniczające możliwość naruszenia danych poprzez ich wyciek, zniszczenie, nieuprawniony dostęp czy edycję.

Ocena skutków przetwarzania danych osobowych

Weryfikujemy oraz prowadzimy ocenę skutków przetwarzania dla danych osobowych mających wpływ na ograniczenie lub naruszenia praw i wolności osób fizycznych. Dotyczy to głównie procesów przetwarzania danych, w których przetwarzane są informacje o stanie zdrowia, wyznaniu, dane genetyczne, ale również tam gdzie przetwarzany jest nr dowodu czy PESEL.

Odpowiedzialność osobowa

Sprawdzamy kto w organizacji i na jakiej podstawie został powołany do pełnienia funkcji osoby odpowiedzialnej za zgodność z RODO. Jest to ważna część procesu rozliczalności oraz bezpieczeństwa przy projektowaniu.

Umowy powierzenia przetwarzania danych

Sprawdzamy poprzez inwentaryzację z kim i w jaki sposób zostały podpisane umowy powierzenia przetwarzania danych osobowych. Ważnym elementem jest prawidłowość treści umowy by gwarantowała ona Administratorowi zachowanie zgodności z RODO. Przekazujemy również wzory umów.

Stosowane środki ochrony danych

Badamy jakie środki oraz w jakim zakresie stosuje Administrator w celu ochrony danych. Weryfikujemy ich skuteczność oraz wiarygodność od strony technicznej oraz organizacyjnej.

Polityka bezpieczeństwa

Gdy podmiot ma wdrożoną politykę bezpieczeństwa (PBI, SZBI, PBDO) weryfikujemy czy jest ona zrozumiała i czy funkcjonuje w praktyce, aby nie było rozbieżności oraz niejasności. Bardzo często podczas audytów spotykamy się z ogromnymi rozbieżnościami pomiędzy dokumentacją, a rzeczywistością. Równie często widujemy, że dokumentacja traktowana jest jedynie jako wymóg formalny. Sprawdzając stan faktyczny chronimy klientów przez zarzutem braku rzetelności do ochrony danych oraz konsekwencji w działaniu.

Prawo do informacji o przetwarzaniu danych osobowych

Weryfikujemy jak wypełniasz prawo osób, których dane przetwarzasz do wglądu w ich dane, jakie dane osobowe masz na ich temat i jak z nich korzystasz. Sprawdzamy w jaki sposób wypełniasz prawo do informowania jak długo planujesz przetwarzać (przechowywać) dane osobowe i jakie masz do tego prawo.

Weryfikujemy możliwości aktualizacji danych

Weryfikujemy aktualność i poprawność oraz możliwość aktualizacji danych osobowych ze szczególnym uwzględnieniem systemów informatycznych. Dane powinny być jak najbardziej aktualne, aby ich przetwarzanie nie powodowało negatywnych skutków w przetwarzaniu.

Zautomatyzowane podejmowanie decyzji i profilowanie

Badamy w jaki sposób i kto przetwarza automatycznie lub półautomatycznie dane osobowe. Weryfikujemy również w jaki sposób przetwarzane są dane składowane w chmurze wraz z weryfikacją miejsca ich przetwarzania.

GDPR Audit

We verify compliance with the GDPR

Why a GDPR compliance audit?

The audit is needed in order to have, in the event of an inspection, confirmation that an external auditor has performed the compliance review of the organizational and technical measures used to protect data.

Find out if you are correctly fulfilling your basic data protection obligations.

GDPR audit and penetration testing

We conduct penetration tests, which we often perform in conjunction with the GDPR audit. Thanks to the tests, you will find out about places that may be a source of data leakage (breach).

Avoid penalties by removing weaknesses and implementing effective data protection solutions.

GDPR audit and social engineering tests

We perform social engineering tests to reveal the weaknesses of your employees. Order us social engineering tests related to GDPR audit and take care of data security.

Teach people to protect information with particular emphasis on personal information.

Legal grounds and transparency of personal data processing

We investigate what information you process and who has access to it.

We develop a register of processing activities that is required for all public entities.

Organizations employing at least 250 employees or processing high-risk data (medical data, CV, data on people with disabilities, related to social assistance) are required to maintain an up-to-date and a detailed list of your data processing activities and to prepare to submit this list to regulators upon request. The best way to demonstrate GDPR compliance is a Personal Data Impact Assessment (DPIA). Organizations with fewer than 250 employees should also conduct an assessment as this will facilitate compliance with other GDPR requirements. As part of the study, we also evaluate the organizational and technical measures taken to protect the data.

We examine the scope, purposes and security of processing in relation to the legal grounds

The processing of personal data is compliant with the GDPR only if it can be justified by one of the six conditions listed in Art. 6 or in art. 7-11 regarding children and special categories of personal data. We investigate and document the legal basis.

We examine the legitimacy and necessity of processing based on the consent of a natural person.

If the legal basis is Art. 6 sec. 1 lit. f "legitimate interests" we study the Privacy Impact Assessment.

We examine the clarity of the data protection message

We verify that you correctly inform people about how and for what purpose you collect personal data: how the data is processed , who has access to them and how do you secure them.

We create documentation on the information obligation to present all elements in a concise, transparent, understandable and easily accessible form, using clear and simple language, in particular for any information specifically targeted at the child.

Data security from the organizational and technical side

We verify data processing from the moment it begins, throughout the duration

We verify compliance with the principles of data protection at the design stage (privacy by design) and privacy by default.
We examine the state of implementation of technical and organizational measures to protect not only personal data.
We verify whether you examine its impact on data protection before starting any activity.
We make sure that the processing of personal data complies with the data protection principles described in Art. 5. Technical measures include encryption, secure transmission, e.g. ePUAP, and organizational measures include limiting the amount of personal data collected or deleting data that you no longer need. We check if you and T your employees are aware of the data protection principle.

We are building an Information Security Management System

Security is not only technical elements, but also an effective and implementable information security policy and a personal data protection policy in the form of a set of procedures, instructions and recommendations aimed at systematizing data processing processes.
The documentation we present is understandable and legible for employees.
It also protects in the event of an external inspection and enables settlement in the event of an inspection of compliance with the GDPR.

We check pseudonymization, encryption and anonymization processes

We verify and advise on how to implement encryption, anonymization and processes limiting the possibility of data breach by leakage, destruction, unauthorized access or editing.

Assessment of the effects of personal data processing

We verify and assess the effects of processing on personal data that affect the restriction or violation of the rights and freedoms of natural persons.

This mainly applies to data processing processes in which information about health, religion, genetic data is processed, but also where the number of proof or PESEL is processed.

Security management and accountability

Personal responsibility

We check who in the organization and on what basis has been appointed to act as the person responsible for compliance with the GDPR.

It is an important part of the accountability and security process in design.

Data processing entrustment agreements

We check by making an inventory with whom and how personal data processing agreements have been signed. An important element is the correctness of the content of the contract so that it guarantees the Administrator compliance with the GDPR. We also provide contract templates.

Data protection measures applied

We examine what measures and to what extent the Administrator uses to protect data.

We verify their effectiveness and credibility from the technical and organizational side.

Security policy

When the entity has implemented a security policy (PBI, ISMS, PBDO), we verify whether it is understandable and whether it functions in practice, so that there are no discrepancies and ambiguities.

Very often, during audits, we encounter huge discrepancies between documentation and reality. Equally often we see that documentation is treated only as a formal requirement. By checking the facts, we protect clients against the allegation of lack of integrity to data protection and consequences in action.

Comply with privacy rights

The right to information about the processing of personal data

We verify how you fulfill the right of persons whose data you process to access their data, what personal data you have about them and how you use them.

We check how you fulfill your right to be informed for how long you plan to process (store) personal data and what your right to do so.

We verify the possibility of updating the data

We verify that personal data is up-to-date and correct as well as the possibility of updating personal data, with particular emphasis on IT systems.

The data should be as up-to-date as possible so that their processing does not adversely affect the processing.

Automated decision making and profiling

We investigate how and who automatically or semi-automatically processes personal data. We also verify how the data stored in the cloud is processed along with the verification of the place of their processing.