Pakiet RODO dla software house’u

799,00  (z VAT)

Najniższa cena w ciągu ostatnich 30 dni: 799,00 

Pakiet RODO dla software house’u/firmy IT to kompletny zestaw dokumentów wraz ze szczegółową instrukcją wypełnienia. Dokumenty są w pełni edytowalne (*docx, *xlsx) i gotowe do natychmiastowego zastosowania. Zostały one przygotowane w taki sposób, aby były możliwe do dopasowania do różnych rodzajów działalności w ramach branży IT, a jednocześnie nie były zbyt skomplikowane.

W skład pakietu dokumentów wchodzi:
1) Instrukcja, która krok po kroku poprowadzi Cię przez proces wdrożenia RODO w software house/firmie IT
2) Polityka ochrony danych osobowych
3) Rejestry, a w tym:

  • Rejestr powierzeń;
  • Rejestr upoważnień;
  • Rejestr incydentów;
  • Rejestr żądań podmiotów danych;
  • Rejestr czynności przetwarzania;
  • Rejestr kategorii czynności przetwarzania.

4) Wzory, a w tym:

  • Wzór umowy powierzenia w wersji dla administratora;
  • Wzór umowy powierzenia w wersji dla podmiotu przetwarzającego;
  • Wzór upoważnienia do przetwarzania danych osobowych;
  • Wzór zgody na przetwarzanie danych osobowych;
  • Wzór obowiązku informacyjnego zawierający informacje z art. 13 RODO;
  • Wzór obowiązku informacyjnego zawierający informacje z art. 14 RODO.

5) Procedury, a w tym:

  • Procedury realizacji praw osób, których dane dotyczą;
  • Procedurę obsługi incydentu.

Są to dokumenty wewnętrzne, które powinna mieć wdrożona każda firma przetwarzająca dane osobowe, czy to jako administrator czy jako podmiot przetwarzający (procesor).

Masz pytania dotyczące tego produktu? Napisz do mnie na lukasz@umowywit.pl

Kategorie: ,

Wdrożenie RODO w Software House/firmie IT

Jeśli prowadzisz software house lub firmę IT to z pewnością masz także styczność z danymi osobowymi. Mogą to być dane osobowe, których jesteś administratorem, tj. ustalasz cele i sposoby ich przetwarzania.

Ale bardzo często są to także dane Twoich klientów – często dużych korporacji, które wymagają wysokich standardów bezpieczeństwa w zakresie ochrony danych osobowych. Często przed rozpoczęciem współpracy firmy tworzące oprogramowanie otrzymują ankietę audytową, w której muszą wykazać wdrożone procedury i polityki dotyczące ochrony danych osobowych wewnątrz ich organizacji.

Otrzymanie przez software house ankiety audytowej dotyczącej ochrony danych osobowych często jest momentem, w którym taka firma orientuje się, że nie ma nic w tym zakresie wdrożonego. Często temat “wdrożenia RODO” jest spychany na później do momentu aż przyjdzie klient, z którego ciężko zrezygnować, a który będzie wymagał wysokich standardów bezpieczeństwa w zakresie ochrony danych osobowych.

Z pomocą może przyjść Ci przygotowany przez nas pakiet dokumentów potrzebnych do wdrożenia RODO w firmie IT lub software housie.

Są to dokumenty wewnętrzne, które powinna mieć wdrożona każda firma przetwarzająca dane osobowe, czy to jako administrator czy jako podmiot przetwarzający (procesor).

Dzięki temu pakietowi dokumentów sprawnie wdrożysz niezbędne procedury i nie będziesz musiał świecić oczami przed swoimi klientami.

Pamiętaj, że wdrożenie RODO w organizacji to nie jest jednorazowa czynność. Nie da się tego zrobić raz a dobrze z uwagi na to, że przetwarzanie danych jest procesem, który może podlegać ciągłym zmianom. Po wdrożeniu dokumentacja powinna być więc przez Ciebie cyklicznie dostosowywania do stanu faktycznego, w którym się obecnie znajdujesz.

Jak podejść do tematu RODO?

RODO powszechnie uważane jest jako nikomu niepotrzebna regulacja, która więcej komplikuje niż upraszcza. Sprawy nie ułatwia przekonanie, że wdrożenie RODO polega na wklejeniu kilku formułek na stronie internetowej oraz poprawieniu stopki w treści wiadomości e-mail. Z drugiej strony przez ostatnie dwa lata wiele osób (w tym m.in. prawników) straszyło wielkimi karami. Przez ten czas doszło także do wielu absurdów jak np. “szafa zgodna z RODO”, masowo wysyłane informacje elektroniczne z treścią wypełniającą obowiązek informacyjny, czy też brak możliwości wymiany wizytówek z kontrahentami “bo RODO”.

W firmach wytwarzających oprogramowanie (software house) lub działających w obszarze konsultingu IT jest to jednak obszar, który powinien zostać objęty szczególną opieką. Realizacja praktycznie każdego projektu IT, bez względu czy chodzi o wdrożenie, świadczenie usług programistycznych czy też usług utrzymania (SLA) software house ma dostęp do infrastruktury i systemów klienta, a co za tym idzie do danych osobowych przetwarzanych przez tego klienta (administratora danych).

Wdrożenie RODO – o co więc tak naprawdę w tym chodzi?

Chodzi o ochronę danych osobowych osób fizycznych i takie ułożenie procesów w firmie aby ta ochrona była skuteczna. Warto podkreślić, że samo wdrożenie nie powinno być traktowane jako jednorazowa czynność. Ochrona danych osobowych jest procesem, o który trzeba dbać w sposób ciągły. Samo wdrożenie powinno być więc traktowane jako punkt startowy dla przedsiębiorcy.

Wdrożenie RODO w Software House

Z czego składa się ten punkt startowy? Każde wdrożenie RODO można podzielić na 4 etapy:

ETAP 1 – audyt przedwdrożeniowy,
ETAP 2 – wdrożenie procedur oraz dokumentacji,
ETAP 3 – szkolenie zespołu,
ETAP 4 – monitorowanie procesów po wdrożeniu oraz bieżące dokonywanie zmian oraz szkoleń.

Najpierw musimy zbudować siatkę pojęciową aby sprawnie poruszać się po zakamarkach RODO.

Poniżej przedstawię Ci definicję:

  • danych osobowych,
  • przetwarzanie danych osobowych,
  • administratora danych osobowych,
  • procesora.

Czym są dane osobowe?

Zgodnie z definicją dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możesz zapytać kim jest osoba możliwa do zidentyfikowania?

To osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Sama definicja wydaje się być dosyć prosta. Ale w praktyce potrafi stworzyć wiele problemów. Najpowszechniejszym jest to czy adres e-mail należy uznać za dane osobowe? Albo czy taką daną jest adres IP? Albo czy informacja o posiadaniu bardzo rzadkiego zwierzęcia może być uznana za daną osobową, w przypadku gdy w Polsce jest dosłownie kilka sztuk takiego stworzenia.

W każdym z powyższych przykładów odpowiedź brzmi “TAK”.

Czym jest przetwarzanie danych osobowych?

Przetwarzanie danych osobowych to operacje wykonywane na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany.

Przykładami przetwarzania jest zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Kim jest administrator danych osobowych?

Administratorem danych jest każda osoba fizyczną lub prawna, organ publiczny lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Upraszczając – administrator to podmiot, który decyduje o tym co się z danymi dzieje i jak będą przetwarzane.

Administratorem staniesz się z mocy prawa w momencie gdy zaczniesz przetwarzać pierwsze dane osobowe. Nie musisz wpisywać się do żadnego rejestru administratorów. Oznacza to, że wszelkie obowiązki wynikające z RODO musisz zacząć wypełniać od samego początku rozpoczęcia przetwarzania danych osobowych.

Kim jest procesor?

Procesor to podmiot, który otrzymuje dane osobowe od ich administratora w celu wypełnienia jakiś wyznaczonych przez niego celów. Klasycznym przykładem jest hosting. Udostępniasz dane osobowe zebrane przez Ciebie poprzez stronę internetową swojemu hostingodawcy aby ten mógł świadczyć dla Ciebie usługę hostingu.

Kolejnym przykładem może być narzędzie do wysyłki newslettera. Ty jesteś administratorem danych bo decydujesz o sposobie ich przetwarzania. Dostawca systemu newsletterowego jest procesorem bo jedynie realizuje Twój cel jakim jest masowa wysyłka wiadomości e-mail – sam z siebie tego nie robi, a jedynie na Twoje polecenie.

Dokumentacja wdrożeniowa RODO składa się z kilku następujących dokumentów:

  • rejestr czynności przetwarzania,
  • rejestr kategorii czynności przetwarzania,
  • rejestr powierzeń,
  • umowa powierzenia przetwarzania danych osobowych,
  • polityka ochrony danych osobowych,
  • analiza ryzyka.

Rejestry w RODO

Rejestry są sercem całej dokumentacji. Obrazują w jaki sposób organizacja przetwarza dane osobowe, kanały dopływu i odpływu danych osobowych do i z firmy. Rejestry są swojego rodzaju mapą wszystkich procesów związanych z danymi osobowymi.

Rejestr czynności przetwarzania

Rejestr czynności przetwarzania to zbiór procesów, w których Twoja firma jest administratorem danych. Przykładem może być tutaj proces rekrutacji, w którym zbierasz dane osobowe kandydatów do pracy lub kontakt z potencjalnymi klientami za pomocą formularza kontaktowego.

Rejestr ten powinien zawierać następujące informacje:

  • cel przetwarzania,
  • kategorie osób, których dane są przetwarzane,
  • kategorie danych, które są przetwarzane,
  • podstawę prawną przetwarzania,
  • źródło pozyskiwania danych,
  • planowany termin usunięcia danych,
  • nazwę współadministratora (o ile występuje),
  • nazwy podmiotów przetwarzających, czyli inaczej mówiąc procesorów,
  • kategorie odbiorców, czyli nazwy podmiotów, którym dane są przekazywane,
  • sposób przetwarzania danych,
  • opis technicznych i organizacyjnych środków bezpieczeństwa wdrożonych w firmie w celu ochrony danych,
  • informację o ew. transferze danych do państwa trzeciego lub organizacji międzynarodowej.

Rejestr kategorii czynności przetwarzania

Kolejnym rejestrem jest rejestr kategorii czynności przetwarzania. Zawiera on informacje o procesach przetwarzania, w których Twoja firma jest procesorem.

Rejestr ten powinien zawierać następujące informacje:

  • cel przetwarzania (kategorie przetwarzań),
  • powierzone dane,
  • opis technicznych i organizacyjnych środków bezpieczeństwa wdrożonych w firmie w celu ochrony danych,
  • dane administratora danych,
  • czas przetwarzania,
  • informacje o dalszych procesorach, czyli podmiotach, którym ty podpowierzasz powierzone Ci dane.

Rejestr powierzeń

Ostatnim rejestrem jest rejestr powierzeń. Powinien on zawierać informacje o podmiotach, którym ty jako administrator powierzasz dane osobowe, cel powierzenia oraz informacje o zawartej umowie powierzenia.

Umowa powierzenia przetwarzania danych osobowych

Na temat umowy powierzenia przetwarzania danych osobowych udało mi się napisać osobny artykuł, który znajdziesz pod poniższym linkiem -> Powierzenie przetwarzania danych osobowych w projektach IT

Polityka ochrony danych osobowych

Polityka ochrony danych osobowych, to opisowy dokument, który w całościowy sposób powinien opisywać sposób przetwarzania danych osobowych w organizacji.

Modelowa polityka zawiera następujące elementy:

  • zasady przetwarzania danych osobowych,
  • dane administratora,
  • informacje dot. inspektora danych osobowych,
  • miejsca, w których przetwarzane są dane w firmie,
  • opis sprzętu wykorzystywanego do przetwarzania danych,
  • opis oprogramowania wykorzystywanego do przetwarzania danych,
  • procedury związane z systemami informatycznymi,
  • informacje dot. środków bezpieczeństwa,
  • informacje o wykonanej analizie ryzyka,
  • informacje o monitoringu,
  • informacje o retencji danych,
  • informacje o powierzaniu danych,
  • informacje o upoważnieniach do przetwarzania danych,
  • informacje o sposobie postępowania w przypadku naruszeń ochrony danych.

Polityka najczęściej zawiera także szereg załączników. Do najważniejszych należą:

  • rejestr upoważnień,
  • wzór upoważnienia do przetwarzania danych,
  • wzór raportu z naruszenia ochrony danych,
  • ewidencję naruszeń.

Analiza ryzyka

Raport z analizy ryzyka powinien opisywać szczegółowo zagrożenia dla poprawnego i bezpiecznego przetwarzania danych osobowych oraz wdrożone środki bezpieczeństwa.

Analiza ryzyka powinna obejmować:

  • kontekst przetwarzania,
  • opis zagrożeń dla poprawnego i bezpiecznego przetwarzania danych osobowych,
  • opis sposobów minimalizacji ryzyka.

Wdrożenie RODO w Software House – podsumowanie

Podsumowując powyższe elementy pamiętaj, że ochrona danych osobowych to proces. Nie jest to kwestia, którą załatwisz raz na zawsze. Wiele rzeczy w Twojej firmie zmieniają się w sposób ciągły. Tak samo powinno być z dokumentacją i procesami RODO, które powinny być cały czas aktualne dla stanu w jakim znajduje się Twoja firma.

Może spodoba się również…

  • Promocja!

    Pakiet wzorów umów dla software house’u/firmy IT [PL/EN]

    1199,00 1999,00  (z VAT)

    Najniższa cena w ciągu ostatnich 30 dni: 1199,00