Conformitate cu normele de Data Privacy - (GDPR, Directiva e-Privacy, Regulamentul B2P, ISO EC 27001, 27701, Directiva NIS)
Înainte de a putea declara și demonstra Conformitatea cu normativele de data privacy puteți avea nevoie de sprijin cu:
A. CONFORMARE - analiză, implementare de măsuri tehnice, organizatorice și juridice, elaborare a evidențelor obligatorii, audit de conformitate
B. MENȚINERE - actualizare a evidențelor, analize de risc și impact (DPIA), implementare de măsuri proactive și reactive de protecție a datelor
C. DPO/RPDP EXTERNALIZAT - instruire de personal, asistență la incidente sau solicitări de exercitare de drepturi, asistență la comunicarea pe cazuri de data privacy cu Autoritatea de Supraveghere, cu mass-media, cu clienți sau cu parteneri de afaceri
A. CONFORMARE
Analiza preliminară
Evaluarea situației curente (nivel de pregătire a personalului, cunoștințele specifice, practici uzuale, evidențe existente)
Raport de Conformitate
Implementare măsuri organizatorice (aprox. 90 posibile actualizări ale proceselor din organizație, adaptate specificului firmei), de urmăroarele tipuri:
Măsuri organizatorice operaționale (privind activitățile principale ale firmei)
Măsuri organizatorice pentru activitățile financiare (contabilitate, taxe, plăți, payroll)
Măsuri organizatorice privind activitățile de HR (recrutare, administrare personal, dezvoltare personal)
Măsuri organizatorice specifice serviciilor de suport (logistica, transport, juridic, IT&C)
Măsuri organizatorice pentru procesele de marketing & comunicare
Măsuri organizatorice privind activitatea de vânzări și suport post-vânzare
Măsuri organizatorice pentru managementul afacerii și pentru managementul relației cu acționariatul
Implementare măsuri tehnice (aprox. 120 controale tehnice posibile, implementate în funcție de industrie și de prioritățile firmei)
Managementul echipamentelor și al infrastructurii fizice
Măsuri de control al riscurilor privind resursele software ale organizației
Evaluarea și managementul vulnerabilităților
Administrarea și monitorizarea drepturilor de acces pentru utilizatorii sistemului informatic
Măsuri de protecție pentru email și browsere web
Protecție anti-malware
Asigurarea de capabilități de recuperare a datelor
Configurări de siguranță pentru echipamente de rețea (firewall, routere, switch-uri)
Managementul capacității de reacție eficentă la incidente
Analize de risc și de impact (DPIA)
Teste de penetrare, simulări de atacuri.
Evidențe ale conformității (redactare personalizată a celor 47 de tipuri de evidențe necesare), pe categorii:
Registrul Prelucrărilor (Inventar fluxuri de prelucrare de DCP, Analize fluxuri de prelucrare, Detalii prelucrări)
Analize de impact (Evaluare vulnerabilități și riscuri, Analize de risc, Analize DPIA )
Politici (Politica de Confidențialitate, Politica pentru CAED, Politica privind incidentele, Politica de retenție, Politica generală de Securitate, Politica privind cookies, Politica pentru Privacy by Design), procedure, instrucțiuni de lucru, instrumente de lucru
Contracte (Evaluare riscuri furnizori, Clauze & acorduri de prelucrare, Acte adiționale furnizori, Acte adiționale clienți, Clauze contracte de muncă, Actualizări fișe de post, Notificări personal, Inventar contracte)
Actualizări regulamente și adaptare instrumente de lucru (Regulamente funcționale, ROI, Proceduri, Instrucțiuni, Instrumente de lucru în activități operaționale, de marketing și vânzări, de HR)
Instruirea aplicativă a personalului (Plan anual, Materiale de curs, Evidențe ale participării)
Măsuri corective (Analiză GAP, Identificare măsuri tehnice și organizatorice adecvate, Rapoarte de progres în implementare)
Inventar IT (inventar aplicații, inventar sisteme IT și de comunicații, specificații, vulnerabilități)
Responsabil și Comitet GDPR (Numire, Ședințe de lucru, Notificare oficială)
Conformitate în punctele de lucru, punctele de prezență, magazine (Notificare persoane vizate, Medii preluare CAED, Medii pentru managementul consimțământului)
Managementul cookie-urilor (Notificare cookies, Selector tipuri de cookies, listare cookies cu detalii, modul pentru management consimțământ)
Website-uri, social media & comunicare online ( Declarație confidențialitate, politica de retenție, termeni & condiții, interfață pentru CAED, boilerplate & disclamer, informații de contact GDPR & link-uri utile)
Managementul incidentelor de securitate a datelor (Plan de urgență în caz de incident, Registru de evidență a incidentelor)
Managementul exercitării drepturilor persoanelor vizate (Procedură de răspuns la CAED, Formulare pentru preluare CAED, Template pentru răspuns la CAED, Registru de evidență a CAED)
Evidențe administrative (Documente organizaționale, Declarație de conformitate, Raport de audit de conformitate)
Audit de conformitate
Audit intern
Pregătire pentru, și asistență la audit de terță parte
Raport de audit de conformitate
B. MENȚINERE
Actualizări ale evidențelor privind conformitatea - periodic și în caz de modificări de procese
Registrul prelucrărilor
Analize de risc și impact (DPIA)
Politici
Contracte
Reguli & Instrumente
Măsuri implementate / în curs de implementare
Sisteme IT
Comitet de monitorizare a conformității
DPO
Conformitatea la punctele de prezență în piață
Conformitatea mediilor de prezență online
Evidența managementului incidentelor
CAED
Administrative
Practici proactive
Managementul și evaluarea conformității furnizorilor
Implementare măsuri tehnice și organizatorice recomandate
Instruire periodică obligatorie
Testări de vulnerabilitate și teste de reacție
Analize de conformitate
Practici reactive
Reacție și intervenție rapidă în caz de incidente
Asistență la soluționare & răspuns la CAED
Securizare proiecte/prelucrări noi – Privacy by design
Sprijin la auditări/inspecții
C. DPO ca serviciu externalizat
Preluarea principalelor atribuții privind atât managementul datelor cu caracter personal cât și relația Clientului cu Autoritățile sau cu persoanele vizate, pe chestiuni care țin de conformitatea în practică cu cerințele GDPR și ale celorlalte normative privind data privacy. Aceste atribuții includ:
Informarea si consilierea Clientului ca operator sau persoană împuternicită, a partenerilor și angajaților acestuia care se ocupă de prelucrări de date.
Monitorizarea respectării Regulamentului, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor;
Participarea la întâlnirile consiliului director si ale top managementului
Monitorizarea și oferirea de sprijin concret în elaborarea procedurilor și politicilor de privacy ale operatorului/persoanei împuternicite.
Avizarea deciziilor privind protecția datelor.
Avizarea noilor proiecte și a modificărilor aduse celor existente, coordonarea actualizării de proceduri și instrumente de lucru.
Coordonarea elaborării planului anual de training, a materialelor de training și a instruirii personalului cu atribuții în prelucrarea de date
Efectuarea de analize de risc și de impact DPIA
Elaborare sau evaluare Metodologie DPIA.
Asistență în elaborarea DPIA.
Monitorizarea executării DPIA
Cooperarea cu Autoritatea de Supraveghere ca reprezentant al Clientului
Punct de contact pentru Autoritatea de Supraveghere în relația cu Clientul
Notificarea și coordonarea intervenției rapide privind breșele de securitate
Punct de contact pentru cererile persoanelor vizate (SAR), coordonarea reacției la cererile persoanelor vizate.
Sprijin onsite/remote în investigații sau audit extern de privacy din partea ANSPDCP sau a clienților/partenerilor de afaceri
Monitorizarea actualizării Registrului Prelucrărilor și a Evidențelor privind conformitatea cerute de legile și normativele privind data privacy.
