Ochrona danych osobowych (RODO)

Zastanawiasz się, czy Twoja organizacja powinna wyznaczyć Inspektora Ochrony Danych (IOD)? Planujesz otworzyć nową spółkę w Unii Europejskiej lub zacząć oferować nowy rodzaj usług dla swoich klientów? Chcesz dowiedzieć się, jakie są aktualne wymagania wynikające z RODO i czy jesteś zgodny z RODO?

EY może pomóc Ci ocenić, czy potrzebujesz Inspektora Ochrony Danych oraz pomoże wybrać odpowiednią osobę, wyznaczyć ją i powiadomić o tym organ nadzorczy. Jeśli nie chcesz zatrudniać IOD na własną rękę, EY Law może działać jako zewnętrzny IOD i codziennie pomagać Ci w rozwiązywaniu problemów związanych z ochroną danych.

Nasz zespół od lat wspiera międzynarodowe organizacje i inspektorów ochrony danych w różnych lokalizacjach UE w wypełnianiu obowiązków regulacyjnych w zakresie ochrony danych użytkowników, pracowników i kontrahentów na najwyższym poziomie jakości oraz jak najskuteczniejszego przestrzegania wymogów RODO i wytycznych lokalnych.

Nasze wsparcie obejmuje:

• Przeprowadzanie oceny IOD w celu ustalenia, czy organizacja jest zobowiązana do wyznaczenia IOD.
• Zapewnienie dedykowanego prawnika w ramach usługi outsourcingu personelu jako eksperta do bieżącego wsparcia wewnątrz Twojej organizacji – na Twoje życzenie opcja ta może obejmować wysłanie naszego eksperta do siedziby Twojej organizacji, który pozwoli nam dokładnie zrozumieć procedury obowiązujące w Twojej organizacji i oczekiwania interesariuszy, aby móc dostosować procedury ochrony danych i dopasować je do istniejącej struktury organizacji i przepływu danych (usługa oddelegowania).
• Elastyczne pakiety godzin wsparcia ze strony naszych prawników w razie potrzeby, w tym wsparcie we wdrożeniu nowych technologii i rozwiązań opartych na danych w Twojej organizacji, a także wsparcie w zarządzaniu kryzysowym.
• Infolinia z naszym zespołem prawnym, ekspertami, przeznaczona dla firm, które potrzebują szybkiego i skutecznego wsparcia prawnego w zakresie ochrony danych osobowych oraz reagowania na incydenty.
• Profesjonalne wsparcie w zakresie procedur wyznaczania inspektorów ochrony danych w kraju docelowym, komunikacji z lokalnymi władzami oraz weryfikacji specyficznych lokalnych wymagań dotyczących IOD.

Zastanawiasz się, jak stać się bardziej zaufanym partnerem biznesowym i udowodnić niezawodność w dziedzinie prywatności?

Nasz zespół ekspertów we współpracy z EY Cybersecurity Compliance Team oferuje usługi związane z certyfikacją International Standard on Assurance Engagements (ISAE), ze szczególnym naciskiem na ochronę danych i bezpieczeństwo informacji. ISAE 3000 Assurance Engagement ma na celu zapewnienie klientom i interesariuszom niezależnie potwierdzonej pewności, że ich praktyki w zakresie ochrony danych i kontroli bezpieczeństwa informacji są zgodne z ustalonymi standardami.

Przeprowadzamy niezależne oceny środków kontroli, polityk i praktyk w zakresie ochrony danych i bezpieczeństwa informacji w organizacji, aby ocenić zgodność z odpowiednimi standardami i przepisami. Dostarczamy kompleksowy raport na temat skuteczności tych kontroli w określonym czasie i wystawiamy certyfikat, który może być wykorzystany do udowodnienia wiarygodności organizacji przed jej klientami.

Raport odpowiada na potrzeby dostawcy – może odnosić się do oceny skuteczności mechanizmów zapewniających jakość danych w systemie. Zakres takiego raportu może być zdefiniowany zgodnie z życzeniem klienta i dokładnie odpowiadać na jego konkretne potrzeby. Raport ISAE 3000 często porusza kwestie związane z zapewnieniem prawidłowego działania środowiska kontroli wewnętrznej w odniesieniu do wymogów RODO.

Korzyści płynące z certyfikacji dla Twojej organizacji obejmują:

• Raport ISAE 3000 to niezależny certyfikat strony trzeciej, uznawany na całym świecie jako dowód skutecznej polityki prywatności w Twojej organizacji.
• Certyfikat może służyć jako dowód w przypadku roszczeń związanych z prywatnością.
• Niektórzy klienci typu enterprise mogą wymagać tego typu certyfikacji w procedurach klasyfikacji zabezpieczeń.
• Jest to dodatkowy znak dla Twoich obecnych i nowych klientów, jak bardzo Twojej organizacji zależy na zgodnym z przepisami przetwarzaniu ich poufnych informacji i wrażliwych danych.

Czy usługi Twojej organizacji wiążą się z przetwarzaniem, przechowywaniem lub przekazywaniem wrażliwych danych klientów? Czy Twoi klienci często proszą o informacje na temat kontroli wewnętrznych, praktyk bezpieczeństwa i zgodności? Czy chcesz zyskać przewagę nad konkurencją, wykazując silne zaangażowanie w bezpieczeństwo danych i zgodność z przepisami? Czy zidentyfikowałeś potencjalne zagrożenia lub luki w zabezpieczeniach swoich systemów, które mogą mieć wpływ na bezpieczeństwo danych klientów?

Oferujemy usługi atestacyjne, aby zwiększyć wiarygodność Twojej organizacji i zdobyć zaufanie Twoich klientów.

SOC 2 (Service Organization Control 2) to powszechnie uznawany standard audytu opracowany przez Amerykański Instytut Biegłych Rewidentów (AICPA) w celu oceny i raportowania kontroli i procesów związanych z bezpieczeństwem, dostępnością, integralnością przetwarzania, poufnością i prywatnością danych w organizacjach usługowych. Koncentruje się na mechanizmach kontroli stosowanych przez organizację usługową w celu zapewnienia bezpieczeństwa i prywatności danych klientów i innych poufnych informacji.

Raporty SOC 2 są często wymagane przez klientów, partnerów i interesariuszy jako sposób oceny praktyk w zakresie bezpieczeństwa i ochrony danych organizacji usługowej przed nawiązaniem z nią współpracy. Raporty te dają pewność, że systemy, procesy i procedury organizacji usługowej są zgodne z najlepszymi praktykami branżowymi i odpowiednimi wymogami prawnymi.

Jakie są korzyści z SOC dla Twojej organizacji?

Raport SOC:

• potwierdza wdrożenie i skuteczność operacyjną mechanizmów kontrolnych w Twojej organizacji,
• ogranicza liczbę i zakres audytów przeprowadzanych przez audytorów klienta,
• umożliwia wykorzystanie wiedzy profesjonalistów do oceny wdrożonych procesów i identyfikacji obszarów wymagających poprawy,
• pomaga spełnić oczekiwania klientów dotyczące jakości świadczonych usług, potwierdzone raportem wydanym przez niezależnego audytora.

Jakie są korzyści z certyfikacji SOC dla Twoich klientów?

Certyfikacja:

• umożliwia obniżenie kosztów audytów dostawców usług,
• wydaje niezależną opinię na temat skuteczności systemu kontroli wewnętrznej organizacji świadczącej usługi,
• umożliwia monitorowanie ryzyka i daje pewność odpowiedniego poziomu kontroli nad świadczonymi usługami i dostarczaną technologią,
• pomaga spełnić wymagania stawiane przez organy regulacyjne.

Czy Twoja organizacja przekazuje dane osobowe do krajów spoza Europejskiego Obszaru Gospodarczego (EOG)? Korzystasz z narzędzi globalnych gigantów technologicznych? Zastanawiasz się, jakie środki techniczne i organizacyjne należy zastosować, aby zapewnić bezpieczeństwo i poufność przekazywanych danych? Czy rozważałeś skorzystanie z zabezpieczeń zatwierdzonych przez RODO w przypadku tych transferów, takich jak standardowe klauzule umowne (SCC) lub wiążące reguły korporacyjne (BCR)?

Zgodnie z orzeczeniem w sprawie Schrems II, dla skuteczności wszystkich zabezpieczeń dotyczących przekazywania danych poza EOG do krajów, które nie posiadają decyzji stwierdzającej odpowiedni stopień ochrony wydanej przez Komisję Europejską – konieczne jest przeprowadzenie badania wpływu przekazywania danych na ochronę danych.

Ocena skutków transferu (TIA) to proces, który ocenia potencjalny wpływ przekazywania danych osobowych z jednej jurysdykcji do drugiej. Ta ocena pomaga organizacjom zapewnić zgodność z przepisami o ochronie danych oraz chronić prawa i prywatność osób, których dane są przekazywane.

Nasz zespół ma udokumentowane doświadczenie w pomaganiu organizacjom w ocenie wpływu transferu. Oto niektóre z kluczowych usług, które świadczymy:

• Przegląd i analiza prawna: Dokonujemy przeglądu umowy o przekazywaniu danych i oceniamy jej skutki prawne zgodnie z odpowiednimi przepisami o ochronie danych, takimi jak RODO (ogólne rozporządzenie o ochronie danych) lub innymi obowiązującymi przepisami, a także oceniamy sytuację prawną w kraju odbiorcy w celu ustalenia poziomu ryzyka.

• Zgodność między jurysdykcjami: Zapewniamy, że transfer danych jest zgodny zarówno z przepisami o ochronie danych w jurysdykcji źródłowej, jak i docelowej, w tym oceniamy podstawy prawne przekazywania danych oraz adekwatność ochrony i stosujemy odpowiednie środki bezpieczeństwa w celu zapewnienia, że transfer jest bezpieczny dla danych pochodzących z UE.

• Ocena mechanizmów przekazywania danych: Doradzamy w zakresie najodpowiedniejszych mechanizmów przekazywania danych, takich jak Standardowe Klauzule Umowne (SCC), Wiążące Reguły Korporacyjne (BCR) i inne – pomagamy w wyborze i przygotowaniu potrzebnych dokumentów, a także zapewniamy ich skuteczność.

Jako kompetentny i doświadczony doradca w zakresie ochrony prywatności w fazie projektowania dla sztucznej inteligencji, nasz zespół ekspertów pomaga organizacjom poruszać się po skomplikowanym skrzyżowaniu przepisów dotyczących sztucznej inteligencji i ochrony danych, jednocześnie budując zaufanie i zgodność. Nasze rozwiązania są zgodne z nowo przyjętym w Unii Europejskiej rozporządzeniem ws. sztucznej inteligencji (Artificial Intelligence Act), a także z zaleceniami dotyczącymi ochrony danych w systemach AI w UE.

Prywatność w fazie projektowania to koncepcja, która kładzie nacisk na uwzględnianie kwestii ochrony danych w projektowaniu i opracowywaniu technologii, w tym systemów sztucznej inteligencji. Jest ona niezbędna w każdym przypadku, gdy sztuczna inteligencja będzie wykorzystywana w związku z danymi osobowymi. EY jest dobrze wyspecjalizowane w zakresie wdrażania rozwiązań AI i jesteśmy chętni do pomocy w osiągnięciu niezbędnej zgodności z przepisami.

Oto usługi prawne, które oferujemy w tym zakresie:

• Oceny wpływu na prywatność (PIA) w odniesieniu do systemów sztucznej inteligencji. Przeprowadzamy oceny prywatności systemów sztucznej inteligencji w celu zidentyfikowania potencjalnych zagrożeń dla prywatności i zarekomendowania środków mających na celu włączenie ochrony prywatności w projekt i działanie tych systemów.
• Opracowywanie polityk prywatności i klauzule informacyjne. Tworzymy polityki prywatności i klauzule informacyjne specjalnie dostosowane do zastosowań AI, zapewniając przejrzystość praktyk przetwarzania danych i wyjaśniając, w jaki sposób technologie AI przetwarzają dane osobowe. Pomagamy również w opracowaniu strategii dostarczania klauzul informacyjnych osobom, których dane dotyczą, w odpowiednim czasie i we właściwy sposób.
• Zgodność z RODO dla sztucznej inteligencji. Doradzamy, w jaki sposób systemy sztucznej inteligencji mogą spełniać wymogi ogólnego rozporządzenia o ochronie danych (RODO), w tym w zakresie zgodnego z prawem przetwarzania, praw osób, których dane dotyczą, oraz transgranicznego przekazywania danych.
• Strategie minimalizacji danych i ograniczania celu. Pomagamy w projektowaniu systemów AI, które gromadzą i przetwarzają tylko niezbędne dane, ograniczając zakres zbierania danych w celu zminimalizowania zagrożeń dla prywatności.
• Mechanizmy zgody na sztuczną inteligencję. Opracowujemy mechanizmy zgody na zastosowanie sztucznej inteligencji, dbając o to, aby użytkownicy wyrażali świadomą i wyraźną zgodę na działania związane z przetwarzaniem danych, gdy jest to potrzebne.
• Techniki anonimizacji i pseudonimizacji. Doradzamy w zakresie technik anonimizacji lub pseudonimizacji danych wykorzystywanych w systemach sztucznej inteligencji w celu ochrony prywatności osób fizycznych przy jednoczesnym zachowaniu użyteczności danych.
• Umowy dotyczące ochrony danych osobowych. Przygotowujemy umowy dotyczące udostępniania danych, współpracy lub partnerstwa związanego ze sztuczną inteligencją w celu zapewnienia zgodności z wymogami przepisów o ochronie danych osobowych.
• Rozwiązania w zakresie transgranicznego transferu danych. Zapewniamy wskazówki dotyczące transgranicznego przesyłania danych generowanych lub przetwarzanych przez sztuczną inteligencję przy jednoczesnym przestrzeganiu przepisów o ochronie danych i międzynarodowych mechanizmów przekazywania danych.
• Etyka i uczciwość w zakresie sztucznej inteligencji. Zajmujemy się kwestiami etycznymi i kwestiami uczciwości w projektowaniu sztucznej inteligencji, zapewniając, że systemy sztucznej inteligencji nie prowadzą do stronniczych lub dyskryminujących wyników.
• Monitorowanie zgodności z przepisami. Monitorujemy rozwój przepisów dotyczących sztucznej inteligencji i ochrony danych, aby zapewnić ciągłą zgodność i rekomendować niezbędne dostosowania systemów sztucznej inteligencji.
• Planowanie reagowania na incydenty dla sztucznej inteligencji. Pomagamy w opracowywaniu planów reagowania na incydenty specjalnie dostosowanych do naruszeń prywatności lub incydentów bezpieczeństwa związanych ze sztuczną inteligencją.

Czy Twoja organizacja śledzi rozwój sytuacji związanej z Aktem ws. zarządzania danymi (Data Governance Act)? Czy zastanawiasz się nad jego potencjalnym wpływem na zarządzanie danymi i praktyką ich udostępniania? Zastanawiasz się, w jaki sposób Twoja organizacja może skorzystać z tych unijnych ram zaufanej wymiany danych ponad granicami?

Akt w sprawie zarządzania danymi (DGA) jest kluczowym filarem strategii Unii Europejskiej w zakresie danych, ponieważ ma na celu przyspieszenie wymiany danych, wzmocnienie procesów dostępności danych oraz umożliwienie podmiotom prywatnym i publicznym ponownego wykorzystywania danych bez przeszkód technicznych. Rozporządzenie weszło w życie 23 czerwca 2022 r., a jego celem jest wspieranie tworzenia i rozwoju wspólnych unijnych przestrzeni danych w obszarach strategicznych.

Nasz zespół ekspertów pomaga zidentyfikować potencjalne obszary, w których Twoja organizacja mogłaby skorzystać z Data Governance Act oraz zapewnia kompleksowe wsparcie w realizacji projektów data-driven, zgodnie z RODO i Data Governance Act. Jesteśmy w stanie pomóc w zarządzaniu danymi i ich udostępnianiu m.in. w następujących obszarach:

• Transgraniczna wymiana danych. Głównym celem DGA jest stworzenie ram dla bezpiecznej i ustandaryzowanej transgranicznej wymiany danych. Jeśli Twoja organizacja opiera się na udostępnianiu danych partnerom, klientom lub usługodawcom w państwach członkowskich UE, możemy pomóc Ci skorzystać z bardziej usprawnionych i zharmonizowanych procesów.
• Badania naukowe i innowacje. Organizacje zajmujące się badaniami, rozwojem i innowacjami często wymagają dostępu do różnorodnych zestawów danych na potrzeby analiz i spostrzeżeń. DGA może zapewnić bardziej dostępny i ustandaryzowany sposób współpracy i udostępniania danych ponad granicami, promując innowacje, a nasz zespół może doradzić, jak to zrobić!
• Podejmowanie decyzji w oparciu o dane. Przedsiębiorstwa, które w dużym stopniu opierają się na danych przy podejmowaniu decyzji, mogą skorzystać na lepszym dostępie do wysokiej jakości danych z różnych źródeł. DGA mogłaby zachęcać do lepszych praktyk w zakresie udostępniania danych, prowadząc do podejmowania bardziej trafnych i świadomych decyzji. Pomożemy Ci w znalezieniu sposobów na uzyskanie i wykorzystanie danych zgodnie z prawem unijnym i lokalnym.
• Usługi i platformy cyfrowe. Przedsiębiorstwa, które świadczą usługi cyfrowe lub prowadzą platformy, które wiążą się z wymianą danych między użytkownikami, mogą uznać DGA za korzystne. Rozporządzenie mogłoby pomóc w ustanowieniu jasnych zasad udostępniania danych i mechanizmów dostępu do danych. Pomożemy Ci zidentyfikować i wykorzystać tę prawną możliwość.  
• Zarządzanie łańcuchem dostaw. Przedsiębiorstwa o złożonych łańcuchach dostaw, które obejmują różne kraje UE, mogą mieć trudności z udostępnianiem danych związanych z łańcuchem dostaw, takich jak poziomy zapasów, dane dotyczące logistyki i produkcji, zgodnie z DGA. Pomożemy Ci opracować strategię, zaprojektować i wdrożyć przepływy udostępniania danych w Twoich łańcuchach dostaw.
• Smart Cities i IoT. Organizacje zajmujące się tworzeniem rozwiązań dla Smart Cities, urządzeń IoT i połączonej infrastruktury mogą skorzystać ze standardowych praktyk udostępniania danych, które zwiększają interoperacyjność i bezpieczeństwo danych. Pomożemy Ci stworzyć mechanizmy udostępniania danych, które są zgodne z prawem unijnym i lokalnym.
• Monetyzacja i komercjalizacja danych. Organizacje, które chcą skomercjalizować lub spieniężyć swoje zasoby danych, mogą uznać DGA za korzystne pod względem standardowych umów, ram odpowiedzialności i uprawnień do korzystania z danych. Pomożemy Ci przygotować te dokumenty.
• Start-upy i MŚP. Przepisy DGA mogłyby przynieść szczególne korzyści przedsiębiorstwom typu start-up oraz małym i średnim przedsiębiorstwom (MŚP), zmniejszając bariery w udostępnianiu danych i umożliwiając im dostęp do zasobów danych od większych partnerów. Być może pomożemy Ci znaleźć i wykorzystać nowe możliwości.
• Dane środowiskowe. Dostępne dane publiczne mogą pomóc Twojej organizacji w opracowaniu lub wdrożeniu rozwiązań dotyczących śladu węglowego, ekologicznego stylu życia, walki ze zmianami klimatu, monitorowania klęsk żywiołowych. EY może pomóc w legalnym pozyskiwaniu i wykorzystywaniu danych oraz wdrażaniu konkretnych zielonych rozwiązań.
• Dane dotyczące mobilności. Twoje innowacyjne produkty i usługi mogą być związane z transportem publicznym i nawigacją w czasie rzeczywistym. Pomagamy w prawidłowym pozyskiwaniu i wykorzystywaniu danych.
• Dane dotyczące zdrowia. Twoja organizacja może dostarczać innowacje oparte na danych mające na celu poprawę opieki zdrowotnej, zapewniając lepiej dostosowane prywatne zabiegi. EY może pomóc w przygotowaniu ram prawnych do prowadzenia takich działań zgodnie z prawem unijnym i lokalnym.

Ochrona danych w kontekście sprzętu medycznego obejmuje zapewnienie, że gromadzenie, przetwarzanie, przechowywanie i udostępnianie danych osobowych i wrażliwych danych zdrowotnych jest zgodne z obowiązującymi przepisami i regulacjami dotyczącymi ochrony danych. Oto kilka kluczowych aspektów prawnych, które należy wziąć pod uwagę w dziedzinie ochrony danych dotyczących sprzętu medycznego – w czym nasi prawnicy zajmujący się ochroną danych mogą pomóc Ci się poruszać:

• Przepisy o ochronie danych osobowych. Bardzo ważne jest, aby zrozumieć i przestrzegać odpowiednich przepisów i regulacji dotyczących ochrony danych, takich jak RODO w Unii Europejskiej lub Health Insurance Portability and Accountability Act (HIPAA) w Stanach Zjednoczonych, w zależności od jurysdykcji.
• Wrażliwe dane zdrowotne. Sprzęt medyczny może wiązać się z gromadzeniem i przetwarzaniem wrażliwych danych dotyczących zdrowia, co wymaga zwiększonej ochrony. Zapewnienie zgodności z wymogami prawnymi dotyczącymi przetwarzania danych wrażliwych, takich jak uzyskanie wyraźnej zgody lub spełnienie uzasadnionych kryteriów przetwarzania.
• Podstawa prawna przetwarzania. Istotne może być zidentyfikowanie i ustanowienie podstawy prawnej przetwarzania danych dotyczących zdrowia, takiej jak konieczność przetwarzania w celu diagnozy medycznej, leczenia lub zarządzania usługami opieki zdrowotnej.
• Świadoma zgoda. W niektórych przypadkach przedsiębiorstwa mogą być zmuszone do uzyskania wyraźnej i świadomej zgody od osób fizycznych przed gromadzeniem i przetwarzaniem ich danych dotyczących zdrowia, zapewniając im przejrzyste informacje o tym, w jaki sposób ich dane będą wykorzystywane.
• Ograniczenie celu. Organizacje mogą przetwarzać dane dotyczące zdrowia wyłącznie w określonych i zgodnych z prawem celach związanych ze świadczeniem usług zdrowotnych lub funkcjonowaniem sprzętu medycznego.
• Minimalizacja danych. Podmioty mogą gromadzić i przetwarzać jedynie minimalną ilość danych dotyczących zdrowia niezbędną do osiągnięcia zamierzonego celu, ograniczając ryzyko nadmiernego gromadzenia danych. Jednocześnie konieczna jest skuteczna i holistyczna diagnoza.
• Środki bezpieczeństwa. Ważne jest, aby wdrożyć solidne środki bezpieczeństwa w celu ochrony danych zdrowotnych przed nieautoryzowanym dostępem, naruszeniami i cyberatakami, zapewniając poufność i integralność danych.

Biorąc pod uwagę wrażliwy charakter danych zdrowotnych i zmieniający się krajobraz prawny, ważne jest, aby Twoja organizacja ściśle współpracowała z ekspertami prawnymi, którzy specjalizują się w ochronie danych i przepisach dotyczących opieki zdrowotnej, aby zapewnić kompleksową zgodność i ochronę danych podczas korzystania ze sprzętu medycznego, a nasz zespół może pomóc Ci w tych działaniach.

Nasi eksperci świadczą szereg usług w zakresie przekrojowej analizy przepisów o ochronie danych osobowych. Wiąże się to z pomaganiem organizacjom w poruszaniu się po złożonym krajobrazie przepisów i regulacji dotyczących ochrony danych w różnych krajach lub regionach, zapewniając zgodność, minimalizując ryzyko prawne i ułatwiając płynny przepływ danych przez granice. Nasza pomoc obejmuje:

• Mapowanie regulacyjne i analiza luki. Pomożemy Ci zidentyfikować i zmapować przepisy i regulacje dotyczące ochrony danych mające zastosowanie do określonych operacji biznesowych w wielu jurysdykcjach. Przeprowadzamy analizę luki, aby ocenić obecne praktyki biznesowe w odniesieniu do wymogów prawnych w każdej jurysdykcji.
• Oceny zgodności. Oceniamy działania, polityki i praktyki organizacji w zakresie przetwarzania danych, aby zapewnić zgodność z przepisami o ochronie danych w różnych jurysdykcjach. W związku z tym przedstawiamy zalecenia dotyczące niezbędnych korekt w celu osiągnięcia zgodności.
• Mechanizmy przekazywania danych. Doradzamy w zakresie mechanizmów prawnych i zabezpieczeń wymaganych przy transgranicznym przekazywaniu danych, takich jak standardowe klauzule umowne, wiążące reguły korporacyjne (BCR) oraz decyzje stwierdzające odpowiedni stopień ochrony.
• Strategie przechowywania danych w wielu jurysdykcjach. Mając dostęp do wiedzy i doświadczenia ekspertów prawnych na całym świecie, jesteśmy w stanie zebrać informacje na temat wymogów dotyczących przechowywania danych w jurysdykcji, w której działają nasi Klienci i pomóc w wyborze zgodnego z przepisami, ale jednolitego podejścia do retencji danych dla całej organizacji.
• Strategie transgranicznego przepływu danych. Opracowujemy strategie zarządzania danymi osobowymi i ich przekazywania między jurysdykcjami, jednocześnie minimalizując ryzyka prawne i związane z przestrzeganiem przepisów. Przygotowujemy wzory ocen skutków przeniesień, przeprowadzamy te oceny, przygotowujemy Wiążące Reguły Korporacyjne oraz przygotowujemy niezbędne umowy, w tym dotyczące Standardowych Klauzul Umownych.
• Dostosowanie polityk i klauzul informacyjnych do wymogów lokalnych. Opracowujemy lub weryfikujemy polityki prywatności, warunki użytkowania i informacje o przetwarzaniu danych dostosowane do wymagań różnych jurysdykcji. Zapewniamy również praktyczne strategie tworzenia dokumentów w celu zapewnienia zgodności z prawem w całej UE lub na świecie.
• Mechanizmy zgody. Opracowujemy i wdrażamy mechanizmy zgody, które są zgodne z wymogami różnych jurysdykcji, zapewniając uzyskanie właściwej i ważnej zgody od osób, których dane dotyczą.
• Łącznik regulacyjny. Kontaktujemy się z odpowiednimi organami ochrony danych w różnych jurysdykcjach, odpowiadamy na zapytania i zarządzamy interakcjami regulacyjnymi.
• Transgraniczne fuzje i przejęcia. Świadczymy usługi doradztwa prawnego w zakresie ochrony danych osobowych podczas transgranicznych fuzji, przejęć lub transakcji biznesowych, a także podczas łączenia i przenoszenia baz danych.
• Monitorowanie i aktualizacje. Na bieżąco informujemy klientów o zmianach w przepisach i regulacjach dotyczących ochrony danych osobowych w różnych jurysdykcjach, które mogą mieć wpływ na ich działalność.

Inspektor ochrony danych jest kluczową osobą odpowiedzialną za zapewnienie zgodności z przepisami o ochronie danych, w szczególności z ogólnym rozporządzeniem o ochronie danych (RODO) w Unii Europejskiej. Nasi eksperci mogą pomóc w audycie roli IOD w Twojej organizacji.

Nasz zespół prawników specjalizujących się w ochronie danych posiada dogłębną wiedzę na temat wymogów prawnych związanych z rolą inspektora ochrony danych, w tym wytycznych władz lokalnych. Możemy udzielić wskazówek dotyczących konkretnych obowiązków i odpowiedzialności inspektora ochrony danych, zgodnie z odpowiednimi przepisami.

Możemy również pomóc w zaplanowaniu procesu audytu dla roli IOD. Obejmuje to określenie zakresu audytu, określenie odpowiednich wymogów prawnych i regulacyjnych oraz opracowanie kompleksowego planu audytu. Ostatnim etapem jest przegląd dokumentacji i działań IOD w celu oceny zgodności z wymogami prawnymi. Obejmuje to przegląd polityk ochrony danych, procedur, rejestrów czynności przetwarzania, procesów zarządzania naruszeniami danych oraz wszelkiej innej istotnej dokumentacji.

Nasz zespół oferuje kompleksową ocenę niezależności IOD. RODO wymaga, aby IOD działał niezależnie i bez konfliktu interesów. Nasz zespół jest w stanie ocenić, czy IOD utrzymuje niezależną pozycję w organizacji i nie podlega nadmiernym wpływom, a także czy posiada pożądany poziom wiedzy i umiejętności zawodowych.