R

RODO

RODO miało być jednorazowym wdrożeniem. Kilka lat później okazuje się fundamentem, na którym stoją kolejne regulacje. AI Act, NIS2, DORA. Każda z nich wymusza rewizję tego, co zrobiłeś na początku. Firmy, które traktowały RODO jako zamknięty projekt, właśnie odkrywają, że muszą je otworzyć na nowo.

Kompleksowe wdrożenia i aktualizacje RODO

Twoje wdrożenie RODO ma kilka lat i od tamtej pory nikt go poważnie nie ruszał. Tymczasem weszły nowe regulacje. AI Act, NIS2, DORA. Zakładają, że masz uporządkowane przetwarzanie danych. Albo firma urosła: nowe spółki, nowe produkty, nowe rynki, a ochrona danych została w poprzedniej wersji organizacji. Przychodzi audyt od partnera lub zapowiada się kontrola i okazuje się, że dokumentacja opisuje firmę, która już nie istnieje.

Oferujemy pełną rewizję i aktualizację wdrożenia. Polityki, rejestry, klauzule, obowiązki informacyjne dostosowane do tego, jak firma działa dziś i jakim regulacjom podlega. System, który wytrzyma due diligence partnera, kontrolę regulatora i audyt pod kątem nowych przepisów.

Inspektor Ochrony Danych: outsourcing i wsparcie

Potrzebujesz IOD-a, ale nie masz w zespole nikogo, kto łączy wiedzę prawną z rozumieniem technologii i biznesu. Albo masz IOD-a, ale zostaje sam z pytaniami, na które nie ma prostych odpowiedzi. Nowy system, nietypowy proces, zapytanie od partnera z zagranicy, wdrożenie AI, które wymaga oceny skutków.

Inspektora, który zna specyfikę firm technologicznych i umie rozmawiać zarówno z zarządem, jak i z działem IT. Albo wsparcie dla obecnego IOD-a. Dostęp do zespołu, który pomoże w trudniejszych kwestiach bez przejmowania całej funkcji.

Zewnętrzny IOD rozwiązuje jeszcze jeden problem, o którym rzadko się mówi wprost: konflikt interesów. Gdy IOD pełni w firmie również inne role, jego niezależność staje pod znakiem zapytania — a to podstawa do kary. Outsourcing eliminuje ten risk by design.

IOD wpisany do rejestru to wymóg. IOD, który mówi „nie" we właściwym momencie, to ochrona.

RODO było modelem, jak powinniśmy postępować od teraz: jeden kontynent, jedno prawo.

Viviane Reding, komisarz UE ds. sprawiedliwości w latach 2010–2014.

Obsługa kontroli i postępowań regulatora

Wpływa zawiadomienie o kontroli albo wezwanie do złożenia wyjaśnień. Terminy są krótkie, pytania szczegółowe, a każda odpowiedź może zaważyć na wyniku postępowania. Zespół potrzebuje wsparcia. Co udostępnić, jak sformułować wyjaśnienia, jak nie zrobić niepotrzebnych błędów proceduralnych.

Wsparcie od pierwszego dnia. Przygotowanie dokumentacji, ułożenie odpowiedzi, obecność przy czynnościach kontrolnych. Wiemy jak myśli regulator i jak z nim dyskutować, bo nie zawsze ma rację i nie jest instancją ostateczną.

Regulator nie jest nieomylny. Ale żeby z nim wygrać, musisz wiedzieć jak grać.

Naruszenia ochrony danych: reakcja i zgłoszenia

Wyciekły dane, ktoś wysłał plik do złego odbiorcy, albo atak ransomware zaszyfrował bazę klientów. Masz 72 godziny na zgłoszenie do regulatora. Masz też znacznie mniej czasu na decyzje, które przesądzą o skali konsekwencji.

Masz przy sobie zespół, który pomoże ocenić incydent. Czy zgłaszać, komu, jak opisać, co powiedzieć klientom. Prawnicy i eksperci od komunikacji kryzysowej przeprowadzą cię przez pierwszą dobę bez paniki i bez błędów, które potem trudno odkręcić.

Gdy liczy się każda minuta, nasza gotowość jest bezcenna.

Transfery danych poza EOG

Rozwijasz się na rynki poza Europą, wdrażasz narzędzia od dostawców z USA czy Azji, albo partner globalny wymaga przepływu danych między kontynentami. Każdy taki transfer wymaga podstawy prawnej, a od wyroku Schrems II proste rozwiązania przestały działać.

Przygotowujemy analizę transferów i dobieramy właściwy mechanizm. Standardowe klauzule, reguły korporacyjne, decyzja o adekwatności. Do tego dokumentację, która wytrzyma pytania audytora i regulatora.

Dane nie uznają granic. Prawo owszem.

RODO w AI i profilowaniu

Wdrażasz algorytm, który ocenia klientów, segmentuje użytkowników albo wspiera decyzje kredytowe czy rekrutacyjne. RODO ma na ten temat sporo do powiedzenia. Od obowiązku informacyjnego, przez prawo do wyjaśnienia decyzji, po zakaz pełnej automatyzacji w niektórych przypadkach. A teraz dochodzi AI Act z własnym zestawem wymagań.

Sprawdzamy, które wymogi dotyczą twojego systemu, jak je spełnić bez paraliżowania produktu i jak opisać przetwarzanie w sposób zrozumiały dla użytkownika i akceptowalny dla regulatora.