Etapy realizowanego projektu:

1.Audyt wstępny i identyfikacja ryzyk

W pierwszym etapie przeprowadzony został szczegółowy audyt stanu zgodności z obowiązującymi przepisami ochrony danych osobowych oraz identyfikacja luk i ryzyk w kontekście wymagań RODO. Analizie poddano m.in. struktury organizacyjne, zasoby IT, dokumentację wewnętrzną oraz praktyki związane z dostępem i przetwarzaniem danych osobowych.

2. Współtworzenie i aktualizacja dokumentacji

Brałam aktywny udział w opracowaniu oraz aktualizacji kluczowych dokumentów wewnętrznych, w tym:

• Polityki bezpieczeństwa informacji,

• Instrukcji zarządzania systemami informatycznymi,

• Rejestru czynności przetwarzania i rejestru kategorii czynności,

• Procedur obsługi naruszeń,

• Polityki retencji danych,

• Procedur realizacji praw osób, których dane dotyczą.

Tworzenie polityki bezpieczeństwa informacji odbywało się we współpracy
z zespołem IT oraz działem bezpieczeństwa, z uwzględnieniem wymagań nie tylko RODO, ale również przepisów sektorowych i zaleceń UODO.

3. Dostosowanie systemów IT i procesów biznesowych

Wspólnie z zespołami odpowiedzialnymi za bezpieczeństwo informacji, IT, marketing, obsługę klienta i windykację wdrażaliśmy wymagane zmiany w systemach informatycznych, aplikacjach i procedurach operacyjnych. Udzielałam wsparcia prawnego przy tworzeniu umów powierzenia przetwarzania danych, klauzul informacyjnych i zgód marketingowych.

4. Szkolenia wewnętrzne i budowanie kultury ochrony danych

Prowadziłam szkolenia dla pracowników obejmujące praktyczne aspekty stosowania RODO, reagowania na incydenty oraz realizacji obowiązków informacyjnych. Dodatkowo opracowane zostały materiały szkoleniowe oraz procedury onboardingowe dla nowych pracowników.

5. Monitoring i nadzór nad systemem

Po wejściu RODO w życie, jako Inspektor Ochrony Danych w Grupie VECTRA pełniłam bieżący nadzór nad przestrzeganiem przepisów, przeprowadzałam kontrole wewnętrzne oraz wspierałam działy w analizach DPIA (ocena skutków dla ochrony danych) i przy projektowaniu nowych usług z uwzględnieniem zasad privacy by design/by default.

Zakres mojego wkładu obejmował:

• doradztwo strategiczne dla zarządu w zakresie wdrażania RODO,

• tworzenie i konsultacje dokumentów wewnętrznych oraz polityk,

• koordynację działań w zakresie ochrony danych osobowych między zespołami IT, HR, obsługi klienta, marketingu i sprzedaży,

• współpracę przy wdrażaniu rozwiązań technicznych zapewniających bezpieczeństwo danych (m.in. szyfrowanie, backupy, logowanie dostępu),

• przygotowanie firmy do kontroli i ewentualnych postępowań ze strony UODO.