kto ma dostęp do danych klientów?
Sprawdzimy, jakie dane trafią do dostawcy, kto będzie za nie odpowiadał i czy umowa dobrze opisuje współpracę. Jeśli trzeba, przygotujemy dokumenty, procedury i checklisty dla zespołu.
Nasze rozwiązanie
Poprawimy waszą relację z dostawcą
Nie kończymy pracy na DPIA, tabeli pytań ani liście rzeczy „do dalszej analizy”. Jeśli dostawca ma pracować na danych, pomagamy przejść przez cały temat: od ustalenia ról i przepływu danych, przez ocenę dokumentów, po poprawki w umowach, procedury i zasady pracy dla zespołu.
Ustalimy role
Zanim powstanie umowa, musicie wiedzieć, czy dostawca jest procesorem, administratorem, współadministratorem czy pełni kilka roli naraz.
Możemy:
- przeanalizować model współpracy z dostawcą,
- ustalić, kto decyduje o celach i sposobach przetwarzania danych,
- sprawdzić, czy umowa powierzenia jest właściwym dokumentem,
- wskazać miejsca, w których role stron są niejasne,
- przygotować uzasadnienie dla IOD, zarządu albo biznesu.
Rezultat etapu to
Sprawdzimy, co dostawca robi z danymi
Zanim podpiszecie umowę albo przekażecie dostęp, musicie wiedzieć jaką usługę dostawca ma wykonać, jakie dane dostanie, kto jeszcze może je zobaczyć i czy dokumenty opisują to, co dostawca może zrobić z danymi.
Możemy:
- przejrzeć umowę, załączniki, opis usługi, polityki dostawcy i informacje o narzędziu
- ustalić, jakie dane trafią do dostawcy i do czego będą używane
- sprawdzić, czy dostawca korzysta z podwykonawców, chmury, supportu albo narzędzi spoza Europy
- przygotować pytania do dostawcy, ale nie zostawić Was z samą listą wątpliwości
- przełożyć odpowiedzi dostawcy na decyzję: co można zaakceptować, co trzeba poprawić, a czego nie warto podpisywać bez zmian
Rezultatem są:
Przygotujemy umowy
Jeśli relacja wymaga dokumentów, przygotujemy je pod konkretną usługę, a nie wzór. Umowa ma dokładnie i prosto opisywać to, co dostawca robi z danymi, a nie tylko powtarzać przepisy.
Możemy:
- przygotować umowę powierzenia przetwarzania danych,
- poprawić załącznik RODO do umowy głównej,
- dopisać instrukcje przetwarzania, kategorie danych i obowiązki stron,
- uregulować podprocesorów, transfery, audyty, incydenty i zakończenie współpracy,
- przygotować zapisy do umowy z administratorem albo współadministratorem, jeśli powierzenie nie pasuje do relacji.
Rezultatami etapu są:
Wdrożymy procedury
Problem nie kończy się na podpisaniu umowy. Ktoś w firmie musi wiedzieć, kiedy sprawdzić dostawcę, jakie pytania zadać i kto akceptuje współpracę przed uruchomieniem usługi.
Możemy:
- przygotować procedurę wyboru i akceptacji dostawców,
- stworzyć checklistę dla procurement, HR, marketingu, IT albo operations,
- opisać ścieżkę akceptacji dostawcy przez legal, IOD, compliance lub zarząd,
- ustalić, co trzeba sprawdzić przed podpisaniem umowy,
- przygotować zasady aktualizacji dokumentów po zmianie dostawcy lub usługi.
Rezultatem jest:
Sprawdzimy czy wasze dokumenty są poprawne
Czasem dokumenty wyglądają dobrze, ale nie zgadzają się z tym, jak działa usługa. Dostęp do danych ma więcej osób, dane są eksportowane, dostawca korzysta z podwykonawców, a usunięcie danych po zakończeniu współpracy nie jest opisane.
Możemy:
- porównać umowę z tym, jak działa usługa,
- sprawdzić dostęp, zakres danych, czas przechowywania i sposób usuwania danych,
- wskazać rozjazdy między deklaracjami dostawcy a dokumentami,
- przygotować listę pytań do wyjaśnienia z dostawcą.
Rezultaty tego etapu to
Przygotujemy zespół
Najlepszy dokument nie pomoże, jeśli osoby kupujące usługi nie wiedzą, kiedy włączyć legal, IOD albo compliance. Dlatego możemy przygotować proste materiały do pracy z dostawcami.
Możemy:
- przygotować instrukcję dla osób wybierających dostawców,
- napisać checklistę przed zakupem narzędzia lub usług,
- przygotować komunikat dla zespołu o nowych zasadach współpracy,
- wskazać, kiedy temat wymaga konsultacji z legal, IOD albo zarządem,
- pomóc wyjaśnić zespołowi, czego nie deklarować bez sprawdzenia.
Rezultaty to
Dla kogo jest ta usługa
Dla organizacji, które chcą mieć dane pod kontrolą
Współpraca z procesorem rzadko należy tylko do jednego działu. Ktoś wybiera narzędzie, ktoś negocjuje umowę, ktoś odpowiada za dane, ktoś ma przygotować firmę do audytu, a ktoś na końcu bierze odpowiedzialność za decyzję.
Pomagamy tym osobom ułożyć relację z dostawcą tak, żeby wiadomo było, kto odpowiada, co trzeba podpisać i jak pracować z dostawcą po starcie usługi.
Legal | in-house
Gdy umowa jest prawie gotowa, ale trzeba sprawdzić, czy role, załączniki RODO, podprocesorzy, transfery i odpowiedzialność stron są dobrze opisane. Pomagamy przełożyć model współpracy na zapisy, które da się podpisać i stosować.
IOD | Compliance
Gdy trzeba ocenić dostawcę, sprawdzić przepływy danych, przygotować dokumentację albo odpowiedzieć na pytania audytora, klienta lub zarządu. Porządkujemy informacje o danych, dostawcy, zabezpieczeniach, transferach i podprocesorach.
Operation Manager
Gdy wybieracie dostawcę, ale przed podpisaniem umowy trzeba wiedzieć, jakie pytania zadać i jakie dokumenty zebrać. Przygotujemy checklistę, ścieżkę akceptacji i wymagania, które warto przekazać dostawcy przed startem współpracy.
HJR
Gdy to Wasz dział wdraża narzędzie, system, agencję albo usługę, która będzie pracować na danych pracowników, klientów, kandydatów albo użytkowników. Pomożemy sprawdzić, co trzeba zgłosić, jakie dokumenty przygotować i kiedy włączyć legal, IOD albo compliance.
Zarząd | COO | CEO
Gdy współpraca z dostawcą może wpływać na odpowiedzialność organizacji, audyt, relacje z klientami albo bezpieczeństwo danych. Przygotujemy krótką rekomendację: co wymaga decyzji, co trzeba poprawić i czy można uruchomić współpracę w obecnym modelu.
Etapy pracy
Cztery kroki do uporządkowanej relacji z procesorem
Proces jest prosty: najpierw sprawdzamy, jak ta współpraca działa naprawdę. Potem porządkujemy model, dokumenty i zasady wdrożenia.
Analizujemy
Ustalamy, kim jest dostawca, jaka usługa ma być świadczona i jakie dane będą przetwarzane.
Sprawdzamy
Sprawdzamy role, zakres danych, podprocesorów, transfery, zabezpieczenia, incydenty i zakończenie współpracy.
Tworzymy
Przygotujemy lub poprawimy umowę powierzenia, załączniki, procedury, checklisty albo rekomendację dla osób decyzyjnych.
Wdrażamy
Jeśli trzeba, pomożemy przekazać nowe zasady zespołowi i ułożyć ścieżkę pracy z kolejnymi dostawcami.
Napisz do nas
Zacznijmy od rozmowy o dostawcy
Nie musicie mieć gotowej diagnozy ani pełnej dokumentacji. Opowiedzcie, jaką usługę chcecie uruchomić, kto ma dostać dostęp do danych i przed jaką decyzją stoicie. Pomożemy ustalić, co naprawdę trzeba sprawdzić przed kolejnym krokiem.
Twoją wiadomość czyta
Natalia Jabcoń
Wróci do Ciebie z pytaniami uzupełniającymi albo propozycją kolejnego kroku.
Szybka odpowiedź
Zazwyczaj odpowiadamy w ciągu dwóch godzin w dni robocze.