kto ma dostęp do danych klientów?

Sprawdzimy, jakie dane trafią do dostawcy, kto będzie za nie odpowiadał i czy umowa dobrze opisuje współpracę. Jeśli trzeba, przygotujemy dokumenty, procedury i checklisty dla zespołu.

Najczęstsze wyzwania

Kiedy robi się niejasno

Dostawca ma pomóc w pracy: wdrożyć system, obsłużyć proces, poprowadzić kampanię, utrzymać narzędzie albo przejąć część zadań. Tylko że przy okazji dostaje dostęp do danych. I wtedy trzeba wiedzieć, czy umowa, sposób działania i odpowiedzialność stron naprawdę się ze sobą zgadzają.

Nie wiecie, jaką rolę pełni dostawca Dostawca obsługuje system, kampanię, payroll, hosting albo proces IT. W praktyce może działać wyłącznie na Wasze polecenie, ale może też sam decydować o części operacji na danych. Od tego zależy, jakie dokumenty są potrzebne i kto bierze odpowiedzialność za współpracę.

dlatego ją weryfikujemy

Ustalimy, jaką rolę ma dostawca w konkretnym modelu współpracy: procesora, administratora, współadministratora albo model mieszany. Sprawdzimy, czy wystarczy umowa powierzenia, czy potrzebne są inne zapisy, dodatkowe instrukcje albo zmiana umowy.
Umowa nie tłumaczy, co dzieje się z danymi Dokument może być podpisany, a mimo to nie odpowiadać na najważniejsze pytania: jakie dane trafiają do dostawcy, kto ma do nich dostęp, gdzie są przechowywane, czy dostawca zatrudnia podwykonawców i co dzieje się po zakończeniu współpracy.

dlatego dbamy, żeby jasno tłumaczyła zasady współpracy

Przejrzymy umowę, załączniki RODO, instrukcje, listę podwykonawców, transfery i zasady usuwania danych. Wskażemy, co trzeba dopisać, poprawić albo wyjaśnić z dostawcą, żeby dokumenty opisywały usługę tak, jak działa w praktyce.
Nie kontrolujecie tego, dokąd trafiają dane Korzystacie z SaaS, chmury albo globalnego narzędzia. W umowie widzicie jednego dostawcę, ale przy usłudze mogą działać też hosting, support, podwykonawcy, integracje albo podmioty spoza EOG.

dlatego werfyfikujemy łańcuch przetwarzania

Sprawdzimy, kto naprawdę uczestniczy w pracy z danymi: gdzie są przechowywane, kto ma do nich dostęp, czy dostawca korzysta z podwykonawców i czy dane trafiają poza EOG.
Nie wiecie co robić przy incydencie Pojawia się incydent, reklamacja albo żądanie osoby, której dane dotyczą. Wtedy nie ma czasu ustalać od zera, kto kontaktuje się z dostawcą, gdzie są dane, jakie informacje trzeba zebrać i jakie terminy już biegną.

dlatego tworzymy proces

Ułożymy zasady działania na takie sytuacje. Będziecie wiedzieć kto zgłasza sprawę, kto odpowiada po stronie dostawcy, jakie informacje trzeba przekazać, jak dokumentować reakcję i kiedy włączyć legal, IOD albo zarząd.

Nasze rozwiązanie

Poprawimy waszą relację z dostawcą

Nie kończymy pracy na DPIA, tabeli pytań ani liście rzeczy „do dalszej analizy”. Jeśli dostawca ma pracować na danych, pomagamy przejść przez cały temat: od ustalenia ról i przepływu danych, przez ocenę dokumentów, po poprawki w umowach, procedury i zasady pracy dla zespołu.

Ustalimy role

Zanim powstanie umowa, musicie wiedzieć, czy dostawca jest procesorem, administratorem, współadministratorem czy pełni kilka roli naraz.

 

Możemy:

  • przeanalizować model współpracy z dostawcą,
  • ustalić, kto decyduje o celach i sposobach przetwarzania danych,
  • sprawdzić, czy umowa powierzenia jest właściwym dokumentem,
  • wskazać miejsca, w których role stron są niejasne,
  • przygotować uzasadnienie dla IOD, zarządu albo biznesu.

 

Rezultat etapu to

  • matryca ról i przepływów danych

Sprawdzimy, co dostawca robi z danymi

Zanim podpiszecie umowę albo przekażecie dostęp, musicie wiedzieć jaką usługę dostawca ma wykonać, jakie dane dostanie, kto jeszcze może je zobaczyć i czy dokumenty opisują to, co dostawca może zrobić z danymi.

Możemy:

  • przejrzeć umowę, załączniki, opis usługi, polityki dostawcy i informacje o narzędziu
  • ustalić, jakie dane trafią do dostawcy i do czego będą używane
  • sprawdzić, czy dostawca korzysta z podwykonawców, chmury, supportu albo narzędzi spoza Europy
  • przygotować pytania do dostawcy, ale nie zostawić Was z samą listą wątpliwości
  • przełożyć odpowiedzi dostawcy na decyzję: co można zaakceptować, co trzeba poprawić, a czego nie warto podpisywać bez zmian

 

Rezultatem są:

  • ocena współpracy z dostawcą
  • mapa dostępów

Przygotujemy umowy

Jeśli relacja wymaga dokumentów, przygotujemy je pod konkretną usługę, a nie wzór. Umowa ma dokładnie i prosto opisywać to, co dostawca robi z danymi, a nie tylko powtarzać przepisy.

Możemy:

  • przygotować umowę powierzenia przetwarzania danych,
  • poprawić załącznik RODO do umowy głównej,
  • dopisać instrukcje przetwarzania, kategorie danych i obowiązki stron,
  • uregulować podprocesorów, transfery, audyty, incydenty i zakończenie współpracy,
  • przygotować zapisy do umowy z administratorem albo współadministratorem, jeśli powierzenie nie pasuje do relacji.

 

Rezultatami etapu są:

  • umowy
  • załączniki do umów
  • klauzule, w tym NDA
  • instrukcja dla każdego dostawy z osobna

Wdrożymy procedury

Problem nie kończy się na podpisaniu umowy. Ktoś w firmie musi wiedzieć, kiedy sprawdzić dostawcę, jakie pytania zadać i kto akceptuje współpracę przed uruchomieniem usługi.

 

Możemy:

  • przygotować procedurę wyboru i akceptacji dostawców,
  • stworzyć checklistę dla procurement, HR, marketingu, IT albo operations,
  • opisać ścieżkę akceptacji dostawcy przez legal, IOD, compliance lub zarząd,
  • ustalić, co trzeba sprawdzić przed podpisaniem umowy,
  • przygotować zasady aktualizacji dokumentów po zmianie dostawcy lub usługi.

 

Rezultatem jest:

  • procedura współpracy z procesorem

Sprawdzimy czy wasze dokumenty są poprawne

Czasem dokumenty wyglądają dobrze, ale nie zgadzają się z tym, jak działa usługa. Dostęp do danych ma więcej osób, dane są eksportowane, dostawca korzysta z podwykonawców, a usunięcie danych po zakończeniu współpracy nie jest opisane.

 

Możemy:

  • porównać umowę z tym, jak działa usługa,
  • sprawdzić dostęp, zakres danych, czas przechowywania i sposób usuwania danych,
  • wskazać rozjazdy między deklaracjami dostawcy a dokumentami,
  • przygotować listę pytań do wyjaśnienia z dostawcą.

 

Rezultaty tego etapu to

  • audyt
  • lista braków i poprawek
  • rekomendacje

Przygotujemy zespół

Najlepszy dokument nie pomoże, jeśli osoby kupujące usługi nie wiedzą, kiedy włączyć legal, IOD albo compliance. Dlatego możemy przygotować proste materiały do pracy z dostawcami.

Możemy:

  • przygotować instrukcję dla osób wybierających dostawców,
  • napisać checklistę przed zakupem narzędzia lub usług,
  • przygotować komunikat dla zespołu o nowych zasadach współpracy,
  • wskazać, kiedy temat wymaga konsultacji z legal, IOD albo zarządem,
  • pomóc wyjaśnić zespołowi, czego nie deklarować bez sprawdzenia.

 

Rezultaty to

  • checklista
  • instrukcja
  • komunikat
  • materiały wdrożeniowe
  • ścieżka postępowania przed wyborem dostawcy

Dla kogo jest ta usługa

Dla organizacji, które chcą mieć dane pod kontrolą

Współpraca z procesorem rzadko należy tylko do jednego działu. Ktoś wybiera narzędzie, ktoś negocjuje umowę, ktoś odpowiada za dane, ktoś ma przygotować firmę do audytu, a ktoś na końcu bierze odpowiedzialność za decyzję.

Pomagamy tym osobom ułożyć relację z dostawcą tak, żeby wiadomo było, kto odpowiada, co trzeba podpisać i jak pracować z dostawcą po starcie usługi.

Legal | in-house

Gdy umowa jest prawie gotowa, ale trzeba sprawdzić, czy role, załączniki RODO, podprocesorzy, transfery i odpowiedzialność stron są dobrze opisane. Pomagamy przełożyć model współpracy na zapisy, które da się podpisać i stosować.

  • umowy
  • role
  • zapisy

IOD | Compliance

Gdy trzeba ocenić dostawcę, sprawdzić przepływy danych, przygotować dokumentację albo odpowiedzieć na pytania audytora, klienta lub zarządu. Porządkujemy informacje o danych, dostawcy, zabezpieczeniach, transferach i podprocesorach.

  • dane
  • audyt
  • procedury

Operation Manager

Gdy wybieracie dostawcę, ale przed podpisaniem umowy trzeba wiedzieć, jakie pytania zadać i jakie dokumenty zebrać. Przygotujemy checklistę, ścieżkę akceptacji i wymagania, które warto przekazać dostawcy przed startem współpracy.

  • zakup
  • dostawca
  • akceptacja

HJR

Gdy to Wasz dział wdraża narzędzie, system, agencję albo usługę, która będzie pracować na danych pracowników, klientów, kandydatów albo użytkowników. Pomożemy sprawdzić, co trzeba zgłosić, jakie dokumenty przygotować i kiedy włączyć legal, IOD albo compliance.

  • narzędzia
  • dane
  • wdrożenie

Zarząd | COO | CEO

Gdy współpraca z dostawcą może wpływać na odpowiedzialność organizacji, audyt, relacje z klientami albo bezpieczeństwo danych. Przygotujemy krótką rekomendację: co wymaga decyzji, co trzeba poprawić i czy można uruchomić współpracę w obecnym modelu.

  • decyzja
  • odpowiedzialność
  • ryzyko

Etapy pracy

Cztery kroki do uporządkowanej relacji z procesorem

Proces jest prosty: najpierw sprawdzamy, jak ta współpraca działa naprawdę. Potem porządkujemy model, dokumenty i zasady wdrożenia.

Analizujemy

Ustalamy, kim jest dostawca, jaka usługa ma być świadczona i jakie dane będą przetwarzane.

Sprawdzamy

Sprawdzamy role, zakres danych, podprocesorów, transfery, zabezpieczenia, incydenty i zakończenie współpracy.

Tworzymy

Przygotujemy lub poprawimy umowę powierzenia, załączniki, procedury, checklisty albo rekomendację dla osób decyzyjnych.

Wdrażamy

Jeśli trzeba, pomożemy przekazać nowe zasady zespołowi i ułożyć ścieżkę pracy z kolejnymi dostawcami.

Umów krótką rozmowę

Napisz do nas

Zacznijmy od rozmowy o dostawcy

Nie musicie mieć gotowej diagnozy ani pełnej dokumentacji. Opowiedzcie, jaką usługę chcecie uruchomić, kto ma dostać dostęp do danych i przed jaką decyzją stoicie. Pomożemy ustalić, co naprawdę trzeba sprawdzić przed kolejnym krokiem.

Twoją wiadomość czyta

Natalia Jabcoń

Wróci do Ciebie z pytaniami uzupełniającymi albo propozycją kolejnego kroku.

Szybka odpowiedź

Zazwyczaj odpowiadamy w ciągu dwóch godzin w dni robocze.