Specjalizacja RODO
Audyty zgodności, polityki i wytyczne, outsourcing IOD, umowy powierzenia, transfery danych, reprezentacja przed UODO, analizy ryzyka to procesy zapewnienia Ci strategicznego bezpieczeństwa. Projektujemy dokumentację RODO, która działa dla Twojego zespołu. Wrocław i cała Polska.
Zaufały nam
Znamy Twój model biznesowy
Zapewnienie ochrony danych osobowych nie kończy się na stworzeniu dokumentu ze wzoru. To architektura procesów i dokumentów dopasowana do modelu biznesowego Twojej firmy, którą pomożemy Ci wdrożyć.
Procesowe podejście do bezpieczeństwa danych. Zamiast teoretycznych analiz i abstrakcyjnej listy ryzyk, otrzymujesz od nas konkretny plan działania. Mapujemy procesy i dostarczamy gotową mapę luk z przypisanymi priorytetami oraz terminami. Twój zespół dokładnie wie, co i jak wdrożyć następnego dnia po audycie.
Wdrażamy dokumenty, które chronią Twój biznes: rejestry (RCPD, RKPD), polityki prywatności, procedury i umowy powierzenia (DPA). Stosujemy Plain Language. Tworzymy jasną, pozbawioną prawniczego żargonu dokumentację, którą Twoi developerzy, PM-owie i zarząd przeczytają i zrozumieją za pierwszym razem.
Twój zaufany doradca osadzony w organizacji. Całkowicie ściągamy z Twojej głowy problem obsługi mailowej skrzynki kontaktowej ws. ochrony danych i obsługi wniosków podmiotów danych. Zyskujesz zewnętrznego IOD, który od razu pracuje w Twoim stacku technologicznym (Teams, Notion, Slack, Jira) i zna specyfikę branży.
Dokumenty to nie wszystko, prawdziwe bezpieczeństwo zapewniasz przez budowanie świadomości zespołu. Wiemy, jak szkolić, żeby przynosiło to efekty i nie wiało nudą. Dostajesz dostęp do naszej zautomatyzowanej platformy e-learningowej. Każdy pracownik samodzielnie zdobywa praktyczną wiedzę o RODO, a menedżer śledzi postępy potwierdzone certyfikatami.
Problemy które znamy
Kiedy Twój dostawca zaliczy wyciek danych, pierwsze, o co zapyta UODO, to jak go zweryfikowałeś przed rozpoczęciem współpracy. Samo podpisanie umowy powierzenia (DPA) to może być za mało. Brak udokumentowanej procedury oceny sprawia, że w pełni odpowiadasz za błędy partnerów. Wdrażamy mechanizmy, które sprawnie weryfikują dostawców bez blokowania biznesu.
Na zgłoszenie incydentu do UODO masz 72 godziny. Bez gotowego planu działania ten czas zamienia się w organizacyjny chaos. Problemem może być sama szybkość reakcji, ale też błędy popełniane pod presją czasu i niespójne informacje wysyłane regulatorowi. Z naszym wsparciem zyskujesz jasny podział ról, checklisty krok po kroku i pełną kontrolę nad sytuacją.
Możesz mieć najbardziej dopracowane procedury RODO, ale są bezużyteczne, jeśli leżą zapomniane na dysku. Martwa dokumentacja zderzona z brakiem wiedzy to tykająca bomba, a rozmyta odpowiedzialność sprawia, że compliance istnieje tylko na papierze. Dlatego działamy dwutorowo: łączymy praktyczne szkolenia z precyzyjnym przypisaniem ról. Każdy dokładnie wie, za co odpowiada, a system bezpieczeństwa danych w końcu działa.
Użytkownicy coraz częściej i bardziej świadomie żądają dostępu do swoich danych, ich usunięcia, czy przeniesienia. Zbywanie takich maili lub odpowiadanie po terminie to najkrótsza droga do skargi do UODO i niezapowiedzianej kontroli. W ramach outsourcingu IOD całkowicie ściągamy ten problem z Twojej głowy, obsługując wnioski sprawnie i zgodnie z prawem.
Twój zespół korzysta z modeli LLM, voicebotów czy narzędzi do profilowania, często nie wiedząc, że publiczne algorytmy uczą się na wprowadzanych danych Twoich klientów. Wdrażanie innowacji bez analizy ryzyka to utrata kontroli nad poufnymi informacjami. Weryfikujemy dostępne na rynku rozwiązania, rekomendujemy bezpieczne opcje i tworzymy wytyczne korzystania ze sztucznej inteligencji.
AWS, Google Workspace, HubSpot, Slack czy Notion. Większość firm IT korzysta z nich codziennie, a to oznacza regularny transfer danych na serwery poza EOG. Przesył ten często jest w pełni legalny, problemem jest jednak brak świadomości i odpowiedniej dokumentacji. Aby robić to zgodnie z prawem, potrzebujesz konkretnych zabezpieczeń (analizy TIA, SCC lub decyzji Komisji), a całość musi zostać odnotowana w rejestrze (RCPD) i polityce prywatności. Zmapujemy Twoje narzędzia, przeprowadzimy oceny transferów i wdrożymy niezbędne klauzule, zapewniając Ci legalność i kontrolę nad lokalizacją danych.
Dlaczego dotlaw
Jesteśmy Twoim partnerem. Nie opisujemy ryzyka prawnego abstrakcyjnie i nie zostawiamy Cię z „z jednej strony… z drugiej strony". Każdą sprawę kończymy konkretną rekomendacją. Nasze rozwiązania prawne mają rozwijać Twój biznes.
Obsługujemy firmy w modelu który pasuje do etapu ich wzrostu: od wsparcia projektowego przy konkretnej umowie, przez stałą obsługę abonamentową, po fractional inhouse który działa jak wewnętrzny dział prawny. Forma współpracy dopasowana do Ciebie.
Nasze usługi wspieramy od samego początku GenAI. Zgodnie z europejskimi wytycznymi, których jesteśmy współtwórcami, wrzucamy szósty bieg efektywności. To umożliwia nam skuteczne działanie nawet w najbardziej skomplikowanych sprawach.
Projektujemy umowy, manuale i guidelines tak żeby Twój zespół czytał je i rozumiał bez problemów. Niezrozumiałe dokumenty prawne nigdy nie będą skuteczne.
Jak zaczynamy
Opowiadasz nam o swoim produkcie, przepływie danych i o tym, co aktualnie blokuje Twoje procesy. My od razu oceniamy, w jaki sposób możemy to sprawnie rozwiązać.
Niezależnie od skali projektu, w ciągu dwóch dni od rozmowy wracamy z konkretem: jak ustalimy zakres prac, jak podejdziemy do audytu lub wdrożenia i kiedy dostaniesz wycenę. Od razu wiesz, na czym stoisz.
Od akceptacji oferty potrzebujemy maksymalnie tydzień, aby zrozumieć Twój model biznesowy i specyfikę przetwarzania danych w firmie. Wpinamy się w Wasze narzędzia i po prostu zaczynamy pracę.
FAQ
Tak. Nie zostawimy Cię jednak z ogólnikową oceną ryzyka. Przeanalizujemy dokument pod kątem nierealnych wymogów SLA, kar umownych czy nieograniczonej odpowiedzialności. Wskażemy, na co możesz się bezpiecznie zgodzić, a co wymaga renegocjacji, i przygotujemy poprawki (redlines) do odesłania klientowi. Możesz też po prostu skontaktować nas bezpośrednio ze swoim klientem i w całości powierzyć nam proces negocjacji.
Działy compliance sprawdzają przede wszystkim, czy masz wdrożone podstawy. Najczęściej wymagają rejestru czynności przetwarzania danych (RCPD), wewnętrznych procedur i polityk, jasnej polityki prywatności, rzetelnie przygotowanego DPA oraz udokumentowanych środków bezpieczeństwa (TOMs). Pomożemy Ci sprawnie skompletować taki pakiet, który przejdzie weryfikację i pozwoli odblokować sprzedaż.
Przepisy RODO nie nakładają wprost obowiązku posiadania polisy cyber, ale w branży IT to dobra praktyka i rynkowy standard. Klienci enterprise niemal zawsze wymagają ubezpieczenia OC w umowach powierzenia (DPA). Taka polisa nie tylko zabezpiecza Twoją płynność na wypadek wycieku, ale przede wszystkim znacząco ułatwia negocjacje dużych kontraktów. Jeśli jej nie masz, możemy połączyć Cię ze sprawdzonym agentem ubezpieczeniowym, który pomoże dobrać ofertę dopasowaną do Twojego biznesu.
Oficjalna certyfikacja RODO na ten moment praktycznie nie funkcjonuje. Zagraniczni klienci, pytając o compliance, zazwyczaj oczekują audytu SOC 2 lub certyfikatu ISO 27001. Choć RODO tego wprost nie wymaga, w praktyce to przepustka do pracy z sektorem enterprise. Pomagamy tak ułożyć dokumentację ochrony danych, aby sprawnie wpisała się w wymogi tych standardów bezpieczeństwa. Nasz zespół to również certyfikowani audytorzy wiodący ISO 27001, więc możemy wesprzeć Cię w przygotowaniu Twojej firmy do audytu certyfikującego.
Jest to legalne, ale wymaga solidnego przygotowania. Zanim wdrożysz narzędzia oparte na AI, musisz ustalić odpowiednią podstawę prawną, zaktualizować politykę prywatności oraz przeprowadzić ocenę skutków dla ochrony danych (DPIA). Kluczowe jest też upewnienie się w umowie z dostawcą (np. OpenAI), że model nie będzie trenował się na poufnych danych Twoich klientów. W ramach wsparcia analizujemy regulaminy (ToS) takich narzędzi i przygotowujemy dla Twoich zespołów wytyczne, jak bezpiecznie i legalnie z nich korzystać.
Możesz trzymać dane w USA, ale wymaga to wdrożenia dodatkowych zabezpieczeń prawnych. Musisz polegać na ramach Data Privacy Framework (jeśli dostawca posiada certyfikat) lub podpisać Standardowe Klauzule Umowne (SCC) poparte analizą TIA. Wybór serwerów w EOG (np. we Frankfurcie) zdejmuje te formalności z Twojej głowy i ułatwia negocjacje z europejskimi klientami.
Tak, każdy z tych dostawców to procesor, któremu powierzasz dane. Wymaga to akceptacji odpowiedniej umowy powierzenia (DPA) i wpisania tych podmiotów do rejestru czynności (RCPD). Ponieważ są to firmy amerykańskie, musisz też zabezpieczyć transfer danych poza EOG i w przejrzysty sposób poinformować o tym użytkowników w polityce prywatności.
Zwykły baner z samym przyciskiem „Rozumiem" to naruszenie przepisów. Musisz uzyskać aktywną i dobrowolną zgodę na każdą kategorię ciasteczek z osobna (marketingowe, analityczne), zanim ich skrypty w ogóle się załadują. Jedynym wyjątkiem są ciasteczka absolutnie niezbędne do technicznego działania strony, tu wystarczy sam obowiązek informacyjny.
Taki monitoring to obszar bardzo wysokiego ryzyka. Przepisy pozwalają na kontrolowanie czasu pracy, ale robienie zrzutów ekranu jest przez organy nadzorcze najczęściej uznawane za nieproporcjonalną i nielegalną ingerencję w prywatność pracownika. Każda forma monitoringu wymaga solidnego uzasadnienia, wdrożenia odrębnego regulaminu oraz formalnego, uprzedniego poinformowania zespołu.
Masz na odpowiedź maksymalnie 30 dni. Na początku musisz bezpiecznie zweryfikować tożsamość nadawcy. Następnie weryfikujesz, czy faktycznie masz obowiązek usunąć wszystko, np. danych z faktur czy historii rozliczeń usunąć nie możesz, bo blokują to przepisy podatkowe. Odpowiadasz konkretnie: informujesz, co zostało usunięte, a co musisz zatrzymać i na jakiej podstawie.
To mit. Polski urząd regularnie nakłada kary finansowe na średnie i mniejsze spółki, najczęściej w wyniku skarg niezadowolonych klientów, braku współpracy w trakcie kontroli lub w sytuacjach rażących naruszeń bezpieczeństwa. Poza karą administracyjną od UODO, prawdziwym kosztem dla firmy technologicznej może być utrata zaufania, ryzyko pozwów cywilnych i zablokowanie procesów sprzedażowych w sektorze B2B. Trzeba do tego doliczyć koszty operacyjne i prawne związane z samą obsługą zgłoszonego naruszenia, skargi czy prowadzeniem postępowania przed UODO.
Przypisanie funkcji IOD członkowi zarządu to naruszenie RODO ze względu na ewidentny konflikt interesów: nie można jednocześnie decydować o biznesie i niezależnie go kontrolować. Obowiązek powołania IOD zależy od skali i rodzaju przetwarzania (np. masowy SaaS zazwyczaj go potrzebuje). Jeśli jednak nie masz takiego obowiązku prawnego, możesz po prostu wyznaczyć wewnętrznego koordynatora procesu. Pamiętaj jednak, że taka osoba wciąż powinna posiadać solidną wiedzę na temat przepisów i dobrych praktyk, aby zarządzać compliance.
Opowiadasz, co budujesz i co Cię blokuje. Dostajesz konkretną odpowiedź.
Napisz do nas