Ochrona danych osobowych

Jesteśmy zaufanym partnerem przedsiębiorców, którzy w ramach prowadzonej działalności przetwarzają dane osobowe. Nasi eksperci pomagają firmom sprostać wyzwaniom związanym z RODO i Europejską Dekadą Cyfrową. Mamy szerokie doświadczenie w pracy w wielu sektorach, w tym finansowym oraz IT.

Powiązane tematy Doradztwo prawne Cybersecurity

Liderzy

Justyna Wilczyńska-Baraniak

Justyna Wilczyńska-Baraniak

EY Polska, Kancelaria EY Law, Własność Intelektualna, Technologie i Dane Osobowe, Partner, Adwokat

Alicja Guzy

Alicja Guzy

EY Polska, Kancelaria EY Law, Manager

Ogólne rozporządzenie o ochronie danych (RODO) wyznacza standardy ochrony danych osobowych na całym świecie

W Europie każdy podmiot, który jest zarejestrowany w Unii Europejskiej lub kieruje działania do obywateli UE i ich monitoruje, jest zobowiązany do przestrzegania RODO. Podstawowe zasady przetwarzania danych w ramach RODO to: zgodność z prawem, rzetelność i przejrzystość, ograniczenie celu, minimalizacja danych, ograniczenie przechowywania, integralność i poufność. RODO jest neutralne pod względem technologicznym i stosuje podejście oparte na ryzyku. W związku z tym jego zastosowanie nie jest łatwym zadaniem i wymaga zarówno dobrej znajomości prawa i technologii, jak i doświadczenia i otwartości na nowe rozwiązania.

Ponadto przetwarzanie danych (zarówno osobowych, jak i nieosobowych) jest obecnie regulowane aktami prawnymi europejskiej dekady cyfrowej, które nakładają obowiązki związane z dostępem do danych i wykorzystaniem chmury obliczeniowej oraz dostępu do danych Internetu rzeczy (Internet of Things), ale stwarzają również wiele możliwości.

Zespół EY Law pomaga Klientom odnaleźć się w tym złożonym środowisku. Nasza rada nie ogranicza się do stwierdzenia, że "środki muszą być odpowiednie" - mówimy dokładnie, co to oznacza.

Potrzebujesz wsparcia w zakresie RODO? 

Umów się na bezpłatną rozmowę z naszym ekspertem

Formularz kontaktowy

Zapraszamy do zapoznania się z naszymi usługami: 

  • Wdrożenie RODO

    Masz ciekawy pomysł na start-up? Czy planujesz zwiększyć skalę swojego lokalnego sklepu i otworzyć e-commerce? A może chcesz rozszerzyć swoją dotychczasową działalność na region Unii Europejskiej i oferować towary klientom z UE?

    Nasz zespół oferuje kompleksowe zestawy podstawowych wdrożeń RODO dla przedsiębiorców w celu zapewnienia zgodności z lokalnymi przepisami dotyczącymi prywatności. Dla istniejących spółek oferujemy dokładne sprawdzenie wszystkich globalnych procedur RODO w organizacji, a także wdrożenie istniejących procedur grupy w lokalnych spółkach zależnych. Zazwyczaj należą do nich:

    • Polityka ochrony danych osobowych;
    • Procedura realizacji praw podmiotów danych;
    • Procedura postępowania w przypadku naruszenia ochrony danych;
    • Procedura uwzględniania ochrony prywatności w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default)
    • Ocena skutków dla ochrony danych (DPIA);
    • Ocena skutków transferu (TIA);
    • Procedura zarządzania dostawcami;
    • Procedura w przypadku kontroli organu nadzorczego;
    • Wzory dokumentów takich jak polityka prywatności, klauzule informacyjne;
    • Rejestry – rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania.

    Naszą siłą są połączone kompetencje specjalistów z różnych obszarów. Eksperci EY Law ściśle współpracują z ekspertami EY Cybersecurity Consulting, aby mieć pewność, że nasi klienci otrzymują precyzyjne rekomendacje, co to znaczy, że środki bezpieczeństwa, które muszą wdrożyć mają być "dokładne" i "skuteczne" zgodnie z wymogami regulacyjnymi. Rozumiemy technologię i umiemy skutecznie ją weryfikować.

    EY Law wraz z EY Cybersecurity Consulting zapewniają kompleksowe wsparcie w tak złożonych analizach jak:

    • Ocena skutków dla ochrony danych – czyli obowiązkowa weryfikacja dla wszystkich nowych operacji przetwarzania, które wykorzystują nowe technologie i wiążą się ze znacznym ryzykiem. Nasi specjaliści mogą zidentyfikować czynniki ryzyka i ich skalę, sprawdzić wszystkie środki bezpieczeństwa zastosowane w celu ich ograniczenia i zaproponować dodatkowe środki zabezpieczające w kilku iteracjach, aby zapewnić odpowiedni poziom bezpieczeństwa.
    • Ocena skutków transferu – weryfikacja obowiązkowa we wszystkich przypadkach, gdy dane osobowe są przekazywane poza Europejski Obszar Gospodarczy oraz kraje uznane przez Komisję za posiadające poziom ochrony danych zasadniczo równy poziomowi ochrony w UE. Przeprowadzamy wszystkie niezbędne kroki, począwszy od prawnego wykrycia kraju odbiorcy, a skończywszy na ocenie ryzyka i dostosowaniu środków bezpieczeństwa.

    Dodatkowo zapewniamy wdrożenie przepisów obowiązujących w poszczególnych krajach, jeśli zajdzie taka potrzeba, oraz pierwsze szkolenie dla pracowników z RODO. Łączymy siły z innymi kancelariami prawnymi EY na całym świecie, aby w razie potrzeby zapewnić naszym klientom międzynarodowe doradztwo.

    Dla nowo powstałych spółek nasz zespół specjalistów ds. ochrony danych EY Law oferuje następujące usługi:

    • Ocena i strategia ochrony danych – przeprowadzamy wstępną ocenę działań organizacji w zakresie przetwarzania danych i zapewniamy dostosowaną do jej potrzeb strategię ochrony danych, która jest zgodna z celami biznesowymi i wymogami regulacyjnymi.
    • Zgodność z przepisami dotyczącymi przejrzystości – opracowujemy jasne i kompleksowe polityki prywatności i klauzule informacyjne, które informują klientów, użytkowników, pracowników, wykonawców i wszystkie inne zaangażowane osoby, których dane dotyczą, o tym, w jaki sposób ich dane będą gromadzone, przetwarzane i chronione.
    • Mapa drogowa zgodności z przepisami o ochronie danych – opracowujemy krok po kroku mapę drogową przedstawiającą konkretne działania i kamienie milowe, które organizacja musi osiągnąć, aby zapewnić zgodność z RODO lub innymi odpowiednimi przepisami o ochronie danych. Przygotowujemy wymagane dokumenty i pomagamy we wdrożeniu RODO na każdym etapie.
    • Mechanizmy i formularze zgód – pomagamy w projektowaniu i wdrażaniu odpowiednich mechanizmów i formularzy zgód na gromadzenie i przetwarzanie danych, zapewniając zgodność z wymogami dotyczącymi zgód. Pomagamy również w prawidłowym i efektywnym przenoszeniu, łączeniu i wzajemnym wykorzystywaniu baz danych w celu usprawnienia sprzedaży krzyżowej i upsellingu.
    • Szkolenie i zwiększanie świadomości pracowników – zapewniamy spersonalizowane programy szkoleniowe, aby edukować pracowników w zakresie zasad ochrony danych, ich obowiązków i najlepszych praktyk.
    • Mapowanie i inwentaryzacja danych – pomagamy organizacji zmapować przepływy danych i stworzyć inwentaryzację przetwarzanych przez nią danych osobowych, zapewniając przejrzystość i ułatwiając zgodność z przepisami – zapewniamy kompleksowe wsparcie w zakresie wypełniania, aktualizacji i prowadzenia rejestrów czynności przetwarzania danych oraz rejestrów kategorii czynności przetwarzania danych.
    • Zarządzanie dostawcami – zapewniamy kompleksowe i skuteczne procedury oceny ryzyka dostępu dostawców, zarządzania ryzykiem i kontroli. Udostępniamy konkretne katalogi zabezpieczeń technicznych i prawnych, które mają na celu efektywne zarządzanie sprzedawcami, dostawcami i partnerami. 

  • Audyty RODO

    Zastanawiasz się, jak skuteczne są polityki prywatności Twojej organizacji kilka lat po wdrożeniu RODO? Twoja organizacja szybko się rozwija i martwisz się o zgodność z przepisami dotyczącymi prywatności?

    Nasz Zespół Ochrony Danych oferuje kompleksowy zakres usług związanych z audytami RODO dla organizacji. Usługi te mają na celu pomóc organizacjom w zapewnieniu zgodności z przepisami i regulacjami dotyczącymi ochrony danych. Oto niektóre usługi, które świadczymy w ramach naszego audytu RODO:

    • Ocena zgodności z RODO. Przeprowadzamy szczegółową ocenę obecnych praktyk i polityk w zakresie ochrony danych w organizacji w celu zidentyfikowania obszarów niezgodności z wymogami RODO. Stosujemy zarówno metodologię badania „tes of one”, jak i metodykę doboru próby EY, aby przetestować skuteczność operacyjną mechanizmów zgodności. Dokładnie testujemy również projekt środków zgodności.
    • Mapowanie danych i inwentaryzacja danych. Pomagamy organizacjom w mapowaniu przepływu danych osobowych w ich organizacji, identyfikowaniu działań związanych z przetwarzaniem danych i tworzeniu kompleksowej inwentaryzacji danych.
    • Przegląd polityki prywatności i klauzul informacyjnych. Dokonujemy przeglądu i aktualizujemy polityki prywatności i klauzule informacyjne w organizacji, aby upewnić się, że dokładnie odzwierciedlają one wymagania RODO i dostarczają jasnych informacji osobom, których dane dotyczą.
    • Zarządzanie zgodami. Pomagamy zaprojektować i wdrożyć mechanizmy zgody na przetwarzanie danych, dbając o to, aby od osób, których dane dotyczą, uzyskano ważną zgodę i odpowiednio ją udokumentowano.
    • Umowy powierzenia przetwarzania danych. Sporządzamy i weryfikujemy umowy powierzenia przetwarzania danych (DPA) między organizacjami a ich zewnętrznymi dostawcami usług w celu zapewnienia odpowiednich klauzul ochrony danych.
    • Szkolenie pracowników. Zapewniamy programy szkoleniowe dla pracowników w zakresie RODO w celu podniesienia świadomości na temat obowiązków w zakresie ochrony danych, najlepszych praktyk w zakresie prywatności i procedur zgłaszania incydentów.
    • Oceny skutków dla ochrony danych (DPIA). Pomagamy w przeprowadzaniu ocen skutków dla działań związanych z przetwarzaniem danych wysokiego ryzyka, dbając o to, aby potencjalne zagrożenia dla prywatności były identyfikowane i łagodzone.
    • Audyty dostawców i podmiotów trzecich. Przeprowadzamy audyty dostawców i partnerów zewnętrznych, aby upewnić się, że oni również przestrzegają wymogów RODO podczas przetwarzania danych osobowych w imieniu organizacji.
    • Planowanie reagowania na incydenty. Opracowujemy i weryfikujemy plany reagowania na incydenty, aby upewnić się, że organizacja jest przygotowana do skutecznego reagowania na naruszenia danych i incydenty bezpieczeństwa zgodnie z wymogami RODO.
    • Zarządzanie prawami osób, których dane dotyczą. Testujemy projekt i skuteczność środków stosowanych do obsługi wniosków osób, których dane dotyczą, w takim zakresie jak: dostęp, sprostowanie, usunięcie i przenoszenie danych.
    • Rejestry czynności przetwarzania. Sprawdzamy, w jaki sposób organizacje prowadzą rejestry swoich działań związanych z przetwarzaniem danych zgodnie z wymogami RODO.
    • Środki bezpieczeństwa i środki techniczne. Przeprowadzamy audyty i udzielamy wskazówek dotyczących wdrażania odpowiednich środków bezpieczeństwa i zabezpieczeń technicznych w celu ochrony danych osobowych.

    Nasze usługi obejmują: analizę luki, przygotowanie raportów i rekomendacji. Przedstawiamy kompleksowe podsumowanie naszych ustaleń, wyjaśniamy ich skalę i znaczenie oraz udzielamy prostych i konkretnych porad, jak ograniczyć zidentyfikowane ryzyka i zlikwidować luki. 

  • Wsparcie IOD

    Zastanawiasz się, czy Twoja organizacja powinna wyznaczyć Inspektora Ochrony Danych (IOD)? Planujesz otworzyć nową spółkę w Unii Europejskiej lub zacząć oferować nowy rodzaj usług dla swoich klientów? Chcesz dowiedzieć się, jakie są aktualne wymagania wynikające z RODO i czy jesteś zgodny z RODO?

    EY może pomóc Ci ocenić, czy potrzebujesz Inspektora Ochrony Danych oraz pomoże wybrać odpowiednią osobę, wyznaczyć ją i powiadomić o tym organ nadzorczy. Jeśli nie chcesz zatrudniać IOD na własną rękę, EY Law może działać jako zewnętrzny IOD i codziennie pomagać Ci w rozwiązywaniu problemów związanych z ochroną danych.

    Nasz zespół od lat wspiera międzynarodowe organizacje i inspektorów ochrony danych w różnych lokalizacjach UE w wypełnianiu obowiązków regulacyjnych w zakresie ochrony danych użytkowników, pracowników i kontrahentów na najwyższym poziomie jakości oraz jak najskuteczniejszego przestrzegania wymogów RODO i wytycznych lokalnych.

    Nasze wsparcie obejmuje:

    • Przeprowadzanie oceny IOD w celu ustalenia, czy organizacja jest zobowiązana do wyznaczenia IOD.
    • Zapewnienie dedykowanego prawnika w ramach usługi outsourcingu personelu jako eksperta do bieżącego wsparcia wewnątrz Twojej organizacji – na Twoje życzenie opcja ta może obejmować wysłanie naszego eksperta do siedziby Twojej organizacji, który pozwoli nam dokładnie zrozumieć procedury obowiązujące w Twojej organizacji i oczekiwania interesariuszy, aby móc dostosować procedury ochrony danych i dopasować je do istniejącej struktury organizacji i przepływu danych (usługa oddelegowania).
    • Elastyczne pakiety godzin wsparcia ze strony naszych prawników w razie potrzeby, w tym wsparcie we wdrożeniu nowych technologii i rozwiązań opartych na danych w Twojej organizacji, a także wsparcie w zarządzaniu kryzysowym.
    • Infolinia z naszym zespołem prawnym, ekspertami, przeznaczona dla firm, które potrzebują szybkiego i skutecznego wsparcia prawnego w zakresie ochrony danych osobowych oraz reagowania na incydenty.
    • Profesjonalne wsparcie w zakresie procedur wyznaczania inspektorów ochrony danych w kraju docelowym, komunikacji z lokalnymi władzami oraz weryfikacji specyficznych lokalnych wymagań dotyczących IOD.

  • Certyfikat ISAE 3000

    Zastanawiasz się, jak stać się bardziej zaufanym partnerem biznesowym i udowodnić niezawodność w dziedzinie prywatności?

    Nasz zespół ekspertów we współpracy z EY Cybersecurity Compliance Team oferuje usługi związane z certyfikacją International Standard on Assurance Engagements (ISAE), ze szczególnym naciskiem na ochronę danych i bezpieczeństwo informacji. ISAE 3000 Assurance Engagement ma na celu zapewnienie klientom i interesariuszom niezależnie potwierdzonej pewności, że ich praktyki w zakresie ochrony danych i kontroli bezpieczeństwa informacji są zgodne z ustalonymi standardami.

    Przeprowadzamy niezależne oceny środków kontroli, polityk i praktyk w zakresie ochrony danych i bezpieczeństwa informacji w organizacji, aby ocenić zgodność z odpowiednimi standardami i przepisami. Dostarczamy kompleksowy raport na temat skuteczności tych kontroli w określonym czasie i wystawiamy certyfikat, który może być wykorzystany do udowodnienia wiarygodności organizacji przed jej klientami.

    Raport odpowiada na potrzeby dostawcy – może odnosić się do oceny skuteczności mechanizmów zapewniających jakość danych w systemie. Zakres takiego raportu może być zdefiniowany zgodnie z życzeniem klienta i dokładnie odpowiadać na jego konkretne potrzeby. Raport ISAE 3000 często porusza kwestie związane z zapewnieniem prawidłowego działania środowiska kontroli wewnętrznej w odniesieniu do wymogów RODO.

    Korzyści płynące z certyfikacji dla Twojej organizacji obejmują:

    • Raport ISAE 3000 to niezależny certyfikat strony trzeciej, uznawany na całym świecie jako dowód skutecznej polityki prywatności w Twojej organizacji.
    • Certyfikat może służyć jako dowód w przypadku roszczeń związanych z prywatnością.
    • Niektórzy klienci typu enterprise mogą wymagać tego typu certyfikacji w procedurach klasyfikacji zabezpieczeń.
    • Jest to dodatkowy znak dla Twoich obecnych i nowych klientów, jak bardzo Twojej organizacji zależy na zgodnym z przepisami przetwarzaniu ich poufnych informacji i wrażliwych danych.

  • Certyfikacja SOC2

    Czy usługi Twojej organizacji wiążą się z przetwarzaniem, przechowywaniem lub przekazywaniem wrażliwych danych klientów? Czy Twoi klienci często proszą o informacje na temat kontroli wewnętrznych, praktyk bezpieczeństwa i zgodności? Czy chcesz zyskać przewagę nad konkurencją, wykazując silne zaangażowanie w bezpieczeństwo danych i zgodność z przepisami? Czy zidentyfikowałeś potencjalne zagrożenia lub luki w zabezpieczeniach swoich systemów, które mogą mieć wpływ na bezpieczeństwo danych klientów?

    Oferujemy usługi atestacyjne, aby zwiększyć wiarygodność Twojej organizacji i zdobyć zaufanie Twoich klientów.

    SOC 2 (Service Organization Control 2) to powszechnie uznawany standard audytu opracowany przez Amerykański Instytut Biegłych Rewidentów (AICPA) w celu oceny i raportowania kontroli i procesów związanych z bezpieczeństwem, dostępnością, integralnością przetwarzania, poufnością i prywatnością danych w organizacjach usługowych. Koncentruje się na mechanizmach kontroli stosowanych przez organizację usługową w celu zapewnienia bezpieczeństwa i prywatności danych klientów i innych poufnych informacji.

    Raporty SOC 2 są często wymagane przez klientów, partnerów i interesariuszy jako sposób oceny praktyk w zakresie bezpieczeństwa i ochrony danych organizacji usługowej przed nawiązaniem z nią współpracy. Raporty te dają pewność, że systemy, procesy i procedury organizacji usługowej są zgodne z najlepszymi praktykami branżowymi i odpowiednimi wymogami prawnymi.

    Jakie są korzyści z SOC dla Twojej organizacji?

    Raport SOC:

    • potwierdza wdrożenie i skuteczność operacyjną mechanizmów kontrolnych w Twojej organizacji,
    • ogranicza liczbę i zakres audytów przeprowadzanych przez audytorów klienta,
    • umożliwia wykorzystanie wiedzy profesjonalistów do oceny wdrożonych procesów i identyfikacji obszarów wymagających poprawy,
    • pomaga spełnić oczekiwania klientów dotyczące jakości świadczonych usług, potwierdzone raportem wydanym przez niezależnego audytora.

    Jakie są korzyści z certyfikacji SOC dla Twoich klientów?

    Certyfikacja:

    • umożliwia obniżenie kosztów audytów dostawców usług,
    • wydaje niezależną opinię na temat skuteczności systemu kontroli wewnętrznej organizacji świadczącej usługi,
    • umożliwia monitorowanie ryzyka i daje pewność odpowiedniego poziomu kontroli nad świadczonymi usługami i dostarczaną technologią,
    • pomaga spełnić wymagania stawiane przez organy regulacyjne.

  • Oceny skutków transferu

    Czy Twoja organizacja przekazuje dane osobowe do krajów spoza Europejskiego Obszaru Gospodarczego (EOG)? Korzystasz z narzędzi globalnych gigantów technologicznych? Zastanawiasz się, jakie środki techniczne i organizacyjne należy zastosować, aby zapewnić bezpieczeństwo i poufność przekazywanych danych? Czy rozważałeś skorzystanie z zabezpieczeń zatwierdzonych przez RODO w przypadku tych transferów, takich jak standardowe klauzule umowne (SCC) lub wiążące reguły korporacyjne (BCR)?

    Zgodnie z orzeczeniem w sprawie Schrems II, dla skuteczności wszystkich zabezpieczeń dotyczących przekazywania danych poza EOG do krajów, które nie posiadają decyzji stwierdzającej odpowiedni stopień ochrony wydanej przez Komisję Europejską – konieczne jest przeprowadzenie badania wpływu przekazywania danych na ochronę danych.

    Ocena skutków transferu (TIA) to proces, który ocenia potencjalny wpływ przekazywania danych osobowych z jednej jurysdykcji do drugiej. Ta ocena pomaga organizacjom zapewnić zgodność z przepisami o ochronie danych oraz chronić prawa i prywatność osób, których dane są przekazywane.

    Nasz zespół ma udokumentowane doświadczenie w pomaganiu organizacjom w ocenie wpływu transferu. Oto niektóre z kluczowych usług, które świadczymy:

    • Przegląd i analiza prawna: Dokonujemy przeglądu umowy o przekazywaniu danych i oceniamy jej skutki prawne zgodnie z odpowiednimi przepisami o ochronie danych, takimi jak RODO (ogólne rozporządzenie o ochronie danych) lub innymi obowiązującymi przepisami, a także oceniamy sytuację prawną w kraju odbiorcy w celu ustalenia poziomu ryzyka.
    • Zgodność między jurysdykcjami: Zapewniamy, że transfer danych jest zgodny zarówno z przepisami o ochronie danych w jurysdykcji źródłowej, jak i docelowej, w tym oceniamy podstawy prawne przekazywania danych oraz adekwatność ochrony i stosujemy odpowiednie środki bezpieczeństwa w celu zapewnienia, że transfer jest bezpieczny dla danych pochodzących z UE.
    • Ocena mechanizmów przekazywania danych: Doradzamy w zakresie najodpowiedniejszych mechanizmów przekazywania danych, takich jak Standardowe Klauzule Umowne (SCC), Wiążące Reguły Korporacyjne (BCR) i inne – pomagamy w wyborze i przygotowaniu potrzebnych dokumentów, a także zapewniamy ich skuteczność.

  • Prywatność w fazie projektowania (privacy by design) w systemach sztucznej inteligencji

    Jako kompetentny i doświadczony doradca w zakresie ochrony prywatności w fazie projektowania dla sztucznej inteligencji, nasz zespół ekspertów pomaga organizacjom poruszać się po skomplikowanym skrzyżowaniu przepisów dotyczących sztucznej inteligencji i ochrony danych, jednocześnie budując zaufanie i zgodność. Nasze rozwiązania są zgodne z nowo przyjętym w Unii Europejskiej rozporządzeniem ws. sztucznej inteligencji (Artificial Intelligence Act), a także z zaleceniami dotyczącymi ochrony danych w systemach AI w UE.

    Prywatność w fazie projektowania to koncepcja, która kładzie nacisk na uwzględnianie kwestii ochrony danych w projektowaniu i opracowywaniu technologii, w tym systemów sztucznej inteligencji. Jest ona niezbędna w każdym przypadku, gdy sztuczna inteligencja będzie wykorzystywana w związku z danymi osobowymi. EY jest dobrze wyspecjalizowane w zakresie wdrażania rozwiązań AI i jesteśmy chętni do pomocy w osiągnięciu niezbędnej zgodności z przepisami.

    Oto usługi prawne, które oferujemy w tym zakresie:

    • Oceny wpływu na prywatność (PIA) w odniesieniu do systemów sztucznej inteligencji. Przeprowadzamy oceny prywatności systemów sztucznej inteligencji w celu zidentyfikowania potencjalnych zagrożeń dla prywatności i zarekomendowania środków mających na celu włączenie ochrony prywatności w projekt i działanie tych systemów.
    • Opracowywanie polityk prywatności i klauzule informacyjne. Tworzymy polityki prywatności i klauzule informacyjne specjalnie dostosowane do zastosowań AI, zapewniając przejrzystość praktyk przetwarzania danych i wyjaśniając, w jaki sposób technologie AI przetwarzają dane osobowe. Pomagamy również w opracowaniu strategii dostarczania klauzul informacyjnych osobom, których dane dotyczą, w odpowiednim czasie i we właściwy sposób.
    • Zgodność z RODO dla sztucznej inteligencji. Doradzamy, w jaki sposób systemy sztucznej inteligencji mogą spełniać wymogi ogólnego rozporządzenia o ochronie danych (RODO), w tym w zakresie zgodnego z prawem przetwarzania, praw osób, których dane dotyczą, oraz transgranicznego przekazywania danych.
    • Strategie minimalizacji danych i ograniczania celu. Pomagamy w projektowaniu systemów AI, które gromadzą i przetwarzają tylko niezbędne dane, ograniczając zakres zbierania danych w celu zminimalizowania zagrożeń dla prywatności.
    • Mechanizmy zgody na sztuczną inteligencję. Opracowujemy mechanizmy zgody na zastosowanie sztucznej inteligencji, dbając o to, aby użytkownicy wyrażali świadomą i wyraźną zgodę na działania związane z przetwarzaniem danych, gdy jest to potrzebne.
    • Techniki anonimizacji i pseudonimizacji. Doradzamy w zakresie technik anonimizacji lub pseudonimizacji danych wykorzystywanych w systemach sztucznej inteligencji w celu ochrony prywatności osób fizycznych przy jednoczesnym zachowaniu użyteczności danych.
    • Umowy dotyczące ochrony danych osobowych. Przygotowujemy umowy dotyczące udostępniania danych, współpracy lub partnerstwa związanego ze sztuczną inteligencją w celu zapewnienia zgodności z wymogami przepisów o ochronie danych osobowych.
    • Rozwiązania w zakresie transgranicznego transferu danych. Zapewniamy wskazówki dotyczące transgranicznego przesyłania danych generowanych lub przetwarzanych przez sztuczną inteligencję przy jednoczesnym przestrzeganiu przepisów o ochronie danych i międzynarodowych mechanizmów przekazywania danych.
    • Etyka i uczciwość w zakresie sztucznej inteligencji. Zajmujemy się kwestiami etycznymi i kwestiami uczciwości w projektowaniu sztucznej inteligencji, zapewniając, że systemy sztucznej inteligencji nie prowadzą do stronniczych lub dyskryminujących wyników.
    • Monitorowanie zgodności z przepisami. Monitorujemy rozwój przepisów dotyczących sztucznej inteligencji i ochrony danych, aby zapewnić ciągłą zgodność i rekomendować niezbędne dostosowania systemów sztucznej inteligencji.
    • Planowanie reagowania na incydenty dla sztucznej inteligencji. Pomagamy w opracowywaniu planów reagowania na incydenty specjalnie dostosowanych do naruszeń prywatności lub incydentów bezpieczeństwa związanych ze sztuczną inteligencją.

  • Akt w sprawie zarządzania danymi (Data Governance Act)

    Czy Twoja organizacja śledzi rozwój sytuacji związanej z Aktem ws. zarządzania danymi (Data Governance Act)? Czy zastanawiasz się nad jego potencjalnym wpływem na zarządzanie danymi i praktyką ich udostępniania? Zastanawiasz się, w jaki sposób Twoja organizacja może skorzystać z tych unijnych ram zaufanej wymiany danych ponad granicami?

    Akt w sprawie zarządzania danymi (DGA) jest kluczowym filarem strategii Unii Europejskiej w zakresie danych, ponieważ ma na celu przyspieszenie wymiany danych, wzmocnienie procesów dostępności danych oraz umożliwienie podmiotom prywatnym i publicznym ponownego wykorzystywania danych bez przeszkód technicznych. Rozporządzenie weszło w życie 23 czerwca 2022 r., a jego celem jest wspieranie tworzenia i rozwoju wspólnych unijnych przestrzeni danych w obszarach strategicznych.

    Nasz zespół ekspertów pomaga zidentyfikować potencjalne obszary, w których Twoja organizacja mogłaby skorzystać z Data Governance Act oraz zapewnia kompleksowe wsparcie w realizacji projektów data-driven, zgodnie z RODO i Data Governance Act. Jesteśmy w stanie pomóc w zarządzaniu danymi i ich udostępnianiu m.in. w następujących obszarach:

    • Transgraniczna wymiana danych. Głównym celem DGA jest stworzenie ram dla bezpiecznej i ustandaryzowanej transgranicznej wymiany danych. Jeśli Twoja organizacja opiera się na udostępnianiu danych partnerom, klientom lub usługodawcom w państwach członkowskich UE, możemy pomóc Ci skorzystać z bardziej usprawnionych i zharmonizowanych procesów.
    • Badania naukowe i innowacje. Organizacje zajmujące się badaniami, rozwojem i innowacjami często wymagają dostępu do różnorodnych zestawów danych na potrzeby analiz i spostrzeżeń. DGA może zapewnić bardziej dostępny i ustandaryzowany sposób współpracy i udostępniania danych ponad granicami, promując innowacje, a nasz zespół może doradzić, jak to zrobić!
    • Podejmowanie decyzji w oparciu o dane. Przedsiębiorstwa, które w dużym stopniu opierają się na danych przy podejmowaniu decyzji, mogą skorzystać na lepszym dostępie do wysokiej jakości danych z różnych źródeł. DGA mogłaby zachęcać do lepszych praktyk w zakresie udostępniania danych, prowadząc do podejmowania bardziej trafnych i świadomych decyzji. Pomożemy Ci w znalezieniu sposobów na uzyskanie i wykorzystanie danych zgodnie z prawem unijnym i lokalnym.
    • Usługi i platformy cyfrowe. Przedsiębiorstwa, które świadczą usługi cyfrowe lub prowadzą platformy, które wiążą się z wymianą danych między użytkownikami, mogą uznać DGA za korzystne. Rozporządzenie mogłoby pomóc w ustanowieniu jasnych zasad udostępniania danych i mechanizmów dostępu do danych. Pomożemy Ci zidentyfikować i wykorzystać tę prawną możliwość.  
    • Zarządzanie łańcuchem dostaw. Przedsiębiorstwa o złożonych łańcuchach dostaw, które obejmują różne kraje UE, mogą mieć trudności z udostępnianiem danych związanych z łańcuchem dostaw, takich jak poziomy zapasów, dane dotyczące logistyki i produkcji, zgodnie z DGA. Pomożemy Ci opracować strategię, zaprojektować i wdrożyć przepływy udostępniania danych w Twoich łańcuchach dostaw.
    • Smart Cities i IoT. Organizacje zajmujące się tworzeniem rozwiązań dla Smart Cities, urządzeń IoT i połączonej infrastruktury mogą skorzystać ze standardowych praktyk udostępniania danych, które zwiększają interoperacyjność i bezpieczeństwo danych. Pomożemy Ci stworzyć mechanizmy udostępniania danych, które są zgodne z prawem unijnym i lokalnym.
    • Monetyzacja i komercjalizacja danych. Organizacje, które chcą skomercjalizować lub spieniężyć swoje zasoby danych, mogą uznać DGA za korzystne pod względem standardowych umów, ram odpowiedzialności i uprawnień do korzystania z danych. Pomożemy Ci przygotować te dokumenty.
    • Start-upy i MŚP. Przepisy DGA mogłyby przynieść szczególne korzyści przedsiębiorstwom typu start-up oraz małym i średnim przedsiębiorstwom (MŚP), zmniejszając bariery w udostępnianiu danych i umożliwiając im dostęp do zasobów danych od większych partnerów. Być może pomożemy Ci znaleźć i wykorzystać nowe możliwości.
    • Dane środowiskowe. Dostępne dane publiczne mogą pomóc Twojej organizacji w opracowaniu lub wdrożeniu rozwiązań dotyczących śladu węglowego, ekologicznego stylu życia, walki ze zmianami klimatu, monitorowania klęsk żywiołowych. EY może pomóc w legalnym pozyskiwaniu i wykorzystywaniu danych oraz wdrażaniu konkretnych zielonych rozwiązań.
    • Dane dotyczące mobilności. Twoje innowacyjne produkty i usługi mogą być związane z transportem publicznym i nawigacją w czasie rzeczywistym. Pomagamy w prawidłowym pozyskiwaniu i wykorzystywaniu danych.
    • Dane dotyczące zdrowia. Twoja organizacja może dostarczać innowacje oparte na danych mające na celu poprawę opieki zdrowotnej, zapewniając lepiej dostosowane prywatne zabiegi. EY może pomóc w przygotowaniu ram prawnych do prowadzenia takich działań zgodnie z prawem unijnym i lokalnym.

  • Dane w wyrobach medycznych

    Ochrona danych w kontekście sprzętu medycznego obejmuje zapewnienie, że gromadzenie, przetwarzanie, przechowywanie i udostępnianie danych osobowych i wrażliwych danych zdrowotnych jest zgodne z obowiązującymi przepisami i regulacjami dotyczącymi ochrony danych. Oto kilka kluczowych aspektów prawnych, które należy wziąć pod uwagę w dziedzinie ochrony danych dotyczących sprzętu medycznego – w czym nasi prawnicy zajmujący się ochroną danych mogą pomóc Ci się poruszać:

    • Przepisy o ochronie danych osobowych. Bardzo ważne jest, aby zrozumieć i przestrzegać odpowiednich przepisów i regulacji dotyczących ochrony danych, takich jak RODO w Unii Europejskiej lub Health Insurance Portability and Accountability Act (HIPAA) w Stanach Zjednoczonych, w zależności od jurysdykcji.
    • Wrażliwe dane zdrowotne. Sprzęt medyczny może wiązać się z gromadzeniem i przetwarzaniem wrażliwych danych dotyczących zdrowia, co wymaga zwiększonej ochrony. Zapewnienie zgodności z wymogami prawnymi dotyczącymi przetwarzania danych wrażliwych, takich jak uzyskanie wyraźnej zgody lub spełnienie uzasadnionych kryteriów przetwarzania.
    • Podstawa prawna przetwarzania. Istotne może być zidentyfikowanie i ustanowienie podstawy prawnej przetwarzania danych dotyczących zdrowia, takiej jak konieczność przetwarzania w celu diagnozy medycznej, leczenia lub zarządzania usługami opieki zdrowotnej.
    • Świadoma zgoda. W niektórych przypadkach przedsiębiorstwa mogą być zmuszone do uzyskania wyraźnej i świadomej zgody od osób fizycznych przed gromadzeniem i przetwarzaniem ich danych dotyczących zdrowia, zapewniając im przejrzyste informacje o tym, w jaki sposób ich dane będą wykorzystywane.
    • Ograniczenie celu. Organizacje mogą przetwarzać dane dotyczące zdrowia wyłącznie w określonych i zgodnych z prawem celach związanych ze świadczeniem usług zdrowotnych lub funkcjonowaniem sprzętu medycznego.
    • Minimalizacja danych. Podmioty mogą gromadzić i przetwarzać jedynie minimalną ilość danych dotyczących zdrowia niezbędną do osiągnięcia zamierzonego celu, ograniczając ryzyko nadmiernego gromadzenia danych. Jednocześnie konieczna jest skuteczna i holistyczna diagnoza.
    • Środki bezpieczeństwa. Ważne jest, aby wdrożyć solidne środki bezpieczeństwa w celu ochrony danych zdrowotnych przed nieautoryzowanym dostępem, naruszeniami i cyberatakami, zapewniając poufność i integralność danych.

    Biorąc pod uwagę wrażliwy charakter danych zdrowotnych i zmieniający się krajobraz prawny, ważne jest, aby Twoja organizacja ściśle współpracowała z ekspertami prawnymi, którzy specjalizują się w ochronie danych i przepisach dotyczących opieki zdrowotnej, aby zapewnić kompleksową zgodność i ochronę danych podczas korzystania ze sprzętu medycznego, a nasz zespół może pomóc Ci w tych działaniach.

  • Międzyjurysdykcyjna analiza przepisów o ochronie danych osobowych

    Nasi eksperci świadczą szereg usług w zakresie przekrojowej analizy przepisów o ochronie danych osobowych. Wiąże się to z pomaganiem organizacjom w poruszaniu się po złożonym krajobrazie przepisów i regulacji dotyczących ochrony danych w różnych krajach lub regionach, zapewniając zgodność, minimalizując ryzyko prawne i ułatwiając płynny przepływ danych przez granice. Nasza pomoc obejmuje:

    • Mapowanie regulacyjne i analiza luki. Pomożemy Ci zidentyfikować i zmapować przepisy i regulacje dotyczące ochrony danych mające zastosowanie do określonych operacji biznesowych w wielu jurysdykcjach. Przeprowadzamy analizę luki, aby ocenić obecne praktyki biznesowe w odniesieniu do wymogów prawnych w każdej jurysdykcji.
    • Oceny zgodności. Oceniamy działania, polityki i praktyki organizacji w zakresie przetwarzania danych, aby zapewnić zgodność z przepisami o ochronie danych w różnych jurysdykcjach. W związku z tym przedstawiamy zalecenia dotyczące niezbędnych korekt w celu osiągnięcia zgodności.
    • Mechanizmy przekazywania danych. Doradzamy w zakresie mechanizmów prawnych i zabezpieczeń wymaganych przy transgranicznym przekazywaniu danych, takich jak standardowe klauzule umowne, wiążące reguły korporacyjne (BCR) oraz decyzje stwierdzające odpowiedni stopień ochrony.
    • Strategie przechowywania danych w wielu jurysdykcjach. Mając dostęp do wiedzy i doświadczenia ekspertów prawnych na całym świecie, jesteśmy w stanie zebrać informacje na temat wymogów dotyczących przechowywania danych w jurysdykcji, w której działają nasi Klienci i pomóc w wyborze zgodnego z przepisami, ale jednolitego podejścia do retencji danych dla całej organizacji.
    • Strategie transgranicznego przepływu danych. Opracowujemy strategie zarządzania danymi osobowymi i ich przekazywania między jurysdykcjami, jednocześnie minimalizując ryzyka prawne i związane z przestrzeganiem przepisów. Przygotowujemy wzory ocen skutków przeniesień, przeprowadzamy te oceny, przygotowujemy Wiążące Reguły Korporacyjne oraz przygotowujemy niezbędne umowy, w tym dotyczące Standardowych Klauzul Umownych.
    • Dostosowanie polityk i klauzul informacyjnych do wymogów lokalnych. Opracowujemy lub weryfikujemy polityki prywatności, warunki użytkowania i informacje o przetwarzaniu danych dostosowane do wymagań różnych jurysdykcji. Zapewniamy również praktyczne strategie tworzenia dokumentów w celu zapewnienia zgodności z prawem w całej UE lub na świecie.
    • Mechanizmy zgody. Opracowujemy i wdrażamy mechanizmy zgody, które są zgodne z wymogami różnych jurysdykcji, zapewniając uzyskanie właściwej i ważnej zgody od osób, których dane dotyczą.
    • Łącznik regulacyjny. Kontaktujemy się z odpowiednimi organami ochrony danych w różnych jurysdykcjach, odpowiadamy na zapytania i zarządzamy interakcjami regulacyjnymi.
    • Transgraniczne fuzje i przejęcia. Świadczymy usługi doradztwa prawnego w zakresie ochrony danych osobowych podczas transgranicznych fuzji, przejęć lub transakcji biznesowych, a także podczas łączenia i przenoszenia baz danych.
    • Monitorowanie i aktualizacje. Na bieżąco informujemy klientów o zmianach w przepisach i regulacjach dotyczących ochrony danych osobowych w różnych jurysdykcjach, które mogą mieć wpływ na ich działalność.

  • Audyt funkcji IOD

    Inspektor ochrony danych jest kluczową osobą odpowiedzialną za zapewnienie zgodności z przepisami o ochronie danych, w szczególności z ogólnym rozporządzeniem o ochronie danych (RODO) w Unii Europejskiej. Nasi eksperci mogą pomóc w audycie roli IOD w Twojej organizacji.

    Nasz zespół prawników specjalizujących się w ochronie danych posiada dogłębną wiedzę na temat wymogów prawnych związanych z rolą inspektora ochrony danych, w tym wytycznych władz lokalnych. Możemy udzielić wskazówek dotyczących konkretnych obowiązków i odpowiedzialności inspektora ochrony danych, zgodnie z odpowiednimi przepisami.

    Możemy również pomóc w zaplanowaniu procesu audytu dla roli IOD. Obejmuje to określenie zakresu audytu, określenie odpowiednich wymogów prawnych i regulacyjnych oraz opracowanie kompleksowego planu audytu. Ostatnim etapem jest przegląd dokumentacji i działań IOD w celu oceny zgodności z wymogami prawnymi. Obejmuje to przegląd polityk ochrony danych, procedur, rejestrów czynności przetwarzania, procesów zarządzania naruszeniami danych oraz wszelkiej innej istotnej dokumentacji.

    Nasz zespół oferuje kompleksową ocenę niezależności IOD. RODO wymaga, aby IOD działał niezależnie i bez konfliktu interesów. Nasz zespół jest w stanie ocenić, czy IOD utrzymuje niezależną pozycję w organizacji i nie podlega nadmiernym wpływom, a także czy posiada pożądany poziom wiedzy i umiejętności zawodowych.

Co nas wyróżnia

Indywidualne podejście do klienta

Towarzyszymy klientom na każdym etapie realizacji projektów, wspierając ich w osiągnięciu wyznaczonych celów. Zawsze znajdujemy najbardziej efektywne i pragmatyczne rozwiązania, które jednocześnie minimalizują wszelkie ryzyka. Mamy możliwość bieżącej konsultacji z zespołami technicznymi, co pozwala nam doradzać z sposób praktyczny i kompleksowy.

Obszar doradztwa

Prowadzimy z sukcesem nawet najbardziej skomplikowane sprawy oraz doradzamy w zakresie efektywnego wykorzystania najnowocześniejszych rozwiązań związanych z ochroną danych osobowych i wdrożeniem RODO. Prowadzimy projekty multi jurysdykcyjne, w których doradzamy klientom w zakresie wdrażania spójnych rozwiązać obejmujących całe regiony (np. CESA, CEE i Nordyki).

Kompleksowe rozwiązania

Dostarczamy nie tylko usługi doradztwa prawnego, ale także konkretne i trwałe rozwiązania. Dzięki ścisłej współpracy z innymi zespołami doradztwa z zakresu cyberbezpieczeństwa, biznesowego i podatkowego EY, nasze doradztwo jest kompleksowe i bardziej zrozumiałe dla klienta.

Doświadczony zespół

Nasz zespół tworzą adwokaci i radcowie prawni, których wyróżnia wszechstronne doświadczenie oraz dogłębna znajomości biznesowej praktyki i związanych z tym zasad.

Międzynarodowa i uznana marka

Zespół Digital Law jak i jego Liderka są regularnie wyróżniani w prestiżowych rankingach: Chambers Global, Chambers Europe, Legal 500, IFLR 1000, WTR 1000.

Myślimy globalnie, działamy lokalnie

EY oferuje swoje usługi w 150 krajach, a dzięki rozbudowanej sieci naszych kontaktów i szerokiej wymianie doświadczeń tworzymy niestandardowe i efektywne rozwiązania. Jesteśmy w stanie prowadzić analizy dotyczące transferów danych bez angażowania klienta w skomplikowane relacje umowne z zagranicznymi podmiotami. Mamy dostęp do wiedzy doświadczenia ekspertów EY na całym świecie.

Cyfrowa Mapa Europy

Najważniejsze regulacje związane z Europejską Dekadą Cyfrową w jednym miejscu

Dowiedz się więcej

Jesteśmy rekomendowani przez międzynarodowe rankingi. WTR 1000 napisało o nas:  Ernst & Young effortlessly bridges the gap between business advisory services and legal counsel, adopting an interdisciplinary, one-stop-shop approach to the protection of IP assets. The side prides itself on its close partner attention, tailor-made solutions and impressive cross-border capabilities. 

Justyna Wilczyńska-Baraniak

Partner EY, Lider Zespołu Prawa Własności Intelektualnej, Technologii, Danych Osobowych w Kancelarii EY Law

Naszą siłą jest kompleksowe i najwyższej jakości doradztwo. 

Jesteśmy jedną z najbardziej dynamicznie rozwijających się międzynarodowych praktyk prawniczych w Polsce.

Łączymy wieloletnie doświadczenie radców prawnych i adwokatów ze znajomością biznesowych zasad działania naszych usługobiorców. Dzięki temu zwiększamy wydajność ich pracy, obniżając przy tym koszty prowadzonej przez nich działalności. Wychodzimy daleko poza klasyczne rozumienia doradztwa z zakresu własności intelektualnej i ochrony danych osobowych.

Oferujemy kompleksowe, międzysektorowe i multidyscyplinarne doradztwo prawne na każdym etapie realizacji projektu. Dostarczamy praktyczne rozwiązania, aby jak najskuteczniej pomagać klientom w osiągnięciu wyznaczonych przez nich celów.

 

Wstecz

Doradztwo prawne

Dalej

Prawo Nowych Technologii