Czy wykonałeś już

Analizę Ryzyka Ogólnego oraz Ocenę Skutków?

Jako nieliczni w Polsce stworzyliśmy kompleksowe narzędzie, które ułatwi Ci szacowanie ryzyka

O nas

Jesteśmy zespołem ekspertów działających w obszarze bezpieczeństwa informacji. Ze względu na to, iż od 2004 roku dziedzina szeroko rozumianej ochrony danych osobowych rozwija się dynamicznie, my równie dynamicznie zdobywaliśmy doświadczenie. Systematycznie pogłębialiśmy wiedzę ekspercką, co spowodowało…

CZYTAJ WIĘCEJ
0
+
zadowolonych klientów
0
+
wykonanych szkoleń
0
+
wykonanych audytów
0
+
wdrożonych dokumentacji

Metody wykonywania SZKOLEŃ oraz AUDYTÓW:

  1. SZKOLENIA:
    • w postaci stacjonarnej (UWAGA: z powodu wystąpienia epidemii COVID-19 wszystkie szkolenia stacjonarne realizowane są w postaci zdalnej),
    • w postaci zdalnej za pomocą platformy wideokonferencyjnej niezależnie od miejsca przebywania uczestnika szkolenia (praca, dom itd…).
  2. AUDYTY:
    • w postaci stacjonarnej (UWAGA: z powodu wystąpienia epidemii COVID-19 wszystkie szkolenia stacjonarne realizowane są w postaci zdalnej),
    • w postaci zdalnej przy jednoczesnym wykorzystaniu:
      • wideokonferencji,
      • oprogramowania do “zdalnego pulpitu”, oraz
      • autorskiego (autonomicznego) urządzenia do wykrywania zagrożeń w sieci IT przy wykorzystywaniu niezależnego mobilnego łącza internetowego + VPN, wysyłanego kurierem do Klienta.

Najczęściej wykonywane przez nas SZKOLENIA w okresie ostatniego roku:

  1. Szacowanie ryzyka: Analiza Ryzyka Ogólnego oraz Ocena Skutków dla Przetwarzania Danych Osobowych (DPIA),
  2. Zmiany po 4 maja 2019 (tzw. ustawa wdrażająca RODO),
  3. Krajowe Ramy Interoperacyjności,
  4. Warsztaty z zakresu norm ISO dotyczących bezpieczeństwa informacji (normy technologiczne, informacyjne, jakościowe oraz z zakresu ciągłości zarządzania).

Najczęściej wykonywane przez nas AUDYTY w okresie ostatniego roku:

  1. Audyt ogólny uwzględniający RODO, przepisy krajowe oraz wytyczne,
  2. Krajowe Ramy Interoperacyjności w wersji podstawowej oraz rozbudowanej (z elementami norm ISO),
  3. Bezpieczeństwo informacji wg ISO (z uwzględnieniem wybranych norm z rodziny 27xxx oraz 29xxx),
  4. ISO 22301.

Nowe szkolenie, które wprowadziliśmy do oferty:

Krajowe Ramy Interoperacyjności – procedury dla sektora publicznego, które powinny się zawierać w polityce/kach organizacji; zarządzanie i wykonywanie procedur, audyt oraz kontrola organu uprawnionego. Potężna tematyka wytłumaczona prostym językiem w zakresie formalnoprawnym jak i informatycznym.

Dlaczego teraz?

Normy ISO nie są nam obce, a tym bardziej tematyka Krajowych Ram Interoperacyjności. Pracujemy na nich codziennie, czy to podczas audytów bądź wdrożeń dokumentacji. Rynek jest pochłonięty wieloma przepisami, które są wypadkową podstawowych założeń bezpieczeństwa informacji opierających się na przepisach branżowych. Chcemy pokazać, gdzie znajdują się podwaliny realnego sposobu zabezpieczania danych w kontekście formalnoprawnym jak i teletechnicznym. Co więcej, jak świadomie pisać procedury, które sprawdzają się podczas ciągłości zarządzania.

Nie będziemy mówić, jak spełnić warunki kontroli. Będziemy tłumaczyć, jakie są ich podstawy i założenia. Jak realnie tworzyć dokumentację, oraz ją “realizować” w organizacji.

Zakres usług

Szkolenia

To, że dzielimy szkolenia na te dedykowane przyszłym Inspektorom Ochrony Danych (IOD), Administratorom, podmiotom przetwarzającym, Administratorom Systemów Informatycznych (ASI) czy pracownikom organizacji, jest oczywiste…

Audyty

Audyty realizujemy w dwóch formach: stacjonarnej oraz zdalnej. Obie formy audytowania zawsze będą różnić się zakresem audytu. W przypadku audytu …

Doradztwo

Po każdym audycie czy szkoleniu stacjonarnym, Klient ma u nas zapewnione pełne doradztwo w zakresie wykonanych usług. Zazwyczaj jest tak, że najwięcej pytań pojawia się …

Procedury

Naszym głównym celem jest zabezpieczyć interesy Klienta w zakresie dokumentacyjnym. Korzystając z naszych usług, Klient jest wyposażony we …
POKAŻ WSZYSTKO

Nasza strategia

KROK
01

Strategia opracowania dokumentacji

Praca dla Klienta rozpoczyna się od rozpoznania kontekstu Jego organizacji. Jest to niezwykle istotny etap, którzy w dużej mierze rzutuje na ostateczny kształt procedur z zakresu Systemów Zarządzania Bezpieczeństwem Informacji. Audytor powinien dbać o to, aby wdrażane w organizacji procedury były zgodne z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz obejmowały inne wymagania prawne, regulacyjne i umowne, którymi organizacja jest związana. Dla nas najważniejsze jest to, aby dokumentacja była zrozumiała dla samego Administratora, a także dla pracowników, którzy w konsekwencji ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji będą zapoznawać się z jego zapisami. W całym procesie wdrażania wymaganych przepisami prawa procedur nie można zapominać o Klientach organizacji, względem których, rzecz jasna w różnym zakresie w zależności od specyfiki organizacji, należy spełnić na przykład obowiązek informacyjny. Kluczowe znaczenie dla faktycznego, a nie iluzorycznego funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji ma fakt ustanowienie, a następnie wdrożenie odpowiednich środków organizacyjnych oraz technicznych - odpowiednich do rodzaju przetwarzanych danych osobowych, sposobów przetwarzania, zasięgu terytorialnego działania organizacji. Mając powyższe na względzie, nasz Klient dostaje dokumentację, która odzwierciedla jego specyfikę, a także uwzględnia potrzeby i oczekiwania stron zainteresowanych.

KROK
02

Strategia szkoleniowa

Kiedy stajemy przed swoim Klientem na sali szkoleniowej, staramy się realizować cele szkoleniowe na 100%. Cele te opierają się o trzy filary: wiedza, umiejętności oraz postawy. Przekazanie wiedzy uczestnikowi szkolenia jest niezwykle istotne, aczkolwiek samo w sobie przekazanie treści nie daje oczekiwanych rezultatów. Zależy nam, aby uczestnik nabył konkretne umiejętności, aczkolwiek najbardziej cieszy nas efekt w postaci zainspirowania uczestnika do dalszego zgłębiania tematyki bezpieczeństwa informacji. Podczas szkoleń pokazujemy, iż bezpieczeństwo informacji jest dziedziną o charakterze interdyscyplinarnym i wymaga połączenia norm branżowych z normami w zakresie ochrony danych osobowych. Nasze szkolenia są dedykowane specyfice szkolonej organizacji. Nasza wiedza i doświadczenie pozwalają z góry przewidzieć problematykę organizacji w zakresie bezpieczeństwa informacji i wskazać obszary podatne na utratę danych lub nieuprawniony do nich dostęp. Staramy się, by uczestnik wyszedł ze szkolenia z przekonaniem, że przekazywane treści faktycznie dotyczyły jego organizacji.

KROK
03

Strategia konsultingowa

Od 25 maja 2018 roku organizacje będą stosować RODO, a mianowicie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. Wszystkie podmioty publiczne oraz część podmiotów prywatnych będzie zobligowana do wyznaczenia Inspektora Ochrony Danych (IOD lub z ang. DPO). Część Administratorów będzie w obowiązku prowadzić Rejestr Czynności Przetwarzania, z kolei podmiot przetwarzający będzie prowadzić Rejestr Kategorii Czynności Przetwarzania dokonywanych na rzecz Administratora. Zdajemy sobie sprawę, że jeśli ktoś na co dzień nie zajmuje się problematyką ochrony danych osobowych, procedury przewidziane w przedmiotowym rozporządzeniu mogą wydawać się zwyczajnie skomplikowane. Doradzamy naszym Klientom jak je „po ludzku” wprowadzić i stosować. Pomagamy także w ustaleniu, czy organizacja będzie zobowiązana do wyznaczenia IOD ile jasno nie wynika to z przepisów. Strategię konsultingową realizujemy poprzez: wydawanie opinii, doradztwo jednorazowe, doradztwo długofalowe (szczególne po uprzednim audytowaniu podmiotu, wdrożeniu Systemu Zarządzania Bezpieczeństwem Informacji bądź przeprowadzonym szkoleniu), zapytania złożone przez Klienta mailowo lub telefonicznie, realizacja postanowień umowy o współpracy w zakresie doradztwa, konferencje internetowe.

KROK
04

Strategia przeprowadzenia audytu

Standardowy zakres audytu zwykle obejmuje cztery obszary przetwarzania danych osobowych tj.: formalnoprawny, bezpieczeństwo fizyczne i środowiskowe, bezpieczeństwo zasobów ludzkich, a także bezpieczeństwo środowiska informatycznego. Po zakończeniu czynności audytowych, przedstawiamy właścicielowi organizacji raport poaudytowy, w którym wskazujemy zgodności, niezgodności oraz obszary do doskonalenia. Zespół audytowy jest zobowiązany klauzulą poufności względem wszelkiego rodzaju informacji powziętych w procesie audytu. Z racji tego, że technikę audytowania opieramy o najwyższe standardy wynikające z norm międzynarodowych, Klient ma pewność wykonania usługi w pełni profesjonalnie oraz etycznie.

Często zadawane pytania

Po części na to pytanie odpowiada art. 37 ust. 5 rozporządzenia ogólnego, który stanowi: „Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.” Rozporządzenie ogólne kładzie nacisk na dwa czynniki: wiedza ekspercka oraz doświadczenie. Warto zauważyć, że projektodawca nowego brzmienia ustawy o ochronie danych nie zdecydował się na dookreślenie, o jakie konkretnie kwalifikacje chodzi. Nie chciał tym samym wprowadzać ograniczeń w zakresie swobodnego świadczenia tego rodzaju usług. Za wybór Inspektora Ochrony Danych odpowiada Administrator – to on powinien wybrać takiego człowieka, który poradzi sobie z zadaniami określonymi w art. 39 rozporządzenia ogólnego. Administrator powinien również zbadać u Inspektora poziom znajomości przepisów branżowych, którymi związana jest organizacja, w której miałby on pełnić swoją funkcję. Innego zasobu wiedzy należy wymagać od Inspektora, który byłby wyznaczony w jednostce samorządu terytorialnego, a zupełnie odmiennego w przypadku spółki prawa handlowego przetwarzającej dane transgranicznie. Wybór Inspektora powinien odbywać się z zachowaniem należytej staranności przy uwzględnieniu charakteru przetwarzanych danych osobowych w organizacji. Inspektora Ochrony Danych można wyznaczyć ze struktur organizacji, zatrudnić poprzez konkurs stanowiskowy bądź podjąć współpracę w zakresie świadczenia usług na podstawie umowy cywilnoprawnej. Niemniej jednak, zważywszy na zawiłość tematyki ochrony danych i danych osobowych coraz częściej organizacje chcą, aby IOD posiadał doświadczenie audytora z zakresu norm i standardów określonych w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 10 września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych.

Art. 24 rozporządzenia ogólnego wprowadza zapis, że Administrator powinien wdrożyć odpowiednie polityki ochrony danych. Określenie „odpowiednie polityki” jest wystarczająco nieostre by zapytać: „czyli co konkretnie mam mieć?”. Niewątpliwie można się posiłkować dotychczas wymaganą dokumentacją tj. Polityką Bezpieczeństwa oraz Instrukcją Zarządzania Systemem Informatycznym. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych dosyć precyzyjnie określa co powinna zawierać dokumentacja. Co prawda przedmiotowy akt wykonawczy zostanie uchylony wraz z aktualnie jeszcze obowiązującą ustawą o ochronie danych osobowych, ale praktyki, które organizacje wypracowały do tej pory nie będą traciły na aktualności. Będą oczywiście wymagały modyfikacji i uzupełnienia, przykładowo o rejestr czynności przetwarzania, czy analizę zasadności wyznaczenia bądź nie Inspektora Ochrony Danych, aczkolwiek małe firmy będą mogły w dalszym ciągu korzystać z elementów składowych standardowej Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym. Ciekawą i praktyczna informacją jest artykuł zamieszczony na stronie Urzędu Ochrony Danych Osobowych – link.

To, że przedsiębiorca nikogo nie zatrudnia, nie oznacza, że nie przetwarza danych osobowych. W przypadku tego rodzaju firm należy wziąć pod uwagę dane osobowe klientów bądź kontrahentów, z którymi firma współpracuje czy dane osobowe wynikające z przesłanych aplikacji drogą mailową (nawet w przypadku formalnie nie ogłoszonego naboru). Względem tych danych osobowych trzeba stosować odpowiednie procedury przewidziane w politykach ochrony danych. Należy się również zastanowić, czy jako przedsiębiorca będę wchodzić w rolę administratora, współadministratora, a może podmiotu przetwarzającego. Niejednokrotnie na przedsiębiorcy będzie spoczywać konieczność spełnienia obowiązku informacyjnego względem wybranej grupy osób. Zdecydowanie każdy podmiot w jakimś stopniu jest związany rozporządzeniem ogólnym.

Faktycznie, kary pieniężne przewidziane w rozporządzeniu ogólnym mogą być niezwykle dotkliwe dla przedsiębiorcy. Ustawodawca jednak wyraźnie podkreślił, że każdy przypadek naruszenia bezpieczeństwa danych osobowych będzie oceniany indywidualnie. Na tą indywidualność składa się wiele czynników, które organ nadzorczy bierze pod uwagę przy podejmowaniu decyzji o nałożeniu administracyjnej kary pieniężnej. Pokrótce można powiedzieć, że istotny będzie charakter, waga i czas trwania naruszenia, jakiej ilości osób oraz jakiej kategorii danych naruszenie dotyczy, czy naruszenie miało charakter umyślny czy nieumyślny, jak administrator lub podmiot przetwarzający współpracowali z organem nadzorczym, czy podjęto działania korygujące w stosunku do naruszenia, jeśli tak, to jak szybko podmiot zaczął wdrażać te działania, a także za pomocą jakiś środków. Mówimy tu jednak o przypadku, kiedy do incydentu już dojdzie, a co zrobić, żeby do naruszenia nie doszło? Przede wszystkim zadbać o odpowiednie środki techniczne i organizacyjne, w ramach których mieści się wdrożenie stosownych procedur, zlecenie przeprowadzenia audytu, przeszkolenie personelu, przeszkolenie podmiotów zewnętrznych, o ile jest to zasadne. Najważniejsze jest, by ustalić przepływ danych zarówno wewnątrz, jak i na zewnątrz organizacji.

Klienci

ZAWODY REGULOWANE I DEREGULOWANE
OCHRONA MIENIA
FINANSE I UBEZPIECZENIA
USŁUGI
TRANSPORT
HANDEL
ENERGIA I GAZ
PRODUKCJA I PRZEMYSŁ
SEKTOR PRYWATNY
URZĘDY I STAROSTWA
POMOC SPOŁECZNA
PLACÓWKI OŚWIATOWE
KULTURA I SPORT
OŚRODKI ZDROWIA
SPÓŁDZIELNIE MIESZKANIOWE
ZAKŁADY BUDŻETOWE ORAZ PRYWATNE JEDNOSTKI REALIZUJĄCE ZADANIA W INTERESIE PUBLICZNYM
AKTYWIZACJA ZAWODOWA

– Czy wykonałeś już

Analizę Ryzyka Ogólnego i Ocenę Skutków?

Jako nieliczni w Polsce stworzyliśmy kompleksowe narzędzie, które ułatwi Ci szacowanie

Zadzwoń do nas
784 699 897
604 576 941

Napisz do nas
[email protected]‑lex.pl

Strona używa plików Cookies do celów statystycznych. Korzystając z naszej strony bez zmiany ustawień przeglądarki wyrażasz zgodę na przechowywanie i wykorzystywanie przez nas tych plików. Dodatkowe informacje znajdziesz w Polityce Cookies w zakładce PROCEDURY/POLITYKA COOKIES

Polityka cookies

  1. Serwis nie zbiera w sposób automatyczny żadnych informacji, z wyjątkiem informacji zawartych w plikach cookies.
  2. Pliki cookies (tzw. „ciasteczka”) stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym Użytkownika Serwisu tj. użytkownika strony internetowej i przeznaczone są do korzystania ze stron internetowych Serwisu. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.
  3. Pliki cookies wykorzystywane są w celu tworzenia statystyk, które pomagają zrozumieć, w jaki sposób Użytkownicy Serwisu korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości.
  4. W ramach Serwisu stosowane są dwa zasadnicze rodzaje plików cookies: „sesyjne” (session cookies) oraz „stałe” (persistent cookies). Cookies „sesyjne” są plikami tymczasowymi, które przechowywane są w urządzeniu końcowym Użytkownika do czasu opuszczenia strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej). „Stałe” pliki cookies przechowywane są w urządzeniu końcowym Użytkownika przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez Użytkownika.
  5. W ramach Serwisu stosowane są również następujące rodzaje plików cookies:

„analityczne" pliki Cookies (niezależnej firmy Google Inc.) - usunięcie tych plików nie uniemożliwia korzystanie z Serwisu. Analityczne pliki Cookies gromadzą informacje o sposobie korzystania z Serwisu przez odwiedzających, typie strony, z jakiej Użytkownicy zostali przekierowani, oraz liczbie odwiedzin Użytkowników i czasie wizyty na tej stronie. Pliki te nie rejestrują konkretnych danych osobowych Użytkownika, lecz służą do opracowania statystyk korzystania z Serwisu.

  1. W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym Użytkownika. Użytkownicy Serwisu mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu Użytkownika Serwisu. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej).
  2. Więcej informacji na temat plików cookies dostępnych jest pod adresem w sekcji „Pomoc” w menu przeglądarki internetowej.
  3. Korzystając z naszej strony bez zmiany ustawień przeglądarki wyrażasz zgodę na przechowywanie i wykorzystywanie przez nas tych plików (na podstawie art. 173 ust. 1 pkt 2 w zw. z art. 173 ust. 2 Prawa telekomunikacyjnego).

Zamknij