Czy wykonałeś już

Analizę Ryzyka Ogólnego oraz Ocenę Skutków?

Jako nieliczni w Polsce stworzyliśmy kompleksowe narzędzie, które ułatwi Ci szacowanie ryzyka

O nas

Jesteśmy zespołem ekspertów działających w obszarze bezpieczeństwa informacji. Ze względu na to, iż od 2004 roku dziedzina szeroko rozumianej ochrony danych osobowych rozwija się dynamicznie, my równie dynamicznie zdobywaliśmy doświadczenie. Systematycznie pogłębialiśmy wiedzę ekspercką, co spowodowało…

0
+
zadowolonych klientów
0
+
wykonanych szkoleń
0
+
wykonanych audytów
0
+
wdrożonych dokumentacji

Metody wykonywania SZKOLEŃ oraz AUDYTÓW:

  1. SZKOLENIA:
    • w postaci stacjonarnej (UWAGA: z powodu wystąpienia epidemii COVID-19 wszystkie szkolenia stacjonarne realizowane są w postaci zdalnej),
    • w postaci zdalnej za pomocą platformy wideokonferencyjnej niezależnie od miejsca przebywania uczestnika szkolenia (praca, dom itd…).
  2. AUDYTY:
    • w postaci stacjonarnej (UWAGA: z powodu wystąpienia epidemii COVID-19 wszystkie szkolenia stacjonarne realizowane są w postaci zdalnej),
    • w postaci zdalnej przy jednoczesnym wykorzystaniu:
      • wideokonferencji,
      • oprogramowania do “zdalnego pulpitu”, oraz
      • autorskiego (autonomicznego) urządzenia do wykrywania zagrożeń w sieci IT przy wykorzystywaniu niezależnego mobilnego łącza internetowego + VPN, wysyłanego kurierem do Klienta.

Najczęściej wykonywane przez nas SZKOLENIA w okresie ostatniego roku:

  1. Szacowanie ryzyka: Analiza Ryzyka Ogólnego oraz Ocena Skutków dla Przetwarzania Danych Osobowych (DPIA),
  2. Zmiany po 4 maja 2019 (tzw. ustawa wdrażająca RODO),
  3. Krajowe Ramy Interoperacyjności,
  4. Warsztaty z zakresu norm ISO dotyczących bezpieczeństwa informacji (normy technologiczne, informacyjne, jakościowe oraz z zakresu ciągłości zarządzania).

Najczęściej wykonywane przez nas AUDYTY w okresie ostatniego roku:

  1. Audyt ogólny uwzględniający RODO, przepisy krajowe oraz wytyczne,
  2. Krajowe Ramy Interoperacyjności w wersji podstawowej oraz rozbudowanej (z elementami norm ISO),
  3. Bezpieczeństwo informacji wg ISO (z uwzględnieniem wybranych norm z rodziny 27xxx oraz 29xxx),
  4. ISO 22301.

Nowe szkolenie, które wprowadziliśmy do oferty:

Krajowe Ramy Interoperacyjności – procedury dla sektora publicznego, które powinny się zawierać w polityce/kach organizacji; zarządzanie i wykonywanie procedur, audyt oraz kontrola organu uprawnionego. Potężna tematyka wytłumaczona prostym językiem w zakresie formalnoprawnym jak i informatycznym.

Dlaczego teraz?

Normy ISO nie są nam obce, a tym bardziej tematyka Krajowych Ram Interoperacyjności. Pracujemy na nich codziennie, czy to podczas audytów bądź wdrożeń dokumentacji. Rynek jest pochłonięty wieloma przepisami, które są wypadkową podstawowych założeń bezpieczeństwa informacji opierających się na przepisach branżowych. Chcemy pokazać, gdzie znajdują się podwaliny realnego sposobu zabezpieczania danych w kontekście formalnoprawnym jak i teletechnicznym. Co więcej, jak świadomie pisać procedury, które sprawdzają się podczas ciągłości zarządzania.

Nie będziemy mówić, jak spełnić warunki kontroli. Będziemy tłumaczyć, jakie są ich podstawy i założenia. Jak realnie tworzyć dokumentację, oraz ją “realizować” w organizacji.

Zakres usług

Szkolenia

To, że dzielimy szkolenia na te dedykowane przyszłym Inspektorom Ochrony Danych (IOD), Administratorom, podmiotom przetwarzającym, Administratorom Systemów Informatycznych (ASI) czy pracownikom organizacji, jest oczywiste…

Audyty

Audyty realizujemy w dwóch formach: stacjonarnej oraz zdalnej. Obie formy audytowania zawsze będą różnić się zakresem audytu. W przypadku audytu …

Doradztwo

Po każdym audycie czy szkoleniu stacjonarnym, Klient ma u nas zapewnione pełne doradztwo w zakresie wykonanych usług. Zazwyczaj jest tak, że najwięcej pytań pojawia się …

Procedury

Naszym głównym celem jest zabezpieczyć interesy Klienta w zakresie dokumentacyjnym. Korzystając z naszych usług, Klient jest wyposażony we …

Nasza strategia

Często zadawane pytania

Po części na to pytanie odpowiada art. 37 ust. 5 rozporządzenia ogólnego, który stanowi: „Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.” Rozporządzenie ogólne kładzie nacisk na dwa czynniki: wiedza ekspercka oraz doświadczenie. Warto zauważyć, że projektodawca nowego brzmienia ustawy o ochronie danych nie zdecydował się na dookreślenie, o jakie konkretnie kwalifikacje chodzi. Nie chciał tym samym wprowadzać ograniczeń w zakresie swobodnego świadczenia tego rodzaju usług. Za wybór Inspektora Ochrony Danych odpowiada Administrator – to on powinien wybrać takiego człowieka, który poradzi sobie z zadaniami określonymi w art. 39 rozporządzenia ogólnego. Administrator powinien również zbadać u Inspektora poziom znajomości przepisów branżowych, którymi związana jest organizacja, w której miałby on pełnić swoją funkcję. Innego zasobu wiedzy należy wymagać od Inspektora, który byłby wyznaczony w jednostce samorządu terytorialnego, a zupełnie odmiennego w przypadku spółki prawa handlowego przetwarzającej dane transgranicznie. Wybór Inspektora powinien odbywać się z zachowaniem należytej staranności przy uwzględnieniu charakteru przetwarzanych danych osobowych w organizacji. Inspektora Ochrony Danych można wyznaczyć ze struktur organizacji, zatrudnić poprzez konkurs stanowiskowy bądź podjąć współpracę w zakresie świadczenia usług na podstawie umowy cywilnoprawnej. Niemniej jednak, zważywszy na zawiłość tematyki ochrony danych i danych osobowych coraz częściej organizacje chcą, aby IOD posiadał doświadczenie audytora z zakresu norm i standardów określonych w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 10 września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych.

Art. 24 rozporządzenia ogólnego wprowadza zapis, że Administrator powinien wdrożyć odpowiednie polityki ochrony danych. Określenie „odpowiednie polityki” jest wystarczająco nieostre by zapytać: „czyli co konkretnie mam mieć?”. Niewątpliwie można się posiłkować dotychczas wymaganą dokumentacją tj. Polityką Bezpieczeństwa oraz Instrukcją Zarządzania Systemem Informatycznym. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych dosyć precyzyjnie określa co powinna zawierać dokumentacja. Co prawda przedmiotowy akt wykonawczy zostanie uchylony wraz z aktualnie jeszcze obowiązującą ustawą o ochronie danych osobowych, ale praktyki, które organizacje wypracowały do tej pory nie będą traciły na aktualności. Będą oczywiście wymagały modyfikacji i uzupełnienia, przykładowo o rejestr czynności przetwarzania, czy analizę zasadności wyznaczenia bądź nie Inspektora Ochrony Danych, aczkolwiek małe firmy będą mogły w dalszym ciągu korzystać z elementów składowych standardowej Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym. Ciekawą i praktyczna informacją jest artykuł zamieszczony na stronie Urzędu Ochrony Danych Osobowych – link.

To, że przedsiębiorca nikogo nie zatrudnia, nie oznacza, że nie przetwarza danych osobowych. W przypadku tego rodzaju firm należy wziąć pod uwagę dane osobowe klientów bądź kontrahentów, z którymi firma współpracuje czy dane osobowe wynikające z przesłanych aplikacji drogą mailową (nawet w przypadku formalnie nie ogłoszonego naboru). Względem tych danych osobowych trzeba stosować odpowiednie procedury przewidziane w politykach ochrony danych. Należy się również zastanowić, czy jako przedsiębiorca będę wchodzić w rolę administratora, współadministratora, a może podmiotu przetwarzającego. Niejednokrotnie na przedsiębiorcy będzie spoczywać konieczność spełnienia obowiązku informacyjnego względem wybranej grupy osób. Zdecydowanie każdy podmiot w jakimś stopniu jest związany rozporządzeniem ogólnym.

Faktycznie, kary pieniężne przewidziane w rozporządzeniu ogólnym mogą być niezwykle dotkliwe dla przedsiębiorcy. Ustawodawca jednak wyraźnie podkreślił, że każdy przypadek naruszenia bezpieczeństwa danych osobowych będzie oceniany indywidualnie. Na tą indywidualność składa się wiele czynników, które organ nadzorczy bierze pod uwagę przy podejmowaniu decyzji o nałożeniu administracyjnej kary pieniężnej. Pokrótce można powiedzieć, że istotny będzie charakter, waga i czas trwania naruszenia, jakiej ilości osób oraz jakiej kategorii danych naruszenie dotyczy, czy naruszenie miało charakter umyślny czy nieumyślny, jak administrator lub podmiot przetwarzający współpracowali z organem nadzorczym, czy podjęto działania korygujące w stosunku do naruszenia, jeśli tak, to jak szybko podmiot zaczął wdrażać te działania, a także za pomocą jakiś środków. Mówimy tu jednak o przypadku, kiedy do incydentu już dojdzie, a co zrobić, żeby do naruszenia nie doszło? Przede wszystkim zadbać o odpowiednie środki techniczne i organizacyjne, w ramach których mieści się wdrożenie stosownych procedur, zlecenie przeprowadzenia audytu, przeszkolenie personelu, przeszkolenie podmiotów zewnętrznych, o ile jest to zasadne. Najważniejsze jest, by ustalić przepływ danych zarówno wewnątrz, jak i na zewnątrz organizacji.

– Czy wykonałeś już

Analizę Ryzyka Ogólnego i Ocenę Skutków?

Jako nieliczni w Polsce stworzyliśmy kompleksowe narzędzie, które ułatwi Ci szacowanie

Zadzwoń do nas
784 699 897
604 576 941

Strona używa plików Cookies do celów statystycznych. Korzystając z naszej strony bez zmiany ustawień przeglądarki wyrażasz zgodę na przechowywanie i wykorzystywanie przez nas tych plików. Dodatkowe informacje znajdziesz w Polityce Cookies w zakładce PROCEDURY/POLITYKA COOKIES

Polityka cookies

  1. Serwis nie zbiera w sposób automatyczny żadnych informacji, z wyjątkiem informacji zawartych w plikach cookies.
  2. Pliki cookies (tzw. „ciasteczka”) stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym Użytkownika Serwisu tj. użytkownika strony internetowej i przeznaczone są do korzystania ze stron internetowych Serwisu. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.
  3. Pliki cookies wykorzystywane są w celu tworzenia statystyk, które pomagają zrozumieć, w jaki sposób Użytkownicy Serwisu korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości.
  4. W ramach Serwisu stosowane są dwa zasadnicze rodzaje plików cookies: „sesyjne” (session cookies) oraz „stałe” (persistent cookies). Cookies „sesyjne” są plikami tymczasowymi, które przechowywane są w urządzeniu końcowym Użytkownika do czasu opuszczenia strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej). „Stałe” pliki cookies przechowywane są w urządzeniu końcowym Użytkownika przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez Użytkownika.
  5. W ramach Serwisu stosowane są również następujące rodzaje plików cookies:

„analityczne" pliki Cookies (niezależnej firmy Google Inc.) - usunięcie tych plików nie uniemożliwia korzystanie z Serwisu. Analityczne pliki Cookies gromadzą informacje o sposobie korzystania z Serwisu przez odwiedzających, typie strony, z jakiej Użytkownicy zostali przekierowani, oraz liczbie odwiedzin Użytkowników i czasie wizyty na tej stronie. Pliki te nie rejestrują konkretnych danych osobowych Użytkownika, lecz służą do opracowania statystyk korzystania z Serwisu.

  1. W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym Użytkownika. Użytkownicy Serwisu mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu Użytkownika Serwisu. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej).
  2. Więcej informacji na temat plików cookies dostępnych jest pod adresem w sekcji „Pomoc” w menu przeglądarki internetowej.
  3. Korzystając z naszej strony bez zmiany ustawień przeglądarki wyrażasz zgodę na przechowywanie i wykorzystywanie przez nas tych plików (na podstawie art. 173 ust. 1 pkt 2 w zw. z art. 173 ust. 2 Prawa telekomunikacyjnego).

Zamknij