Usługi RODO
Audyty RODO
Analizy z zakresu zarządzania procesami ochrony danych osobowych to audyty zgodności przetwarzania danych osobowych z przepisami prawa. Audyty RODO wykonujemy u wszystkich klientów, także w podmiotach, w których przejmujemy pełnienie funkcji Inspektora Ochrony Danych – IOD.
Metodologia wykonania projektu polega na analizie wszystkich procesów i dokumentów w organizacji, a także wywiadach bezpośrednich z osobami odpowiedzialnymi za poszczególne obszary ochrony danych osobowych. Audyty RODO wykonywane są biurze klienta lub zdalnie za pomocą platformy ZOOM lub MS Teams.
Audyty RODO wykonywane są zgodnie ze standardami ISO 27001. Firma, która planuje certyfikację, posiadając prawidłowo wykonany audyt RODO z zakresu poprawnego przetwarzania danych osobowych i zarządzania bezpieczeństwem informacji łatwiej przejdzie pełne proces certyfikacji ISO.
Wykonanie audytu jest podsumowane Raportem audytowym, bądź listą zaleceń. Dokumenty te są podstawą do wykonania wdrożenia.
Wdrożenia RODO
Na podstawie raportu audytowego lub listy zaleceń przygotowujemy wszystkie brakujące dokumenty lub aktualizujemy istniejące. Są to między innymi: Polityka Bezpieczeństwa (Polityka Przetwarzania Danych Osobowych), Instrukcja Zarządzania Systemem Informatycznym, instrukcje min.: monitoringu, zgłoszenia naruszenia danych osobowych, DPIA, wykazy czynności, formularze, wzory umów, min: powierzenia, wzory upoważnień i inne dokumenty, które wynikają z profilu prowadzonej działalności.
Outsourcing funkcji IOD
Inspektor Ochrony Danych (IOD) to wewnętrznie, bądź zewnętrznie pełniona funkcja, której zadaniem jest nadzór nad prawidłowym zarządzaniem procesami ochrony danych osobowych w firmie.
Powierzenie wykonywania funkcji Inspektora Ochrony Danych (IOD) zewnętrznej firmie jest najczęściej spotykaną formą pełnienia tej funkcji w organizacjach. Większość firm, które obligatoryjnie nie muszą powoływać Inspektora Ochrony Danych (IOD) decyduje się na to ze względów bezpieczeństwa, wizerunkowych. Zlecenie pełnienia funkcji Inspektora Ochrony Danych do zewnętrznego podmiotu to przede wszystkim optymalizacja kosztów (IOD wykonuje czynności w formie ryczałtu przez określoną ilość godzin w miesiącu), ciągłość działania (w DPAG każdy klient ma co najmniej dwóch opiekunów) i bezpieczeństwo (eksperci DPAG posiadają dodatkowe ubezpieczenia od pełnienia funkcji IOD, uczestniczą w szkoleniach a także śledzą interpretacje przepisów. Inspektor Ochrony Danych (IOD) wykonuje wszystkie bieżące czynności związane z pełnioną funkcją, min. nie rzadziej niż raz do roku wykonuje sprawdzenie roczne. Nasi klienci, którzy korzystają z usługi Inspektora Ochrony Danych (IOD) przez okres powyżej jednego roku nie ponoszą dodatkowych kosztów sprawdzeń rocznych i okresowych.
Pełniąc funkcję Inspektora Ochrony Danych (IOD) eksperci DPAG przede wszystkim opiniują bieżące umowy pod kątem bezpiecznego dla klienta DPAG przetwarzania danych osobowych osób fizycznych, ale również wykonują szkolenia przypominające dla personelu i nowych pracowników, przygotowują i aktualizują dokumentację, zgłaszają incydenty, uczestniczą w kontrolach UODO, a także audytach z zakresu ochrony danych osobowych zleconych przez podmioty trzecie.
Inspektor Ochrony Danych (IOD) to funkcja aktywna. Pełniąc funkcję Inspektora Ochrony Danych (IOD) u naszych klientów nasi eksperci nie czekają na zgłoszenia ze strony klienta. Jesteśmy w stałym kontakcie z obsługiwanymi podmiotami i reagujemy na zmiany operacyjne, które mogą mieć wpływ na bezpieczeństwo danych osobowych osób fizycznych.
Pracownicy DPAG uczestniczą w szkoleniach i kursach, a także są prelegentami na różnego rodzaju wydarzeniach branżowych. Na bieżąco śledzimy interpretacje Urzędu Ochrony Danych Osobowych (UODO), jak również wymieniamy się wiedzą na spotkaniach z innymi Inspektorami Ochrony Danych (IOD).
Pełniąc funkcję Inspektora Ochrony Danych nasza firma staje się automatycznie punktem kontaktowym dla osób fizycznych, których dane są przetwarzane – każdy klient ma przypisaną skrzynkę mail, na którą wpływają zapytania i informacje od osób fizycznych. Na bieżąco odpowiadamy na wszystkie pytania. Prowadzimy także korespondencję z Urzędem Ochrony Danych Osobowych (UODO).
Obsługa prawna
W ramach współpracy z naszymi Partnerami: Adwokatem Witoldem Walosińskim
i Radcą Prawnym Jerzym Tofilem wspieramy naszych klientów w pełnym zakresie obsługi prawnej włącznie z zastępstwem procesowym, negocjacjami umów, windykacją należności. Obsługa prawna możliwa jest w języku polskim, angielskim i francuskim.
Szkolenia RODO
Szkolenia są zazwyczaj wynikową audytu RODO i wdrożenia dokumentacji
z zakresu poprawnego przetwarzania danych osobowych w danej firmie. Szkolimy pracowników firm z zasad ochrony danych osobowych wdrożonych w organizacji lub osobę wyznaczoną do pełnienia funkcji Inspektora Ochrony Danych (IOD). Pełniąc funkcję Inspektora Ochrony Danych szkolimy nowych pracowników, wykonujemy także szkolenia przypominające i okresowe personelu.
Szkolenia mogą być również samodzielnym projektem. Wykonujemy szkolenia zgodne z wymogami izb zawodowych (komornicy, lekarze, brokerzy ubezpieczeniowi i inne grupy zawodowe).
Sygnaliści
USTAWA O OCHRONIE OSÓB ZGŁASZAJĄCYCH NARUSZENIA PRAWA UNII
W dniu 23 października 2019 roku została ustanowiona dyrektywa Parlamentu Europejskiego w sprawie ochrony osób zgłaszających naruszenia prawa Unii.
Jakie są główne założenia Dyrektywy?
Założeniem Dyrektywy w sprawie ochrony osób zgłaszających naruszenia prawa Unii jest stworzenie bezpiecznych i skutecznych kanałów zgłaszania naruszeń unijnego prawa w obrębie organizacji. Wyodrębnione są zarówno zewnętrzne, jak i wewnętrzne kanały zgłoszeń.
Dopuszczalne jest aby zewnętrzny podmiot świadczył usługi bezpiecznego, wewnętrznego kanału zgłaszania naruszeń.
Sygnalistą, czyli osobą zgłaszającą naruszenie zgodnie z Dyrektywą może być zarówno pracownik, podwykonawca, zleceniobiorca, osoba będąca w trakcie procesu rekrutacyjnego, stażysta, były pracownik, wykonawca, a także kontrahent. Ochroną mają być objęte także osoby pomagające w zgłoszeniu naruszenia.
Zgodnie z zapisami Dyrektywy każdy, kto ma lub miał styczność z organizacją może być Sygnalistą, a jego dane muszą być w sposób właściwy chronione.
Ustanowienie unijnego aktu prawnego ma na celu zabezpieczenie Sygnalistów przed działaniami odwetowymi. Należy dodać, że Dyrektywa określa minimalną ochronę Sygnalistów. Krajowy ustawodawca może rozszerzyć zakres obowiązków dla firm w tym zakresie.
Za działania odwetowe uznane są min.: zwolnienie z pracy, degradacja, przymusowy bezpłatny urlop, zmiana miejsca pracy, obniżenie wynagrodzenia, wstrzymanie szkoleń, zastosowanie innego środka dyscyplinarnego.
Zatem celem Dyrektywy jest zachęcenie do zgłaszania zauważonych przypadków naruszenia unijnego prawa przez osoby związane z organizacją. W związku z tym wszyscy sygnaliści muszą mieć możliwość bezpiecznego informowania, bez ponoszenia konsekwencji. Rolą organizacji jest zapewnienie takim osobom skutecznych kanałów przekazywania informacji do właściwych organów.
Kogo dotyczy Dyrektywa?
Przepisom podlegają podmioty zarówno z sektora prywatnego (powyżej 50 pracowników), jak i publicznego (gminy poniżej 10 tys. mieszkańców mogą mieć wspólny kanał zgłaszania naruszeń dla kilku gmin).
Przy czym nadmienić należy, że w przypadku podmiotów prywatnych zatrudniających poniżej 50 pracowników krajowy ustawodawca może wprowadzić wyłączenia lub obostrzenia w konieczności implementacji przepisów.
Od kiedy obowiązuje Dyrektywa
Zgodnie z zapisami Dyrektywy podmioty publiczne, a także podmioty prywatne zatrudniające powyżej 250 pracowników powinny były zaimplementować przepisy do 17 grudnia 2021 roku.
Termin przeprowadzenia wdrożenia dla przedsiębiorstw prywatnych zatrudniających pomiędzy 50, a 249 pracowników upływa 17 grudnia 2023 roku.
Obowiązki dla przedsiębiorców
Wszystkie podmioty, które są objęte Dyrektywą mają obowiązek wdrożyć i opisać procedury, a także rozwiązania prawne i organizacyjne mające na celu ochronę danych Sygnalistów, a także stworzyć bezpieczne kanały zgłoszeń naruszeń.
Każdy podmiot będzie musiał prowadzić rejestry naruszeń, opracować kanały zgłoszeń zapewniające anonimowość i bezpieczeństwo Sygnalistów, a także jasne procedury oceny zgłoszonych naruszeń, reagowania w określonych terminach i dostęp Sygnalistów do informacji związanych ze zgłoszonym przez nich naruszeniem.
Dyrektywa, a Ustawa
W Polsce prace nad wdrożeniem Dyrektywy prowadzi od 1 grudnia 2020 roku Minister Rozwoju, Pracy i Technologii.
10 grudnia 2020 roku Minister powołał Zespół ds. przygotowania regulacji w związku z implementacją Dyrektywy.
14 października 2021 roku został udostępniony pierwszy projekt Ustawy. Na lipiec 2023 roku Ustawa w Polsce nie została wprowadzona, a podmioty gospodarcze działają w oparciu o Dyrektywę UE.
Bezpieczeństwo informacji / Cybersecurity / Audyty IT
Bezpieczeństwo informacji, często nazywane w skrócie InfoSec, to zestaw narzędzi i procedur zabezpieczeń, które szeroko chronią poufne informacje przedsiębiorstwa przed nadużyciami, nieautoryzowanym dostępem, zakłóceniami lub zniszczeniem. InfoSec obejmuje bezpieczeństwo fizyczne i środowiskowe, kontrolę dostępu oraz cyberbezpieczeństwo. Często obejmuje technologie, takie jak brokerzy zabezpieczeń dostępu do chmury, narzędzia do ochrony przed oszustwami, wykrywanie i reagowanie w punktach końcowych (EDR) oraz testowanie zabezpieczeń.
Audyt IT / wdrożenie systemu bezpieczeństwa informacji ISO 27001
Norma ISO 27001 (lub ISO/IEC 27001) to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji (SZBI). Norma ta określa wymagania dla ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji. Ponadto zawiera wytyczne dotyczące szacowania i postępowania z ryzykiem związanym z bezpieczeństwem informacji.
Firmy i organizacje, które deklarują wdrożenie normy, mogą zostać poddane audytowi, a następnie uzyskać certyfikację na zgodności z normą.
System zarządzania bezpieczeństwem informacji (SZBI) zgodnie z ISO/IEC 27000 to „zbiór polityk, procedur, wytycznych oraz przydzielonych zasobów oraz aktywności, zarządzanych wspólnie przez organizację w celu ochronnych swoich zasobów informacyjnych”.
Audyt IT / wdrożenie systemu zarządzania ciągłością działania ISO 22301
Zarządzanie ciągłością działania (ang. Business Continuity Management, BCM) – zbiór działań, jakie podejmuje organizacja w celu zapewnienia klientom, dostawcom i regulatorom dostępności jej krytycznych funkcji biznesowych (do których ten dostęp mieć powinni) w przypadku wystąpienia zakłócenia (np. sytuacji kryzysowej).
Audyt cyberbezpieczeństwa (KSC)
Ustawę o Krajowym Systemie Cyberbezpieczeństwa, pierwszą która kompleksowo określa jego ramy prawno-organizacyjne, Prezydent RP podpisał 1 sierpnia 2018 r. Jej przyjęcie było odpowiedzią na obowiązek implementacji dyrektywy Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Network and Information Security Directive – dyrektywa NIS). Celem – utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym. Ustawa KSC zdefiniowała tworzące go podmioty, w szczególności operatorów usług kluczowych, nakładając na nich obowiązek przeprowadzania regularnych audytów bezpieczeństwa systemu informacyjnego. Jednocześnie podkreśliła wagę wypracowania metody umożliwiającej ujednolicone podejście do raportowania wyników, minimalizujące tym samym subiektywizm oceny, sama jednak jej nie wskazując. Metodyka audytu bezpieczeństwa informacyjnego powinna spójnie łączyć wymogi ustawowe z normami i dobrymi praktykami.
Audyt KSC to ocena gotowości firmy do realizacji obowiązków wynikających z treści Ustawy. Oferujemy dedykowane podejście oparte na szczegółowej analizie i identyfikacji luk w obszarach takich jak: zarządzanie ryzykiem, zarządzanie utrzymaniem i konfiguracją systemów, bezpieczeństwo fizyczne i środowiskowe, zarządzanie dostępem, ciągłość działania, zarządzanie dostawcami oraz zarządzanie incydentami.
Audyt zgodności z ustawą Syrbaney – Oxley (SOX)
W 2002 roku w Stanach Zjednoczonych została uchwalona ustawa Sarbanes-Oxley (SOX), która nałożyła dodatkowe restrykcje dotyczące kontroli wewnętrznej nad sprawozdawczością finansową spółek notowanych na amerykańskich giełdach papierów wartościowych oraz podmiotów od nich zależnych. Celem wprowadzonych zmian było zwiększenie zaufania do rynków kapitałowych.
Ustawa Sarbanes-Oxley (SOX) w skrócie:
- zwiększenie odpowiedzialności zarządu w obszarze raportowania finansowego oraz kontroli wewnętrznych
- wzmocnienie roli audytu wewnętrznego oraz rozszerzenie jego funkcji
- wprowadzenie kar za nieprzestrzeganie przepisów ustawy
- obowiązek corocznego audytu skuteczności kontroli wewnętrznej, które jest realizowane w ramach rocznego sprawozdania finansowego
Na czym polega audyt SOX:
Audyt SOX jest to audyt systemu kontroli wewnętrznej nad sprawozdawczością finansów. Podczas czynności identyfikujemy procesy, które powinny być objęte kontrolą wewnętrzną, przygotowujemy i aktualizujemy niezbędne dokumenty opisujące procesy kontroli. Po zakończeniu projektu zostaje przygotowany raport z zaleceniami działań mających na celu wzmocnienie systemu kontroli wewnętrznej nad sprawozdawczością finansową.
Audyt według Krajowych Ram Interoperacyjności (KRI)
KRI to potoczna nazwa rozporządzenia z dnia 12 kwietnia 2012 w sprawie Krajowych Ram Interoperacyjności.
Określone w nim zostały minimalne wymagania dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2017 r. poz. 570).
Zgodnie z rozporządzeniem minimalne wymagania dla rejestrów publicznych i wymiany informacji w postaci elektronicznej dla systemów teleinformatycznych:
specyfikacja formatów danych oraz protokołów komunikacyjnych i szyfrujących, które mają być stosowane w oprogramowaniu interfejsowym,
sposoby zapewnienia bezpieczeństwa przy wymianie informacji,
standardy techniczne zapewniające wymianę informacji z udziałem podmiotów publicznych z uwzględnieniem wymiany transgranicznej,
sposoby zapewnienia dostępu do zasobów informacji podmiotów publicznych dla osób niepełnosprawnych.
Jakie są korzyści Audytu KRI
Audyt KRI, to przede wszystkim sprawdzenie bezpieczeństwa danych, które są często największą wartością firm.
W dłuższej perspektywie audyt KRI to realna oszczędność dla podmiotów, ponieważ jest to także badanie potrzeb informatycznych firmy, optymalizacja systemowa, a także zatrudnienia w działach IT.
Audyty cyberbezpieczeństwa i podatności
Ocena odporności Organizacji na ataki cybernetyczne w oparciu o NIST CSF / CIS
Opracowane przez National Institute of Standards and Technology (NIST) ramy cyberbezpieczeństwa to zbiór wytycznych dla firm z sektora prywatnego, których należy przestrzegać, aby lepiej przygotować się do identyfikacji, blokowania, wykrywania, reagowania i remediowania skutków ataków
Audyty Microsoft 365 / Office 365
Środowisko Microsoft 365 jest podstawowym elementem backoffice większości firm. M365 obejmuje wiele powiązanych ze sobą aplikacji, w tym pakietu Office, przenikających się ról i uprawnień, które stanową wyzwanie zarówno w zakresie administracji jak i zarządzania bezpieczeństwem.
Cyberbezpieczeństwo (IT) wg. NIST CSF / CIS
NIST – Opracowane przez National Institute of Standards and Technology ramy cyberbezpieczeństwa to zbiór wytycznych dla firm z sektora prywatnego, których należy przestrzegać, aby lepiej przygotować się do identyfikacji, blokowania, wykrywania, reagowania i remediowania skutków ataków.
CIS – Center for Internet Security – standardy definiujące niezbędną higienę cybernetyczną i reprezentujące wyłaniający się minimalny standard bezpieczeństwa informacji dla wszystkich przedsiębiorstw.
Outsourcing i wdrożenia
- Przygotowanie Organizacji do certyfikacji ISO 27001
- Utrzymanie systemu ISO 27001 w Organizacji
- Pełnienie funkcji CISO
- Pełnienie funkcji Pełnomocnika ZSZ
- Pełnienie funkcji Koordynatora SZBI
- Wdrożenie systemu monitorowania bezpieczeństwa Organizacji (proces i technologia) – IDS/IPS/XDR (usługa dla małych organizacji)
- Monitorowanie bezpieczeństwa Organizacji (w tym utrzymanie systemu)
- Wdrożenie systemu do wykrywania podatności
- Zarządzanie podatnościami/zarządzanie zmianami IT (w tym utrzymanie systemu)
- Wdrożenie systemu DLP (proces i technologia)
- Utrzymywanie systemu DLP
- Wdrażanie środowiska M/O365
- Utrzymywanie środowiska M/O365
Szkolenia
- Ciągłość działania
- Cyberbezpieczeństwo
- Przygotowanie śladu autowego dla obowiązujących Organizację certyfikacji i wymogów prawnych
- Prowadzenie efektywnego systemu kontroli zarządczych w obszarze IT na bazie metodologii COBIT
W jaki sposób realizujemy szkolenia:
- Na żywo / zdalnie z trenerem
- Testy odporności organizacji na ataki socjotechniczne (kampanie fishingowe), realizowane poprzez dedykowaną platformę
- Przygotowanie programu szkoleń cyklicznych – utworzenie platformy e-learningowej
Kontrola zarządcza IT / Autyd IT
Kontrola zarządcza IT to rozwiązanie organizacyjne, które stosuje się w praktyce w celu przezwyciężenia określonych problemów w organizacji i osiągnięcia zakładanych rezultatów. Kontrola zarządcza to system procedur, instrukcji, zasad i mechanizmów, które wspomagają zarządzanie zmierzając do uzyskania – przez kierownictwo – pewności, że cele zostaną osiągnięte.
