REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Prawo » RODO w firmie » Szacowanie ryzyka zgodnie z RODO

Szacowanie ryzyka zgodnie z RODO

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
25 października 2019, 14:44
ODO 24
ODO 24
Szacowanie ryzyka zgodnie z RODO /Fot. Shutterstock
Szacowanie ryzyka zgodnie z RODO /Fot. Shutterstock
Shutterstock

REKLAMA

REKLAMA

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane „RODO”, zobowiązuje organizacje wykonujące operację lub zestaw operacji na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO), do zarządzania ryzykiem ich przetwarzania.

RODO w wielu aspektach jest podobne do norm ISO, a zwłaszcza do normy ISO/IEC 27001 „Zarządzanie systemem bezpieczeństwa informacji”. W szczególności podobieństwo widać w założeniu budowania systemu ochrony danych, działającego zgodnie z podejściem opartym na ryzyku (ang. risk-based approach). Oznacza to zalecenie stosowania takich środków bezpieczeństwa, które mają odpowiednio zabezpieczyć dane osobowe przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem (art. 32 ust. 2 RODO).

REKLAMA

REKLAMA

Zarówno w preambule, jak i w części normatywnej RODO wielokrotnie poruszana jest kwestia ryzyka związanego z przetwarzaniem danych osobowych (dokładnie 72 razy). Tym samym przepisy wskazują wagę, jaką trzeba przyłożyć do procesu zarządzania ryzykiem, czyli procesu identyfikacji, oceny, postępowania i kontroli potencjalnych zdarzeń lub sytuacji, mającego w sposób racjonalny zapewnić, że cele organizacji zostaną zrealizowane. Należy zauważyć, że „ryzyko” w RODO występuje przy takich sformułowaniach, jak: ryzyko naruszenia praw lub wolności osób fizycznych, ryzyko wiążące się z przetwarzaniem, ryzyko wynikające z operacji przetwarzania, ryzyko w zakresie bezpieczeństwa danych, ryzyko związane z przetwarzaniem danych osobowych. Dlatego nie mówimy tu o jednym procesie zarządzania ryzykiem, lecz o minimum dwóch.

Polecamy: Jak przygotować się do zmian w 2020 r.

Pierwszy proces zarządzania ryzykiem

Pierwszy proces zarządzania ryzykiem wchodzi w skład oceny skutków dla ochrony danych (DPIA). Dokładnie rzecz ujmując, jest to element oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą (art. 35 ust. 7 lit. c RODO). Jak wskazuje RODO, w ramach tego procesu analizuje się operacje przetwarzania. Wskazówki oraz parametry do wykonania tego procesu znajdują się w tekście RODO, mianowicie:

REKLAMA

  • Zagrożenia dla osób fizycznych są wskazane w motywie 75 RODO: „Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi”.
  • Zdarzenia mogące doprowadzić do zmaterializowania się zagrożeń są wskazane w art. 32 ust. 2 RODO: „Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
  • Poziomy ryzyka są wskazane w motywie 76 RODO: „Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko”.

Przy wykonywaniu lub planowaniu tego procesu można skorzystać również z materiałów opublikowanych przez Grupę Roboczą art. 29, szczególnie wytycznych dotyczących oceny skutków dla ochrony danych oraz pomagających ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679, a także wielu innych opracowań, m.in. PN-ISO/IEC 29134:2018-11 „Technika informatyczna – Techniki bezpieczeństwa – Wytyczne dotyczące oceny skutków dla prywatności” czy aplikacji „Privacy Impact Assessments”, opublikowanej przez CNIL.

Dalszy ciąg materiału pod wideo
Zobacz również:

Drugi proces zarządzania ryzykiem

Drugi proces zarządzania ryzykiem skupia się na ryzyku w zakresie bezpieczeństwa danych, a dokładniej mówiąc – na ocenie, czy administrator wdrożył odpowiednie środki techniczne i organizacyjne do ochrony danych osobowych (na obowiązek ten wskazuje art. 24 oraz art. 32 RODO). Tak więc chodzi tu o zasoby, za pomocą których organizacja przetwarza dane osobowe, tj. personel, komputery, systemy informatyczne, strony internetowe czy lokalizacje i pomieszczenia. To właśnie zasoby – a nie operacje przetwarzania – zabezpiecza się za pomocą technicznych i organizacyjnych środków ochrony danych, dlatego tak istotne jest przypisanie zasobów do operacji przetwarzania. Organizacja i wykonanie procesu zarządzania ryzykiem wymagają zastosowania odpowiedniej metodyki, której niestety nie znajdziemy w RODO. Dlatego mając na uwadze podobieństwo RODO do ISO/IEC 27001, możemy wykorzystać elementy metodyki zarządzania ryzykiem w bezpieczeństwie informacji z normy ISO/IEC 27005 lub normy ISO 31000. Stosowanie międzynarodowych norm do wykonania tego procesu zarządzania ryzykiem jest uzasadnione jeszcze z jednego powodu, a mianowicie Prezes Urzędu Ochrony Danych Osobowych udostępnił publikacje: „Jak rozumieć podejście oparte na ryzyku” oraz „Jak stosować podejście oparte na ryzyku?”, w których sam wykorzystał właśnie międzynarodowe normy ISO.

Pomimo możliwości zastosowania norm ISO do zarządzania ryzykiem zgodnie z RODO, niewskazującym rozwiązań technologicznych, są też pewne zmienne, które należy uwzględnić, tj.:

  • rodzaje zabezpieczeń, wskazane m.in. w art. 32 ust. 1 lit. a–c RODO:
    • pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 5 RODO),
    • szyfrowanie – jest to środek minimalizujący ryzyko, wskazany np. w motywie 83 RODO,
    • zapewnienie poufności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są dostępne tylko tym osobom, które mają odpowiednie upoważnienia i nadane dostępy do danych,
    • zapewnienie integralności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane mogą edytować lub w nie ingerować tylko te osoby, które są do tego upoważnione i mają odpowiednie uprawnienia,
    • zapewnienie dostępności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są dostępne dla osób chcących z nich skorzystać w określonym czasie,
    • zapewnienie odporności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są zabezpieczone przed ich nieuprawnionym lub przypadkowym usunięciem, modyfikacją, ujawnieniu lub udostępnieniu,
    • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego – rozumiana jako element systemu zachowania ciągłości działania, nakierunkowany na przywróceniu dostępności danych osobowych w zadanym czasie odtworzenia, tzw. RTO (Recovery Time Obtect);
  • skuteczność zabezpieczeń, czyli jak wskazuje art. 32 ust. 1 lit. d RODO: regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Metoda szacowania ryzyka

W dalszej części artykułu przedstawiamy metodykę skupiającą się na powyższych dwóch procesach zarządzania ryzykiem, które są osobnymi działaniami, jednakże wzajemnie od siebie zależnymi. Opisujemy krok po kroku, jak wykonać analizę ryzyka, w jaki sposób nadzorować poprawność jej wykonania oraz jak wygląda utrzymanie procesu zarządzania ryzykiem w organizacji.

  1. Kontekst przetwarzania i ryzyka

Pierwszym krokiem do przeprowadzenia analizy ryzyka jest przygotowanie kontekstu przetwarzania danych osobowych oraz samego ryzyka dla danych i zasobów biorących udział procesie analizy ryzyka. Aby to zadanie wykonać, należy opisać operacje i cele przetwarzania danych osobowych, a zatem zacząć od identyfikacji operacji przetwarzania w organizacji. W praktyce polega to na tym, że kierownicy komórek organizacyjnych otrzymują arkusz opisu operacji przetwarzania wraz z instrukcją jego uzupełnienia. Można też na wstępie zorganizować spotkanie z kierownikami komórek organizacyjnych w celu ich przeszkolenia i przeprowadzenia warsztatów, jak prawidłowo uzupełniać arkusz. Organizacja takiego spotkania, które będzie trwało ok. 2–3 godzin, jest w praktyce najbardziej efektywnym i wartościowym rozwiązaniem, gdyż często po warsztatach zostaje zidentyfikowanych i opisanych ok. 70–80% operacji przetwarzania.

Opis kontekstu przetwarzania realizuje wymaganie z art. 35 ust. 7 lit. a RODO, tj. odnośnie do minimalnego zakresu DPIA.

  1. Analiza operacji przetwarzania

Drugim krokiem przy analizie ryzyka jest przeprowadzenie analizy operacji przetwarzania pod kątem spełnienia wymagania z art. 35 ust. 7 lit. b RODO. Mowa o ocenie, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów. Zaleca się dodać do przedmiotowej analizy również wymagania formalno-prawne z zakresu RODO, aby jednocześnie przeprowadzić audyt zgodności operacji przetwarzania z jego wymogami.

  1. Pomiar i analiza ryzyka

Trzeci, ostatni krok to szacowanie prawdopodobieństwa wystąpienia zdefiniowanych rodzajów ryzyka, a także określenie wartości prawdopodobnych strat. Zalicza się do niego również proces analizy ryzyka, który składa się trzech komponentów: oceny ryzyka, postępowania z ryzykiem i informowania o ryzyku.

3.1. Szacowanie prawdopodobieństwa i określenie wartości prawdopodobnych strat

W terminologii zarządzania ryzykiem prawdopodobieństwo to możliwość wystąpienia jakiegoś zdarzenia (np. jako prawdopodobieństwo lub częstość w określonym przedziale czasu).

Przykład:

Wartość 1 – nie ma realnej szansy wystąpienia zidentyfikowanego zagrożenia; zagrożenie nigdy nie wystąpiło.

Wartość 2 – zagrożenie jest mało realne; zagrożenie nie wystąpiło w okresie ostatnich 24 miesięcy.

Wartość 3 – zagrożenie jest realne lub bardzo realne; zagrożenie wystąpiło w okresie ostatnich 24 miesięcy.

Prawdopodobne straty, nazywane w RODO „skutkiem”, to w terminologii zarządzania ryzykiem rezultat zdarzenia (wystąpienie lub zmiana konkretnego zestawu okoliczności; zdarzenie może być określone jako incydent lub wypadek), mający negatywny wpływ na cele. Przykładowe skutki określono w motywie 85 RODO. Są to:

  • utrata kontroli nad własnymi danymi osobowymi,
  • ograniczenie praw,
  • dyskryminacja,
  • kradzież lub sfałszowanie tożsamości,
  • strata finansowa,
  • nieuprawnione odwrócenie pseudonimizacji,
  • naruszenie dobrego imienia,
  • naruszenie poufności danych osobowych chronionych tajemnicą zawodową,
  • wszelkie inne znaczne szkody gospodarcze lub społeczne.

Dane osobowe, które z racji swojego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności.

Przykład: Możliwe skutki prawne to:

  • wystąpienie zagrożenia nie doprowadzi do naruszenia przepisów prawa,
  • wystąpienie zagrożenia doprowadzi do naruszenia przepisów prawa, z wyłączeniem przepisów karnych, lub w przypadku niepodjęcia odpowiednich działań naprawczych naruszenie prawa zostanie uniknione,
  • bezpośrednią konsekwencją wystąpienia zagrożenia jest naruszenie przepisów karnych.

Możliwe skutki finansowe to:

  • wystąpienie zagrożenia nie powoduje strat finansowych lub powoduje znikome straty finansowe o wartości do 10 000 euro,
  • wystąpienie zagrożenia spowoduje straty finansowe w przedziale od 10 001 do 10 000 000 euro,
  • wystąpienie zagrożenia spowoduje straty finansowe powyżej 10 000 001 euro.

Możliwe skutki wizerunkowe to:

  • wystąpienie zagrożenia nie ma wpływu na wizerunek organizacji lub ten wpływ jest znikomy, nie wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku,
  • wystąpienie zagrożenia ma mało znaczący negatywny wpływ na wizerunek organizacji lub krótkoterminową utratę wizerunku, wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku o wartości do 10% środków własnych,
  • wystąpienie zagrożenia powoduje istotny lub duży negatywny wpływ na wizerunek organizacji, wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku o wartości od 10% środków własnych.

Zarówno dla prawdopodobieństwa, jak i dla skutków zaleca się stosowanie podejścia łączonego, czyli ilościowo-jakościowego.

Podejście ilościowe polega na wyrażeniu atrybutu za pomocą skali liczbowej lub bezpośrednio w jednostce walutowej, jako przewidywanej wielkości strat związanych z danym rodzajem ryzyka lub rzeczywistego wystąpienia zagrożenia.

Podejście jakościowe polega na wyrażeniu atrybutu klasyfikacji w postaci opisania potencjalnych następstw (np. nigdy, często, strata finansowa, utrata poufności danych, niski, średni, wysoki). Głównym celem tego podejścia jest przedstawienie atrybutu w sposób zrozumiały. Zaleca się, aby w podejściu jakościowym korzystać z dostępnych rzeczywistych danych i informacji.

3.2. Ocena ryzyka

Analiza ryzyka to proces dążący do poznania charakteru ryzyka oraz wskazania poziomu ryzyka, określonego w postaci kombinacji skutków i ich prawdopodobieństwa. W RODO wskazano 2-stopniową skalę poziomu ryzyka, czyli ryzyko oraz wysokie ryzyko. Jednak dla uzupełnienia warto dodać 3 poziom ryzyka, wyrażony jako: brak lub znikoma wartość ryzyka. Dodatkowo w RODO określono, że ryzyko należy oszacować na podstawie obiektywnej oceny, co można zapewnić dzięki zastosowaniu podejścia ilościowo-jakościowego. Analiza ryzyka stanowi również podstawę do podejmowania decyzji w zakresie postępowania z ryzykiem.

Ocena ryzyka jest to proces porównywania wyników analizy ryzyka z kryteriami ryzyka (poziom odniesienia), względem których określa się ważność ryzyka w celu stwierdzenia, czy ryzyko i/lub jego wielkość są akceptowalne lub tolerowane. Zaleca się, aby kryteria oceny ryzyka stosowane do podejmowania decyzji były spójne ze zdefiniowanym zewnętrznym i wewnętrznym kontekstem. W praktyce wiąże się to z wyznaczeniem tzw. linii odcięcia, określającej poziom ryzyka, z którym będą podejmowane działania w celu jego obniżenia. Taki próg wyznaczają zapisy RODO – jest to poziom ryzyka o wartości „ryzyko”.

Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

3.3. Postępowanie z ryzykiem

Trzeci etap procesu zarządzania ryzykiem polega na modyfikowaniu ryzyk przekraczających akceptowalny próg. Jest on często nazywany „łagodzeniem ryzyka”, „minimalizacją ryzyka”, „eliminacją ryzyka”, „zapobieganiem ryzyku” lub „redukcją ryzyka”, z zależności od sposobów postępowania z ryzykiem. Mogą być one następujące:

  • uniknięcie ryzyka dzięki decyzji o nierozpoczynaniu lub niekontynuowaniu działań powodujących ryzyko,
  • podjęcie lub zwiększenie ryzyka w celu wykorzystania szansy,
  • usunięcie źródła ryzyka,
  • zmiana prawdopodobieństwa,
  • zmiana następstw,
  • dzielenie ryzyka wraz z inną stroną (innymi stronami),
  • zachowanie ryzyka na podstawie świadomej decyzji.

Zaleca się wybranie takiego wariantu lub takich wariantów, które zapewnią znaczną redukcję ryzyka przy względnie małych nakładach. Przy wybieraniu wariantów nie trzeba ograniczać się tylko do jednego, gdyż często okazuje się, że korzystne jest wybranie np. zmiany prawdopodobieństwa oraz zmiany następstw.

W celu minimalizacji ryzyka korzysta się z zabezpieczeń, czyli środków organizacyjnych i technicznych. Powinny być one wystarczające do zapewnienia odpowiedniego poziomu ochrony procesu przetwarzania danych.

Jeżeli po uwzględnieniu wyników analizy ryzyka dla zasobów ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować rozsądnymi środkami, z punktu widzenia dostępnych technologii i kosztów wdrożenia, to przed rozpoczęciem czynności przetwarzania należy skonsultować się z organem nadzorczym.

3.4. Informowanie i konsultowanie ryzyka

Jest to ciągły proces, prowadzony przez organizację iteracyjnie, w celu zapewnienia, przekazywania lub uzyskania informacji o ryzykach. Skuteczna komunikacja pomiędzy samymi uczestnikami tego procesu, ale również podejmującymi decyzje, ma znaczący wpływ na prawidłowe działanie procesu zarządzania ryzykiem, a zwłaszcza przy podejmowaniu decyzji oraz w procesie ciągłego doskonalenia. Komunikacja musi odbywać się w sposób dwustronny, za pośrednictwem łatwo dostępnego i niezawodnego kanału komunikacyjnego. Pozwoli to na:

  • zapewnienie wiarygodności wyników zarządzania ryzykiem,
  • zbieranie informacji o ryzyku,
  • dystrybucję rezultatów,
  • uniknięcie zagrożeń braku wzajemnego zrozumienia,
  • wsparcie procesu podejmowania decyzji,
  • uzyskanie nowej wiedzy,
  • koordynowanie i planowanie reakcji,
  • wytworzenie poczucia odpowiedzialności za ryzyko,
  • zwiększenie świadomości.

Autor: Maciej Jurczyk, Koordynator zespołu IT, Inżynier ds. bezpieczeństwa informacji, doświadczony audytor i wdrożeniowiec w obszarze bezpieczeństwa informacji, ciągłości działania, bezpieczeństwa teleinformatycznego oraz wytycznych i rekomendacji KNF. Posiada specjalistyczną wiedzę z zakresu nowoczesnych rozwiązań informatycznych, bezpieczeństwa infrastruktury teleinformatycznej. Audytor wiodący ISO/IEC 27001, audytor wewnętrzny ISO 9001, ISO 22301, ISO 14001, PN 18001.

Powiązane
Administracyjne kary pieniężne nakładane przez PUODO
Administracyjne kary pieniężne nakładane przez PUODO
Wtyczka „Lubię to” a RODO
Wtyczka „Lubię to” a RODO
Jak stworzyć użyteczną dokumentację ochrony danych?
Jak stworzyć użyteczną dokumentację ochrony danych?
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Moja firma
80% instytucji stawia na cyfrowe aktywa. W 2026 r. w FinTechu wygra zaufanie, nie algorytm
22 gru 2025

Grudzień 2025 roku to dla polskiego sektora nowoczesnych finansów moment „sprawdzam”. Podczas gdy blisko 80% globalnych instytucji (raport TRM Labs) wdrożyło już strategie krypto, rynek mierzy się z rygorami MiCA i KAS. W tym krajobrazie technologia staje się towarem. Prawdziwym wyzwaniem nie jest już kod, lecz asymetria zaufania. Albo lider przejmie stery nad narracją, albo zrobią to za niego regulatorzy i kryzysy wizerunkowe.
Noworoczne postanowienia skutecznego przedsiębiorcy
22 gru 2025

W świecie dynamicznych zmian gospodarczych i rosnącej niepewności regulacyjnej coraz więcej przedsiębiorców zaczyna dostrzegać, że brak świadomego planowania podatkowego może poważnie ograniczać rozwój firmy. Prowadzenie biznesu wyłącznie w oparciu o najwyższe możliwe stawki podatkowe, narzucone odgórnie przez ustawodawcę, nie tylko obniża efektywność finansową, ale także tworzy bariery w budowaniu międzynarodowej konkurencyjności. Dlatego współczesny przedsiębiorca nie może pozwolić sobie na bierność – musi myśleć strategicznie i działać w oparciu o dostępne, w pełni legalne narzędzia.
10 813 zł na kwartał bez ZUS. Zmiany od 1 stycznia 2026 r. Sprawdź, kto może skorzystać
21 gru 2025

Od 1 stycznia 2026 r. zmieniają się zasady, które mogą mieć znaczenie dla tysięcy osób dorabiających bez zakładania firmy, ale także dla emerytów, rencistów i osób na świadczeniach. Nowe przepisy wprowadzają inny sposób liczenia limitu przychodów, który decyduje o tym, czy można działać bez opłacania składek ZUS. Sprawdzamy, na czym polegają te zmiany, jaka kwota obowiązuje w 2026 roku i kto faktycznie może z nich skorzystać, a kto musi zachować szczególną ostrożność.
Będą zmiany w fundacji rodzinnej w 2026 r.
22 gru 2025

Będą zmiany w fundacji rodzinnej w 2026 r. Zaplanowano przegląd funkcjonowania fundacji. Zapowiedziano konsultacje i harmonogram prac od stycznia do czerwca 2026 roku. Komentuje Małgorzata Rejmer, ekspertka BCC.

REKLAMA

Fakty i mity dotyczące ESG. Dlaczego raportowanie to nie „kolejny obowiązek dla biznesu” [Gość Infor.pl]
19 gru 2025

ESG znów wraca w mediach. Dla jednych to konieczność, dla innych modne hasło albo zbędny balast regulacyjny. Tymczasem rzeczywistość jest prostsza i bardziej pragmatyczna. Biznes będzie raportował kwestie środowiskowe, społeczne i ładu korporacyjnego. Dziś albo za chwilę. Pytanie nie brzmi „czy”, tylko „jak się do tego przygotować”.
Zmiany w ubezpieczeniach obowiązkowych w 2026 r. UFG będzie zbierał od firm więcej danych
16 gru 2025

Prezydent Karol Nawrocki podpisał ustawę o ubezpieczeniach obowiązkowych Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych - poinformowała 15 grudnia 2025 r. Kancelaria Prezydenta RP. Przepisy zezwalają ubezpieczycielom zbierać więcej danych o przedsiębiorcach.
Aktualizacja kodów PKD w przepisach o akcyzie. Prezydent podpisał ustawę
16 gru 2025

Prezydent Karol Nawrocki podpisał nowelizację ustawy o podatku akcyzowym, której celem jest dostosowanie przepisów do nowej Polskiej Klasyfikacji Działalności (PKD). Ustawa ma charakter techniczny i jest neutralna dla przedsiębiorców.
Zamknięcie roku 2025 i przygotowanie na 2026 r. - co muszą zrobić firmy [lista spraw do załatwienia] Obowiązki finansowo-księgowe
22 gru 2025

Końcówka roku obrotowego dla wielu firm oznacza czas intensywnych przeglądów finansów, porządkowania dokumentacji i podejmowania kluczowych decyzji podatkowych. To jednak również moment, w którym przedsiębiorcy wypracowują strategie na kolejne miesiące, analizują swoje modele biznesowe i zastanawiają się, jak zbudować przewagę konkurencyjną w nadchodzącym roku. W obliczu cyfryzacji, obowiązków związanych z KSeF i rosnącej presji kosztowej, końcowe tygodnie roku stają się kluczowe nie tylko dla poprawnego zamknięcia finansów, lecz także dla przyszłej kondycji i stabilności firmy - pisze Jacek Goliszewski, prezes BCC (Business Centre Club).

REKLAMA

Przedsiębiorcy nie będą musieli dołączać wydruków z KRS i zaświadczeń o wpisie do CEIDG do wniosków składanych do urzędów [projekt ustawy]
16 gru 2025

Przedsiębiorcy nie będą musieli już dołączać oświadczeń lub wypisów, dotyczących wpisu do CEiDG lub rejestru przedsiębiorców prowadzonego w Krajowym Rejestrze Sądowym, do wniosków składanych do urzędów – wynika z opublikowanego 12 grudnia 2025 r. projektu ustawy.
Masz swoją tożsamość cyfrową. Pytanie brzmi: czy potrafisz ją chronić? [Gość Infor.pl]
12 gru 2025

Żyjemy w świecie, w którym coraz więcej spraw załatwiamy przez telefon lub komputer. Logujemy się do banku, zamawiamy jedzenie, podpisujemy umowy, składamy wnioski w urzędach. To wygodne. Ale ta wygoda ma swoją cenę – musimy umieć potwierdzić, że jesteśmy tymi, za których się podajemy. I musimy robić to bezpiecznie.
Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA