REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Szacowanie ryzyka zgodnie z RODO

Szacowanie ryzyka zgodnie z RODO /Fot. Shutterstock
Szacowanie ryzyka zgodnie z RODO /Fot. Shutterstock
Shutterstock

REKLAMA

REKLAMA

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane „RODO”, zobowiązuje organizacje wykonujące operację lub zestaw operacji na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO), do zarządzania ryzykiem ich przetwarzania.

REKLAMA

RODO w wielu aspektach jest podobne do norm ISO, a zwłaszcza do normy ISO/IEC 27001 „Zarządzanie systemem bezpieczeństwa informacji”. W szczególności podobieństwo widać w założeniu budowania systemu ochrony danych, działającego zgodnie z podejściem opartym na ryzyku (ang. risk-based approach). Oznacza to zalecenie stosowania takich środków bezpieczeństwa, które mają odpowiednio zabezpieczyć dane osobowe przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem (art. 32 ust. 2 RODO).

REKLAMA

Zarówno w preambule, jak i w części normatywnej RODO wielokrotnie poruszana jest kwestia ryzyka związanego z przetwarzaniem danych osobowych (dokładnie 72 razy). Tym samym przepisy wskazują wagę, jaką trzeba przyłożyć do procesu zarządzania ryzykiem, czyli procesu identyfikacji, oceny, postępowania i kontroli potencjalnych zdarzeń lub sytuacji, mającego w sposób racjonalny zapewnić, że cele organizacji zostaną zrealizowane. Należy zauważyć, że „ryzyko” w RODO występuje przy takich sformułowaniach, jak: ryzyko naruszenia praw lub wolności osób fizycznych, ryzyko wiążące się z przetwarzaniem, ryzyko wynikające z operacji przetwarzania, ryzyko w zakresie bezpieczeństwa danych, ryzyko związane z przetwarzaniem danych osobowych. Dlatego nie mówimy tu o jednym procesie zarządzania ryzykiem, lecz o minimum dwóch.

Polecamy: Jak przygotować się do zmian w 2020 r.

Pierwszy proces zarządzania ryzykiem

Pierwszy proces zarządzania ryzykiem wchodzi w skład oceny skutków dla ochrony danych (DPIA). Dokładnie rzecz ujmując, jest to element oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą (art. 35 ust. 7 lit. c RODO). Jak wskazuje RODO, w ramach tego procesu analizuje się operacje przetwarzania. Wskazówki oraz parametry do wykonania tego procesu znajdują się w tekście RODO, mianowicie:

  • Zagrożenia dla osób fizycznych są wskazane w motywie 75 RODO: „Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi”.
  • Zdarzenia mogące doprowadzić do zmaterializowania się zagrożeń są wskazane w art. 32 ust. 2 RODO: „Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
  • Poziomy ryzyka są wskazane w motywie 76 RODO: „Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko”.

Przy wykonywaniu lub planowaniu tego procesu można skorzystać również z materiałów opublikowanych przez Grupę Roboczą art. 29, szczególnie wytycznych dotyczących oceny skutków dla ochrony danych oraz pomagających ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679, a także wielu innych opracowań, m.in. PN-ISO/IEC 29134:2018-11 „Technika informatyczna – Techniki bezpieczeństwa – Wytyczne dotyczące oceny skutków dla prywatności” czy aplikacji „Privacy Impact Assessments”, opublikowanej przez CNIL.

Dalszy ciąg materiału pod wideo

Drugi proces zarządzania ryzykiem

Drugi proces zarządzania ryzykiem skupia się na ryzyku w zakresie bezpieczeństwa danych, a dokładniej mówiąc – na ocenie, czy administrator wdrożył odpowiednie środki techniczne i organizacyjne do ochrony danych osobowych (na obowiązek ten wskazuje art. 24 oraz art. 32 RODO). Tak więc chodzi tu o zasoby, za pomocą których organizacja przetwarza dane osobowe, tj. personel, komputery, systemy informatyczne, strony internetowe czy lokalizacje i pomieszczenia. To właśnie zasoby – a nie operacje przetwarzania – zabezpiecza się za pomocą technicznych i organizacyjnych środków ochrony danych, dlatego tak istotne jest przypisanie zasobów do operacji przetwarzania. Organizacja i wykonanie procesu zarządzania ryzykiem wymagają zastosowania odpowiedniej metodyki, której niestety nie znajdziemy w RODO. Dlatego mając na uwadze podobieństwo RODO do ISO/IEC 27001, możemy wykorzystać elementy metodyki zarządzania ryzykiem w bezpieczeństwie informacji z normy ISO/IEC 27005 lub normy ISO 31000. Stosowanie międzynarodowych norm do wykonania tego procesu zarządzania ryzykiem jest uzasadnione jeszcze z jednego powodu, a mianowicie Prezes Urzędu Ochrony Danych Osobowych udostępnił publikacje: „Jak rozumieć podejście oparte na ryzyku” oraz „Jak stosować podejście oparte na ryzyku?”, w których sam wykorzystał właśnie międzynarodowe normy ISO.

Pomimo możliwości zastosowania norm ISO do zarządzania ryzykiem zgodnie z RODO, niewskazującym rozwiązań technologicznych, są też pewne zmienne, które należy uwzględnić, tj.:

  • rodzaje zabezpieczeń, wskazane m.in. w art. 32 ust. 1 lit. a–c RODO:
    • pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 5 RODO),
    • szyfrowanie – jest to środek minimalizujący ryzyko, wskazany np. w motywie 83 RODO,
    • zapewnienie poufności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są dostępne tylko tym osobom, które mają odpowiednie upoważnienia i nadane dostępy do danych,
    • zapewnienie integralności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane mogą edytować lub w nie ingerować tylko te osoby, które są do tego upoważnione i mają odpowiednie uprawnienia,
    • zapewnienie dostępności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są dostępne dla osób chcących z nich skorzystać w określonym czasie,
    • zapewnienie odporności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są zabezpieczone przed ich nieuprawnionym lub przypadkowym usunięciem, modyfikacją, ujawnieniu lub udostępnieniu,
    • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego – rozumiana jako element systemu zachowania ciągłości działania, nakierunkowany na przywróceniu dostępności danych osobowych w zadanym czasie odtworzenia, tzw. RTO (Recovery Time Obtect);
  • skuteczność zabezpieczeń, czyli jak wskazuje art. 32 ust. 1 lit. d RODO: regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Metoda szacowania ryzyka

W dalszej części artykułu przedstawiamy metodykę skupiającą się na powyższych dwóch procesach zarządzania ryzykiem, które są osobnymi działaniami, jednakże wzajemnie od siebie zależnymi. Opisujemy krok po kroku, jak wykonać analizę ryzyka, w jaki sposób nadzorować poprawność jej wykonania oraz jak wygląda utrzymanie procesu zarządzania ryzykiem w organizacji.

  1. Kontekst przetwarzania i ryzyka

Pierwszym krokiem do przeprowadzenia analizy ryzyka jest przygotowanie kontekstu przetwarzania danych osobowych oraz samego ryzyka dla danych i zasobów biorących udział procesie analizy ryzyka. Aby to zadanie wykonać, należy opisać operacje i cele przetwarzania danych osobowych, a zatem zacząć od identyfikacji operacji przetwarzania w organizacji. W praktyce polega to na tym, że kierownicy komórek organizacyjnych otrzymują arkusz opisu operacji przetwarzania wraz z instrukcją jego uzupełnienia. Można też na wstępie zorganizować spotkanie z kierownikami komórek organizacyjnych w celu ich przeszkolenia i przeprowadzenia warsztatów, jak prawidłowo uzupełniać arkusz. Organizacja takiego spotkania, które będzie trwało ok. 2–3 godzin, jest w praktyce najbardziej efektywnym i wartościowym rozwiązaniem, gdyż często po warsztatach zostaje zidentyfikowanych i opisanych ok. 70–80% operacji przetwarzania.

Opis kontekstu przetwarzania realizuje wymaganie z art. 35 ust. 7 lit. a RODO, tj. odnośnie do minimalnego zakresu DPIA.

  1. Analiza operacji przetwarzania

Drugim krokiem przy analizie ryzyka jest przeprowadzenie analizy operacji przetwarzania pod kątem spełnienia wymagania z art. 35 ust. 7 lit. b RODO. Mowa o ocenie, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów. Zaleca się dodać do przedmiotowej analizy również wymagania formalno-prawne z zakresu RODO, aby jednocześnie przeprowadzić audyt zgodności operacji przetwarzania z jego wymogami.

  1. Pomiar i analiza ryzyka

Trzeci, ostatni krok to szacowanie prawdopodobieństwa wystąpienia zdefiniowanych rodzajów ryzyka, a także określenie wartości prawdopodobnych strat. Zalicza się do niego również proces analizy ryzyka, który składa się trzech komponentów: oceny ryzyka, postępowania z ryzykiem i informowania o ryzyku.

3.1. Szacowanie prawdopodobieństwa i określenie wartości prawdopodobnych strat

W terminologii zarządzania ryzykiem prawdopodobieństwo to możliwość wystąpienia jakiegoś zdarzenia (np. jako prawdopodobieństwo lub częstość w określonym przedziale czasu).

Przykład:

Wartość 1 – nie ma realnej szansy wystąpienia zidentyfikowanego zagrożenia; zagrożenie nigdy nie wystąpiło.

Wartość 2 – zagrożenie jest mało realne; zagrożenie nie wystąpiło w okresie ostatnich 24 miesięcy.

Wartość 3 – zagrożenie jest realne lub bardzo realne; zagrożenie wystąpiło w okresie ostatnich 24 miesięcy.

Prawdopodobne straty, nazywane w RODO „skutkiem”, to w terminologii zarządzania ryzykiem rezultat zdarzenia (wystąpienie lub zmiana konkretnego zestawu okoliczności; zdarzenie może być określone jako incydent lub wypadek), mający negatywny wpływ na cele. Przykładowe skutki określono w motywie 85 RODO. Są to:

  • utrata kontroli nad własnymi danymi osobowymi,
  • ograniczenie praw,
  • dyskryminacja,
  • kradzież lub sfałszowanie tożsamości,
  • strata finansowa,
  • nieuprawnione odwrócenie pseudonimizacji,
  • naruszenie dobrego imienia,
  • naruszenie poufności danych osobowych chronionych tajemnicą zawodową,
  • wszelkie inne znaczne szkody gospodarcze lub społeczne.

Dane osobowe, które z racji swojego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności.

Przykład: Możliwe skutki prawne to:

  • wystąpienie zagrożenia nie doprowadzi do naruszenia przepisów prawa,
  • wystąpienie zagrożenia doprowadzi do naruszenia przepisów prawa, z wyłączeniem przepisów karnych, lub w przypadku niepodjęcia odpowiednich działań naprawczych naruszenie prawa zostanie uniknione,
  • bezpośrednią konsekwencją wystąpienia zagrożenia jest naruszenie przepisów karnych.

Możliwe skutki finansowe to:

  • wystąpienie zagrożenia nie powoduje strat finansowych lub powoduje znikome straty finansowe o wartości do 10 000 euro,
  • wystąpienie zagrożenia spowoduje straty finansowe w przedziale od 10 001 do 10 000 000 euro,
  • wystąpienie zagrożenia spowoduje straty finansowe powyżej 10 000 001 euro.

Możliwe skutki wizerunkowe to:

  • wystąpienie zagrożenia nie ma wpływu na wizerunek organizacji lub ten wpływ jest znikomy, nie wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku,
  • wystąpienie zagrożenia ma mało znaczący negatywny wpływ na wizerunek organizacji lub krótkoterminową utratę wizerunku, wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku o wartości do 10% środków własnych,
  • wystąpienie zagrożenia powoduje istotny lub duży negatywny wpływ na wizerunek organizacji, wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku o wartości od 10% środków własnych.

Zarówno dla prawdopodobieństwa, jak i dla skutków zaleca się stosowanie podejścia łączonego, czyli ilościowo-jakościowego.

Podejście ilościowe polega na wyrażeniu atrybutu za pomocą skali liczbowej lub bezpośrednio w jednostce walutowej, jako przewidywanej wielkości strat związanych z danym rodzajem ryzyka lub rzeczywistego wystąpienia zagrożenia.

Podejście jakościowe polega na wyrażeniu atrybutu klasyfikacji w postaci opisania potencjalnych następstw (np. nigdy, często, strata finansowa, utrata poufności danych, niski, średni, wysoki). Głównym celem tego podejścia jest przedstawienie atrybutu w sposób zrozumiały. Zaleca się, aby w podejściu jakościowym korzystać z dostępnych rzeczywistych danych i informacji.

3.2. Ocena ryzyka

REKLAMA

Analiza ryzyka to proces dążący do poznania charakteru ryzyka oraz wskazania poziomu ryzyka, określonego w postaci kombinacji skutków i ich prawdopodobieństwa. W RODO wskazano 2-stopniową skalę poziomu ryzyka, czyli ryzyko oraz wysokie ryzyko. Jednak dla uzupełnienia warto dodać 3 poziom ryzyka, wyrażony jako: brak lub znikoma wartość ryzyka. Dodatkowo w RODO określono, że ryzyko należy oszacować na podstawie obiektywnej oceny, co można zapewnić dzięki zastosowaniu podejścia ilościowo-jakościowego. Analiza ryzyka stanowi również podstawę do podejmowania decyzji w zakresie postępowania z ryzykiem.

Ocena ryzyka jest to proces porównywania wyników analizy ryzyka z kryteriami ryzyka (poziom odniesienia), względem których określa się ważność ryzyka w celu stwierdzenia, czy ryzyko i/lub jego wielkość są akceptowalne lub tolerowane. Zaleca się, aby kryteria oceny ryzyka stosowane do podejmowania decyzji były spójne ze zdefiniowanym zewnętrznym i wewnętrznym kontekstem. W praktyce wiąże się to z wyznaczeniem tzw. linii odcięcia, określającej poziom ryzyka, z którym będą podejmowane działania w celu jego obniżenia. Taki próg wyznaczają zapisy RODO – jest to poziom ryzyka o wartości „ryzyko”.

Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

3.3. Postępowanie z ryzykiem

Trzeci etap procesu zarządzania ryzykiem polega na modyfikowaniu ryzyk przekraczających akceptowalny próg. Jest on często nazywany „łagodzeniem ryzyka”, „minimalizacją ryzyka”, „eliminacją ryzyka”, „zapobieganiem ryzyku” lub „redukcją ryzyka”, z zależności od sposobów postępowania z ryzykiem. Mogą być one następujące:

  • uniknięcie ryzyka dzięki decyzji o nierozpoczynaniu lub niekontynuowaniu działań powodujących ryzyko,
  • podjęcie lub zwiększenie ryzyka w celu wykorzystania szansy,
  • usunięcie źródła ryzyka,
  • zmiana prawdopodobieństwa,
  • zmiana następstw,
  • dzielenie ryzyka wraz z inną stroną (innymi stronami),
  • zachowanie ryzyka na podstawie świadomej decyzji.

Zaleca się wybranie takiego wariantu lub takich wariantów, które zapewnią znaczną redukcję ryzyka przy względnie małych nakładach. Przy wybieraniu wariantów nie trzeba ograniczać się tylko do jednego, gdyż często okazuje się, że korzystne jest wybranie np. zmiany prawdopodobieństwa oraz zmiany następstw.

W celu minimalizacji ryzyka korzysta się z zabezpieczeń, czyli środków organizacyjnych i technicznych. Powinny być one wystarczające do zapewnienia odpowiedniego poziomu ochrony procesu przetwarzania danych.

Jeżeli po uwzględnieniu wyników analizy ryzyka dla zasobów ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować rozsądnymi środkami, z punktu widzenia dostępnych technologii i kosztów wdrożenia, to przed rozpoczęciem czynności przetwarzania należy skonsultować się z organem nadzorczym.

3.4. Informowanie i konsultowanie ryzyka

Jest to ciągły proces, prowadzony przez organizację iteracyjnie, w celu zapewnienia, przekazywania lub uzyskania informacji o ryzykach. Skuteczna komunikacja pomiędzy samymi uczestnikami tego procesu, ale również podejmującymi decyzje, ma znaczący wpływ na prawidłowe działanie procesu zarządzania ryzykiem, a zwłaszcza przy podejmowaniu decyzji oraz w procesie ciągłego doskonalenia. Komunikacja musi odbywać się w sposób dwustronny, za pośrednictwem łatwo dostępnego i niezawodnego kanału komunikacyjnego. Pozwoli to na:

  • zapewnienie wiarygodności wyników zarządzania ryzykiem,
  • zbieranie informacji o ryzyku,
  • dystrybucję rezultatów,
  • uniknięcie zagrożeń braku wzajemnego zrozumienia,
  • wsparcie procesu podejmowania decyzji,
  • uzyskanie nowej wiedzy,
  • koordynowanie i planowanie reakcji,
  • wytworzenie poczucia odpowiedzialności za ryzyko,
  • zwiększenie świadomości.

Autor: Maciej Jurczyk, Koordynator zespołu IT, Inżynier ds. bezpieczeństwa informacji, doświadczony audytor i wdrożeniowiec w obszarze bezpieczeństwa informacji, ciągłości działania, bezpieczeństwa teleinformatycznego oraz wytycznych i rekomendacji KNF. Posiada specjalistyczną wiedzę z zakresu nowoczesnych rozwiązań informatycznych, bezpieczeństwa infrastruktury teleinformatycznej. Audytor wiodący ISO/IEC 27001, audytor wewnętrzny ISO 9001, ISO 22301, ISO 14001, PN 18001.

Autopromocja

REKLAMA

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Co trapi sektor MŚP? Nie tylko inflacja, koszty zarządzania zasobami ludzkimi i rotacja pracowników

Inflacja przekładająca się na presję płacową, rosnące koszty związane z zarządzaniem zasobami ludzkimi oraz wysoka rotacja – to trzy główne wyzwania w obszarze pracowniczym, z którymi mierzą się obecnie firmy z sektora MŚP. Z jakimi jeszcze problemami kadrowymi borykają się mikro, małe i średnie przedsiębiorstwa?

Badania ankietowe GUS: Badanie pogłowia drobiu oraz produkcji zwierzęcej (R-ZW-B) i Badanie pogłowia świń oraz produkcji żywca wieprzowego (R-ZW-S)

Główny Urząd Statystyczny od 1 do 23 grudnia 2024 r. będzie przeprowadzał obowiązkowe badania statystyczne z zakresu rolnictwa. Chodzi o następujące badania: Badanie pogłowia drobiu oraz produkcji zwierzęcej (R-ZW-B) i Badanie pogłowia świń oraz produkcji żywca wieprzowego (R-ZW-S).

Dodatkowy dzień wolny od pracy dla wszystkich pracowników w 2025 r.? To już pewne

Dodatkowy dzień wolny od pracy dla wszystkich pracowników? To już pewne. 27 listopada 2024 r. Sejm uchwalił nowelizację ustawy. Wigilia od 2025 r. będzie dniem wolnym od pracy. Co z niedzielami handlowymi? 

Zeznania świadków w sprawach o nadużycie władzy w spółkach – wsparcie dla wspólników i akcjonariuszy

W ostatnich latach coraz częściej słyszy się o przypadkach nadużyć władzy w spółkach, co stanowi zagrożenie zarówno dla transparentności działania organizacji, jak i dla interesów wspólników oraz akcjonariuszy. Przedsiębiorstwa działające w formie spółek kapitałowych z założenia powinny funkcjonować na zasadach transparentności, przejrzystości i zgodności z interesem wspólników oraz akcjonariuszy. 

REKLAMA

BCM w przemyśle: Nie chodzi tylko o przestoje – chodzi o to, co tracimy, gdy im nie zapobiegamy

Przerwa w działalności przemysłowej to coś więcej niż utrata czasu i produkcji. To potencjalny kryzys o wielowymiarowych skutkach – od strat finansowych, przez zaufanie klientów, po wpływ na środowisko i reputację firmy. Dlatego zarządzanie ciągłością działania (BCM, ang. Business Continuity Management) staje się kluczowym elementem strategii każdej firmy przemysłowej.

Z czym mierzą się handlowcy w czasie Black Friday?

Już 29 listopada będzie wyczekiwany przez wielu konsumentów Black Friday. Po nim rozpocznie się szał świątecznych zakupów i zarazem wytężonej pracy dla handlowców. Statystyki pokazują, że Polacy z roku na rok wydają i zamawiają coraz więcej. 

Taryfa C11. Szaleńcze ceny prądu w Polsce: 1199 zł/MWh, 2099 zł/MWh, 2314 zł/MWh, 3114 zł/MWh

To stawki dla biznesu. Małe i średnie firmy (MŚP nie będzie w 2025 r. objęty zamrożeniem cen prądu. 

Brakuje specjalistów zajmujących się cyberbezpieczeństwem. Luka w ujęciu globalnym od 2023 roku wzrosła o blisko 20 proc., a w Europie o 12,8 proc.

Brakuje specjalistów zajmujących się cyberbezpieczeństwem. Luka w ujęciu globalnym od 2023 roku wzrosła o blisko 20 proc., a w Europie o 12,8 proc. Ekspert przypomina: bezpieczeństwo nie jest kosztem, a inwestycją, która zapewnia ciągłość i stabilność operacyjną

REKLAMA

Zamrożenie cen energii w 2025 r. Rzecznik Małych i Średnich Przedsiębiorstw krytycznie o wycofaniu się z działań osłonowych wobec firm

Zamrożenie cen energii w 2025 r. Rzecznik Małych i Średnich Przedsiębiorstw krytycznie o wycofaniu się z działań osłonowych wobec firm. Interweniuje u premiera Donalda Tuska i marszałka Sejmu Szymona Hołowni.

ZUS: Wypłacono ponad 96,8 mln zł z tytułu świadczenia interwencyjnego. Wnioski można składać do 16 marca 2025 r.

ZUS: Wypłacono ponad 96,8 mln zł z tytułu świadczenia interwencyjnego. Wnioski można składać do 16 marca 2025 r. Zakład Ubezpieczeń Społecznych poinformował, że przygotowuje kolejne wypłaty świadczenia.

REKLAMA