REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Szacowanie ryzyka zgodnie z RODO

Szacowanie ryzyka zgodnie z RODO /Fot. Shutterstock
Szacowanie ryzyka zgodnie z RODO /Fot. Shutterstock
Shutterstock

REKLAMA

REKLAMA

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane „RODO”, zobowiązuje organizacje wykonujące operację lub zestaw operacji na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO), do zarządzania ryzykiem ich przetwarzania.

REKLAMA

RODO w wielu aspektach jest podobne do norm ISO, a zwłaszcza do normy ISO/IEC 27001 „Zarządzanie systemem bezpieczeństwa informacji”. W szczególności podobieństwo widać w założeniu budowania systemu ochrony danych, działającego zgodnie z podejściem opartym na ryzyku (ang. risk-based approach). Oznacza to zalecenie stosowania takich środków bezpieczeństwa, które mają odpowiednio zabezpieczyć dane osobowe przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem (art. 32 ust. 2 RODO).

REKLAMA

Zarówno w preambule, jak i w części normatywnej RODO wielokrotnie poruszana jest kwestia ryzyka związanego z przetwarzaniem danych osobowych (dokładnie 72 razy). Tym samym przepisy wskazują wagę, jaką trzeba przyłożyć do procesu zarządzania ryzykiem, czyli procesu identyfikacji, oceny, postępowania i kontroli potencjalnych zdarzeń lub sytuacji, mającego w sposób racjonalny zapewnić, że cele organizacji zostaną zrealizowane. Należy zauważyć, że „ryzyko” w RODO występuje przy takich sformułowaniach, jak: ryzyko naruszenia praw lub wolności osób fizycznych, ryzyko wiążące się z przetwarzaniem, ryzyko wynikające z operacji przetwarzania, ryzyko w zakresie bezpieczeństwa danych, ryzyko związane z przetwarzaniem danych osobowych. Dlatego nie mówimy tu o jednym procesie zarządzania ryzykiem, lecz o minimum dwóch.

Polecamy: Jak przygotować się do zmian w 2020 r.

Pierwszy proces zarządzania ryzykiem

Pierwszy proces zarządzania ryzykiem wchodzi w skład oceny skutków dla ochrony danych (DPIA). Dokładnie rzecz ujmując, jest to element oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą (art. 35 ust. 7 lit. c RODO). Jak wskazuje RODO, w ramach tego procesu analizuje się operacje przetwarzania. Wskazówki oraz parametry do wykonania tego procesu znajdują się w tekście RODO, mianowicie:

  • Zagrożenia dla osób fizycznych są wskazane w motywie 75 RODO: „Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi”.
  • Zdarzenia mogące doprowadzić do zmaterializowania się zagrożeń są wskazane w art. 32 ust. 2 RODO: „Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
  • Poziomy ryzyka są wskazane w motywie 76 RODO: „Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko”.

Przy wykonywaniu lub planowaniu tego procesu można skorzystać również z materiałów opublikowanych przez Grupę Roboczą art. 29, szczególnie wytycznych dotyczących oceny skutków dla ochrony danych oraz pomagających ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679, a także wielu innych opracowań, m.in. PN-ISO/IEC 29134:2018-11 „Technika informatyczna – Techniki bezpieczeństwa – Wytyczne dotyczące oceny skutków dla prywatności” czy aplikacji „Privacy Impact Assessments”, opublikowanej przez CNIL.

Dalszy ciąg materiału pod wideo

Drugi proces zarządzania ryzykiem

Drugi proces zarządzania ryzykiem skupia się na ryzyku w zakresie bezpieczeństwa danych, a dokładniej mówiąc – na ocenie, czy administrator wdrożył odpowiednie środki techniczne i organizacyjne do ochrony danych osobowych (na obowiązek ten wskazuje art. 24 oraz art. 32 RODO). Tak więc chodzi tu o zasoby, za pomocą których organizacja przetwarza dane osobowe, tj. personel, komputery, systemy informatyczne, strony internetowe czy lokalizacje i pomieszczenia. To właśnie zasoby – a nie operacje przetwarzania – zabezpiecza się za pomocą technicznych i organizacyjnych środków ochrony danych, dlatego tak istotne jest przypisanie zasobów do operacji przetwarzania. Organizacja i wykonanie procesu zarządzania ryzykiem wymagają zastosowania odpowiedniej metodyki, której niestety nie znajdziemy w RODO. Dlatego mając na uwadze podobieństwo RODO do ISO/IEC 27001, możemy wykorzystać elementy metodyki zarządzania ryzykiem w bezpieczeństwie informacji z normy ISO/IEC 27005 lub normy ISO 31000. Stosowanie międzynarodowych norm do wykonania tego procesu zarządzania ryzykiem jest uzasadnione jeszcze z jednego powodu, a mianowicie Prezes Urzędu Ochrony Danych Osobowych udostępnił publikacje: „Jak rozumieć podejście oparte na ryzyku” oraz „Jak stosować podejście oparte na ryzyku?”, w których sam wykorzystał właśnie międzynarodowe normy ISO.

Pomimo możliwości zastosowania norm ISO do zarządzania ryzykiem zgodnie z RODO, niewskazującym rozwiązań technologicznych, są też pewne zmienne, które należy uwzględnić, tj.:

  • rodzaje zabezpieczeń, wskazane m.in. w art. 32 ust. 1 lit. a–c RODO:
    • pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 5 RODO),
    • szyfrowanie – jest to środek minimalizujący ryzyko, wskazany np. w motywie 83 RODO,
    • zapewnienie poufności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są dostępne tylko tym osobom, które mają odpowiednie upoważnienia i nadane dostępy do danych,
    • zapewnienie integralności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane mogą edytować lub w nie ingerować tylko te osoby, które są do tego upoważnione i mają odpowiednie uprawnienia,
    • zapewnienie dostępności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są dostępne dla osób chcących z nich skorzystać w określonym czasie,
    • zapewnienie odporności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są zabezpieczone przed ich nieuprawnionym lub przypadkowym usunięciem, modyfikacją, ujawnieniu lub udostępnieniu,
    • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego – rozumiana jako element systemu zachowania ciągłości działania, nakierunkowany na przywróceniu dostępności danych osobowych w zadanym czasie odtworzenia, tzw. RTO (Recovery Time Obtect);
  • skuteczność zabezpieczeń, czyli jak wskazuje art. 32 ust. 1 lit. d RODO: regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Metoda szacowania ryzyka

W dalszej części artykułu przedstawiamy metodykę skupiającą się na powyższych dwóch procesach zarządzania ryzykiem, które są osobnymi działaniami, jednakże wzajemnie od siebie zależnymi. Opisujemy krok po kroku, jak wykonać analizę ryzyka, w jaki sposób nadzorować poprawność jej wykonania oraz jak wygląda utrzymanie procesu zarządzania ryzykiem w organizacji.

  1. Kontekst przetwarzania i ryzyka

Pierwszym krokiem do przeprowadzenia analizy ryzyka jest przygotowanie kontekstu przetwarzania danych osobowych oraz samego ryzyka dla danych i zasobów biorących udział procesie analizy ryzyka. Aby to zadanie wykonać, należy opisać operacje i cele przetwarzania danych osobowych, a zatem zacząć od identyfikacji operacji przetwarzania w organizacji. W praktyce polega to na tym, że kierownicy komórek organizacyjnych otrzymują arkusz opisu operacji przetwarzania wraz z instrukcją jego uzupełnienia. Można też na wstępie zorganizować spotkanie z kierownikami komórek organizacyjnych w celu ich przeszkolenia i przeprowadzenia warsztatów, jak prawidłowo uzupełniać arkusz. Organizacja takiego spotkania, które będzie trwało ok. 2–3 godzin, jest w praktyce najbardziej efektywnym i wartościowym rozwiązaniem, gdyż często po warsztatach zostaje zidentyfikowanych i opisanych ok. 70–80% operacji przetwarzania.

Opis kontekstu przetwarzania realizuje wymaganie z art. 35 ust. 7 lit. a RODO, tj. odnośnie do minimalnego zakresu DPIA.

  1. Analiza operacji przetwarzania

Drugim krokiem przy analizie ryzyka jest przeprowadzenie analizy operacji przetwarzania pod kątem spełnienia wymagania z art. 35 ust. 7 lit. b RODO. Mowa o ocenie, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów. Zaleca się dodać do przedmiotowej analizy również wymagania formalno-prawne z zakresu RODO, aby jednocześnie przeprowadzić audyt zgodności operacji przetwarzania z jego wymogami.

  1. Pomiar i analiza ryzyka

Trzeci, ostatni krok to szacowanie prawdopodobieństwa wystąpienia zdefiniowanych rodzajów ryzyka, a także określenie wartości prawdopodobnych strat. Zalicza się do niego również proces analizy ryzyka, który składa się trzech komponentów: oceny ryzyka, postępowania z ryzykiem i informowania o ryzyku.

3.1. Szacowanie prawdopodobieństwa i określenie wartości prawdopodobnych strat

W terminologii zarządzania ryzykiem prawdopodobieństwo to możliwość wystąpienia jakiegoś zdarzenia (np. jako prawdopodobieństwo lub częstość w określonym przedziale czasu).

Przykład:

Wartość 1 – nie ma realnej szansy wystąpienia zidentyfikowanego zagrożenia; zagrożenie nigdy nie wystąpiło.

Wartość 2 – zagrożenie jest mało realne; zagrożenie nie wystąpiło w okresie ostatnich 24 miesięcy.

Wartość 3 – zagrożenie jest realne lub bardzo realne; zagrożenie wystąpiło w okresie ostatnich 24 miesięcy.

Prawdopodobne straty, nazywane w RODO „skutkiem”, to w terminologii zarządzania ryzykiem rezultat zdarzenia (wystąpienie lub zmiana konkretnego zestawu okoliczności; zdarzenie może być określone jako incydent lub wypadek), mający negatywny wpływ na cele. Przykładowe skutki określono w motywie 85 RODO. Są to:

  • utrata kontroli nad własnymi danymi osobowymi,
  • ograniczenie praw,
  • dyskryminacja,
  • kradzież lub sfałszowanie tożsamości,
  • strata finansowa,
  • nieuprawnione odwrócenie pseudonimizacji,
  • naruszenie dobrego imienia,
  • naruszenie poufności danych osobowych chronionych tajemnicą zawodową,
  • wszelkie inne znaczne szkody gospodarcze lub społeczne.

Dane osobowe, które z racji swojego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności.

Przykład: Możliwe skutki prawne to:

  • wystąpienie zagrożenia nie doprowadzi do naruszenia przepisów prawa,
  • wystąpienie zagrożenia doprowadzi do naruszenia przepisów prawa, z wyłączeniem przepisów karnych, lub w przypadku niepodjęcia odpowiednich działań naprawczych naruszenie prawa zostanie uniknione,
  • bezpośrednią konsekwencją wystąpienia zagrożenia jest naruszenie przepisów karnych.

Możliwe skutki finansowe to:

  • wystąpienie zagrożenia nie powoduje strat finansowych lub powoduje znikome straty finansowe o wartości do 10 000 euro,
  • wystąpienie zagrożenia spowoduje straty finansowe w przedziale od 10 001 do 10 000 000 euro,
  • wystąpienie zagrożenia spowoduje straty finansowe powyżej 10 000 001 euro.

Możliwe skutki wizerunkowe to:

  • wystąpienie zagrożenia nie ma wpływu na wizerunek organizacji lub ten wpływ jest znikomy, nie wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku,
  • wystąpienie zagrożenia ma mało znaczący negatywny wpływ na wizerunek organizacji lub krótkoterminową utratę wizerunku, wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku o wartości do 10% środków własnych,
  • wystąpienie zagrożenia powoduje istotny lub duży negatywny wpływ na wizerunek organizacji, wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku o wartości od 10% środków własnych.

Zarówno dla prawdopodobieństwa, jak i dla skutków zaleca się stosowanie podejścia łączonego, czyli ilościowo-jakościowego.

Podejście ilościowe polega na wyrażeniu atrybutu za pomocą skali liczbowej lub bezpośrednio w jednostce walutowej, jako przewidywanej wielkości strat związanych z danym rodzajem ryzyka lub rzeczywistego wystąpienia zagrożenia.

Podejście jakościowe polega na wyrażeniu atrybutu klasyfikacji w postaci opisania potencjalnych następstw (np. nigdy, często, strata finansowa, utrata poufności danych, niski, średni, wysoki). Głównym celem tego podejścia jest przedstawienie atrybutu w sposób zrozumiały. Zaleca się, aby w podejściu jakościowym korzystać z dostępnych rzeczywistych danych i informacji.

3.2. Ocena ryzyka

REKLAMA

Analiza ryzyka to proces dążący do poznania charakteru ryzyka oraz wskazania poziomu ryzyka, określonego w postaci kombinacji skutków i ich prawdopodobieństwa. W RODO wskazano 2-stopniową skalę poziomu ryzyka, czyli ryzyko oraz wysokie ryzyko. Jednak dla uzupełnienia warto dodać 3 poziom ryzyka, wyrażony jako: brak lub znikoma wartość ryzyka. Dodatkowo w RODO określono, że ryzyko należy oszacować na podstawie obiektywnej oceny, co można zapewnić dzięki zastosowaniu podejścia ilościowo-jakościowego. Analiza ryzyka stanowi również podstawę do podejmowania decyzji w zakresie postępowania z ryzykiem.

Ocena ryzyka jest to proces porównywania wyników analizy ryzyka z kryteriami ryzyka (poziom odniesienia), względem których określa się ważność ryzyka w celu stwierdzenia, czy ryzyko i/lub jego wielkość są akceptowalne lub tolerowane. Zaleca się, aby kryteria oceny ryzyka stosowane do podejmowania decyzji były spójne ze zdefiniowanym zewnętrznym i wewnętrznym kontekstem. W praktyce wiąże się to z wyznaczeniem tzw. linii odcięcia, określającej poziom ryzyka, z którym będą podejmowane działania w celu jego obniżenia. Taki próg wyznaczają zapisy RODO – jest to poziom ryzyka o wartości „ryzyko”.

Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

3.3. Postępowanie z ryzykiem

Trzeci etap procesu zarządzania ryzykiem polega na modyfikowaniu ryzyk przekraczających akceptowalny próg. Jest on często nazywany „łagodzeniem ryzyka”, „minimalizacją ryzyka”, „eliminacją ryzyka”, „zapobieganiem ryzyku” lub „redukcją ryzyka”, z zależności od sposobów postępowania z ryzykiem. Mogą być one następujące:

  • uniknięcie ryzyka dzięki decyzji o nierozpoczynaniu lub niekontynuowaniu działań powodujących ryzyko,
  • podjęcie lub zwiększenie ryzyka w celu wykorzystania szansy,
  • usunięcie źródła ryzyka,
  • zmiana prawdopodobieństwa,
  • zmiana następstw,
  • dzielenie ryzyka wraz z inną stroną (innymi stronami),
  • zachowanie ryzyka na podstawie świadomej decyzji.

Zaleca się wybranie takiego wariantu lub takich wariantów, które zapewnią znaczną redukcję ryzyka przy względnie małych nakładach. Przy wybieraniu wariantów nie trzeba ograniczać się tylko do jednego, gdyż często okazuje się, że korzystne jest wybranie np. zmiany prawdopodobieństwa oraz zmiany następstw.

W celu minimalizacji ryzyka korzysta się z zabezpieczeń, czyli środków organizacyjnych i technicznych. Powinny być one wystarczające do zapewnienia odpowiedniego poziomu ochrony procesu przetwarzania danych.

Jeżeli po uwzględnieniu wyników analizy ryzyka dla zasobów ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować rozsądnymi środkami, z punktu widzenia dostępnych technologii i kosztów wdrożenia, to przed rozpoczęciem czynności przetwarzania należy skonsultować się z organem nadzorczym.

3.4. Informowanie i konsultowanie ryzyka

Jest to ciągły proces, prowadzony przez organizację iteracyjnie, w celu zapewnienia, przekazywania lub uzyskania informacji o ryzykach. Skuteczna komunikacja pomiędzy samymi uczestnikami tego procesu, ale również podejmującymi decyzje, ma znaczący wpływ na prawidłowe działanie procesu zarządzania ryzykiem, a zwłaszcza przy podejmowaniu decyzji oraz w procesie ciągłego doskonalenia. Komunikacja musi odbywać się w sposób dwustronny, za pośrednictwem łatwo dostępnego i niezawodnego kanału komunikacyjnego. Pozwoli to na:

  • zapewnienie wiarygodności wyników zarządzania ryzykiem,
  • zbieranie informacji o ryzyku,
  • dystrybucję rezultatów,
  • uniknięcie zagrożeń braku wzajemnego zrozumienia,
  • wsparcie procesu podejmowania decyzji,
  • uzyskanie nowej wiedzy,
  • koordynowanie i planowanie reakcji,
  • wytworzenie poczucia odpowiedzialności za ryzyko,
  • zwiększenie świadomości.

Autor: Maciej Jurczyk, Koordynator zespołu IT, Inżynier ds. bezpieczeństwa informacji, doświadczony audytor i wdrożeniowiec w obszarze bezpieczeństwa informacji, ciągłości działania, bezpieczeństwa teleinformatycznego oraz wytycznych i rekomendacji KNF. Posiada specjalistyczną wiedzę z zakresu nowoczesnych rozwiązań informatycznych, bezpieczeństwa infrastruktury teleinformatycznej. Audytor wiodący ISO/IEC 27001, audytor wewnętrzny ISO 9001, ISO 22301, ISO 14001, PN 18001.

Autopromocja

REKLAMA

Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie - zapraszamy do subskrybcji naszego newslettera
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

REKLAMA

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Moja firma
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Firmy wciąż bardziej obawiają się odejścia kontrahenta niż utraty płynności finansowej. Faktury z odroczoną płatnością to już standard

    Zwłaszcza w branży produkcyjnej i transporcie opcja płatności odroczonej od 7 do 30 dni stała się praktyką powszechnie stosowaną. Choć dla firm czekanie na należność wiąże się z ryzykiem i niedogodnościami – same muszą się w tym czasie kredytować – to w 2024 roku nie mają w planach odchodzenia od tej praktyki.

    BGK będzie mógł udzielać gwarancji spłaty kredytów mikrofirmom oraz małym i średnim przedsiębiorstwom. Projektowane rozporządzenie ma wejść w życie 29 marca 2024 r.

    BGK będzie mógł gwarantować kredyty dla MŚP w ramach programu InvestEU. Jaka pomoc dla MŚP?

    Nie masz w tym miesiącu 1600,32 zł na składki dla ZUS? Nim zbankrutujesz czekając na rządowe wakacje od ZUS, zawieś działalność gospodarczą

    Obiecane przez rząd wakacje od ZUS będą nieprędko, a życie toczy się szybko. Od 5 lutego, z oficjalnego komunikatu ZUS wiadomo, ile trzeba będzie odprowadzić na obowiązkowe ubezpieczenia społeczne za okres od stycznia do grudnia 2024 r. To już więcej niż przed waloryzacją wynosi minimalna emerytura. Co więc robić gdy kolejny miesiąc czeka się na zapłatę faktury, w kasie firmowej pusto, a ZUS upomina się o składki.
    Na pewno nie czekać na obiecane wakacje od ZUS, ale po prostu zawiesić działalność gospodarczą na ten czas.

    Opłata roczna BDO w 2024 r. W lutym upływa ważny termin

    Przedsiębiorcy wpisani do Bazy Danych o Produktach i Opakowaniach oraz o Gospodarce Odpadami (BDO) powinni pamiętać o uiszczeniu opłaty rocznej. Jaki jest termin na wniesienie opłaty w 2024 roku?

    REKLAMA

    ESG jako klucz do zrównoważonego biznesu

    W czasach, gdzie zrównoważony rozwój i odpowiedzialność społeczna stają się kluczowymi determinantami sukcesu przedsiębiorstw, Beata Drzazga założyciel BetaMed SA i inicjator wielu projektów zarówno w kraju, jak i za granicą, dzieli się swoim doświadczeniem i przemyśleniami na temat wprowadzania zasad ESG (Environmental, Social, and Governance) w praktyce biznesowej.

    Przedsiębiorcy lepiej oceniają koniunkturę więc śmielej kupują samochody. W 2024 r. wróciła niechęć do elektryków

    W 2024 roku zakupem samochodu zainteresowany jest co czwarty przedsiębiorca. To podobnie jak przed dwunastoma miesiącami. Wynik w 2024 r. może być w rzeczywistości jeszcze lepszy, ponieważ 16 proc. ankietowanych nie umiało na etapie badania jednoznacznie odpowiedzieć na pytanie o zamiar zakupu samochodu.

    KAS: uwaga na podrobione, nielegalne środki ochrony roślin

    Rozpoczęła się właśnie VI. edycja kampanii edukacyjnej Krajowej Administracji Skarbowej, Państwowej Inspekcji Ochrony Roślin i Nasiennictwa, Policji oraz Polskiego Stowarzyszenia Ochrony Roślin przestrzegającej przed oszustami oferującymi nielegalne, w tym podrobione, środki ochrony roślin. Kampania prowadzona jest pod hasłem „Kupując podróbki, tracisz wiele razy!". 

    Rejestracja spółek od A do Z. Sprawdź nasz poradnik!

    W dzisiejszych czasach coraz więcej osób decyduje się na założenie własnej działalności gospodarczej. Niektórzy robią to w pojedynkę, inni proponują współpracę znajomym lub prosperującym przedsiębiorcom. W ten sposób powstają spółki, wymagające odpowiedzialnej opieki prawnej i księgowości. Sprawdź, od czego zacząć!

    REKLAMA

    Protesty rolników w całej Europie. Jakie są powody? O co im chodzi?

    Protesty rolników trwają od kilku tygodniu w wielu krajach europejskich, m.in. w Niemczech, Francji, Włoszech, Grecji, Czechach i na Węgrzech. Rolnicy protestują przeciwko niskim cenom produktów rolnych, Europejskiemu Zielonemu Ładowi i taniemu importowi produktów rolniczych spoza Unii Europejskiej.

    Pompa ciepła, magazyn energii, fotowoltaika teraz dostępne w leasingu europejskim dla sklepów, punktów usługowych i rolników

    Teraz przedsiębiorcy, małe i średnie firmy produkcyjne, sklepy, salony samochodowe czy rolnicy, mogą ubiegać się o leasing pojazdów elektrycznych, instalacji fotowoltaicznych, pomp ciepła, magazynów energii oraz maszyn i urządzeń na atrakcyjnych warunkach. Są nowe środki finansowe pozwalające zwiększyć ofertę – i to na korzystniejszych niż uprzednio warunkach.

    REKLAMA