REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Szacowanie ryzyka zgodnie z RODO

Szacowanie ryzyka zgodnie z RODO /Fot. Shutterstock
Szacowanie ryzyka zgodnie z RODO /Fot. Shutterstock
Shutterstock

REKLAMA

REKLAMA

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane „RODO”, zobowiązuje organizacje wykonujące operację lub zestaw operacji na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO), do zarządzania ryzykiem ich przetwarzania.

REKLAMA

RODO w wielu aspektach jest podobne do norm ISO, a zwłaszcza do normy ISO/IEC 27001 „Zarządzanie systemem bezpieczeństwa informacji”. W szczególności podobieństwo widać w założeniu budowania systemu ochrony danych, działającego zgodnie z podejściem opartym na ryzyku (ang. risk-based approach). Oznacza to zalecenie stosowania takich środków bezpieczeństwa, które mają odpowiednio zabezpieczyć dane osobowe przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem (art. 32 ust. 2 RODO).

REKLAMA

Zarówno w preambule, jak i w części normatywnej RODO wielokrotnie poruszana jest kwestia ryzyka związanego z przetwarzaniem danych osobowych (dokładnie 72 razy). Tym samym przepisy wskazują wagę, jaką trzeba przyłożyć do procesu zarządzania ryzykiem, czyli procesu identyfikacji, oceny, postępowania i kontroli potencjalnych zdarzeń lub sytuacji, mającego w sposób racjonalny zapewnić, że cele organizacji zostaną zrealizowane. Należy zauważyć, że „ryzyko” w RODO występuje przy takich sformułowaniach, jak: ryzyko naruszenia praw lub wolności osób fizycznych, ryzyko wiążące się z przetwarzaniem, ryzyko wynikające z operacji przetwarzania, ryzyko w zakresie bezpieczeństwa danych, ryzyko związane z przetwarzaniem danych osobowych. Dlatego nie mówimy tu o jednym procesie zarządzania ryzykiem, lecz o minimum dwóch.

Polecamy: Jak przygotować się do zmian w 2020 r.

Pierwszy proces zarządzania ryzykiem

Pierwszy proces zarządzania ryzykiem wchodzi w skład oceny skutków dla ochrony danych (DPIA). Dokładnie rzecz ujmując, jest to element oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą (art. 35 ust. 7 lit. c RODO). Jak wskazuje RODO, w ramach tego procesu analizuje się operacje przetwarzania. Wskazówki oraz parametry do wykonania tego procesu znajdują się w tekście RODO, mianowicie:

  • Zagrożenia dla osób fizycznych są wskazane w motywie 75 RODO: „Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi”.
  • Zdarzenia mogące doprowadzić do zmaterializowania się zagrożeń są wskazane w art. 32 ust. 2 RODO: „Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
  • Poziomy ryzyka są wskazane w motywie 76 RODO: „Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko”.

Przy wykonywaniu lub planowaniu tego procesu można skorzystać również z materiałów opublikowanych przez Grupę Roboczą art. 29, szczególnie wytycznych dotyczących oceny skutków dla ochrony danych oraz pomagających ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679, a także wielu innych opracowań, m.in. PN-ISO/IEC 29134:2018-11 „Technika informatyczna – Techniki bezpieczeństwa – Wytyczne dotyczące oceny skutków dla prywatności” czy aplikacji „Privacy Impact Assessments”, opublikowanej przez CNIL.

Dalszy ciąg materiału pod wideo

Drugi proces zarządzania ryzykiem

Drugi proces zarządzania ryzykiem skupia się na ryzyku w zakresie bezpieczeństwa danych, a dokładniej mówiąc – na ocenie, czy administrator wdrożył odpowiednie środki techniczne i organizacyjne do ochrony danych osobowych (na obowiązek ten wskazuje art. 24 oraz art. 32 RODO). Tak więc chodzi tu o zasoby, za pomocą których organizacja przetwarza dane osobowe, tj. personel, komputery, systemy informatyczne, strony internetowe czy lokalizacje i pomieszczenia. To właśnie zasoby – a nie operacje przetwarzania – zabezpiecza się za pomocą technicznych i organizacyjnych środków ochrony danych, dlatego tak istotne jest przypisanie zasobów do operacji przetwarzania. Organizacja i wykonanie procesu zarządzania ryzykiem wymagają zastosowania odpowiedniej metodyki, której niestety nie znajdziemy w RODO. Dlatego mając na uwadze podobieństwo RODO do ISO/IEC 27001, możemy wykorzystać elementy metodyki zarządzania ryzykiem w bezpieczeństwie informacji z normy ISO/IEC 27005 lub normy ISO 31000. Stosowanie międzynarodowych norm do wykonania tego procesu zarządzania ryzykiem jest uzasadnione jeszcze z jednego powodu, a mianowicie Prezes Urzędu Ochrony Danych Osobowych udostępnił publikacje: „Jak rozumieć podejście oparte na ryzyku” oraz „Jak stosować podejście oparte na ryzyku?”, w których sam wykorzystał właśnie międzynarodowe normy ISO.

Pomimo możliwości zastosowania norm ISO do zarządzania ryzykiem zgodnie z RODO, niewskazującym rozwiązań technologicznych, są też pewne zmienne, które należy uwzględnić, tj.:

  • rodzaje zabezpieczeń, wskazane m.in. w art. 32 ust. 1 lit. a–c RODO:
    • pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 5 RODO),
    • szyfrowanie – jest to środek minimalizujący ryzyko, wskazany np. w motywie 83 RODO,
    • zapewnienie poufności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są dostępne tylko tym osobom, które mają odpowiednie upoważnienia i nadane dostępy do danych,
    • zapewnienie integralności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane mogą edytować lub w nie ingerować tylko te osoby, które są do tego upoważnione i mają odpowiednie uprawnienia,
    • zapewnienie dostępności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są dostępne dla osób chcących z nich skorzystać w określonym czasie,
    • zapewnienie odporności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są zabezpieczone przed ich nieuprawnionym lub przypadkowym usunięciem, modyfikacją, ujawnieniu lub udostępnieniu,
    • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego – rozumiana jako element systemu zachowania ciągłości działania, nakierunkowany na przywróceniu dostępności danych osobowych w zadanym czasie odtworzenia, tzw. RTO (Recovery Time Obtect);
  • skuteczność zabezpieczeń, czyli jak wskazuje art. 32 ust. 1 lit. d RODO: regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Metoda szacowania ryzyka

W dalszej części artykułu przedstawiamy metodykę skupiającą się na powyższych dwóch procesach zarządzania ryzykiem, które są osobnymi działaniami, jednakże wzajemnie od siebie zależnymi. Opisujemy krok po kroku, jak wykonać analizę ryzyka, w jaki sposób nadzorować poprawność jej wykonania oraz jak wygląda utrzymanie procesu zarządzania ryzykiem w organizacji.

  1. Kontekst przetwarzania i ryzyka

Pierwszym krokiem do przeprowadzenia analizy ryzyka jest przygotowanie kontekstu przetwarzania danych osobowych oraz samego ryzyka dla danych i zasobów biorących udział procesie analizy ryzyka. Aby to zadanie wykonać, należy opisać operacje i cele przetwarzania danych osobowych, a zatem zacząć od identyfikacji operacji przetwarzania w organizacji. W praktyce polega to na tym, że kierownicy komórek organizacyjnych otrzymują arkusz opisu operacji przetwarzania wraz z instrukcją jego uzupełnienia. Można też na wstępie zorganizować spotkanie z kierownikami komórek organizacyjnych w celu ich przeszkolenia i przeprowadzenia warsztatów, jak prawidłowo uzupełniać arkusz. Organizacja takiego spotkania, które będzie trwało ok. 2–3 godzin, jest w praktyce najbardziej efektywnym i wartościowym rozwiązaniem, gdyż często po warsztatach zostaje zidentyfikowanych i opisanych ok. 70–80% operacji przetwarzania.

Opis kontekstu przetwarzania realizuje wymaganie z art. 35 ust. 7 lit. a RODO, tj. odnośnie do minimalnego zakresu DPIA.

  1. Analiza operacji przetwarzania

Drugim krokiem przy analizie ryzyka jest przeprowadzenie analizy operacji przetwarzania pod kątem spełnienia wymagania z art. 35 ust. 7 lit. b RODO. Mowa o ocenie, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów. Zaleca się dodać do przedmiotowej analizy również wymagania formalno-prawne z zakresu RODO, aby jednocześnie przeprowadzić audyt zgodności operacji przetwarzania z jego wymogami.

  1. Pomiar i analiza ryzyka

Trzeci, ostatni krok to szacowanie prawdopodobieństwa wystąpienia zdefiniowanych rodzajów ryzyka, a także określenie wartości prawdopodobnych strat. Zalicza się do niego również proces analizy ryzyka, który składa się trzech komponentów: oceny ryzyka, postępowania z ryzykiem i informowania o ryzyku.

3.1. Szacowanie prawdopodobieństwa i określenie wartości prawdopodobnych strat

W terminologii zarządzania ryzykiem prawdopodobieństwo to możliwość wystąpienia jakiegoś zdarzenia (np. jako prawdopodobieństwo lub częstość w określonym przedziale czasu).

Przykład:

Wartość 1 – nie ma realnej szansy wystąpienia zidentyfikowanego zagrożenia; zagrożenie nigdy nie wystąpiło.

Wartość 2 – zagrożenie jest mało realne; zagrożenie nie wystąpiło w okresie ostatnich 24 miesięcy.

Wartość 3 – zagrożenie jest realne lub bardzo realne; zagrożenie wystąpiło w okresie ostatnich 24 miesięcy.

Prawdopodobne straty, nazywane w RODO „skutkiem”, to w terminologii zarządzania ryzykiem rezultat zdarzenia (wystąpienie lub zmiana konkretnego zestawu okoliczności; zdarzenie może być określone jako incydent lub wypadek), mający negatywny wpływ na cele. Przykładowe skutki określono w motywie 85 RODO. Są to:

  • utrata kontroli nad własnymi danymi osobowymi,
  • ograniczenie praw,
  • dyskryminacja,
  • kradzież lub sfałszowanie tożsamości,
  • strata finansowa,
  • nieuprawnione odwrócenie pseudonimizacji,
  • naruszenie dobrego imienia,
  • naruszenie poufności danych osobowych chronionych tajemnicą zawodową,
  • wszelkie inne znaczne szkody gospodarcze lub społeczne.

Dane osobowe, które z racji swojego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności.

Przykład: Możliwe skutki prawne to:

  • wystąpienie zagrożenia nie doprowadzi do naruszenia przepisów prawa,
  • wystąpienie zagrożenia doprowadzi do naruszenia przepisów prawa, z wyłączeniem przepisów karnych, lub w przypadku niepodjęcia odpowiednich działań naprawczych naruszenie prawa zostanie uniknione,
  • bezpośrednią konsekwencją wystąpienia zagrożenia jest naruszenie przepisów karnych.

Możliwe skutki finansowe to:

  • wystąpienie zagrożenia nie powoduje strat finansowych lub powoduje znikome straty finansowe o wartości do 10 000 euro,
  • wystąpienie zagrożenia spowoduje straty finansowe w przedziale od 10 001 do 10 000 000 euro,
  • wystąpienie zagrożenia spowoduje straty finansowe powyżej 10 000 001 euro.

Możliwe skutki wizerunkowe to:

  • wystąpienie zagrożenia nie ma wpływu na wizerunek organizacji lub ten wpływ jest znikomy, nie wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku,
  • wystąpienie zagrożenia ma mało znaczący negatywny wpływ na wizerunek organizacji lub krótkoterminową utratę wizerunku, wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku o wartości do 10% środków własnych,
  • wystąpienie zagrożenia powoduje istotny lub duży negatywny wpływ na wizerunek organizacji, wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku o wartości od 10% środków własnych.

Zarówno dla prawdopodobieństwa, jak i dla skutków zaleca się stosowanie podejścia łączonego, czyli ilościowo-jakościowego.

Podejście ilościowe polega na wyrażeniu atrybutu za pomocą skali liczbowej lub bezpośrednio w jednostce walutowej, jako przewidywanej wielkości strat związanych z danym rodzajem ryzyka lub rzeczywistego wystąpienia zagrożenia.

Podejście jakościowe polega na wyrażeniu atrybutu klasyfikacji w postaci opisania potencjalnych następstw (np. nigdy, często, strata finansowa, utrata poufności danych, niski, średni, wysoki). Głównym celem tego podejścia jest przedstawienie atrybutu w sposób zrozumiały. Zaleca się, aby w podejściu jakościowym korzystać z dostępnych rzeczywistych danych i informacji.

3.2. Ocena ryzyka

REKLAMA

Analiza ryzyka to proces dążący do poznania charakteru ryzyka oraz wskazania poziomu ryzyka, określonego w postaci kombinacji skutków i ich prawdopodobieństwa. W RODO wskazano 2-stopniową skalę poziomu ryzyka, czyli ryzyko oraz wysokie ryzyko. Jednak dla uzupełnienia warto dodać 3 poziom ryzyka, wyrażony jako: brak lub znikoma wartość ryzyka. Dodatkowo w RODO określono, że ryzyko należy oszacować na podstawie obiektywnej oceny, co można zapewnić dzięki zastosowaniu podejścia ilościowo-jakościowego. Analiza ryzyka stanowi również podstawę do podejmowania decyzji w zakresie postępowania z ryzykiem.

Ocena ryzyka jest to proces porównywania wyników analizy ryzyka z kryteriami ryzyka (poziom odniesienia), względem których określa się ważność ryzyka w celu stwierdzenia, czy ryzyko i/lub jego wielkość są akceptowalne lub tolerowane. Zaleca się, aby kryteria oceny ryzyka stosowane do podejmowania decyzji były spójne ze zdefiniowanym zewnętrznym i wewnętrznym kontekstem. W praktyce wiąże się to z wyznaczeniem tzw. linii odcięcia, określającej poziom ryzyka, z którym będą podejmowane działania w celu jego obniżenia. Taki próg wyznaczają zapisy RODO – jest to poziom ryzyka o wartości „ryzyko”.

Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

3.3. Postępowanie z ryzykiem

Trzeci etap procesu zarządzania ryzykiem polega na modyfikowaniu ryzyk przekraczających akceptowalny próg. Jest on często nazywany „łagodzeniem ryzyka”, „minimalizacją ryzyka”, „eliminacją ryzyka”, „zapobieganiem ryzyku” lub „redukcją ryzyka”, z zależności od sposobów postępowania z ryzykiem. Mogą być one następujące:

  • uniknięcie ryzyka dzięki decyzji o nierozpoczynaniu lub niekontynuowaniu działań powodujących ryzyko,
  • podjęcie lub zwiększenie ryzyka w celu wykorzystania szansy,
  • usunięcie źródła ryzyka,
  • zmiana prawdopodobieństwa,
  • zmiana następstw,
  • dzielenie ryzyka wraz z inną stroną (innymi stronami),
  • zachowanie ryzyka na podstawie świadomej decyzji.

Zaleca się wybranie takiego wariantu lub takich wariantów, które zapewnią znaczną redukcję ryzyka przy względnie małych nakładach. Przy wybieraniu wariantów nie trzeba ograniczać się tylko do jednego, gdyż często okazuje się, że korzystne jest wybranie np. zmiany prawdopodobieństwa oraz zmiany następstw.

W celu minimalizacji ryzyka korzysta się z zabezpieczeń, czyli środków organizacyjnych i technicznych. Powinny być one wystarczające do zapewnienia odpowiedniego poziomu ochrony procesu przetwarzania danych.

Jeżeli po uwzględnieniu wyników analizy ryzyka dla zasobów ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować rozsądnymi środkami, z punktu widzenia dostępnych technologii i kosztów wdrożenia, to przed rozpoczęciem czynności przetwarzania należy skonsultować się z organem nadzorczym.

3.4. Informowanie i konsultowanie ryzyka

Jest to ciągły proces, prowadzony przez organizację iteracyjnie, w celu zapewnienia, przekazywania lub uzyskania informacji o ryzykach. Skuteczna komunikacja pomiędzy samymi uczestnikami tego procesu, ale również podejmującymi decyzje, ma znaczący wpływ na prawidłowe działanie procesu zarządzania ryzykiem, a zwłaszcza przy podejmowaniu decyzji oraz w procesie ciągłego doskonalenia. Komunikacja musi odbywać się w sposób dwustronny, za pośrednictwem łatwo dostępnego i niezawodnego kanału komunikacyjnego. Pozwoli to na:

  • zapewnienie wiarygodności wyników zarządzania ryzykiem,
  • zbieranie informacji o ryzyku,
  • dystrybucję rezultatów,
  • uniknięcie zagrożeń braku wzajemnego zrozumienia,
  • wsparcie procesu podejmowania decyzji,
  • uzyskanie nowej wiedzy,
  • koordynowanie i planowanie reakcji,
  • wytworzenie poczucia odpowiedzialności za ryzyko,
  • zwiększenie świadomości.

Autor: Maciej Jurczyk, Koordynator zespołu IT, Inżynier ds. bezpieczeństwa informacji, doświadczony audytor i wdrożeniowiec w obszarze bezpieczeństwa informacji, ciągłości działania, bezpieczeństwa teleinformatycznego oraz wytycznych i rekomendacji KNF. Posiada specjalistyczną wiedzę z zakresu nowoczesnych rozwiązań informatycznych, bezpieczeństwa infrastruktury teleinformatycznej. Audytor wiodący ISO/IEC 27001, audytor wewnętrzny ISO 9001, ISO 22301, ISO 14001, PN 18001.

Autopromocja

REKLAMA

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Gwałtowny wzrost niewypłacalności przedsiębiorstw [RAPORT]

Z Globalnego Raportu o Niewypłacalności, Allianz Trade wynika, że firm mających problemy z niewypłacalnością jest coraz więcej. W 2024 r. odnotowano gwałtowny wzrost, który będzie się zwiększał w kolejnym roku. Stabilizacji można oczekiwać dopiero w 2026 r. 

Świadczenie interwencyjne wyklucza część poszkodowanych przedsiębiorców? Apel rzeczniczki MŚP ws. świadczenia interwencyjnego

Świadczenie interwencyjne wyklucza część poszkodowanych przedsiębiorców? Apel rzeczniczki Małych i Średnich Przedsiębiorców Agnieszki Majewskiej w sprawie świadczenia interwencyjnego. Wnioski o to świadczenie można składać do ZUS od 5 października 2024 r.

Indywidualna działalność gospodarcza: jak dokonać pierwszego i kolejnych wpisów do CEIDG

Rejestracja działalności gospodarczej w Polsce wiąże się z obowiązkiem dokonania wpisu do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Jest to podstawowy rejestr dla osób prowadzących jednoosobową działalność gospodarczą oraz wspólników spółek cywilnych.

Klient ma zawsze rację, czego więc wymaga od firmy, w której chce zostawić pieniądze w czasach nowoczesnych technologii

Jeszcze kilka lat temu udogodnienia, takie jak kasy samoobsługowe, płatności odroczone, chatboty czy aplikacje mobilne umożliwiające zbieranie punktów i wymienianie ich na kody rabatowe, były czymś, co wyróżniało daną firmę na tle innych. Dziś jest to standard, must have.

REKLAMA

Nie robią szkoleń z ochrony danych osobowych, lekceważą hakerów i ukrywają skutki kradzieży danych

Czy firmy szkolą swoich pracowników w zakresie ochrony danych osobowych więcej niż tylko na początku zatrudnienia? Jaki odsetek przedsiębiorstw nie robi tego wcale? Czy wiedzą, jak postępować w przypadku wycieku danych? 

Firmy zbyt beztrosko podchodzą do cyberkryminalistów?

Firmy lekkomyślnie podchodzą do kwestii cyberbezpieczeństwa? Z raportu „State of Enterprise Cyber Risk in the Age of AI 2024” wynika. że co dziesiąta firma nigdy nie przeprowadziła audytu swoich systemów, a połowa sprawdza zabezpieczenia raz w tygodniu lub rzadziej. A aż 65 proc. firm działa na podstawie przestarzałych, co najmniej dwuletnich, planów. 

ZPP chce zmian w akcyzie na wyroby tytoniowe i e-papierosy

Przedsiębiorcy są zaskoczeni nieoczekiwaną zmianą przepisów podatkowych dotyczących akcyzy na wyroby tytoniowe. Przedstawiciele Związku Przedsiębiorców i Pracodawców alarmują, że zmiany wprowadzane są w niewłaściwy sposób. Mają swoje propozycje. 

Upór czy rezygnacja? O skutecznych strategiach realizacji celów

16 października w godzinach 10:00-12:00 zapraszamy na debatę „Upór czy rezygnacja? O skutecznych strategiach realizacji celów”.

REKLAMA

MRiRW: Projektowane stawki płatności bezpośrednich oraz przejściowego wsparcia krajowego za 2024 r.

Projektowane stawki płatności bezpośrednich oraz przejściowego wsparcia krajowego za 2024 r. W Ministerstwie Rolnictwa i Rozwoju Wsi opracowane zostały projekty rozporządzeń określających stawki poszczególnych płatności bezpośrednich podstawowych oraz ekoschematów obszarowych (bez ekoschematu Dobrostan zwierząt).

Liderzy Eksportu nagrodzeni podczas Gali PAIH Forum Biznesu

Najlepsi polscy eksporterzy wyłonieni. Za nami rozdanie nagród Lidera Eksportu PAIH. Wyróżnienia w czterech kategoriach były kluczowymi punktami gali, która zakończyła pierwszy dzień trwającego PAIH Forum Biznesu.

REKLAMA