Dowiedz się więcej na temat naszych produktów. Zobacz nasz blog

EN

PL

• Główna
• Produkty
  • Revelio
  • Detecto
  • Nocturno
  • Oblivio
• Blog
• Kontakt

Umów się na rozmowę

Umów się na rozmowę

Przygotowania do audytu RODO mogą budzić obawy – czy wiemy dokładnie, gdzie przetwarzane są wszystkie dane osobowe, czy każda czynność jest udokumentowana i czy posiadamy aktualne zgody? Aby zminimalizować te wątpliwości, kluczowe jest przeprowadzenie pełnej inwentaryzacji danych i procesów przetwarzania. Obejmuje to zebranie informacji o wszystkich zasobach i procesach związanych z danymi osobowymi w firmie. Dzięki temu powstaje kompleksowy opis procesów – mapa pokazująca, co, gdzie i w jakim celu się dzieje – co jest niezbędne do wykazania zgodności z RODO. Równocześnie należy skontrolować formalne aspekty: aktualność i kompletność dokumentacji (polityk, umów powierzenia itp.), podstaw prawnych przetwarzania oraz uzyskanych zgód. Przygotowanie do audytu danych osobowych to nie tylko procedura do „odhaczenia”, ale sposób na zapewnienie zgodności z RODO w firmie i zwiększenie bezpieczeństwa przetwarzania danych.

Kluczowe obowiązki wynikające z RODO

Przed audytem warto przypomnieć sobie najważniejsze obowiązki administratora danych osobowych. Należą do nich m.in.:

• Identyfikacja danych osobowych – szczegółowa inwentaryzacja procesów i zasobów, w których występują dane osobowe. Należy zidentyfikować wszystkie systemy IT, bazy danych, dokumenty i nośniki zawierające dane pracowników czy klientów. Kompleksowy opis tych procesów, uzyskany na etapie inwentaryzacji, stanowi podstawę wykazania zgodności z RODO.
• Zasada minimalizacji i ograniczenia celu – zgodnie z art. 5 RODO dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do jasno określonych celów. Oznacza to gromadzenie tylko tych danych, które bezpośrednio służą realizacji określonych celów biznesowych, i niedopuszczanie do ich przetwarzania w sposób wykraczający poza te cele.
• Retencja danych osobowych. – RODO wymaga ograniczenia okresu przechowywania danych do ścisłego minimum. Administrator powinien ustalić terminy usuwania danych lub ich okresowego przeglądu. Po zakończeniu celu przetwarzania niezwłocznie usuwa się lub anonimuje dane, których dalsze przechowywanie nie jest uzasadnione. W rejestrze czynności przetwarzania (art. 30 RODO) należy uwzględnić planowany termin usunięcia danych.
• Prawo do bycia zapomnianym – art. 17 RODO daje osobie fizycznej prawo żądania usunięcia jej danych. Administrator musi wówczas „bez zbędnej zwłoki” usunąć dane, gdy np. przestały być potrzebne do celu przetwarzania lub osoba cofnęła zgodę. Należy wprowadzić procedury umożliwiające realizację tych żądań (kontrola i usunięcie danych z systemów oraz ewentualne powiadomienie innych podmiotów, którym je przekazano).
• Rozliczalność i dokumentacja – RODO wprowadza zasadę rozliczalności. Administrator danych musi wykazać, że przestrzega wszystkich zasad ochrony danych (zgodności z prawem, rzetelności, przejrzystości itd.). Oznacza to prowadzenie odpowiednich zapisów i dokumentów: rejestru czynności przetwarzania (według art. 30 RODO), polityk ochrony danych, procedur bezpieczeństwa czy rejestracji incydentów. Przykładowo, art. 30 RODO zobowiązuje do szczegółowego rejestrowania kategorii danych, celów przetwarzania oraz przewidywanych terminów usunięcia danych. Dokładna dokumentacja ułatwia wykazanie zgodności przed audytorami i organami nadzorczymi.

Jak produkty Wizards wspierają te obowiązki?

Przygotowanie do kontroli zgodności z RODO można znacznie przyspieszyć, wykorzystując odpowiednie narzędzia. Produkty Wizards odpowiadają na kluczowe potrzeby ochrony danych osobowych:

• Detecto – narzędzie do skanowania systemów i baz danych w poszukiwaniu danych osobowych. Wykrywa tabele i pola z danymi wrażliwymi oraz zmiany w strukturach baz, co pomaga w pełnej inwentaryzacji zasobów danych. Ułatwia wdrożenie procesów anonimizacji i retencji, dzięki czemu dane osobowe są stale monitorowane i aktualizowane.
• Revelio – rozwiązanie do wyszukiwania danych osobowych w rozproszonych dokumentach. Przeszukuje udostępnione zasoby plikowe, dokumenty na komputerach pracowników czy skrzynki e-mail, aby zlokalizować dokumenty zawierające dane osobowe. Dzięki temu organizacja wie, w jakich plikach i folderach znajdują się wrażliwe informacje, co wspiera audyt i dalszą digitalizację procesów.
• Nocturno – zaawansowana aplikacja do anonimizacji danych w środowiskach testowych i deweloperskich. Korzystając z rozbudowanej bazy słowników i generatorów, pozwala jednocześnie anonimować dane w wielu systemach, zachowując przy tym spójność i charakterystyki oryginalnych baz (np. format dat, sumy kontrolne). Pozwala efektywnie zastąpić dane osobowe fikcyjnymi wartościami bez ryzyka uszkodzenia procesów testowych.
• Oblivio – system zarządzania retencją i zgodnością danych osobowych. Działa jak wewnętrzna platforma obejmująca wszystkie systemy firmy przetwarzające dane osobowe. Monitoruje terminy retencji zgodnie z przyjętymi regułami, wykrywając moment, gdy przestaje istnieć podstawa prawna przetwarzania. Po wygaśnięciu okresu retencji automatycznie inicjuje proces anonimizacji danych zgodnie z przyjętymi procedurami oraz generuje raporty operacji retencji i usuwania danych.

Checklista – „Czy jesteś gotowy na kontrolę?”

Przed audytem warto sprawdzić, czy firma spełnia podstawowe wymogi ochrony danych. Oto punkty kontrolne do weryfikacji:

• Czy zinwentaryzowano wszystkie zbiory i procesy przetwarzania danych osobowych w organizacji?
• Czy prowadzony jest aktualny rejestr czynności przetwarzania (RCP) zgodnie z art. 30 RODO?
• Czy istnieją i są wdrażane pisemne polityki, procedury i instrukcje ochrony danych (przetwarzania danych, bezpieczeństwa, zarządzania incydentami itp.)?
• Czy podstawy prawne przetwarzania danych (umowy, zgody osób, upoważnienia, decyzje IOD, oceny ryzyka/DPIA) są aktualne i udokumentowane?
• Czy określono okresy przechowywania dla różnych kategorii danych osobowych i wprowadzono mechanizmy ich usuwania lub anonimizacji po upływie tych okresów?
• Czy pracownicy przeszli obowiązkowe szkolenia z zakresu ochrony danych oraz czy wyznaczono Inspektora Ochrony Danych (IOD) lub odpowiedzialną osobę?

Regularne sprawdzanie tych punktów pomoże ustrukturyzować przygotowanie do audytu danych osobowych i zniwelować ryzyko ewentualnych uchybień.

Zadbaj o zgodność z RODO z pomocą Wizards

Przygotowanie do audytu RODO to proces, w którym nie warto działać na oślep. Skorzystaj z doświadczenia ekspertów i nowoczesnych narzędzi do zgodności. Umów rozmowę z zespołem Wizards ds. zgodności i audytów, aby omówić potrzeby Twojej organizacji. Podczas spotkania zaprezentujemy, jak nasze produkty – Detecto, Revelio, Nocturno i Oblivio – mogą ułatwić przygotowanie do kontroli, przyspieszyć inwentaryzację danych i automatyzować procesy retencji oraz anonimizacji. Zapewnij swojej firmie pełną zgodność z RODO i spokój przed nadchodzącą kontrolą – skontaktuj się z Wizards już dziś!

Wdrożenie DORA w instytucji finansowej wymaga zapewnienia zgodności z zasadami cyfrowej odporności operacyjnej. Rozporządzenie DORA (2022/2554) nakłada na banki i ich dostawców usług ICT obowiązek stałego zarządzania ryzykiem operacyjnym oraz cyberbezpieczeństwem. Wymogi te obejmują dokładną identyfikację i klasyfikację wszystkich zasobów ICT, takich jak serwery, aplikacje, bazy danych czy dokumenty. Instytucje muszą także dokumentować powiązania między tymi zasobami. DORA wymaga wdrożenia procedur obsługi incydentów IT – od zgłoszenia, przez analizę, aż po przywrócenie sprawności systemów. Każde poważne zdarzenie cybernetyczne musi być zgłaszane zgodnie z wytycznymi. Instytucje są również zobowiązane do regularnego testowania odporności systemów, na przykład poprzez testy penetracyjne. Kluczowe jest także egzekwowanie polityk retencji danych. Dane nie mogą być przechowywane dłużej, niż pozwala na to prawo. Każda zmiana w infrastrukturze IT powinna być rejestrowana i dostępna do audytu.

Detecto – identyfikacja danych i zarządzanie ryzykiem

Detecto to narzędzie automatyzujące wykrywanie i klasyfikację wrażliwych danych w systemach i dokumentach firmy. Wykorzystuje sztuczną inteligencję (OCR, NLP), aby przeskanować zasoby firmowe (pliki, bazy danych, e-mail) w poszukiwaniu danych osobowych i innych informacji wrażliwych. Dzięki temu produkt spełnia wymaganie DORA dotyczące identyfikacji wszystkich zasobów informacyjnych Detecto umożliwia m.in.:

• Wykrywanie wszystkich wystąpień danych osobowych (np. PESEL, adresy, numery kont) w dokumentach i bazach danych – skracając tygodnie ręcznej analizy do godzin pracy narzędzia.
• Tworzenie raportów lokalizujących zasoby danych osobowych – co znacznie ułatwia przygotowanie do audytów i kontroli wewnętrznych oraz zewnętrznych (np. sprawdzających zgodność z DORA czy RODO).
• Analiza incydentów – w razie wycieku lub naruszenia bezpieczeństwa Detecto potrafi błyskawicznie sprawdzić, czy ujawnione pliki zawierają wrażliwe informacje i jakie dane wyciekły

Dzięki tym funkcjom Detecto realnie wspiera zarządzanie ryzykiem informacyjnym. Narzędzie automatycznie tworzy katalog krytycznych danych i punktów ich przechowywania, co pozwala instytucji ocenić potencjalne zagrożenia. Dzięki temu instytucja finansowa może lepiej zaplanować działania ograniczające ryzyko ICT. Pomaga to spełnić wymogi DORA dotyczące ochrony zasobów przed dostępem lub uszkodzeniem.

Revelio – wykrywanie nieautoryzowanych zasobów i danych

Revelio to rozwiązanie do skanowania współdzielonych zasobów plikowych, komputerów pracowników i poczty e-mail w celu wykrycia dokumentów zawierających dane wrażliwe. Ujawnia ono “ukryte” zasoby – pliki i foldery, które zawierają dane osobowe, a nie były wcześniej uwzględnione w głównych systemach organizacji. Revelio umożliwia m.in.:

• Lokalizowanie wszystkich dokumentów z danymi osobowymi (PESEL, dane medyczne, dane finansowe itp.) na nośnikach firmowych. Dzięki temu instytucja widzi, gdzie przetwarzane są wrażliwe informacje i może je lepiej zabezpieczyć.
• Identyfikację procesów biznesowych generujących dokumenty z danymi wrażliwymi – co wspiera przejście na elektroniczny obieg dokumentów (zmniejszając ryzyko wycieku z papierowych lub niekontrolowanych źródeł).
• Wsparcie polityk retencji danych – integrację z procedurami usuwania (anonimizacji) dokumentów, których okres przechowywania wygasł. System automatycznie oznacza pliki do archiwizacji lub usunięcia, co pomaga spełnić wymogi DORA i RODO dotyczące retencji.
• Budowanie świadomości pracowników – poprzez mechanizmy nadzoru i raportowania pomagające delegować odpowiedzialność za bezpieczeństwo danych.

Revelio zwiększa przejrzystość środowiska danych i pomaga wykryć nieautoryzowane zasoby informacyjne. W kontekście DORA gwarantuje, że żadne poufne informacje nie „ulegają zapomnieniu” w strukturze IT. W połączeniu z systemem Oblivio umożliwia pełne stosowanie zasad retencji – po wykryciu dokumentów z wygasłą podstawą przetwarzania, pozwala je bezpiecznie usunąć lub zanonimizować. Dzięki temu narzędzie ułatwia realizację wymogów dotyczących przechowywania i ochrony danych w instytucji finansowej.

Nocturno – bezpieczne środowiska testowe

Nocturno to narzędzie do tworzenia środowisk testowych z użyciem zanonimizowanych danych produkcyjnych. Pozwala na przeprowadzanie testów cyberodporności i ciągłości działania w bezpieczny sposób, bez ryzyka ujawnienia rzeczywistych danych klientów. Nocturno wykorzystuje specjalne słowniki i generatory, które zachowują charakter danych produkcyjnych – np. zamieniają numery PESEL, NIP, daty urodzenia czy numery kont na fikcyjne, ale o zbliżonej strukturze. Kluczowe cechy Nocturno to:

• Anonimizacja wielu baz danych jednocześnie z zachowaniem spójności – narzędzie przetwarza duże zestawy danych równolegle, a przy tym zapewnia, że te same rekordy są anonimizowane w ten sam sposób we wszystkich bazach organizacji. Dzięki temu środowisko testowe wiernie odtwarza realne dane (np. ta sama osoba w różnych systemach dostaje spójne, sztuczne dane).
• Wsparcie wielu typów baz danych (MySQL, Oracle, SQL Server itp.) z uwzględnieniem więzów integralności – Nocturno pamięta o kontrolach sum czy powiązaniach między tabelami, aby zmiany nie spowodowały awarii systemu.
• Integracja z Detecto – najpierw narzędzie wykrywa, które pola zawierają dane wrażliwe, a następnie automatycznie je zanonimizuje zgodnie z regułami biznesowymi.

Dzięki tym funkcjom Nocturno minimalizuje ryzyko przypadkowego użycia danych osobowych w testach czy migracjach systemów. Wymagania DORA dotyczące testowania odporności zakładają, że testy przeprowadza się w bezpiecznych warunkach przy zachowaniu poufności danych. Nocturno umożliwia instytucji finansowej wykonywanie takich testów – na przykład testów awaryjnego przywracania czy symulacji ataków – bez udostępniania wrażliwych informacji o klientach.

Oblivio – zarządzanie cyklem życia danych

Oblivio to narzędzie do centralnego zarządzania retencją i anonimizacją danych osobowych w całej organizacji. System pozwala ustalić, jak długo można przechowywać dane – np. zgody lub umowy. Po upływie tego czasu automatycznie czyści bazę. Działa w pełnej integracji z innymi systemami IT. Gdy wygasa podstawa prawna przetwarzania, uruchamia proces anonimizacji lub usunięcia danych. Główne funkcje Oblivio to:

• Konfiguracja retencji danych: definiowanie reguł określających, jak długo różne dane osobowe mogą być przechowywane. Po upływie tego czasu dane uznawane są za przeterminowane.
• Anonimizacja i usuwanie: po spełnieniu warunków retencji system automatycznie generuje fikcyjne wartości (np. fikcyjną tożsamość) i zastępuje nimi dane klientów we wszystkich powiązanych systemach. Realizuje to „prawo do bycia zapomnianym” i zapobiega przechowywaniu danych dłużej niż jest to konieczne.
• Raportowanie i audyt: Oblivio tworzy szczegółowe raporty i statystyki pokazujące liczbę usuniętych lub zanonimizowanych rekordów, umożliwiając stały monitoring realizacji polityki retencyjnej.
• Rozliczalność: wszystkie operacje na danych (usu­nięcia, modyfikacje) są dokładnie rejestrowane – system zapisuje kto i kiedy wykonał daną akcję. Dzięki temu instytucja finansowa dysponuje pełną ścieżką audytu zgodności.

Oblivio pomaga spełnić wymogi DORA dotyczące cyklu życia danych i rozliczalności. Automatyzacja procesu retencji zmniejsza ryzyko błędów i zapewnia, że wrażliwe dane nie zostaną przechowane bez podstawy prawnej. Szczegółowe logi pokazują, że polityka zarządzania danymi jest przestrzegana. To ważne podczas audytów i oceny zgodności z DORA.

Podsumowanie

Wdrożenie DORA w instytucji finansowej opiera się na synergii nowoczesnych narzędzi do zarządzania danymi i bezpieczeństwem. Detecto i Revelio automatycznie wykrywają i klasyfikują dane w systemach oraz dokumentach. Dzięki temu pomagają spełnić wymogi DORA związane z inwentaryzacją i ochroną zasobów. Nocturno umożliwia bezpieczne testowanie systemów na anonimowych danych, spełniając założenia o ochronie poufnych informacji podczas testów. Oblivio natomiast zarządza cyklem życia danych – automatyzując retencję, usuwanie i audyt operacji – co wspiera rozliczalność i zgodność z regulacjami. Stosując razem narzędzia Wizards, instytucje finansowe i dostawcy ICT spełniają wymagania DORA. Jednocześnie zwiększają odporność operacyjną i są lepiej przygotowani na incydenty cybernetyczne.

W dzisiejszych czasach dane osobowe stały się nieodłącznym elementem naszego życia. Większość z nas przekazuje swoje dane podczas zakładania konta w serwisach internetowych, rejestrowania się na konferencje, dokonując zakupów w sklepach czy korzystając z aplikacji mobilnych.

---

Musimy mieć na uwadze, że również w naszej codziennej pracy biurowej wykorzystujemy dane osobowe naszych klientów, partnerów biznesowych czy współpracowników.

Warto zwrócić uwagę, że ochrona danych wrażliwych w polskich firmach jest aktualnie jednym z większych problemów związanych z bezpieczeństwem informacji. Najczęściej dane wrażliwe nielegalnie udostępniają osoby związane z daną firmą, takie jak pracownicy lub kontrahenci. Często do takich udostępnień dochodzi w sposób przypadkowy lub nieświadomy.

Według raportu „Stan Bezpieczeństwa Wewnętrznego 2021” opublikowanego przez CERT Polska, w 2020 roku w Polsce odnotowano 373 incydenty związane z naruszeniem bezpieczeństwa informacji, w tym 187 incydentów dotyczących wycieku danych. W ramach tych incydentów skradziono ponad 1,6 miliarda rekordów.

Dlatego ważne jest, aby firmy działały w sposób zapobiegawczy. Stosując odpowiednie środki bezpieczeństwa, jak również szkoliły swoich pracowników w zakresie bezpieczeństwa informacji, aby zmniejszyć ryzyko wycieku danych.

Co to są dane wrażliwe i dane osobowe?

Dane osobowe to informacje, które pozwalają na identyfikację konkretnej osoby. Wśród takich danych znajdują się między innymi: imię i nazwisko, numer PESEL, adres zamieszkania, adres e-mail, numer telefonu, a także dane związane z pracą, takie jak stanowisko, nazwa firmy, czy wynagrodzenie.

Dane wrażliwe to natomiast szczególna kategoria danych osobowych, która wymaga dodatkowej ochrony ze względu na ich charakter. Są to informacje dotyczące zdrowia, pochodzenia, przekonań politycznych, religijnych lub światopoglądowych, a także dane dotyczące życia seksualnego, czy też przestępstw lub wyroków sądowych.

Zgodnie z RODO i Kodeksem cywilnym, zbieranie, przetwarzanie oraz przechowywanie danych osobowych i wrażliwych wymaga zgody osoby, której dane dotyczą. Należy też stosować odpowiednie środki ochrony tych danych, aby uniknąć ich nieuprawnionego ujawnienia czy wykorzystania.

Dlaczego warto chronić i zabezpieczać dane wrażliwe oraz dane osobowe?

Ochrona danych osobowych i wrażliwych jest niezwykle ważna ze względu na wiele zagrożeń, jakie mogą wynikać z ich nieuprawnionego ujawnienia lub wykorzystania. Poniżej przedstawiamy kilka powodów, dlaczego warto chronić i zabezpieczać dane wrażliwe oraz dane osobowe:

1. Prywatność – każdy ma prawo do prywatności i ochrony swoich danych osobowych. Bezpieczeństwo tych danych pozwala na uniknięcie nieuprawnionego ujawnienia informacji prywatnych, a tym samym utrzymanie prywatności i godności osoby.
2. Bezpieczeństwo finansowe – dane wrażliwe, takie jak numery kont bankowych czy karty kredytowej, mogą być wykorzystane do kradzieży tożsamości lub innych form oszustwa finansowego. Ochrona tych danych jest zatem kluczowa dla zapewnienia bezpieczeństwa finansowego.
3. Bezpieczeństwo zdrowotne – dane medyczne są uznawane za szczególnie wrażliwe i wymagają szczególnej ochrony ze względu na ich prywatny charakter. Nieuprawnione ujawnienie tych danych może prowadzić do dyskryminacji, a także utrudnić dostęp do ubezpieczenia zdrowotnego czy leczenia.
4. Ochrona przed nadużyciami – przetwarzanie danych osobowych przez podmioty trzecie bez wyraźnej zgody osoby, której dane dotyczą, może prowadzić do nadużyć. Ochrona danych osobowych chroni przed takimi sytuacjami.
5. Zgodność z przepisami – w wielu krajach istnieją przepisy prawne, które wymagają ochrony danych osobowych i wrażliwych. Niedopełnienie tych obowiązków może prowadzić do kar finansowych lub innych konsekwencji prawnych.

Czy w Twojej firmie dane nie są chronione? Sprawdź jak to łatwo naprawić!

Revelio to narzędzie do wykrywania danych osobowych oraz innych danych wrażliwych we współdzielonych zasobach plikowych, dokumentach zlokalizowanych na komputerach osobistych, poczcie e-mail.

Narzędzie to pozwala identyfikować procesy biznesowe, które generują dokumenty i rekomendować ich dygitalizacje. Skontaktuj się z nami, a zabezpieczymy Twoją firmę przed niepożądanym wyciekiem danych. Wystarczy tylko umówić się z nami na rozmowę, a uchronimy Ciebie i zabezpieczymy Twoją firmę przed nielegalnym wykorzystaniem danych.

Chcesz wdrożyć narzędzia do ochrony wrażliwych danych? Jak przygotować firmę na ten proces?

1. Zidentyfikuj wrażliwe dane: Przede wszystkim należy zidentyfikować, jakie rodzaje danych wrażliwych są przechowywane w firmie. Należy przyjrzeć się dokumentom, bazom danych, programom, w których te dane są przetwarzane i przechowywane.
2. Przeprowadź audyt bezpieczeństwa: W celu dokładnego określenia potrzeb ochrony danych, warto przeprowadzić audyt bezpieczeństwa. Pozwoli on na dokładne określenie ryzyka i wykrycie ewentualnych luk w systemie bezpieczeństwa.
3. Opracuj politykę ochrony danych: Należy opracować politykę ochrony danych, która określi, jakie kroki należy podjąć, aby chronić wrażliwe dane. Polityka ta powinna określać zasady dotyczące zarządzania, przetwarzania, przechowywania i usuwania danych.
4. Wdrożenie narzędzi ochrony danych: Na podstawie wyników audytu i opracowanej polityki, należy wybrać odpowiednie narzędzia do ochrony danych. Pomogą one w zabezpieczeniu danych przed nieuprawnionym ujawnieniem lub wykorzystaniem.
5. Przeprowadź szkolenie pracowników: Należy przeprowadzić szkolenie pracowników, aby zwiększyć ich świadomość na temat zagrożeń związanych z wrażliwymi danymi. Dodatkowo należy przeszkolić ich jak postępować w przypadku podejrzenia naruszenia bezpieczeństwa danych.
6. Monitoruj i aktualizuj system bezpieczeństwa: W celu utrzymania bezpieczeństwa wrażliwych danych, konieczne jest ciągłe monitorowanie i aktualizacja systemu bezpieczeństwa.

Wdrożenie narzędzi do ochrony wrażliwych danych to proces, który wymaga odpowiedniego przygotowania i zaplanowania. Warto podjąć te kroki, aby zapewnić odpowiednią ochronę wrażliwych danych w firmie i uniknąć ryzyka ich nieuprawnionego ujawnienia lub wykorzystania. Specjalnie dla tego procesu stworzyliśmy „Revelio”. Więcej na ten temat: https://wizards.io/revelio/