Dowiedz się więcej na temat naszych produktów. Zobacz nasz blog

EN

PL

• Główna
• Produkty
  • Revelio
  • Detecto
  • Nocturno
  • Oblivio
• Blog
• Kontakt

Umów się na rozmowę

Umów się na rozmowę

W dobie restrykcyjnych przepisów RODO i rosnących zagrożeń cybernetycznych polskie firmy muszą budować odporne organizacje. Kluczem jest kompleksowe podejście do ochrony danych i procesów IT. Wizards oferuje cztery zintegrowane narzędzia do RODO – Oblivio, Nocturno, Revelio i Detecto – które współdziałają w jednym ekosystemie. Dzięki temu zarząd może centralnie zarządzać retencją i anonimizacją danych oraz wykrywać informacje wrażliwe na różnych poziomach infrastruktury. Posiadanie tych rozwiązań to fundament bezpieczeństwa i zgodności firmy z prawem oraz ochrona przed dotkliwymi sankcjami za naruszenia.

Oblivio

Oblivio to system do retencji danych osobowych i zarządzania danymi w organizacji. Umożliwia centralne definiowanie reguł przechowywania danych (np. według okresu obowiązywania umowy lub innych kryteriów) oraz automatyczne usuwanie lub anonimizację informacji po ustaniu podstawy prawnej ich przetwarzania. Dzięki temu administracja nie musi ręcznie szukać, które rekordy należy usunąć. Przykładowo, gdy wygasa umowa z klientem lub pracownik odchodzi z firmy. Oblivio wykrywa utratę podstawy prawnej do przetwarzania i – po akceptacji opiekuna – inicjuje proces anonimizacji w powiązanych systemach (np. w CRM i systemie marketingowym), zachowując spójność danych we wszystkich bazach.

Brak takiego narzędzia grozi pozostawieniem przetwarzanych informacji bez wymaganego usunięcia. W praktyce przedsiębiorca może nieumyślnie nadal gromadzić i udostępniać dane, do których utracił zgodę. Taka sytuacja narusza m.in. art. 17 RODO (prawo do usunięcia danych) czy art. 5 RODO (zasada minimalizacji danych). Zgodnie z art. 83 RODO niedopełnienie tych obowiązków może skutkować administracyjną karą finansową nawet do 20 mln euro lub 4% całkowitego rocznego obrotu firm.

Nocturno

Nocturno to aplikacja do anonimizacji danych, wykorzystująca rozbudowane słowniki i generatory pozwalające zachować charakterystykę danych produkcyjnych. Dzięki temu narzędziu można równocześnie przetwarzać duże zbiory z wielu systemów. Dodatkowo zachowując spójność między nimi nawet po masowej zamianie danych osobowych na fikcyjne. Na przykład firma IT budująca nowe środowisko testowe używa Nocturno, aby zastąpić rzeczywiste imiona, nazwiska, PESEL-e czy NIP-y pracowników i klientów ich syntetycznymi odpowiednikami – co pozwala na realistyczne testy, ale bez ryzyka wycieku prywatnych danych.

Brak systemu do anonimizacji może skończyć się poważnym incydentem bezpieczeństwa. Jeśli niezaszyfrowane dane trafią do osób nieuprawnionych, naruszone zostaną m.in. art. 32 RODO (wymagania techniczne i organizacyjne dla bezpieczeństwa) oraz art. 5 RODO (zasada zgodności i minimalizacji przetwarzania). Dodatkowo Kodeks pracy nakłada na pracownika obowiązek dbania o dobro przedsiębiorstwa i zachowania w tajemnicy informacji mogących mu zaszkodzić (art. 100 §2 pkt 4 Kodeksu pracy). Za nieprzestrzeganie tych zasad pracodawca może wymierzyć karę dyscyplinarną (np. naganę lub karę pieniężną do wysokości średniodobowego wynagrodzenia) – a w praktyce przewinienia mogą prowadzić do odpowiedzialności także administracyjnej i cywilnej wobec firmy.

Revelio

Revelio to narzędzie służące do wykrywania danych osobowych i wrażliwych w udostępnionych zasobach plikowych (np. na komputerach, w poczcie e‑mail czy udostępnionych folderach). Umożliwia identyfikację dokumentów i procesów biznesowych generujących poufne pliki oraz rekomenduje ich cyfryzację. Przykładowo, Revelio można wykorzystać do przeskanowania wszystkich udziałów sieciowych pracowników w poszukiwaniu starych arkuszy z listą klientów. Dzięki temu firma dowiaduje się, które zespoły i procesy stale generują dokumenty zawierające dane wrażliwe, i może zareagować, zanim dojdzie do wycieku.

Jeśli nie przeprowadza się takich przeglądów, istnieje ryzyko, że poufne pliki pozostaną niezabezpieczone i nieznane działowi IT. To narusza zasady RODO – np. art. 5 ust. 1 lit. a RODO (przetwarzanie zgodne z prawem, jasno określonymi celami) oraz art. 32 RODO – oraz wewnętrzne regulacje dotyczące poufności. Jednocześnie art. 100 §2 pkt 4 Kodeksu pracy nakłada na pracownika obowiązek zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Naruszenie tego obowiązku może skutkować karą porządkową (np. upomnieniem czy grzywną), a w skrajnych przypadkach odpowiedzialnością odszkodowawczą. Ponadto Prezes UODO ma prawo nałożyć za naruszenie przepisów RODO karę administracyjną (z art. 83 RODO) sięgającą nawet kilkudziesięciu milionów euro.

Detecto

Detecto to narzędzie do wykrywania danych osobowych oraz innych informacji wrażliwych w bazach danych. Pozwala automatycznie zeskanować hurtownie i systemy bazodanowe w poszukiwaniu wpisów zawierających np. numery PESEL, dane finansowe lub poufne. Równocześnie śledzi zmiany w strukturach baz danych, ułatwiając wytypowanie nowych obszarów wymagających anonimizacji i retencji. Przykładowo, przed wdrożeniem nowego systemu CRM dział IT korzysta z Detecto, aby sprawdzić, czy przypadkowo nie zostały w nim umieszczone stare dane klientów. Jeśli takie dane zostaną wykryte, można natychmiast zmodyfikować proces migracji lub wprowadzić dodatkowe zabezpieczenia.

Brak monitorowania, gdzie znajdują się dane wrażliwe, tworzy „ślepą plamę” na mapie bezpieczeństwa IT. Może to zakończyć się istotnym wyciekiem – na przykład przez niewykryte błędy w migracji baz. Konsekwencją mogą być naruszenia art. 32 RODO (niewdrożenie adekwatnych środków bezpieczeństwa) oraz obowiązku zgłoszenia poważnego incydentu (ustawy o krajowym systemie cyberbezpieczeństwa). W praktyce oznacza to ryzyko kary w wysokości do 10 mln euro lub 2% obrotu przedsiębiorstwa, a przy szczególnie istotnych uchybieniach – nawet 20 mln euro lub 4% obrotu. Co więcej, Prezes UKE może nałożyć karę administracyjną (np. do 10% obrotu firmy) za niezgłoszenie poważnego incydentu ICT zgodnie z ustawą o KSC

Podsumowanie

Oblivio, Nocturno, Revelio i Detecto to krok w stronę pełnej odporności i zgodności firmy z prawem. Te cztery narzędzia tworzą spójny ekosystem do ochrony danych wrażliwych na wszystkich poziomach. Zachęcamy do kontaktu z eksperckim zespołem Wizards – wspólnie zadbamy, by Twój biznes nie tylko spełniał wszystkie wymagania prawa, ale przede wszystkim uniknął realnych kosztów naruszeń i kar związanych z niezgodnością.

Digital Operational Resilience Act (DORA) to nowe unijne rozporządzenie dotyczące cyfrowej odporności operacyjnej instytucji finansowych. Jego celem jest zapewnienie stabilności operacyjnej w obliczu zagrożeń cyfrowych poprzez skuteczne zarządzanie ryzykiem ICT, obowiązkowe raportowanie incydentów oraz regularne testowanie systemów. Jak wdrożyć DORA w firmie ubezpieczeniowej?

Rozporządzenie DORA zacznie obowiązywać 17 stycznia 2025 roku. Poprzedza je dwuletni okres dostosowawczy, który rozpoczął się w styczniu 2023. Firmy ubezpieczeniowe – podobnie jak banki, firmy inwestycyjne i inni uczestnicy sektora finansowego – muszą pilnie dostosować się do nowych przepisów. Tylko w ten sposób zachowają zgodność z prawem i zapewnią ciągłość działania.

Czym jest rozporządzenie DORA i kogo obejmuje?

Rozporządzenie DORA (Digital Operational Resilience Act) to inicjatywa Unii Europejskiej. Jej celem jest wzmocnienie cyberbezpieczeństwa oraz odporności operacyjnej firm z sektora finansowego.

DORA wprowadza wspólne zasady, które zobowiązują instytucje do radzenia sobie z incydentami ICT. Oczekuje się, że będą potrafiły im zapobiegać, odpowiednio reagować oraz szybko przywracać sprawność działania.

Regulacja obejmuje 20 typów podmiotów, w tym m.in. zakłady ubezpieczeń, pośredników ubezpieczeniowych, banki, fintechy, fundusze VC i dostawców usług płatniczych. Co ważne, DORA dotyczy także dostawców usług ICT, takich jak firmy oferujące chmurę czy outsourcing IT. Jeśli zostaną uznani za dostawców krytycznych, będą objęci bezpośrednim nadzorem.

Dlaczego wprowadzono DORA? 

Głównym powodem wdrożenia DORA jest rosnąca skala cyberzagrożeń oraz silne uzależnienie sektora finansowego – w tym branży ubezpieczeniowej – od technologii.

Cyberatak następuje dziś średnio co 39 sekund. Globalne straty z cyberprzestępczości sięgają aż 5 bilionów euro rocznie. Zakłócenia cyfrowe, takie jak ransomware, awarie centrów danych czy błędy ludzkie, mogą sparaliżować kluczowe usługi finansowe – uderzając nie tylko w jedną firmę, ale też w cały rynek.

DORA ma temu zapobiegać. Firmy ubezpieczeniowe muszą mieć plany awaryjne, skuteczne zabezpieczenia oraz procedury działania na wypadek incydentu. W efekcie zwiększa się stabilność finansowa i ochrona klientów oraz partnerów.

Wymogi DORA dla firm ubezpieczeniowych

DORA w sektorze ubezpieczeń narzuca szereg konkretnych obowiązków, które mają zwiększyć odporność cyfrową organizacji. Najważniejsze wymogi DORA dla firm ubezpieczeniowych można podsumować w następujących obszarach:

• Ustanowienie systemu zarządzania ryzykiem ICT to jeden z podstawowych obowiązków wynikających z DORA. Ubezpieczyciel musi wdrożyć kompleksowe ramy zarządzania ryzykiem ICT, zintegrowane z ogólnym systemem zarządzania ryzykiem w firmie. Obejmuje to m.in. opracowanie polityk i procedur bezpieczeństwa. Wyznaczenie ról i odpowiedzialności (z aktywnym udziałem zarządu), regularne oceny ryzyka oraz tworzenie planów jego ograniczania. Zarząd i najwyższa kadra kierownicza muszą być bezpośrednio zaangażowani w nadzór nad ryzykiem ICT. DORA wymaga, aby regularnie zatwierdzali strategie, zapewniali odpowiednie zasoby na cyberbezpieczeństwo i aktywnie budowali kulturę świadomości ryzyka w całej organizacji.
  
• Monitorowanie i raportowanie incydentów ICT to kolejny obowiązek wynikający z DORA. Firmy ubezpieczeniowe muszą wdrożyć procedury dotyczące klasyfikacji, obsługi i zgłaszania incydentów ICT. Każdy poważny incydent – np. atak hakerski, wyciek danych klientów czy awaria krytycznego systemu – podlega obowiązkowemu zgłoszeniu do organu nadzoru. W Polsce będzie to Komisja Nadzoru Finansowego. DORA ujednolica sposób raportowania: wymaga wstępnego zgłoszenia w ciągu 24 godzin od wykrycia incydentu. Dodatkowo kolejnych aktualizacji oraz raportu końcowego po zakończeniu działań. W tym celu ubezpieczyciel powinien wdrożyć wewnętrzny system detekcji i raportowania incydentów. Zapewni on szybkie powiadamianie zarówno wewnętrznego kierownictwa, jak i regulatora. Przykład: jeśli atak ransomware zaszyfruje dane i zakłóci obsługę polis. To firma ma obowiązek poinformować KNF w ciągu doby i podjąć działania zaradcze.
  
• Regularne testowanie odporności cyfrowej. DORA nakłada obowiązek cyklicznego testowania zabezpieczeń i odporności systemów ICT w firmie ubezpieczeniowej. Organizacja powinna przeprowadzać m.in. testy penetracyjne (symulowane ataki na systemy), testy podatności, ćwiczenia symulacyjne i testy planów ciągłości działania. Większe instytucje będą musiały dodatkowo realizować okresowe TLPT (Threat-Led Penetration Testing). Są to zaawansowane testy odporności na zagrożenia prowadzone przez niezależnych ekspertów co najmniej raz na trzy lata. Regularne testy pozwalają wykryć luki w zabezpieczeniach i sprawdzić, czy firma jest w stanie odpornie funkcjonować w warunkach cyberataków lub awarii. Wyniki testów należy dokumentować i wykorzystywać do doskonalenia procedur oraz systemów bezpieczeństwa.
  
• Zarządzanie dostawcami ICT (third-party risk). Firmy ubezpieczeniowe korzystające z zewnętrznych dostawców usług ICT – takich jak chmura, outsourcing centrów danych czy systemy teleinformatyczne – muszą aktywnie zarządzać ryzykiem związanym z tymi podmiotami. Zgodnie z DORA obowiązuje je prowadzenie rejestru umów, przeprowadzanie due diligence. Dodatkowo regularna ocena poziomu ryzyka dla każdego z kluczowych partnerów. Umowy powinny zawierać wymagane klauzule dotyczące bezpieczeństwa, ciągłości działania, obowiązku zgłaszania incydentów, udziału w testach odporności i prawa do audytu. Organizacje muszą także wdrożyć plany awaryjne (tzw. plany wyjścia) na wypadek zakłóceń po stronie dostawcy, szczególnie w przypadku usług krytycznych. Co istotne, największe firmy technologiczne świadczące usługi dla sektora finansowego mogą zostać uznane przez europejskie organy nadzoru za tzw. „czwartych dostawców krytycznych” (CTPP), co oznacza, że instytucje ubezpieczeniowe będą musiały przekazywać dodatkowe informacje nadzorcom na temat współpracy z tymi podmiotami.
  
• Zapewnienie ciągłości działania i planów awaryjnych. DORA wymaga posiadania planów ciągłości działania (BCP) i planów odzyskiwania po awarii (DR), które będą uwzględniać różne scenariusze incydentów ICT. Firma ubezpieczeniowa powinna przygotować procedury na wypadek np. długotrwałej awarii systemu polis, utraty łączności z centrum danych czy masowego naruszenia danych. Plany te muszą być regularnie testowane i aktualizowane, aby w sytuacji kryzysowej umożliwić szybkie przywrócenie krytycznych usług.
  
• Wymiana informacji o zagrożeniach nie jest obowiązkowa, ale DORA zdecydowanie ją rekomenduje. Instytucje finansowe, w tym ubezpieczyciele, powinny aktywnie uczestniczyć w inicjatywach współdzielenia wiedzy, np. w ramach forów ISAC. Dzięki temu mogą szybciej reagować na nowe techniki ataków i uczyć się na doświadczeniach innych. Jeśli firma angażuje się w taki proces, musi poinformować o tym organy nadzoru oraz zapewnić przestrzeganie zasad poufności podczas przekazywania danych.

Podsumowując, DORA dla sektora ubezpieczeń ustanawia wysokie standardy w zakresie zarządzania ryzykiem IT i bezpieczeństwa. Firmy ubezpieczeniowe muszą posiadać formalnie udokumentowane procedury i techniczne zabezpieczenia, które zapewnią, że nawet w obliczu poważnego ataku cybernetycznego czy awarii – kluczowe usługi dla klientów będą mogły być utrzymane lub szybko wznowione. W kolejnej części przedstawiamy, jak krok po kroku wdrożyć DORA w organizacji, aby spełnić powyższe wymagania.

Co grozi za brak zgodności z DORA?

Nieprzestrzeganie wymogów DORA wiąże się z poważnymi konsekwencjami prawnymi i finansowymi. Regulatorzy otrzymali mocne narzędzia, aby egzekwować nowe przepisy i zniechęcać instytucje do zaniedbywania cyfrowej odporności. Oto główne skutki braku zgodności z DORA:

• Kary finansowe – DORA przewiduje dotkliwe kary pieniężne nakładane na instytucje finansowe za naruszenia. Maksymalna wysokość kar zależy od skali naruszenia: do 10 mln euro lub 2% rocznego światowego obrotu firmy (w zależności, która wartość jest wyższa) za naruszenia standardowe, a nawet do 20 mln euro lub 4% obrotu w przypadku najpoważniejszych uchybień. Dla porównania – są to poziomy porównywalne z karami z RODO, co pokazuje wagę, jaką regulator przykłada do odporności cyfrowej. Kary mogą być nakładane wielokrotnie, a w skrajnych sytuacjach przepisy pozwalają na periodyczne kary pieniężne (np. dzienne) aż do momentu usunięcia stwierdzonych niezgodności.
  
• Sankcje dla osób zarządzających – Odpowiedzialność za zgodność z DORA spoczywa na kierownictwie instytucji, stąd w razie rażących zaniedbań konsekwencje mogą dotknąć również osoby fizyczne. Organy nadzoru mają prawo nałożyć kary indywidualne (finansowe) na członków zarządu lub kadrę kierowniczą wyższego szczebla – nawet do 1 000 000 euro grzywny. Ponadto, w skrajnych przypadkach, możliwe są zakazy pełnienia funkcji kierowniczych w sektorze finansowym dla osób odpowiedzialnych za poważne naruszenia przepisów. Tego rodzaju sankcje personalne mają wymusić należytą dbałość managementu o kwestie odporności cyfrowej.
  
• Nakazy i ograniczenia nadzorcze – Regulator (np. KNF) może wydać szereg decyzji administracyjnych wobec niezgodnej z DORA firmy. Mogą to być wiążące polecenia wprowadzenia środków naprawczych (np. nakaz opracowania brakującej procedury, ulepszenia zabezpieczeń w określonym terminie). W przypadku stwierdzenia poważnego ryzyka niewywiązywania się z wymogów, nadzór może także ograniczyć działalność instytucji finansowej do czasu usunięcia nieprawidłowości. DORA daje również możliwość zawieszenia korzystania z usług danego dostawcy ICT lub zakazania nawiązania z nim współpracy, jeśli jego niewłaściwe praktyki stanowią zagrożenie dla instytucji finansowej. Innymi słowy, ubezpieczyciel, który ignoruje standardy DORA, może zostać zmuszony do zerwania umowy z kluczowym partnerem technologicznym, co samo w sobie byłoby bardzo dotkliwe operacyjnie.
  
• Publiczne ujawnienie naruszeń (utrata reputacji). Organy nadzoru zobowiązane są do publikowania informacji o nałożonych sankcjach za naruszenia DORA. Oznacza to, że nazwa instytucji ukarana za brak zgodności trafi do publicznych komunikatów, co niesie poważne ryzyko dla reputacji firmy. W branży finansowej zaufanie jest kluczowe – utrata reputacji na skutek publicznego napiętnowania może skutkować odpływem klientów, trudnościami we współpracy z partnerami biznesowymi oraz zainteresowaniem mediów, co dodatkowo potęguje kryzys, W efekcie, koszty braku zgodności to nie tylko grzywny, ale i potencjalnie wielokrotnie większe straty pośrednie wynikające z uszczerbku na renomie.

Wzmocnij swoją cyfrową odporność już dziś

Rozporządzenie DORA stanowi wyzwanie, ale i szansę dla firm ubezpieczeniowych. Z jednej strony wymaga inwestycji w systemy bezpieczeństwa, nowe procedury i szkolenia. Z drugiej – jego wdrożenie przełoży się na zwiększenie odporności cyfrowej organizacji, co w dobie powszechnych cyberzagrożeń jest bezcenne. Kadra menedżerska powinna potraktować DORA nie tylko jako obowiązek regulacyjny. Tylko jako impuls do usprawnienia zarządzania ryzykiem i unowocześnienia praktyk IT. Firmy ubezpieczeniowe, które proaktywnie podejdą do tych zmian, zyskają przewagę.

Jeśli masz pytania lub potrzebujesz wsparcia we wdrożeniu DORA w swojej organizacji – skontaktuj się z zespołem Wizards. Nasi eksperci chętnie pomogą w przeprowadzeniu analizy luk, opracowaniu planu dostosowania oraz wdrożeniu skutecznych rozwiązań spełniających Digital Operational Resilience Act. Dzięki profesjonalnemu wsparciu Wizards proces dostosowania do DORA przebiegnie sprawniej. Twoja firma szybko odczuje korzyści płynące z podniesienia poziomu bezpieczeństwa i zgodności. Zapraszamy do kontaktu – razem zadbamy o cyfrową odporność Twojego biznesu!

Przygotowania do audytu RODO mogą budzić obawy – czy wiemy dokładnie, gdzie przetwarzane są wszystkie dane osobowe, czy każda czynność jest udokumentowana i czy posiadamy aktualne zgody? Aby zminimalizować te wątpliwości, kluczowe jest przeprowadzenie pełnej inwentaryzacji danych i procesów przetwarzania. Obejmuje to zebranie informacji o wszystkich zasobach i procesach związanych z danymi osobowymi w firmie. Dzięki temu powstaje kompleksowy opis procesów – mapa pokazująca, co, gdzie i w jakim celu się dzieje – co jest niezbędne do wykazania zgodności z RODO. Równocześnie należy skontrolować formalne aspekty: aktualność i kompletność dokumentacji (polityk, umów powierzenia itp.), podstaw prawnych przetwarzania oraz uzyskanych zgód. Przygotowanie do audytu danych osobowych to nie tylko procedura do „odhaczenia”, ale sposób na zapewnienie zgodności z RODO w firmie i zwiększenie bezpieczeństwa przetwarzania danych.

Kluczowe obowiązki wynikające z RODO

Przed audytem warto przypomnieć sobie najważniejsze obowiązki administratora danych osobowych. Należą do nich m.in.:

• Identyfikacja danych osobowych – szczegółowa inwentaryzacja procesów i zasobów, w których występują dane osobowe. Należy zidentyfikować wszystkie systemy IT, bazy danych, dokumenty i nośniki zawierające dane pracowników czy klientów. Kompleksowy opis tych procesów, uzyskany na etapie inwentaryzacji, stanowi podstawę wykazania zgodności z RODO.
• Zasada minimalizacji i ograniczenia celu – zgodnie z art. 5 RODO dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do jasno określonych celów. Oznacza to gromadzenie tylko tych danych, które bezpośrednio służą realizacji określonych celów biznesowych, i niedopuszczanie do ich przetwarzania w sposób wykraczający poza te cele.
• Retencja danych osobowych. – RODO wymaga ograniczenia okresu przechowywania danych do ścisłego minimum. Administrator powinien ustalić terminy usuwania danych lub ich okresowego przeglądu. Po zakończeniu celu przetwarzania niezwłocznie usuwa się lub anonimuje dane, których dalsze przechowywanie nie jest uzasadnione. W rejestrze czynności przetwarzania (art. 30 RODO) należy uwzględnić planowany termin usunięcia danych.
• Prawo do bycia zapomnianym – art. 17 RODO daje osobie fizycznej prawo żądania usunięcia jej danych. Administrator musi wówczas „bez zbędnej zwłoki” usunąć dane, gdy np. przestały być potrzebne do celu przetwarzania lub osoba cofnęła zgodę. Należy wprowadzić procedury umożliwiające realizację tych żądań (kontrola i usunięcie danych z systemów oraz ewentualne powiadomienie innych podmiotów, którym je przekazano).
• Rozliczalność i dokumentacja – RODO wprowadza zasadę rozliczalności. Administrator danych musi wykazać, że przestrzega wszystkich zasad ochrony danych (zgodności z prawem, rzetelności, przejrzystości itd.). Oznacza to prowadzenie odpowiednich zapisów i dokumentów: rejestru czynności przetwarzania (według art. 30 RODO), polityk ochrony danych, procedur bezpieczeństwa czy rejestracji incydentów. Przykładowo, art. 30 RODO zobowiązuje do szczegółowego rejestrowania kategorii danych, celów przetwarzania oraz przewidywanych terminów usunięcia danych. Dokładna dokumentacja ułatwia wykazanie zgodności przed audytorami i organami nadzorczymi.

Jak produkty Wizards wspierają te obowiązki?

Przygotowanie do kontroli zgodności z RODO można znacznie przyspieszyć, wykorzystując odpowiednie narzędzia. Produkty Wizards odpowiadają na kluczowe potrzeby ochrony danych osobowych:

• Detecto – narzędzie do skanowania systemów i baz danych w poszukiwaniu danych osobowych. Wykrywa tabele i pola z danymi wrażliwymi oraz zmiany w strukturach baz, co pomaga w pełnej inwentaryzacji zasobów danych. Ułatwia wdrożenie procesów anonimizacji i retencji, dzięki czemu dane osobowe są stale monitorowane i aktualizowane.
• Revelio – rozwiązanie do wyszukiwania danych osobowych w rozproszonych dokumentach. Przeszukuje udostępnione zasoby plikowe, dokumenty na komputerach pracowników czy skrzynki e-mail, aby zlokalizować dokumenty zawierające dane osobowe. Dzięki temu organizacja wie, w jakich plikach i folderach znajdują się wrażliwe informacje, co wspiera audyt i dalszą digitalizację procesów.
• Nocturno – zaawansowana aplikacja do anonimizacji danych w środowiskach testowych i deweloperskich. Korzystając z rozbudowanej bazy słowników i generatorów, pozwala jednocześnie anonimować dane w wielu systemach, zachowując przy tym spójność i charakterystyki oryginalnych baz (np. format dat, sumy kontrolne). Pozwala efektywnie zastąpić dane osobowe fikcyjnymi wartościami bez ryzyka uszkodzenia procesów testowych.
• Oblivio – system zarządzania retencją i zgodnością danych osobowych. Działa jak wewnętrzna platforma obejmująca wszystkie systemy firmy przetwarzające dane osobowe. Monitoruje terminy retencji zgodnie z przyjętymi regułami, wykrywając moment, gdy przestaje istnieć podstawa prawna przetwarzania. Po wygaśnięciu okresu retencji automatycznie inicjuje proces anonimizacji danych zgodnie z przyjętymi procedurami oraz generuje raporty operacji retencji i usuwania danych.

Checklista – „Czy jesteś gotowy na kontrolę?”

Przed audytem warto sprawdzić, czy firma spełnia podstawowe wymogi ochrony danych. Oto punkty kontrolne do weryfikacji:

• Czy zinwentaryzowano wszystkie zbiory i procesy przetwarzania danych osobowych w organizacji?
• Czy prowadzony jest aktualny rejestr czynności przetwarzania (RCP) zgodnie z art. 30 RODO?
• Czy istnieją i są wdrażane pisemne polityki, procedury i instrukcje ochrony danych (przetwarzania danych, bezpieczeństwa, zarządzania incydentami itp.)?
• Czy podstawy prawne przetwarzania danych (umowy, zgody osób, upoważnienia, decyzje IOD, oceny ryzyka/DPIA) są aktualne i udokumentowane?
• Czy określono okresy przechowywania dla różnych kategorii danych osobowych i wprowadzono mechanizmy ich usuwania lub anonimizacji po upływie tych okresów?
• Czy pracownicy przeszli obowiązkowe szkolenia z zakresu ochrony danych oraz czy wyznaczono Inspektora Ochrony Danych (IOD) lub odpowiedzialną osobę?

Regularne sprawdzanie tych punktów pomoże ustrukturyzować przygotowanie do audytu danych osobowych i zniwelować ryzyko ewentualnych uchybień.

Zadbaj o zgodność z RODO z pomocą Wizards

Przygotowanie do audytu RODO to proces, w którym nie warto działać na oślep. Skorzystaj z doświadczenia ekspertów i nowoczesnych narzędzi do zgodności. Umów rozmowę z zespołem Wizards ds. zgodności i audytów, aby omówić potrzeby Twojej organizacji. Podczas spotkania zaprezentujemy, jak nasze produkty – Detecto, Revelio, Nocturno i Oblivio – mogą ułatwić przygotowanie do kontroli, przyspieszyć inwentaryzację danych i automatyzować procesy retencji oraz anonimizacji. Zapewnij swojej firmie pełną zgodność z RODO i spokój przed nadchodzącą kontrolą – skontaktuj się z Wizards już dziś!

Zarządzanie danymi osobowymi w organizacji jest kluczowe dla ochrony prywatności i zgodności z prawem, zwłaszcza z RODO. Proces obejmuje gromadzenie, przetwarzanie, przechowywanie, udostępnianie i usuwanie danych, a także szkolenia pracowników. Właściwa retencja danych wpływa na bezpieczeństwo informacji, a przestrzeganie przepisów ma kluczowe znaczenie dla sukcesu organizacji. Oferujemy produkty, takie jak Revelio, Detecto, Nocturno i Oblivio, które pomagają firmom w ochronie danych osobowych i zarządzaniu nimi.

Znaczenia zarządzania danymi osobowymi w organizacji

Zarządzanie danymi osobowymi w organizacji to kluczowy element ochrony prywatności i zgodności z prawem. Celem tego procesu jest zapewnienie bezpieczeństwa informacji osobistych oraz przestrzeganie przepisów, takich jak RODO. Właściwe zarządzanie danymi osobowymi zwiększa zaufanie klientów i partnerów, co przekłada się na lepszą reputację firmy.

Proces obejmuje gromadzenie, przetwarzanie, przechowywanie, udostępnianie i usuwanie informacji. Wyznaczenie polityk i procedur ogranicza ryzyko naruszeń danych i ułatwia zgodność z wymogami prawnymi. Dążenie do minimalizacji danych pozwala na zbieranie jedynie informacji niezbędnych dla realizacji celów organizacji.

Szkolenia personelu w zakresie ochrony danych osobowych to istotny aspekt. Pracownicy muszą wiedzieć, jak przetwarzać informacje, by zapewnić ich bezpieczeństwo. Implementacja technologii, takich jak szyfrowanie czy systemy zarządzania bazami danych, wzmacnia ochronę danych.

Retencja danych osobowych

Retencja danych osobowych to ważny element zarządzania informacjami. Obejmuje przechowywanie danych przez określony czas oraz ich usuwanie, gdy przestaną być potrzebne. Właściwa retencja danych wpływa na prywatność i bezpieczeństwo informacji.

Firmy dzięki retencji danych przechowują informacje zgodnie z przepisami, chroniąc prywatność osób, których dane dotyczą. Określenie kryteriów retencji, takich jak okres przechowywania, jest istotne dla zarządzania danymi.

Polityka retencji danych w organizacji pomaga monitorować przestrzeganie przepisów. Warto uwzględnić w niej okresy przechowywania zgodne z wymogami prawnymi, takimi jak RODO. Usuwanie danych po upływie określonego czasu jest kluczowe dla utrzymania prywatności.

Retencja danych wpływa na bezpieczeństwo informacji. Długotrwałe przechowywanie danych zwiększa ryzyko ich utraty lub kradzieży. Skuteczna retencja danych ogranicza ilość przechowywanych informacji, zmniejszając ryzyko naruszeń.

Zasady wynikające z RODO

RODO (Regulamin Ochrony Danych Osobowych), znane również jako ogólne rozporządzenie o ochronie danych (GDPR), to unijne przepisy mające na celu ochronę prywatności obywateli i regulację przetwarzania danych osobowych. Kluczowe zasady RODO obejmują:

• Legalność, uczciwość i przejrzystość: dane osobowe muszą być przetwarzane legalnie, uczciwie i w sposób zrozumiały dla osób, których dane dotyczą.
• Ograniczenie celu: dane osobowe powinny być zbierane tylko w celu wyraźnie określonym i uzasadnionym.
• Minimalizacja danych: zbierane informacje muszą być adekwatne, istotne i ograniczone do tego, co niezbędne do osiągnięcia celu przetwarzania.
• Dokładność: dane osobowe powinny być dokładne i aktualne.
• Ograniczenie przechowywania: dane powinny być przechowywane tylko przez czas niezbędny do realizacji celów przetwarzania.
• Integralność i poufność: przetwarzanie danych musi zapewniać ich bezpieczeństwo i ochronę przed nieautoryzowanym dostępem.

Krajowe regulacje dotyczące ochrony danych osobowych

Każdy kraj Unii Europejskiej może wprowadzić dodatkowe regulacje dotyczące ochrony danych osobowych, uzupełniające RODO. Warto sprawdzić krajowe ustawy, aby dowiedzieć się o szczegółowych wymaganiach prawnych w danym kraju. Przykładowo, w Polsce obowiązują przepisy wynikające z ustawy o ochronie danych osobowych.

Sankcje za niewłaściwe zarządzanie danymi osobowymi

Niewłaściwe zarządzanie danymi osobowymi może prowadzić do poważnych konsekwencji. RODO przewiduje wysokie kary finansowe za naruszenie przepisów, które mogą sięgać nawet do 20 milionów euro lub 4% globalnego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa.

Naruszenia RODO mogą prowadzić do różnych konsekwencji, takich jak:

• kary finansowe,
• nakaz wstrzymania przetwarzania danych,
• odpowiedzialność odszkodowawcza,
• utrata reputacji firmy.

Dlatego warto dbać o właściwe zarządzanie danymi osobowymi, przestrzeganie zasad RODO i ewentualnych krajowych regulacji. Inwestowanie w polityki, szkolenia i technologie związane z ochroną danych osobowych może przyczynić się do uniknięcia negatywnych konsekwencji i budowania zaufania klientów oraz partnerów.

Proces retencji danych osobowych

Retencja danych osobowych to kontrolowany proces przechowywania i usuwania danych osobowych w organizacji. Główne cele retencji to przestrzeganie przepisów, ochrona prywatności oraz zminimalizowanie ryzyka naruszeń danych.

Retencja danych ma na celu przechowywanie danych tylko przez okres niezbędny do realizacji celów przetwarzania. Określenie kryteriów dotyczących retencji danych, takich jak okres przechowywania, jest kluczowe dla właściwego zarządzania danymi. Kryteria te muszą być zgodne z przepisami, takimi jak RODO, oraz uwzględniać potrzeby organizacji.

Organizacje powinny opracować i wdrożyć procedury usuwania danych po upływie określonego czasu. Usuwanie danych powinno być przeprowadzane zgodnie z najlepszymi praktykami, aby zapewnić trwałe usunięcie informacji i uniknąć przypadkowego odzyskania danych. Proces usuwania powinien obejmować zarówno fizyczne nośniki danych, jak i kopie zapasowe.

Wspieranie retencji danych wymaga odpowiedniego monitorowania i przestrzegania polityk organizacji, a także ścisłej współpracy z działami odpowiedzialnymi za przetwarzanie danych. Szczególną uwagę należy zwrócić na dostosowanie polityk retencji do zmieniających się przepisów oraz potrzeb organizacji.

Wprowadzenie skutecznego procesu retencji danych osobowych w organizacji może pomóc uniknąć niezgodności z przepisami oraz negatywnego wpływu na reputację firmy. Ponadto, właściwa retencja danych pozwala na lepsze zarządzanie zasobami i optymalizację przetwarzania danych, co prowadzi do zwiększenia wydajności i zaufania interesariuszy.

Polityka zarządzania danymi osobowymi w organizacji

Polityka zarządzania danymi osobowymi w organizacji odgrywa kluczową rolę w prawidłowym przetwarzaniu informacji. Obejmuje ona wyznaczenie odpowiedzialności za dane, wdrożenie procedur oraz szkolenia dla pracowników.

Administrator danych i inspektor ochrony danych to dwie istotne role w zarządzaniu danymi osobowymi. Administrator danych odpowiada za przetwarzanie informacji zgodnie z przepisami, natomiast inspektor ochrony danych nadzoruje i monitoruje zgodność z RODO oraz innymi przepisami.

Wdrażanie polityki prywatności oraz procedur dotyczących przetwarzania danych osobowych stanowi ważny element zarządzania informacjami. Polityka prywatności informuje interesariuszy o celach i sposobach przetwarzania ich danych, a procedury przetwarzania określają wewnętrzne zasady i wytyczne dla pracowników.

Szkolenia dla pracowników w zakresie ochrony danych osobowych są niezbędne, aby zapewnić bezpieczeństwo informacji. Pracownicy muszą zrozumieć zasady przetwarzania danych, nauczyć się korzystać z narzędzi ochrony danych oraz znać swoje obowiązki i odpowiedzialności w przypadku naruszenia danych.

Wdrożenie efektywnej polityki zarządzania danymi osobowymi w organizacji zwiększa zgodność z przepisami, chroni prywatność interesariuszy i wpływa na reputację firmy. Inwestowanie w odpowiednie procedury, szkolenia i świadomość pracowników to korzystna strategia dla każdej organizacji.

Inwestycja w produkty Wizards: Skuteczna ochrona danych osobowych dla każdej firmy

Na koniec warto wspomnieć, że nasza firma Wizards oferuje narzędzia, które pomogą zabezpieczyć każdą firmę w zakresie ochrony danych osobowych. Posiadamy produkty takie jak:

• „Revelio” – narzędzie do wykrywania danych osobowych oraz wrażliwych w dokumentach i poczcie internetowej, co pozwala na skuteczne zarządzanie ryzykiem naruszenia danych.
• „Detecto” – narzędzie do wykrywania danych osobowych oraz wrażliwych w bazach danych, umożliwiające lepsze zrozumienie i kontrolowanie przetwarzanych informacji.
• „Nocturno” – narzędzie do anonimizacji danych osobowych w systemach informatycznych, które pomaga firmom zachować prywatność klientów i pracowników, jednocześnie umożliwiając korzystanie z danych do analiz i statystyk.
• „Oblivio” – system do retencji danych osobowych i zarządzania danymi osobowymi w organizacji, który pozwala na skuteczne wdrożenie polityki retencji danych i przestrzeganie przepisów związanych z ochroną danych osobowych.

Inwestując w takie narzędzia, każda firma może skutecznie chronić prywatność swoich klientów i pracowników, a także uniknąć ryzyka naruszenia danych i niezgodności z obowiązującymi przepisami. Retencja danych osobowych nie musi być straszna.

RODO to skrót od Rozporządzenia Ogólnego o Ochronie Danych Osobowych, czyli unijnego aktu prawnego, który reguluje ochronę prywatności i przetwarzanie danych osobowych w Europie. Wprowadzono to rozporządzenie 25 maja 2018 roku, które zastąpiło poprzednią dyrektywę o ochronie danych osobowych.

RODO nakłada na firmy i organizacje obowiązek przestrzegania szeregu przepisów dotyczących przetwarzania danych osobowych, w tym zbierania, przetwarzania, przechowywania i usuwania tych informacji. Celem RODO jest zapewnienie ochrony prywatności i uniknięcie nadużyć w stosunku do danych osobowych.

Naruszenie tych przepisów może skutkować poważnymi sankcjami nie tylko reputacyjnymi ale i drakońskimi karami finansowymi. Warto również pamiętać, że każda firma lub organizacja, która przetwarza dane osobowe w Unii Europejskiej musi przestrzegać RODO.

Jaki szereg przepisów nakłada RODO na firmy?

RODO wymaga od firm i organizacji, które przetwarzają dane osobowe, aby poinformowały zainteresowane osoby o celach przetwarzania tych danych oraz o prawach jakie im przysługują. Osoby te mają również prawo dostępu do swoich danych oraz prawo do ich poprawiania, usuwania i przenoszenia. RODO nakłada na firmy i organizacje szereg przepisów, których przestrzeganie jest obowiązkowe.

• Zasada przejrzystości – firmy i organizacje muszą informować osoby, których dane dotyczą, o celach przetwarzania ich danych jak i o tym, kto jest administratorem ich danych,
• Zasada ograniczenia celu – dane osobowe powinny być zbierane i przetwarzane tylko wtedy, gdy jest to niezbędne do realizacji określonych celów,
• Zasada minimalizacji danych – firmy i organizacje powinny zbierać i przetwarzać tylko te dane osobowe, które są niezbędne do realizacji określonych celów,
• Zasada poprawności danych – firmy i organizacje muszą dbać o to, aby dane osobowe były aktualne i poprawne,
• Zasada ograniczenia przechowywania danych – dane osobowe nie powinny być przechowywane dłużej niż jest to niezbędne,
• Zasada poufności i bezpieczeństwa – firmy i organizacje muszą chronić dane osobowe przed nieautoryzowanym dostępem, utratą lub uszkodzeniem.

Firma musi również prowadzić dokładną dokumentację dotyczącą przetwarzania danych osobowych. W tym rejestry czynności przetwarzania oraz ewidencję naruszeń ochrony danych osobowych. Dodatkowo, musi wyznaczyć Inspektora Ochrony Danych (IOD). Odpowiedzialny on będzie za monitorowanie przestrzegania zasad ochrony danych osobowych i kontakt z organem nadzorczym.

Jakie są kary za złamanie RODO?

RODO przewiduje wysokie kary finansowe za naruszenie przepisów. Wysokość kar zależy od rodzaju naruszenia i okoliczności sprawy. Można ukarać firmę lub organizację za m.in.:

• naruszenie zasad przetwarzania danych osobowych. Kara może wynosić do 20 milionów euro lub 4% globalnego rocznego obrotu firmy (w zależności od tego, która kwota jest wyższa);
• naruszenie obowiązków dotyczących powiadamiania o naruszeniu ochrony danych osobowych. Kara może wynosić do 10 milionów euro lub 2% globalnego rocznego obrotu firmy (w zależności od tego, która kwota jest wyższa);
• naruszenie praw osób, których dane dotyczą. Kara może wynosić do 20 milionów euro lub 4% globalnego rocznego obrotu firmy (w zależności od tego, która kwota jest wyższa).

Największe kary nałożone za złamanie RODO

W 2019 roku francuski organ nadzorczy nałożył na Google karę w wysokości 50 milionów euro za naruszenie zasad RODO. Firma nie dostarczała wystarczających informacji na temat sposobu przetwarzania danych oraz nie uzyskiwała odpowiedniego zgody na przetwarzanie danych osobowych użytkowników.

W 2020 roku brytyjski organ nadzorczy nałożył na British Airways karę w wysokości 183 milionów funtów za naruszenie RODO. Firma nie zabezpieczyła odpowiednio swojej strony internetowej, co umożliwiło cyberatak i wyciek danych osobowych klientów.

W 2021 roku niemiecki organ nadzorczy nałożył na H&M karę w wysokości 35,3 milionów euro za naruszenie prywatności pracowników. Firma zbierała i przetwarzała nielegalnie dane osobowe swoich pracowników w celu monitorowania ich życia prywatnego i życia rodzinnego.

Sprawdź nasze produkty i ochroń swoją firmę

Wdrażając Nocturo, Oblivio i Detecto – zwiększysz bezpieczeństwo wrażliwych danych w swojej organizacji oraz zgodność RODO.

Detecto: Narzędzie do wykrywania danych osobowych oraz wrażliwych w bazach danych,

Nocturno: Narzędzie do anonimizacji danych osobowych w systemach informatycznych,

Oblivio: System do retencji danych osobowych i zarządzania danymi osobowymi w organizacji.

Skontaktuj się z nami, a zabezpieczymy Twoją firmę przed niepożądanymI karami finansowymi. Nasze produkty spełniają wszystkie zasady nakładane przez RODO.

Co muszę zrobić, aby moja firma przestrzegała przepisów RODO?

Aby wdrożyć przepisy RODO w firmie, musisz przede wszystkim:

1. Określić cele przetwarzania danych osobowych: musisz określić, w jaki sposób będziesz przetwarzał dane osobowe i jakie cele będą tym kierować.
2. Zidentyfikować podstawę prawą przetwarzania danych osobowych: musisz określić, jakie przepisy prawa umożliwiają przetwarzanie danych osobowych w Twojej firmie.
3. Przygotować politykę prywatności i informować o niej klientów: musisz przygotować politykę prywatności. Która określa, jakie dane są zbierane, w jaki sposób są przetwarzane. Kto jest odpowiedzialny za ich przetwarzanie, jakie są prawa klientów związane z ich danymi osobowymi, itp. Następnie musisz upewnić się, że klienci są informowani o polityce prywatności przed udostępnieniem swoich danych osobowych.
4. Zapewnić bezpieczeństwo przetwarzania danych osobowych: musisz zabezpieczyć dane osobowe przed utratą, zniszczeniem lub nieuprawnionym dostępem. Musisz wykorzystać odpowiednie środki techniczne i organizacyjne, takie jak szyfrowanie, regularne tworzenie kopii zapasowych, autoryzacja dostępu, itp.
5. Wdrożyć procedury przetwarzania danych osobowych: musisz wprowadzić procedury przetwarzania danych osobowych, które będą przestrzegać przepisów RODO. Określić, jakie kroki należy podjąć w przypadku naruszenia ochrony danych osobowych.
6. Szkolić pracowników: musisz przeszkolić pracowników na temat przepisów RODO i wdrożonych procedur przetwarzania danych osobowych.

Pamiętaj, że przestrzeganie przepisów RODO to proces ciągły i wymaga stałego monitorowania i aktualizacji procedur.