Audyt przepływu danych, wdrożonych procedur oraz procesów w organizacji. Ocena ich zgodności pod kątem zasad ochrony danych, bezpieczeństwa informacji i tajemnicy przedsiębiorstwa.
Przygotowanie rekomendacji: spisanie, kategoryzacja według procesu i komórki organizacyjnej, której dotyczy.
Wdrożenie zmian do dokumentacji, procesów oraz dostępu do informacji.
Monitoring poprzez pełnienie funkcji Inspektora Ochrony Danych (Outsourcing IOD) lub Koordynatora Bezpieczeństwa Informacji.
Wdrożenie przepisów Dyrektywy 2019/1937 dla pracodawców będzie oznaczać nie tylko nowe obowiązki związane z nowymi regulacjami, ale wiązać się będzie, również z koniecznością dokonania audytu zgodności z prawem całej działalności podmiotu zobowiązanego do stosowania nowych procedur dot. ochrony sygnalistów. Do najczęstszych wymogów stawianych przedsiębiorcom, poza wymaganiami sektorowymi, właściwymi dla branży, w której przedsiębiorca działa, są m.in.:
Co zrobimy?
Udostępniamy narzędzie do zgłaszania potencjalnych naruszeń dla pracowników firmy i kontrahentów zapewniające anonimowe zgłaszanie naruszeń oraz gwarantujący zachowanie poufności i bezpieczeństwo danych podczas ich przetwarzania.
Udostępniony kanał zgłaszania potencjalnych naruszeń jest niezależny i autonomiczny, zapewniający kompletność, integralność i poufność informacji.
Co zrobimy?
Dyrektywa o ochronie sygnalistów, zakłada, że na przedsiębiorcy ciąży obowiązek informowania osoby zgłaszającej nieprawidłowości o przyjęciu zgłoszenia, a także o sposobie jej rozpoznania i dalszym procedowaniu. W sytuacji stwierdzenia naruszeń przedsiębiorca jest zobowiązany do podjęcia działań następczych, takich jak przekazanie sprawy do odpowiednich organów państwowych lub wszczęcie postępowania dyscyplinarnego wobec osoby odpowiedzialnej za naruszenie. Dodatkowym obowiązkiem jest ewidencjonowanie każdego zgłoszenia i zarządzanie relacją z osobą dokonującą zgłoszenia.
Co zrobimy?
Audyt Compliance obejmuje najważniejsze obszary działalności biznesowej, mogącej rodzić istotne ryzyka, w tym ryzyko prawne i utraty reputacji.
W zakres Audytu Compliance wchodzi:
Opracowanie i prezentacja wyników raportu z badania zgodności w ramach Audyt Compliance.
Wdrożenie Systemu Zarządzania Zgodnością (CMS) spełniającego wymagania, m.in.:
Opracowanie właściwych i kompleksowych regulacji
wewnętrznych opisujących System Zarządzania Zgodnością (CMS), m.in. Politykę zapewnienia zgodności, Kodeks Etyki, Procedurę zarządzania konfliktem interesów, Procedurę zgłaszania naruszeń, Procedurę przeprowadzania oceny ryzyka.
Wdrożenie regulacji wewnętrznych opisujących System Zarządzania Zgodnością (CMS).
Przygotowanie i przeprowadzenie szkoleń dla pracowników z przyjętego
i wdrożonego w podmiocie Systemu Zarządzania Zgodnością (CMS).
Monitoring Systemu Zarządzania Zgodnością (CMS) poprzez pełnienie funkcji Officera Compliance.
Nadzór i wsparcie w wypełnianiu obowiązków przewidzianych w regulacjach wewnętrznych opisujących System Zarządzania Zgodnością (CMS), w tym wsparcie w postępowaniach dotyczących zgłaszanych nieprawidłowości w ramach procesu zgłaszania naruszeń (tzw. Whistleblowing).
Przegląd, utrzymanie i aktualizacja wdrożonych regulacji wewnętrznych opisujących System Zarządzania Zgodnością (CMS).
Reprezentowanie podmiotu w kontaktach z organami ścigania oraz uprawnionymi podmiotami zewnętrznymi.
Wykrycie danych i identyfikacja zagrożeń
Analiza ryzyka bezpieczeństwa danych
Przywrócenie kontroli nad danymi w organizacji
Ponad Audytów
i wdrożeń
Projektów
konsultingowych IT
Przeszkolonych
osób
Zadowolonych
klientów
Lat
doświadczenia
IT Kontrakt jest międzynarodową firmą świadczącą usługi typu body leasingw sektorze IT. Zapewniamy outsourcing funkcji IOD, przejmując pełen zakres odpowiedzialności za proces przetwarzania danych.
W ramach współpracy odpowiadamy za zabezpieczenie procesu rekrutacyjnego od strony ochrony danych osobowych oraz dalszy proces przetwarzania danych ok. 1500 pracowników oddelegowanych do pracy do kilkuset firm i instytucji.
Szczególnym zadaniem było opracowanie zgodnego z RODO procesu transferu danych osobowych w ramach grupy IT Contract poza obszar Unii Europejskiej, do oddziału firmy w Singapurze.
Oney Polska oferuje kredyty konsumpcyjne udzielane we współpracy z Partnerami.
Pełniliśmy rolę Inspektora Ochrony, zgodnie z art. art. 39 ust. 1 oraz 38 ust. 4 RODO do naszych zadań należało:
a) informowanie administratora, oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia,
b) monitorowanie przestrzegania niniejszego rozporządzenia,
c) oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35,
d) pełnienie funkcji punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych,
e) pełnienie roli punktu kontaktowego dla osób, których dane dotyczą.
Rankomat.pl to największa porównywarka ofert ubezpieczeniowych w Polsce oraz broker sprzedający te usługi. Odpowiadamy za cały obszar bezpieczeństwa danych osobowych, pełniąc funkcję Inspektora Ochrony Danych dla trzech spółek.
W ramach współpracy obsłużyliśmy ponad 1000 zapytań podmiotów danych. Prowadzimy regularne szkolenia call center w zakresie procedur ODO i prawidłowych skryptów rozmowy.
Przeprowadziliśmy analizę DPIA (Data Protection Impact Assesment) oraz wdrożyliśmy procedury zarządzania incydentami (np. wyciek danych, cyberataki). We współpracy z większością firm ubezpieczeniowych na polskim rynku (PZU, AXA, Allianz, Aviva, Generali, Hestia i in.) uzgadniamy na bieżąco standardy zabezpieczenia danych osobowych w komunikacji pomiędzy nimi a brokerem, czyli spółkami Rankomat.pl.
Wdrożyliśmy dla Idea Banku zasady monitorowania systemów informatycznych z wykorzystaniem SIEM (Security Information and Event Management). Dzięki przeprowadzonej przez nas analizie zdarzeń krytycznych bank zyskał możliwość wykorzystania zaawansowanego oprogramowania IBM QRadar do dogłębnej analizy potencjalnych incydentów bezpieczeństwa i tworzenia szczegółowych raportów z ochrony infrastruktury IT. Opracowaliśmy także odpowiednie procedury i mechanizmy reagowania w przypadku wystąpienia lub podejrzenia wystąpienia incydentu.
W ścisłej współpracy z ekspertami po stronie Idea Banku przeprowadziliśmy klasyfikację bezpieczeństwa oraz zapewniliśmy dostosowanie zasobów do zachowania ciągłości działania krytycznych elementów systemów IT.
AXA to jedna z wiodących międzynarodowych firm sektora ubezpieczeniowego, działająca w Polsce w obszarze ubezpieczeń na życie, majątkowych, komunikacyjnych, a także funduszy emerytalnych i inwestycji.
Przeprowadziliśmy kompleksowy przegląd procedur, instrukcji i innych dokumentów związanych z bezpieczeństwem danych. Zaktualizowaliśmy także wszystkie procesy bezpieczeństwa IT pod kątem zgodności z wymogami ISO 27001 oraz wewnętrznymi standardami Grupy AXA. W projekcie uwzględniliśmy specyficzne uwarunkowania lokalnych procesów biznesowych, dzięki czemu procedury zostały dodatkowo zoptymalizowane i zaadaptowane do potrzeb AXA w Polsce.
Przeprowadziliśmy audyt przetwarzania danych osobowych w zakresie zgodności z ustawą o ochronie danych osobowych i rozporządzeniami wykonawczymi, wdrożyliśmy niezbędne polityki i procedury bezpieczeństwa oraz dokonaliśmy rejestracji zbiorów danych dla nowo tworzonego banku.
Odpowiadaliśmy również za wdrożenie Rekomendacji D, w której Komisja Nadzoru Finansowego nakłada na instytucje finansowe szczególne zobowiązania dotyczące zarządzania ryzykami związanymi z systemami informatycznymi i przetwarzaniem informacji. Projekt został zaudytowany przez niezależną firmę doradczą Deloitte, a jego wdrożenie uzyskało ocenę 99/100.
Zarząd Transportu Miejskiego w Warszawie obsługuje ponad 1,2 miliarda przewozów pasażerskich rocznie, co przekłada się wprost na skalę i zasięg procesów związanych z przetwarzaniem danych osobowych – w tym z kart miejskich, kontaktów z pasażerami, reklamacji, monitoringu CCTV, czy związanych z zatrudnieniem.
Przeprowadziliśmy audyt przetwarzania danych osobowych w zakresie zgodności z ustawą o ochronie danych osobowych i rozporządzeniami wykonawczymi oraz audyt pod kątem nowych przepisów związanych z wprowadzeniem RODO. Na podstawie wyników audytu przygotowaliśmy zalecenia oraz plan wdrożenia niezbędnych zmian, wraz z szacunkiem kosztów takiej inwestycji.
Ze względu na skalę oraz rodzaj przetwarzanych danych osobowych Ministerstwo Inwestycji i Rozwoju jest zobowiązane do cyklicznej analizy DPIA (Data Protection Impact Assesment). Na zlecenie Departamentu Informatyki opracowaliśmy autorską metodykę do wykonania analizy ryzyka bezpieczeństwa danych osobowych oraz przeprowadziliśmy warsztaty, jak zastosować tę metodykę w praktyce.
Wyposażyliśmy klienta w kompletne narzędzia i know-how, dzięki którym coroczna analiza DPIA może być wykonana samodzielnie, bez zlecania kosztownej usługi zewnętrznej firmie doradczej.
Grupa Paged to holding przemysłowo-inwestycyjny działający w zróżnicowanych branżach, takich jak przemysł drzewny, produkcja mebli, logistyka, automotive, nieruchomości.
Dla grupy Paged przeprowadziliśmy audyt zgodności z RODO, opracowaliśmy rekomendacje i zrealizowaliśmy kompleksowe wdrożenie zaleceń w zakresie bezpieczeństwa ochrony danych osobowych. Obecnie realizujemy funkcję Inspektora Ochrony Danych dla 10 spółek należących do grupy.
Work Service jest największą firmą HR w Europie Środkowej i Wschodniej. Współpracuje z 3000 firm w 17 krajach, pomagając w znalezieniu pracy ponad 300000 osobom każdego roku.
Przetwarzanie danych osobowych na tak dużą skalę wymaga nie tylko zapewnienia odpowiedniego poziomu bezpieczeństwa, ale także dostosowania procedur i polityk do wymagań podstawowych procesów biznesowych. Dla grupy Work Service opracowaliśmy kompletną dokumentację wymaganą w związku z wprowadzeniem RODO.
ManpowerGroup to jedna z największych agencji pracy w Polsce oraz część międzynarodowej grupy wywodzącej się z USA, specjalizującej się w doradztwie personalnym, z oddziałami w 80 krajach na całym świecie.
Opracowaliśmy procedury GDPR (RODO), takie jak przechowywanie danych, bezpieczeństwo dostawców zewnętrznych, transfer danych, PrivacyByDesign-PrivacyByDefault, prawa podmiotów danych, zarządzanie incydentami i in. W obszarze IT odpowiadaliśmy za przygotowanie procedur związanych z bezpieczeństwem danych, w tym politykę klasyfikacji informacji oraz procedurę BCP (Business Continuity Planning).
Projekt zrealizowany dla Gminy Chojna w województwie zachodniopomorskim pozwolił na dalsze poszerzenie kompetencji M3M w dziedzinie współpracy z jednostkami administracji publicznej. Specyfiką projektu była konieczność uwzględnienia różnych typów podmiotów przetwarzających dane osobowe – od Urzędu Miejskiego, przez przedszkole miejskie, zakład usług komunalnych, po dom kultury i środowiskowy dom samopomocy.
Wdrożyliśmy dla Gminy Chojna System Zarządzania Bezpieczeństwem Informacji (SZBI) oraz opracowaliśmy metodykę szacowania i postępowania z ryzykiem bezpieczeństwa danych osobowych, w tym także przetwarzanych w systemach informatycznych Urzędu Miejskiego w Chojnie.
Grupa Powszechnego Zakładu Ubezpieczeń jest jedną z największych instytucji finansowych w Polsce, a także w Europie Środkowo-Wschodniej.
Współpraca z tym klientem wymagała wyjątkowych kompetencji od M3M, bo wraz ze skalą i kompleksowością działalności wzrasta ekspozycja organizacji na potencjalne zagrożenia związane z ciągłością działania systemów IT oraz niepowołanym dostępem do danych. Dla PZU przygotowaliśmy procedury związane z IT, takie jak zarządzanie podatnościami dla systemów krytycznych oraz zasady ochrony systemów IT przed szkodliwym oprogramowaniem (zarządzanie ochroną antywirusową).
Przeprowadziliśmy kompleksowy audyt zgodności oraz dostosowaliśmy procesy biznesowe w organizacji do wymagań RODO. Opracowaliśmy wszystkie niezbędne polityki, dokumenty i procedury. Przygotowaliśmy organizację do zarządzania ryzykiem utraty prywatności (Privacy Impact Assesment) oraz zarządzania zmianą i projektami w kontekście ochrony danych (Privacy by Design). Zrealizowaliśmy także cykl szkoleń dla kilkuset osób uczestniczących w procesie przetwarzania danych.
Szczególnym wyzwaniem było precyzyjne zmapowanie wszystkich procesów i zbiorów danych dla rozległej i rozproszonej ogólnopolskiej struktury Lasów Państwowych. Struktura ta obejmuje dyrekcję generalną, 17 dyrekcji regionalnych, ponad 20 innych jednostek organizacyjnych oraz 430 nadleśnictw.
Przeprowadziliśmy audyt przetwarzania danych osobowych w zakresie zgodności z ustawą o ochronie danych osobowych i rozporządzeniami wykonawczymi, wdrożyliśmy niezbędne polityki i procedury bezpieczeństwa oraz dokonaliśmy rejestracji zbiorów danych dla nowo tworzonego banku.
Odpowiadaliśmy również za wdrożenie Rekomendacji D, w której Komisja Nadzoru Finansowego nakłada na instytucje finansowe szczególne zobowiązania dotyczące zarządzania ryzykami związanymi z
systemami informatycznymi i przetwarzaniem informacji. Projekt został zaudytowany przez niezależną firmę doradczą Deloitte, a jego wdrożenie uzyskało ocenę 99/100.
Skuteczna ochrona Twojego biznesu jest możliwa dzięki połączeniu kompetencji prawnych oraz IT.
CEO
Ekspert związany z branżą IT od 2002 roku, absolwent Polsko-Japońskiej Wyższej Szkoły Technik Komputerowych, Wojskowej Akademii Technicznej oraz PAN. Wybitny specjalista w dziedzinie bezpieczeństwa informacji i danych osobowych, zarządzania ryzykiem, optymalizacji procesów biznesowych oraz wdrożeń systemów IT. Zdobywał doświadczenie, realizując kluczowe projekty w KPMG, Citibank oraz Orange Polska.
Wierzymy, że kompleksowe zrozumienie biznesu naszych klientów pozwala nam dostarczać lepsze rozwiązania dla bezpieczeństwa i optymalizacji procesów w obszarze ochrony danych osobowych oraz IT. Dlatego stworzyliśmy elitarny zespół, który łączy szerokie kompetencje prawne i informatyczne z doświadczeniem największych światowych firm konsultingowych. Dzięki temu możemy projektować i wdrażać rozwiązania, które są skuteczne, efektywne i dostosowane do realiów oraz aktualnych wyzwań każdej organizacji.
Chief Information Security Officer
Expert w dziedzinie ochrony danych osobowych, doktorant nauk o bezpieczeństwie, z ponad 20-letnim doświadczeniem. Ukończył Wydział Transportu Politechniki Warszawskiej, skupiając swoje zainteresowanie na aspektach bezpieczeństwa w obszarze telekomunikacji, oraz Katedrę Zarządzania Projektami Szkoły Głównej Handlowej w Warszawie. Doświadczenie w obszarze bezpieczeństwa informacji zdobywał w jednostkach administracji publicznej i biznesie, w branżach jak telekomunikacja, finanse i ubezpieczenia. Specjalizuje się w prawie do prywatności i ochrony danych osobowych z uwzględnieniem szczególnych przepisów prawa medycznego, bankowego, ubezpieczeniowego i telekomunikacyjnego.
Przepisy prawa powinny być stosowane ze zrozumieniem dla uwarunkowań biznesowych i procesów organizacji. Dlatego każdy projekt traktujemy indywidualnie i przygotowujemy rozwiązanie szyte na miarę. Dzięki doświadczeniu i wieloletniej praktyce nasze działania są w stanie uchronić biznes naszego klienta przed ewentualnymi konsekwencjami na gruncie postępowania dyscyplinarnego, administracyjnego czy nawet karnego.
