PERN
Cel: Audyt Procesu Zarządzania Retencją Danych Osobowych
W ramach współpracy z PERN wykonaliśmy audyt wybranych systemów IT i OT w kontekście potwierdzenia zgodności prowadzonych przez Spółkę procesów biznesowych z przepisami RODO. W tym celu dokonaliśmy weryfikacji i oceny procedury organizacyjno-prawnych, m.in. w zakresie: wypełnienia zasady legalizmu przetwarzania danych osobowych oraz ich retencji, a także tworzenia kopii zapasowych dla wyselekcjonowanych w czasie realizowanego zadania audytowego systemów.
Rezultaty
Na podstawie wyników prowadzonego zadania audytowego opracowaliśmy szereg rekomendacji, w tym dwie koncepcje wprowadzenia automatycznego procesu retencji danych osobowych w systemach IT i OT Spółki.
PGE Energetyka Kolejowa
Cel: Outsourcing Funkcji IOD / Bezpieczeństwo
Pełnimy funkcję inspektora ochrony danych dla spółek wchodzących w skład Grupy Kapitałowej PKP Energetyka, a także doradzamy w kwestiach związanych z obszarem technicznych środków, w tym środków bezpieczeństwa IT, zabezpieczających przetwarzane przez spółki dane.
Rezultat
Poprzez działania analityczne, doradcze i koncepcyjne usprawniliśmy procesy przetwarzania danych osobowych w działalności biznesowej spółek, a podejmując działania edukacyjne wypłynęliśmy na poziom wiedzy i świadomość pracowników w kontekście wagi i odpowiedzialności związanej z przetwarzaniem danych.
Cel: Retencja danych / Bezpieczeńśtwo
Przeprowadziliśmy w wybranych zasobach danych spółek proces automatycznej identyfikacji, lokalizacji i klasyfikacji danych, w tym danych osobowych, podlegających procesowi obligatoryjnej retencji.
Rezultat
Wykorzystując nowoczesny model działania, oparty o naszą autorską metodologię, doprowadziliśmy do wykrycia nadmiarowych danych przetwarzanych w zasobach spółek, zapewniliśmy przeprowadzenie procesu ograniczenia przetwarzania i minimalizacji danych, co wpłynęło na stronę kosztową stosowanych rozwiązań IT, a w konsekwencji obniżyliśmy do akceptowalnego poziomu ryzyko potencjalnych naruszeń w obszarze danych osobowych.
GRUPA AVENGA
Cel: Outsourcing Funkcji IOD / Bezpieczeństwo
Pełnimy funkcje inspektora ochrony danych dla spółek wchodzących w skład Grupy Avenga – międzynarodowego dostawcy usług typu body leasing w sektorze IT - ponad 5000 pracowników działających w ramach rozproszonej struktury kilkuset firm i instytucji. W rezultacie prowadzonych działań przejęliśmy odpowiedzialność za całość procesu ochrony danych osobowych, skupiając się także nad wielowarstwowymi aspektami przetwarzania danych w wymiarze globalnym.
Rezultat
Przejmując nadzór nad procesem ochrony danych osobowych w spółkach Grupy Avenga dokonaliśmy jego uspójnienia i optymalizacji, a poprzez wnioski i rekomendacje z prowadzonych zadań audytowych doprowadziliśmy do wdrożenia holistycznego podejścia do realizacji zadań wynikających z wdrożonych procedur poprzez utworzenie wzajemnie komplementarnego oraz kompleksowego systemu zarządzania ochroną danych osobowych.
GRUPA RANKOMAT
Cel: Outsourcing Funkcji IOD / Bezpieczeństwo
Wiodąca porównywarka ubezpieczeniowa (m.in. komunikacyjnych, majątkowych, turystycznych, na życie) i finansowa - będąca częścią Grupy Bauer Media - powierzyła nam pełnienie funkcji inspektora danych osobowych oraz funkcji konsultacyjnych w obszarze bezpieczeństwa informacji. W ramach współpracy skupiamy się na utrzymaniu najwyższych standardów powierzonych nam pod opiekę procesów, a także, poprzez realizowane cyklicznie działania edukacyjne, na kształtowaniu świadomości, wagi i odpowiedzialności uczestników działań opartych o wymagania rynku regulowanego.
Rezultat
Realizując powierzone działania w spółkach Grupy Rankomat zastosowaliśmy innowacyjne podejście w realizacji wymagań dla systemu zarządzania ochroną danych osobowych, a wykorzystując autorskie wzorce postępowania doprowadziliśmy do optymalizacji procesu, co korzystnie wpłynęło na jego realizację w ujęciu praktycznym i funkcjonalnym.
Cel: Minimalizacja ilości przetwarzanych danych / Bezpieczeństwo
Stosując certyfikowane rozwiązania techniczne, wspierane autorską metodologię M3M, przeprowadziliśmy dla wybranych procesów biznesowych automatyczny proces identyfikacji, lokalizacji i klasyfikacji danych, w szczególności danych osobowych, podlegających procesowi obowiązkowej retencji, odnosząc się do praktycznej realizacji zasad adekwatności i minimalizacji przetwarzanych danych.
Rezultat
Korzystając z nowoczesnych rozwiązań wspierających automatyzację procesu retencji danych, wspomaganą autorską metodologią M3M, zapewniliśmy spełnianie w spółkach Grupy Rankomat zasad adekwatności i minimalizacji przetwarzanych danych, co w konsekwencji, oprócz bezpiecznego prowadzenia biznesu, zapewniło kontrolę nad przepływem danych, a także pozytywnie wpłynęło na koszty stosowanych rozwiązań IT w obszarze gromadzenia danych.
EVELINE COSMETICS
Cel: Outsourcing Funkcji IOD
W ramach współpracy z największym polskim producentem i eksporterem kosmetyków pełnimy funkcję inspektora ochrony danych oraz funkcje doradcze i konsultacyjne w obszarze ryzyka zgodności (compliance). Ponadto, doradzamy w kwestiach związanych z obszarem technicznych środków, w szczególności środków bezpieczeństwa IT, zabezpieczających przetwarzane przez spółkę - w wymiarze globalnym - dane.
Rezultat
Wykorzystują wiedzę zespołu doświadczonych ekspertów wdrożyliśmy i zapewniliśmy utrzymanie wysokich standardów zabezpieczających przetwarzane dane w spółce, a poprzez konsekwentną realizację zaplanowanej strategii osiągnęliśmy stan wolnej od ryzyka aktywności biznesowej w ramach tzw. daily routine.
GRUPA YAWAL
Cel: Outsourcing Funkcji IOD
Czołowi producenci i dostawcy architektonicznych systemów profili aluminiowych w Polsce powierzyli nam misję zaprojektowania i wdrożenia systemu zarządzania ochroną danych osobowych w spółkach Grupy Yawal, a po zamknięciu - z sukcesem - tej części realizowanego projektu funkcję inspektora ochrony danych. Niezależnie od zaangażowania w problematykę ochrony danych osobowych wspieramy Grupę w obszarze modelowania i rozwoju środków technicznych zapewniających bezpieczeństwo informacji, a poprzez prowadzenie cyklicznych analiz ryzyka zapewniamy zgodność podejmowanych działań biznesowych z wszelkimi wymaganiami i standardami rynkowymi.
Rezultat
Poprzedzony realizowanymi wielowymiarowymi zadaniami audytowymi projekt pozwolił nam na kompletne ujęcie problematyki ochrony danych osobowych w kontekście realizowanego przez spółki Grupy Yawal biznesu, a cykliczne kaskadowanie wiedzy eksperckiej oraz podejmowane działania edukacyjne wśród pracowników realnie wpływają na poprawę i utrzymanie wysokiego stanu bezpieczeństwa przetwarzanych w spółkach danych.
SEALED AIR
Cel: Outsourcing Funkcji IOD
Wizją obsługiwanej przez M3M spółki jest kreowanie lepszej drogi życia, dlatego też celem przeprowadzonego projektu wdrożenia systemu ochrony danych osobowych była jego kompleksowość, racjonalność, a przede wszystkim spójne połączenie z realizowanymi sekwencyjnie działaniami biznesowymi. Pozytywną konsekwencją wysoko ocenionego - przez audyt zewnętrzny - projektu zrealizowanego przez M3M było powierzenie nam funkcji inspektora ochrony danych oraz roli doradczej i konsultacyjnej w obszarze ryzyka zgodności (compliance).
Rezultat
Zaprojektowaliśmy i wdrożyliśmy uniwersalny system zarządzania ochroną danych osobowych w kontekście potencjalnego ryzyka dla przetwarzanych danych w realizowanych procesach biznesowych, a poprzez cykliczne działania monitorujące modelujemy go w sposób zapewniający utrzymanie wysokich standardów zabezpieczających przetwarzane dane w spółce, a także komfort bezpiecznego prowadzenia biznesu.
GEIS
Cel: Outsourcing Funkcji IOD
Współpraca z międzynarodową firmą logistyczną zaowocowała wielowymiarowym zaangażowaniem M3M w pełnienie funkcji doradczych i konsultacyjnych w obszarach compliance, ryzyka operacyjnego, a także, w związku z pełnieniem funkcji inspektora ochrony danych, przejęcie w opiekę zarządzanie globalnym procesem ochrony danych osobowych. W ramach wieloletniej współpracy skupiamy się na utrzymaniu najwyższych standardów powierzonych nam procesów, a także, poprzez realizowane cyklicznie działania analityczno-edukacyjne, na kształtowaniu odpowiedzialności interesariuszy procesów opartej o najnowsze trendy bezpieczeństwa i zmieniające się wymagania rynkowe.
Rezultat
Stosując autorskie podejście do współpracy i realizacji zaplanowanych wymagań dla systemu zarządzania ochroną danych osobowych doprowadziliśmy do uproszczenia i optymalizacji powierzonych nam procesów, co korzystnie wpłynęło na urealnienie podejmowanych działań biznesowych w ujęciu pragmatycznym, praktycznym i kosztowym.
GRUPA DBK
Cel: Outsourcing Funkcji IOD
Współpracę z największym w Polsce dostawcą produktów i usług dla branży TSL rozpoczęliśmy od przeprowadzenia szczegółowego audytu wdrożonego już procesu ochrony danych osobowych. Konstruktywne wnioski i nowoczesne, probiznesowe podejście do realizacji rekomendacji poaudytowych przyniosły dalszą współpracę w obszarze ochrony danych osobowych, w tym powierzenie nam funkcji inspektora ochrony danych we wszystkich spółkach wchodzących w skład Grupy DBK, w obszarze ryzyka zgodności, działalności edukacyjnej i szkoleniowej, a także w obszarze współpracy z podmiotami zewnętrznymi, zgodnie z naszą specjalizacją i przydzieloną kompetencją.
Rezultat
Wdrożyliśmy i utrzymujemy na wymaganym poziomie proces ochrony danych osobowych, a poprzez wykorzystanie wieloletniego doświadczenia i bogatej wiedzy eksperckiej doprowadziliśmy do rozwinięcia progresyjnej struktury funkcjonalnej procesu ochrony danych osobowych, co przy działaniach monitorujących korzystnie wpływa, nie tylko na obszar naszej odpowiedzialności, ale przede wszystkim na spokój i rozwój biznesu.
DUSSMANN
Cel: Outsourcing Funkcji IOD
W ramach współpracy z globalnym usługodawcą świadczącym usługi kompleksowej obsługi obiektów skupiamy się na realizacji zadań przypisanych funkcji inspektora ochrony danych. Największe zaangażowanie kierujemy na spełnienie wymagań, regulacyjnych i umownych, określonych dla relacji administrator - podmiot przetwarzający. Dodatkowo wypełniamy funkcje doradcze i konsultacyjne w obszarze ryzyka zgodności (compliance) kierując się oczekiwaniami biznesowymi oraz zasadami opartymi o wyznaczone zasady wywodzące się z globalnych standardów działania.
Rezultat
Zaktualizowaliśmy proces ochrony danych osobowych w spółce, a wykorzystując wieloletnie doświadczenie i profesjonalizm zespołu ekspertów zapewniliśmy przestrzeń do swobodnej realizacji zadań biznesowych poprzez przejęcie zarządzania nad architekturą bezpieczeństwa przetwarzanych danych. Działania te, wraz z konsekwentnie realizowaną strategią bezpieczeństwa realnie wpływają utrzymanie wysokiego stanu bezpieczeństwa zasobów danych.
IDEA BANK
Cel: Cyberbezpieczeństwo
Współdziałając z IDEA BANK wdrożyliśmy skuteczne zasady monitorowania systemów informatycznych z wykorzystaniem Security Information and Event Management. Opracowaliśmy dokładne procedury reagowania w sytuacjach zagrażających bezpieczeństwu danych, zgodnie z którymi Bank rozpoczął wykorzystanie zaawansowanego oprogramowania do analizy potencjalnych incydentów bezpieczeństwa (IBM QRadar).
Rezultaty
W oparciu o autorskie matryce logiczne, przeprowadziliśmy z sukcesem projekt klasyfikacji systemów bezpieczeństwa oraz dostosowaliśmy je - w zależności od przydzielonego priorytetu - do wymaganego, założeniami projektowymi, modelu w aspekcie oczekiwań regulacyjnych określających proces zachowania ciągłości działania krytycznych elementów systemów i aplikacji IT Banku.
AXA
Cel: Bezpieczeństwo
W ramach współpracy z jedną z wiodących firm międzynarodowych z sektora ubezpieczeniowego, przeprowadziliśmy kompleksowy audyt precertyfikacyjny systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001.
Rezultaty
Wykorzystując wiedzę i doświadczenie naszych ekspertów, po zakończonym zadaniu audytowym, zaktualizowaliśmy procesy zarządzania bezpieczeństwem informacji (infosec) i budowania odporności w firmie, co skutkowało uzyskaniem przez AXA certyfikatu ISO/IEC 27001 i potwierdzeniem wymaganego przez normę podejścia do problematyki bezpieczeństwa informacji.
SYGMA BANK
Cel: Audyt przetwarzania Danych Osobowych
Realizując zadanie audytowe w SYGMA BANK skupiliśmy się na weryfikacji zaplanowanego procesu ochrony danych osobowych przeprowadziliśmy w aspekcie spełnienia przez Bank wymagań regulacyjnych i rekomendacyjnych. Ponadto, zaplanowaliśmy, przygotowaliśmy i wdrożyliśmy niezbędne polityki i procedury bezpieczeństwa spełniające wymagania określone w rekomendacjach KNF: Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego oraz Rekomendacji M dotyczącej zarządzania ryzykiem operacyjnym.
Rezultat
Skuteczność przeprowadzonego przez nas projektu w SYGMA BANK została potwierdzona w trakcie niezależnego - zewnętrznego - audytu wykonanego przez zespół audytorów z międzynarodowej spółki świadczącej usługi doradcze i audytorskie Deloitte (Deloitte – należy do tzw. wielkiej czwórki firm zajmujących się audytem) i otrzymała bardzo wysoką ocenę 99/100.
ZTM WARSZAWA
Cel: Audyt przetwarzania Danych Osobowych
Dla Zarządu Transportu Miejskiego w Warszawie, obsługującego ponad 1,2 miliarda przewozów pasażerskich rocznie, przeprowadziliśmy kompleksowy audyt wdrożonego procesu ochrony danych osobowych, ze szczególnym uwzględnieniem przetwarzanych danych na potrzeby obsługi kart miejskich, procesów reklamacyjnych, prowadzonego monitoringu wizyjnego z wykorzystaniem CCTV oraz procesów związanych z zatrudnieniem i współpracą z podmiotami zewnętrznymi. Wyniki audytu pozwoliły na sformułowanie zaleceń i rekomendacji, planu ich wdrożenia oraz przygotowanie studium wykonalności, także w obszarze kosztowym, wybranych działań usprawniających proces.
Rezultaty
Trafność przygotowanych przez nas podczas realizowanego zadania audytowego zaleceń i rekomendacji oraz wnioski z prowadzonego studium wykonalności zaowocowała wdrożeniem kompleksowego modelu ochrony danych osobowych, jaki z powodzeniem wykorzystuje Zarząd Transportu Miejskiego w Warszawie w bieżącej działalności biznesowej, spełniając jednocześnie wysokie standardy odnoszące się do bezpieczeństwa technicznego i organizacyjnego przetwarzanych danych osobowych.
MINISTERSTWO INWESTYCJI I ROZWOJU
Cel: Ocena skutków dla ochrony danych
Zgodnie z wartością merytoryczna Komunikatu Prezesa Urzędu Ochorny Danych Osobowych, a przede wszystkim w związku z prowadzonymi operacjami przetwarzania danych osobowych Ministerstwo Inwestycji i Rozwoju zobowiązane jest do prowadzenia oceny skutków dla ochrony, który ma na celu oszacowanie prawdopodobieństwa naruszenia praw i wolności osób w związku z przetwarzaniem ich danych osobowych. Rozpoczynając współpracę z Ministerstwem Inwestycji i Rozwoju skupiliśmy się na przeprowadzeniu analizy DPIA (Data Protection Impact Assesment) oraz wdrożeniu autorskiej metodyki wykonywania cyklicznej analizy ryzyka dla planowanych czynności przetwarzania danych osobowych.
Rezultaty
Wraz z zakończeniem realizowanego projektu, którego elementem finalnym były także dedykowane spotkania warsztatowe, wyposażyliśmy Ministerstwo Inwestycji i Rozwoju w uniwersalne, przyjazne dla użytkownika narzędzie prowadzenia efektywnej analizy ryzyka oraz szczegółowe wytyczne do prowadzenia samodzielnej oceny skutków dla ochrony danych.
GRUPA THUMOS
Cel: Bezpieczeństwo / Audyt przetwarzania Danych Osobowych / Outsourcing Funkcji IOD
Grupa Thumos to holding przemysłowo-inwestycyjny działający w zróżnicowanych branżach, takich jak przemysł drzewny, produkcja mebli, logistyka, automotiv, nieruchomości, w którym - dla kilkunastu podmiotów - przeprowadziliśmy rozszerzony audyt procesu ochrony danych osobowych. Konstruktywne wnioski i nowoczesne, probiznesowe podejście do realizacji rekomendacji poaudytowych przyniosły dalszą współpracę w obszarze ochrony danych osobowych, w tym powierzenie nam funkcji inspektora ochrony danych.
Rezultat
Wdrożyliśmy i utrzymujemy na wymaganym poziomie proces ochrony danych osobowych, a poprzez wykorzystanie wieloletniego doświadczenia i bogatej wiedzy eksperckiej doprowadziliśmy do rozwinięcia progresyjnej struktury funkcjonalnej procesu ochrony danych osobowych, co przy działaniach monitorujących korzystnie wpływa, nie tylko na obszar naszej odpowiedzialności, ale przede wszystkim na spokój i rozwój biznesu.
WORKS SERVICE
Cel: Bezpieczeństwo
Prowadząc projekt wdrażający system ochrony danych osobowych w jednej z największych firm body leasing w Europie Środkowej i Wschodniej skupiliśmy się na konieczności zapewnienia wysokiego poziomu zabezpieczenia przetwarzanych, na dużą skalę, danych, a także poprzez wnioski z prowadzonego zadania audytowego na przemodelowaniu i dostosowaniu stosowanych polityk i procedur bezpieczeństwa danych do wymagań biznesowych.
Rezultaty
Efektem prowadzonych przez zespół ekspercki M3M działań było stworzenie zoptymalizowanego procesu ochrony danych osobowych wraz ze szczegółową projekcją planowanych do realizacji usystematyzowanych aktywności określonych w przyjętej przez spółkę nowej strategii ochrony danych osobowych.
MANPOWER GROUP
Cel: Bezpieczeństwo / BCP (Business Continuity Plan)
Jedna z największych firm body leasing w Polsce - wywodząca się z międzynarodowej Manpower Group - zaprosiła nas do współpracy i powierzyła zadanie zaprojektowania i opisania procesów związanych z bezpieczeństwem informacji, w tym bezpieczeństwem danych osobowych. Dodatkowo, zgodnie z założeniami projektu, przeprowadziliśmy przegląd i aktualizację procesów bezpieczeństwa IT oraz BCP (Business Continuity Plan).
Rezultaty
Stosując holistyczne podejście do realizacji zaplanowanych działań zakończyliśmy realizowany projekt dla Manpower Group wdrożeniem szczegółowych procedur opisujących obszar bezpieczeństwa informacji, w tym bezpieczeństwa danych osobowych, a także bezpieczeństwa IT oraz BCP (Business Continuity Plan), co korzystnie wpłynęło na urealnienie podejmowanych działań biznesowych w ujęciu merytorycznym i ekonomicznym.
LASY PAŃSTWOWE
Cel: Bezpieczeństwo / Audyt przetwarzania Danych Osobowych
Największym wyzwaniem realizowanego projektu dla Dyrekcji Generalnej Lasów Państwowych, składającego się z części audytowej, wdrożeniowej i edukacyjnej, było precyzyjne mapowanie procesów biznesowych, w rozległej ogólnopolskiej strukturze organizacyjnej, w kontekście realizowanych czynności przetwarzania danych osobowych. Głównym celem naszego działania, oprócz konieczności spełnienia wymogów formalnych była potrzeba zapewnienia wysokiego poziomu zabezpieczenia przetwarzanych danych, co osiągnięto dzięki zaprojektowaniu i wdrożeniu procesu ochrony danych osobowych opartego o probiznesowe polityki i procedury bezpieczeństwa danych oraz wdrożenie programu edukacyjnego.
Rezultaty
Wraz z zakończeniem projektu przekazaliśmy Dyrekcji Generalnej Lasów Państwowych zoptymalizowany procesu ochrony danych osobowych obejmujący niezbędne polityki i procedury, plan realizacji cyklicznych zadań, w tym zadań edukacyjnych, zawartych w przyjętej strategii ochrony danych osobowych, a także świadomych wagi i odpowiedzialności związanej z przetwarzaniem danych osobowych pracowników.