Ochrona informacji, RODO i cyberbezpieczeństwo

Konsulting prawny w zakresie ochrony danych osobowych oraz bezpieczeństwa informacji, w tym danych przetwarzanych w systemach informatycznych, danych medycznych, danych objętych tajemnicą telekomunikacyjną, tajemnicą bankową, danych pomiarowych przetwarzanych w tzw. inteligentnych sieciach energetycznych.

Posiadamy wieloletnie doświadczenie w doradztwie w kwestiach związanych bezpieczeństwem i ochroną informacji, przetwarzaniem danych osobowych oraz bezpieczeństwem procesów biznesowych obsługiwanych za pomocą systemów informatycznych (cyberbezpieczeństwo), zarówno w małych, jak i dużych organizacjach.

Usługi przez nas świadczone w tym zakresie mają na celu zapewnienie zgodności stosowanych zasad, procedur i dokumentacji z treścią przepisów dotyczących ochrony informacji oraz danych osobowych, w tym w szczególności przepisów Ogólnego Rozporządzenia o Ochronie Danych (RODO), jak również bezpieczeństwa systemów informatycznych – cybersecurity  (Ustawa o krajowym systemie cyberbezpieczeństwa), w tym także ich bieżącą aktualizację w celu utrzymania zgodności z tymi przepisami w związku z działaniami biznesowymi, realizowanymi lub planowanymi przez  organizację Klienta.

Zasadniczym celem naszych działań jest ograniczenie i stały monitoring ryzyka regulacyjnego związanego z potencjalnym naruszeniem regulacji prawa UE (w tym RODO oraz przepisów Ustawy o krajowym systemie cyberbezpieczeństwa), krajowych regulacji prawnych, praktyki organów nadzoru (w tym Prezesa UODO), rekomendacji regulatorów (np. KNF) lub innych podmiotów nadzorujących działalności regulowane (sektor bankowy, sektor ubezpieczeniowy), regulacji wewnętrznych (korporacyjnych) obowiązujących w ramach holdingów lub grup kapitałowych, a także przyjętych w poszczególnych branżach opisów dobrych praktyk i kodeksów postępowań (np. rekomendacje IAB).

W naszych działaniach zwracamy również szczególną uwagę na aktualną praktykę stosowania przepisów dotyczących danych osobowych w przypadkach indywidualnych (decyzje, wyroki) oraz analizujemy na bieżąco wypowiedzi organów doradczych, takich jak Europejska Rada Ochrony Danych, grupa robocza ds. Ochrony Danych Osobowych przy Ministerstwie Cyfryzacji, Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA).

Realizując projekt doradczy, skupiamy się w pierwszej kolejności na dobrym zrozumieniu zakresu i biznesowego celu planowanych lub realizowanych przedsięwzięć, w dalszej kolejności identyfikacji ryzyk oraz poszukiwaniu rozwiązań, które ograniczają lub całkowicie eliminują te ryzyka.  W poszczególnych przypadkach jesteśmy w stanie zaproponować rozwiązania alternatywne, obniżające poziom ryzyka regulacyjnego i jego wpływ na działalność Klienta, przy jednoczesnym zapewnieniu realizacji zasadniczych celów biznesowych danego przedsięwzięcia. Nie działamy schematycznie – formuła i zakres świadczonego wsparcia są jednak każdorazowo dostosowane do konkretnych potrzeb i specyfiki Klienta.

Posiadamy również doświadczenie w tworzeniu oraz opiniowaniu modeli zarządzania danymi i informacją prawnie chronioną (także rozwiązań internetowych, cloud computing), z uwzględnieniem szczególnych wymagań sektorowych, w tym dotyczących między innymi działalności bankowej, ubezpieczeniowej, czy telekomunikacyjnej (outsourcing).

Doradzamy przy budowie lub ocenie istniejących modeli biznesowych przepływu danych w przedsiębiorstwach, w tym w ramach innowacyjnych projektów informatycznych, reklamy internetowej (advertising technology), jak i projektów e-administracji, w grupach kapitałowych oraz centrach usług wspólnych (w sektorach prywatnym i publicznym).

We współpracy z parterami merytorycznymi wspieramy również projektowanie i weryfikację zabezpieczeń danych (np. pod kątem rekomendacji m.in. CERT czy OWASP, odpowiednich norm ISO/IEC).

Opiniujemy dokumentację, polityki i praktyki stosowane przez naszych Klientów, przyjęte rozwiązania związane z zapewnieniem ciągłości świadczenia usług biznesowych świadczonych przy pomocy rozwiązań informatycznych, w tym w zakresie zarządzania Business Continuity (BCM), w tym prowadzimy audyty prawne zgodności przetwarzania danych (w tym danych osobowych) w organizacji Klienta, w tym również audyty procedur i planów dotyczących bezpieczeństwa informatycznego (cyberbezpieczeństwa), ciągłości działania (BCP) oraz disaster recovery.

Wspieramy naszych Klientów w wypracowywaniu wewnętrznych procedur i polityk z zakresu ochrony danych osobowych, bezpieczeństwa informacji oraz bezpieczeństwa usług informatycznych, zarówno pod kątem wymagań wynikających z przepisów RODO, jak i przepisów Ustawy o krajowym systemie cyberbezpieczeństwa. Oprócz zapewnienia wsparcia w spełnieniu istniejących wymogów formalnych, koncentrujemy się na implementacji praktycznych, dostosowanych do charakteru działalności biznesowej Klienta rozwiązań problemów prawnych.

Posiadamy doświadczenie w przygotowaniu dokumentacji dotyczącej gromadzenia, przetwarzania i udostępniania danych oraz informacji prawnie chronionych, w tym wymaganej prawem dokumentacji dotyczącej przetwarzania danych osobowych (m.in. klauzule informacyjne, projekt i klauzule zgody na przetwarzanie danych osobowych, regulaminy), projektów umów o powierzenie przetwarzania danych osobowych, a także umów o zachowanie poufności (NDA) oraz umów dotyczących korzystania z know-how.

Zapewniamy także  wsparcie w ramach przygotowania organizacji Klienta do postępowań kontrolnych organów nadzoru, w tym Prezesa Urzędu Ochrony Danych Osobowych (PUODO), a także zabezpieczania interesów Klienta w trakcie takiej kontroli. Ponadto zapewniamy reprezentację w postępowaniach sądowych dotyczących ochrony danych osobowych i bezpieczeństwa informacji.

Organizujemy i prowadzimy szkolenia dotyczące obszarów naszej specjalizacji, w tym dedykowane warsztaty. Formuła warsztatów jest każdorazowo dopasowywana do oczekiwań i potrzeb Klienta, jak i osób uczestniczących w szkoleniu. Prowadzone przez nas warsztaty nakierowane są na przekazanie uczestnikom w sposób przystępny praktycznej wiedzy i umiejętności. Dużym atutem naszych szkoleń jest zatem ich praktyczny, interaktywny charakter oraz dopasowanie do indywidualnych potrzeb Klienta.



Nasi specjaliści:
Michał Barta dr Wojciech Kaliński dr Bohdan Widła Agata Marcinkowska Małgorzata Mrożkiewicz-Ziomek Bartosz Jussak Damian Łapka Adrianna Żyrek Arkadiusz Piskorz dr Ewa Laskowska, LL.M Marta Czeladzka, LL.M

ZESPÓŁ

ARTYKUŁY

Compliance RODO w grupach kapitałowych z uwzględnieniem aspektów lokalnych
Artykuł współautorski: Agata Marcinkowska oraz Adrianna Żyrek Artykuł stworzony w ramach projektu #ForumBK – RODO w grupach kapitałowych [English abstract at the bottom of the page] Istota „compliance” sprowadza się do zarządzania zgodnością z określonymi normami, w tym przepisami prawa, w przedsiębiorstwach lub w grupach przedsiębiorstw. W wielu przypadkach wskazane jest, aby system taki obejmował obszar przetwarzania danych osobowych, jako że zasadniczo będzie to odpowiadało na wymagania stawiane przez RODO w zakresie obowiązku wdrożenia odpowiednich środków organizacyjnych, tj. „adekwatnych do oceny ryzyka” i projektowania samych procesów w organizacji z uwzględnieniem zasad ochrony prywatności. W grupach przedsiębiorstw wdrożenie systemu compliance stanowi jednak praktyczne wyzwanie choćby ze względu na liczbę podmiotów, które należy uwzględnić opracowując taki system i niekiedy międzynarodowy charakter ich działalności. Dlatego ważne jest, aby prawidłowo zaprojektować system compliance dla danej grupy kapitałowej, z uwzględnieniem jej specyfiki (w tym różnych lokalnych odrębności), a następnie skutecznie go wdrożyć oraz, co równie istotne, zapewnić jego stosowanie w praktyce.
czytaj dalej >
Przekazywanie danych do państw trzecich w działalności grup kapitałowych
Artykuł współautorski: Agata Marcinkowska oraz Adrianna Żyrek Artykuł stworzony w ramach projektu #ForumBK – RODO w grupach kapitałowych [English abstract at the bottom of the page] W działalności grup kapitałowych, w szczególności tych międzynarodowych, może dochodzić do transferowania danych do tzw. państw trzecich, czyli państw spoza terytorium Europejskiego Obszaru Gospodarczego (EOG). Niejednokrotnie swobodny i transgraniczny przepływ danych osobowych między podmiotami z grupy jest wręcz niezbędny dla prowadzenia przez nie codziennej działalności. Przykładowo taki transfer może być wpisany w: • realizację wspólnych procesów kadrowych; • pracę w międzynarodowych zespołach składających się z osób zatrudnionych w różnych spółkach i krajach; • prowadzenie wspólnych centrów obsługi klientów grupy kapitałowej (remote support, call center); • prowadzenie wspólnej bazy klientów / kontrahentów; • działanie centrów usług wspólnych / centrów outsourcingowych świadczących usługi dla grupy kapitałowej; • korzystanie przez spółki z grupy z usług zewnętrznych dostawców dedykowanych dla całej grupy kapitałowej (np. wspólny dostawca rozwiązań informatycznych) zlokalizowanych w państwie trzecim. Co istotne, przepisy RODO przewidują dodatkowe wymagania, jakie muszą być spełnione w przypadku transferu danych do państw trzecich, niezależnie od innych obowiązków nakładanych przez przepisy ww. rozporządzenia. Jak zatem optymalnie zaprojektować proces transferu danych do państw trzecich w ramach grupy kapitałowej?
czytaj dalej >
Zobacz więcej artykułów

NASZE DANE