Właściciel Spółki Inspektorzyrodo.pl Sp. z o.o. podjął decyzję o wyodrębnieniu w strukturze spółki Zespołu mającego uprawnienia audytorskie w zakresie funkcjonowania Ustawy o Krajowym Systemie Cyberbezpieczeństwa

Audytor Wiodący ISO/IEC 27001:2017 z akredytacją IRCA posiada uprawnienia międzynarodowe, które potwierdzane są wpisem na listę audytorów.

Certyfikat Audytora Wiodącego ISO/IEC 27001:2017 w myśl Ustawy o Krajowym Systemie Cyberbezpieczeństwa upoważnia do przeprowadzania w organizacjach stanowiących infrastrukturę kluczową wymaganych prawem audytów wewnętrznych.

Minister Cyfryzacji w swoim Rozporządzeniu w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu z dnia 12.10.2018 roku określił kompetencje osób mogących przeprowadzać audyt.

Usługi kluczowe wymienione w rozporządzeniu obejmują następujące sektory:

– energia (między innymi energia elektryczna, ciepło, ropa i gaz)

– transport (z podziałem na wodny, lądowy i powietrzny)

– bankowość i infrastruktura rynków finansowych

– uzdatnianie wody i odprowadzanie ścieków

– ochrona zdrowia (w tym podmioty lecznicze i przemysł farmaceutyczny)

– infrastruktura cyfrowa (DNS, IXP i TLD)

Dodatkowo, dla sektora energetycznego – obowiązki wyszczególnione w Ustawie dotyczą również podmiotów współpracujących – tzn. obejmują „cały łańcuch”.

Treść Ustawy wraz z Załącznikiem Nr 1 przedstawiającym szczegółowy opis sektorów i podmiotów zakwalifikowanych do Infrastruktury Kluczowej znajduje się pod poniższym linkiem.

Jeżeli ktoś z Państwa otrzymał już decyzję Ministerstwa o uznaniu podmiotu Operatorem Usług Kluczowych zapraszamy do kontaktu.

Wyjaśnimy zapisy Ustawy, przeprowadzimy Audyt i przedstawimy plan realizacji wymogów ustawowych.

To właśnie potwierdzenie naszego zainteresowania publikacją w mediach społecznościowych mającą wpływ na postrzeganie wpisu przez innych użytkowników

Czy ma to znaczenie dla przedsiębiorców prowadzących swój fanpage, strony www?

Odpowiedz jest twierdząca.

Czytamy w komunikacie UODO, że użycie wtyczki „lubię” najczęściej na stronie www lub dedykowanym fanpage prowadzi do współadministrowania danymi osób, które korzystają z kontrowersyjnego przycisku.  TSUE  w uzasadnieniu wyroku z dnia 29 lipca 2019r. potwierdził, że odpowiedzialność tych podmiotów ogranicza się do operacji zbierania danych oraz ich transmisji do Facebooka.

Rozstrzygnięcie to ułatwiło określenie ról podmiotów biorących udział w procesie przetwarzania danych.

Takie stanowisko organów rodzi obowiązek umieszczania informacji o odbiorcach danych i udostępnianiu ich do krajów trzecich.

Pamiętajmy zatem, że:

Każdy pobierając raport cookies może sprawdzić, czy informacje zawarte przez Administratora w Obowiązku Informacyjnym są zgodne z faktycznie zbieranymi informacjami o użytkowniku końcowym.

Kilka miesięcy temu otrzymaliśmy zaproszenie do uczestnictwa w pracach Grupy Roboczej przy Ministerstwie Cyfryzacji zajmującej się analizą branży IoT (Internet Rzeczy), która ma realny wpływ na wzrost gospodarczy kraju

W kręgu naszych zainteresowań są działania mające na w celu stworzenie dogodnych warunków dla rozwoju technologii IoT poprzez pozyskanie środków, wpływ na proces Legislacji oraz stworzenie wymagań w systemie Certyfikacji.

Nad realizacją założeń Ministra Cyfryzacji  Marka Zagórskiego, pracuje szacowne  grono ekspertów mających wiedzę z zakresu nowych technologii oraz systemów IT i wspieranych przez największych graczy rynku polskiego i zagranicznego.

Pracujemy w oparciu o wydany raport „IoT w polskiej gospodarce” stanowiący uwieńczenie pierwszego etapu prac grupy, system norm międzynarodowych np. z rodziny ISO 27000 oraz wytyczne urzędów międzynarodowych.

Tworząc procesy certyfikacji podmiotów stosujących technologię IoT, pod rozwagę bierzemy ich wpływ na prywatność i bezpieczeństwo użytkowników końcowych.

Inauguracją prac Grupy Roboczej będzie Konferencja pod patronatem Prezydenta RP, która odbędzie się 4 października 2019 w Belwederze.

UODO nałożył kolejną karę. Tym razem w wysokości 2,8 mln złotych na sklep internetowy, który utracił kontrolę nad danymi należącymi do 2,2 mln klientów

W związku z atakiem hakerskim doszło do pozyskania z systemu  przez osoby nieupoważnione danych w postaci: imienia, nazwiska, adresu e-mail, telefonu oraz hasła dostępu.

Warto przeanalizować wysokość kary i ilość danych zawartych w systemach, co daje nam sumę 1 zł za każdego klienta. Można zadać sobie pytanie czy to dużo?

W tym przypadku mamy efekt skali.

Administratorzy posiadający w swoich zasobach bazy danych budowane przez lata , muszą w sposób rzetelny przeprowadzać analizy ryzyka wynikające z zagrożeń  systemów IT. Na rynku funkcjonują firmy specjalizujące się w wykonywaniu specjalistycznych testów penetracyjnych, posiadające narzędzia i wiedzę ekspercką.

Musimy również być świadomi tego, że test wykonany za 1 tysiąc złoty, może w przypadku rozbudowanych baz i systemów po prostu nie wystarczyć.

Oprócz samych testów bardzo ważna jest realizacja zaleceń, a to już temat na kolejny artykuł.

Jako Administratorzy musimy wiedzieć, że jeżeli nie nadzorujemy swoich struktur IT to nie wiemy, czy nie są w kręgu zainteresowania hakerów i za chwilę staną się celem kolejnego ataku.

Należy pamiętać o podstawowych zasadach korzystania z dobrodziejstw IT:

1. aktualizować aplikację, systemy, routery

2. dokonywać zmian ustawień domyślnych urządzeń, haseł

3. monitorować system logów

4. tworzyć kopie zapasowe

5. szkolić użytkowników

Więcej informacji na stronie internetowej UODO.

Rejestry mieszkańców, monitoring wizyjny, zasoby BIP oraz stron internetowych urzędów – w tych obszarach samorządowcy mieli problemy ze stosowaniem ogólnego rozporządzenia o ochronie danych osobowych (RODO)

Byliśmy na tej konferencji!!

Monika Krasińska, dyrektor Zespołu ds. Sektora Publicznego w UODO podsumowała kontrole, które w minionym czasie przeprowadzono w jednostkach samorządu terytorialnego. Objęły one rejestr mieszkańców, monitoring miejski oraz zasoby BIP i stron internetowych.

Wspomniane kontrole ujawniły różne problemy. Gdy chodzi o rejestr mieszkańców, wiele samorządów dostosowało go do zreformowanych przepisów, choć stwierdzono pewne nieprawidłowości np. w obszarze budowania rejestru, ponadto nie wszyscy odbiorcy danych są identyfikowani, co znajduje swój wyraz w niepełnych klauzulach informacyjnych czy nieuzupełnionym rejestrze czynności przetwarzania.

Więcej informacji można znaleźć pod poniższym linkiem na stronie UODO.

Decyzją z 15 marca 2019 r. Prezes UODO, ukarała jedną ze Spółek zajmujących się przetwarzaniem informacji pozyskanych z dostępnych rejestrów publicznych (KRS, GUS, CEiDG) za niedopełnienie obowiązku informacyjnego wobec osób prowadzących jednoosobową działalność gospodarczą.

Kara wynosi 220 tys. euro kary, czyli około 1 mln złotych.

Jak wynika z treści uzasadnienia Spółka spełniła obowiązek informacyjny wynikający z art. 14 RODO jedynie wobec nielicznej grupy osób (około 200 tyś. osób), których telefonami lub adresami e-mail dysponowała. W przypadku pozostałych 8 mln osób tego nie zrobiła z uwagi na niewspółmierny wysiłek, który miał się z tym wiązać.

Prezes UODO w swoim uzasadnieniu orzekła, że nie ma zgody na takie postępowanie, ponieważ takie zachowanie pozbawia osoby, których dane Spółka przetwarzała podstawowych praw zagwarantowanych Rozporządzeniem.

Całość uzasadnienia decyzji znajduje się w poniższym linku.