Mateusz Rolka www.kryptos.co
Wojciech
Ciesielski
Kierownik działu
Administracji i IT
Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...
O politykę bezpieczeństwa...Polityka bezpieczeństwa powinna odpowiedzieć na wszystkie pytania Konsumenta.
...
NIe jestem tylko pewien, czy tak można sobie zażyczyć PB do wglądu...
Jeśli nie, to zapytałbym o procedury przetwarzania danych, ze szczególnym naciskiem na przechowywanie i ochronę przed nieuprawnionym dostępem.
konto usunięte
Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...
Wojciech C.:
O politykę bezpieczeństwa...
NIe jestem tylko pewien, czy tak można sobie zażyczyć PB do wglądu...
nie będzie tego problemu, bo większość nie będzie wiedziała o czym mowa i po co to ;)
Grzegorz
Krzemiński
600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...
Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...
A do czego ci to? ;-)Pytanie banalne, ale tylko z pozoru. Inaczej wygląda audyt referencyjny (strony drugiej) np przed powierzeniem przetwarzania, inaczej audyt bezpieczeństwa - robiony na rzecz klienta, z wdrożonym systemem, a jeszcze zupełnie inaczej audyt bezpieczeństwa, robiony na rzecz klienta, który chce wdrażać system.
Pozornie wszystko powinno być tak samo, ale po otwarciu jest zupełnie inaczej, bo zagadnienia są mocno zróżnicowane.
Prosty przykład - odpowiednio to jak? Dla kogo odpowiednio?
Dla nas? - zgodnie z art 36 UODO, podstawą będzie NASZE szacowanie i ocena ryzyka oraz ocena wdrożonych rozwiązań, na adekwatność i reakcję na ryzyko, we wszystkich 3 fazach.
Dla naszego Klienta? Nasze przekonania chowamy w buty i wiodąca jest jego OCENA ryzyka, w obszarze apetytu.
I tak dalej mogę. Ogólnie - to czy firma ODPOWIEDNIO dba o bezpieczeństwo danych, zależy od tego jaki mamy apetyt na ryzyko, mając gdzieś tam z tyłu głowy poziom premii za to ryzyko. Dlatego na tak postawione pytanie nie ma prostej odpowiedzi.
Przed audytem po to się uzgadnia kryteria wiodące (najlepiej z poziomem ryzyka akceptowalnego) aby w ramach takiego badania odpowiedzieć - czy dany poziom bezpieczeństwa jest ODPOWIEDNI. Mam nadzieję, że nie zamotałem i jest jasno ;-)
Jarosław M. CGAP, QMS, ISMS
Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...
Grzegorz K.:>
A do czego ci to? ;-)
Pewnie do CZEK LISTY ;-)
Grzegorz
Krzemiński
600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...
Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...
Ja stawiałem na kolejny wpis na blogu, czy inną publikację. ;-)
Katarzyna
M.
rentierka,
bezrobotna
Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...
Z tego co ja wiem od koleżanek i kolegów, to papiery bardzo często się zgadzają, a rzeczywistość jest inna.Tylko jak to sprawdzić ?
Wojciech
Ciesielski
Kierownik działu
Administracji i IT
Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...
Najlepiej audytem...Tylko jaka firma zgodzi się, żeby konsument robił jakiś audyt?
Grzegorz
Krzemiński
600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...
Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...
Ale my nie wiemy, że to ma być konsument. Jest mowa o wywiadzie - czyli jednej z podstawowych technik audytu (oprócz obserwacji czy analizy dokumentacji, już nie mówię o testach, bo nie każdy chce).I mamy informację, że to z WŁAŚCICIELEM ma być wywiad, a więc może to być zaraz po spotkaniu otwierającym pierwsze wejście ;-)
Wojciech
Ciesielski
Kierownik działu
Administracji i IT
Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...
O co warto by zapytał Konsument, decydując się na współpracę z taką z firmą X?
Chyba wiemy że to konsument:)
Grzegorz
Krzemiński
600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...
Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...
O sorry... ;-)
Leszek
K.
Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.
Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...
To chyba zależy kto będzie sprawdzał.W obrocie gospodarczym jest łatwiej - po pierwsze podmiot może w umowie zadeklarować jak będzie dbał o ochronę danych osobowych. Ponadto można (a nawet powinno) zapewnić sobie możliwość przeprowadzenia kontroli - i wyniki kontroli (bezpośredniej bądź wykonanej przez inny podmiot) mogą stanowić potwierdzenie jakości ochrony danych osobowych.
Natomiast konsument niewiele ma możliwości. Może co najwyżej sprawdzić, czy firma zarejestrowała zbiór/zbiory a i to też nie do końca jest wiarygodnia informacja, bo dane osobowe (zwykłe) można przetwarzać po wysłaniu zgłoszenia do GIODO - a proces rejestracji trwa niekiedy miesiącami, w efekcie zbiór nie jest widoczny w rejestrze GIODO (nawiasem mówiąc w lutym wysłałem zgłoszenie aktualizacyjne z danymi wrażliwymi, mamy już październik i wciąż czekam).
Z tego powodu konsumenci powinni (raczej) wybierać podmioty o dobrej reputacji i znanej marce - którym zależy na dbałości o ochronę danych osobowych, bo jeśli coś pójdzie nie tak, to ich marka na tym może ucierpieć - a to przekłada sie na wynik finansowy.
Mateusz Rolka www.kryptos.co
Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...
Bardzo dziękuję za wypowiedzi w temacie :)konto usunięte
Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...
najlepiej zarzadac certyfikatuhttp://www.pdpcerificates.pl
konto usunięte
Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...
Adam M.:
najlepiej zarzadac certyfikatu
http://www.pdpcerificates.pl
jakiego certyfikatu? Bo raz że http://www.giodo.gov.pl/560/id_art/2652/j/pl/ a dwa, że powyższy link też prowadzi na manowce. Jeśli chodziło o coś w stylu: Practitioner Certificate in Data Protection http://certifications.bcs.org/content/conCertification/8 to przecież to są komptenecje osób, nie zobowiązania podmiotu.
Więc jeśli o coś pytać to poza oczywistymi: regulamin, klauzule, rejestrację zbioru, czy podleganie nadzorom (np. KNF-owi) to o kwestie które są powiązane (czasem luźno) z tematem. Np. o certyfikację zarządzania bezpieczeństwem informacji.
Michał
L.
Independent Business
Security Consultant
Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...
Najpierw sprawdzić czy ma zarejestrowaną bazę w GIODO (a często nie ma lub ma bzdury wpisane ;-) a potem zapytać o to samo + pytania o politykę bezpieczeństwa danych osobowych + parę pytań z instrukcji przetwarzania d.o. (w zasadzie wiele kwestii w instrukcji jest powtarzalnych). Ewentualnie dodatkowo poczytać na forum poświęconym d.o. lub stronie GIODO o różnych problemach w o.d.o. Odpowiedzi + obserwacja zachowania powiedzą czy człowiek zna się na tym praktycznie, czy mądraluje (naczytał się tylko ;-). Ewentualnie wskaże osobę kompetentną (często tak jest)."Papierów" to może mieć pełno zalegających na półkach aby pokazać w razie audytu, czyli jak powiedziała Katarzyna - "papiery bardzo często się zgadzają, a rzeczywistość jest inna".
"Papiery" OK można wziąć pod uwagę ale ważne zmaczowanie ich z rzeczywistością ;-)
Jeśli wywiad ma być do artykułu, to jak wyżej. Jeśli wywiad przed nawiązaniem kontaktu handlowego, to są wyjątkowe sytuacje (najczęściej duże firmy i duże kontrakty) gdy jest się dopuszczonym "do środka" aby przeprowadzić audyt np. prawne due diligence/badanie compliance.
Podobne tematy
-
ABI » Zmiana Administratora Danych Osobowych - czy można w ten... -
-
ABI » Czy istnieje instruktaz dla osob (lub pracodawcow), ktore... -
-
ABI » Czy osoba mająca dostęp do danych osobowych musi byc... -
-
ABI » Czy jestem Administratorem Danych Osobowych w świetle UODO -
-
ABI » Czy zgłaszać zbiór danych osobowych do GIODO? -
-
ABI » Czy imię i nazwisko połaczone z nazwą szkoły jest zbiorem... -
-
ABI » Allegro - czy trzeba zawrzeć umowę powierzenia... -
-
ABI » Kto podpisuje upoważnienie do przetwarzania danych... -
-
ABI » Klauzule dotyczące przetwarzania danych osobowych w umowach. -
-
ABI » Polecimy specjalistę z ochrony danych osobowych naszym... -
Następna dyskusja: