Jak trwale usunąć dane?

Obecnie korzystamy z wielu nośników, w tym wymiennych, na każdym z nich przechowując gigabajty, a nawet terabajty danych. Co w momencie, w którym musimy przekazać innym nasze urządzenie lub po prostu chcemy je sprzedać, a niekoniecznie chcemy oddać informacje na nim się znajdujące?

Trwałe usunięcie danych

Zdarza się, że urządzenia służbowe, ale także prywatne, przechowujące różne dane zmieniają właściciela.

Problematyczną kwestią pozostaje ich zawartość; informacje, które się na nich znajdują w przypadku dostania się w niewłaściwe ręce mogą zostać wykorzystane przeciwko nam oraz naszym organizacjom.

Dane muszą zostać zniszczone tak, aby nigdy więcej ich nie odtworzyć – w tym przypadku naciśnięcie „Usuń” nie wystarczy.

Ryzyko ewentualnego odzyskania i ponownego odtworzenia danych musi znajdować się na zadowalająco niskim poziom.

Kiedy dobrze jest trwale usunąć dane?

  1. Ponowne użycie: przez ponowne użycie rozumiemy sytuację, kiedy nasze urządzenie zmienia właściciela, niezależnie czy jest nim właściciel biznesowy zasobu, czy fizyczny właściciel należącego do niego sprzętu. Bywa tak, iż sprzęt znajdujący się w organizacji przechodzi do innego pracownika albo jest po prostu sprzedawany; warto wtedy upewnić się co do całkowitego wyczyszczenia danych, które się na nim znajdowały.
  2. Naprawa: oczywistością jest, że urządzenia czasem po prostu się psują i musimy skorzystać z usług serwisu, aby je naprawić. Dobrą praktyką jest oddawanie do naprawy „czystych urządzeń” .
  3. Niszczenie i utylizacja: zdarza się, że stare urządzenia musimy po prostu zniszczyć, a następnie zutylizować. Zazwyczaj korzystamy z usług specjalistycznych firm, z którymi podpisujemy umowy powierzenia (o umowach powierzenia piszemy tutaj: https://odo24.pl/blog-post.wzor-umowy-powierzenia-przetwarzania-danych-zgodny-z-rodo) i które wystawiają świadectwo zniszczenia naszych urządzeń. Jeżeli chcemy zwiększyć naszą pewność co do bezpiecznego zniszczenia wszelkich danych, warto je wcześniej nadpisać.

Nie ma głupich pytań RODO.
Są darmowe odpowiedzi

Skorzystaj z bezpłatnej porady prawnej lub IT.
MAM PYTANIE
 W każdym z powyższych przypadków ewentualne dane znajdujące się na sprzęcie znajdą się w obcym środowisku. Nie jesteśmy w stanie przewidzieć, jakie zamiary ma ich nowy posiadacz. Każda taka sytuacja wiąże się z ryzykiem, iż ktoś będzie próbował nasze dane odzyskać. W przypadku zmaterializowania się ryzyka spotkają nas zagrożenia takie, jak na przykład:

  1. brak kontroli nad danymi przechowywanymi na sprzęcie, co w konsekwencji może doprowadzić do utraty kontroli nad innymi naszymi urządzeniami,
  2. nasze dane, a w szczególności dane naszych klientów, pracowników czy kontrahentów, które zostałyby odzyskane, zostaną wykorzystane przez naszą konkurencję lub wrogów,
  3. przestępcy mogą wykorzystać te dane do różnych oszustw czy nawet kradzieży tożsamości,
  4. jeśli na urządzeniu przechowywaliśmy nasze notatki lub dokumenty, mogą zostać one opublikowane, przez co ucierpi nasz portfel, a nawet reputacja.

Oczywiście, powyższa lista nie jest kompletna, a w zależności od zamiarów nowych właścicieli naszych danych i ich zakresu mogą spotkać nas mniej lub bardziej dotkliwe konsekwencje.

Co, jeżeli nie zdążymy?

Zdarzają się niestety sytuacje, kiedy nagle tracimy kontrolę nad urządzeniem; bez wątpienia zdarza się tak, kiedy nasz sprzęt zostanie nam ukradziony albo po prostu go zgubimy. Biorąc pod uwagę bezpieczeństwo danych się tam znajdujących, możemy tylko zapobiegać.

W przypadku urządzeń mobilnych (jak np. tablety, smartfony, a nawet laptopy) warto wprowadzić system do zdalnego zarządzania urządzeniami, pozwalający np. zdalnie usuwać dane z ich pamięci. Niestety, takie systemy potrafią być drogie, jednak każdy sprzęt przechowujący jakiekolwiek dane można zaszyfrować. Zaszyfrowany sprzęt jest chroniony przed praktycznie wszystkimi zagrożeniami, oczywiście oprócz tych najbardziej wyrafinowanych.

Zalecamy uruchomienie szyfrowania na wszystkich nośnikach, które często znajdują się w ruchu, przez co narażone są na kradzież, jak i zagubienie.

Zarządzaj ryzykiem

W celu odpowiedniego zarządzania danymi, przechowywanymi na naszych nośnikach powinniśmy:

    1. mieć świadomość ich wartości, w szczególności wartości danych, które znajdą się we władaniu osób mających złe intencje,
    2. docenić ważność bezpiecznego niszczenia danych i zaakceptować jego koszt,
    3. posiadać odpowiednie procedury sprzedaży albo zniszczenia wykorzystywanych urządzeń,

Diagnoza zgodności RODO - zrób to sam!

  1. posiadać wszystkie instrukcje i dokumenty od producenta urządzenia, aby wiedzieć, jak w razie potrzeby trwale usunąć dane z pamięci,
  2. po wyczyszczeniu pamięci sprawdzić na urządzeniu, czy nie zostały jakieś informacje,
  3. w przypadku, kiedy chcąc trwale zniszczyć nośnik pamięci zawierający jakieś dane korzystamy z usług firmy zewnętrznej, wybierać taką, która wystawi nam certyfikat zniszczenia,
  4. w przypadku korzystania z usług firmy zewnętrznej, przed powierzeniem jej sprzętu, usunąć wszelkie etykiety i oznaczenia, które mogą świadczyć o właścicielu urządzenia bądź danych, jakie może zawierać.

Gdzie są dane? Monitory i telewizory

Chociaż pamięć wewnętrzna takich urządzeń jest bardzo mała, żeby nie powiedzieć – malutka, i trudno byłoby ją wykorzystać, to jednak w formie ciekawostki warto o niej wspomnieć. Jest to najczęściej minimalna pamięć potrzebna np. do buforowania danych. Można ją łatwo wyczyścić nadpisując ją poprzez wyświetlanie jakichkolwiek danych na kilka minut przed wyłączeniem urządzenia.

Sprzęt biurowy

Warto zauważyć, że niektóre niżej wymienione urządzenia posiadają dyski HDD czy SSD, które będą omawiane w dalszej części artykułu.

Wszystkie inne nośniki danych przed odsprzedaniem czy zniszczeniem prawdopodobnie wystarczy poddać resetowi ustawień fabrycznych opisanych w instrukcji. Są to:

  1. laptopy,
  2. komputery PC,
  3. kamery,
  4. drukarki,
  5. skanery,
  6. kserokopiarki,
  7. faksy.

Należy pamiętać, że techniki resetu różnią się w zależności od producentów, dlatego ważne jest posiadanie instrukcji resetu, aby było można go skutecznie przeprowadzić.

Infrastruktura teleinformatyczna

Są to elementy zdecydowanie większe i mniej poręczne niż typowy sprzęt biurowy. Zwykle przechowujemy je specjalnie zabezpieczone w serwerowniach czy data centers. Służą do budowania sieci informatycznych. Są to m.in.:

  • serwery,
  • routery,
  • przełączniki.

Kiedy planujemy dać tym urządzeniom drugie życie musimy zdać sobie sprawę, iż mogą one zawierać różne dane, certyfikaty czy chociażby klucze szyfrowania. Oczywiste jest, że chcąc sprzedać takie urządzenie musimy je wyczyścić, aby uniemożliwić jakiejkolwiek osobie odczyt pozostawionych danych. Zalecamy wykonanie resetu producenta, przy czym jeszcze raz przypominamy, iż wspomniane techniki różnią się w zależności od producenta. Pamiętajmy, że zawsze należy upewnić się co do skuteczności opisywanej funkcji, czy na pewno bezpiecznie wyczyści całą pamięć urządzenia.

W przypadku zdecydowania się na fizyczne zniszczenie takiego sprzętu, weźmy pod uwagę, że często w przypadku masowego niszczenia zachodzi ryzyko zostawienia zbyt dużych powierzchni zawierających dane, z których potencjalnie można odzyskać wiele informacji. Wielkość pojedynczej ścinki określa norma DIN 66399 (poziom co najmniej P-3), która zaleca, aby nośniki danych szczególnie chronionych zostały podzielone na fragmenty o szerokości maksymalnie 6 mm i całkowitej powierzchni nie większej niż 160 mm2.

Tanie i małe nośniki

Istnieje wiele małych i tanich nośników pamięci, do których niewątpliwie zaliczają się:

  1. płyty CD,
  2. płyty DVD,
  3. płyty Blu-ray,
  4. karty pamięci,
  5. karty magnetyczne,
  6. dowody tożsamości.

Niektóre z tych nośników często można łatwo przypisać do konkretnej organizacji albo osoby fizycznej, poprzez np. dokument tożsamości. Wiele z nich możemy zniszczyć we własnym zakresie, nie jest to trudne. Często nie potrzebujemy do tego drogich narzędzi, a może się okazać, że wystarczy zwykła niszczarka lub dezintegrator. Jednak nadal pamiętajmy o wymaganiach dotyczących bezpiecznego niszczenia danych, a więc pojedyncze fragmenty zgodnie z normą DIN 66399 (poziom co najmniej P-3) po zniszczeniach nie mogą być szersze niż 6 mm oraz nie większe niż 160 mm2.

Dyski twarde HDD

Konstrukcja dysków umożliwia wymontowywanie ich z urządzeń nadrzędnych, czyli np. komputerów. Jest to ważne, ponieważ ze względu na ilość danych, które przetwarzają zawsze należy czyścić je dodatkowo.

Z uwagi na ogrom danych przechowywanych na dyskach, atrakcyjnych dla kogoś chcącego wprowadzić firmę w zakłopotanie, w przypadku zdecydowania się na utylizację nośnika zalecamy jego wcześniejsze rozmagnesowanie, czyli umieszczenie w specjalnym urządzeniu i poddanie go działaniu silnego pola magnetycznego. W przypadku technologii magnetycznych zmniejsza ono możliwość odzyskania danych, kiedy urządzenie znajdzie się w niepowołanych rękach, np. podczas transportu, dlatego zadbajmy, aby serwis zajmujący się niszczeniem nośnika wykonał usługę demagnetyzacji w siedzibie naszej organizacji oraz zadbajmy, aby usługa wykonana była z użyciem jak najwyższego pola magnetycznego (co najmniej 18 000 Gauss).

Funkcja IOD.
To się dobrze przekazuje

Zewnętrzny zespół ekspertów to sprawdzony, szybki i ekonomiczny sposób na nowoczesną ochronę danych.
ZAMÓW OFERTĘ
Alternatywą dla rozmagnesowywania dysku jest jego fizyczne zniszczenie. Po raz kolejny przywołujemy w tym miejscu normę DIN 66399 (poziom co najmniej P-3), nakazującą, aby rozdrobnić dysk na fragmenty o szerokości 6 mm.

Dla chcących całkowicie pozbyć się nośnika wiele specjalistycznych laboratoriów oferuje usługę roztopienia dysku w kwasie. Taka operacja daje możliwość całkowitego fizycznego zniszczenia dysku wraz ze znajdującymi się na nim danymi.

Jednak często chcemy całkowicie usunąć dane z dysku, ale nie chcemy niszczyć samego nośnika; wtedy pomocne okaże się jego nadpisywanie.

W przypadku nadpisywania plików również istnieje wiele standardów, jak np.;

  • metoda Gutmann 35 – jest to stara metoda z lat 90., wymagająca 35-krotnego nadpisywania dysku; tak duża liczba wynika z ówczesnego systemu zapisu danych, obecnie nie ma potrzeby, aby nadpisywać dyski aż 35 razy;
  • HMG IS5 – metoda nakazująca nadpisywać dane trzykrotnie, za pierwszym razem wartością „0”, za drugim razem wartością „1”, a za trzecim losowymi wartościami;
  • DoD 5220.22-M – są to metody standardowe dla Departamentu Obrony Stanów Zjednoczonych, mają one dwie wersje, nakazujące nadpisywać pliki 3-, albo 7-krotnie;
  • NIST 800-88 – wytyczne stwierdzające, iż nawet jednokrotne nadpisanie znacząco utrudnia odzyskanie plików nawet w warunkach laboratoryjnych.

Na rynku istnieje wiele programów oferujących kasowanie, a następnie kilkukrotne nadpisywanie pamięci dysku. Wśród popularnego oprogramowania można wyróżnić np. Eraser czy Darik’s Boot and Nuke, oba wspomniane programy oferują możliwość wykorzystania metody DoD 5220.22-M (8-306. /E)3 jak i Gutmanna.

Dyski SSD oraz dyski hybrydowe HDD+SSD

Dyski SSD stosunkowo trudniej jest nadpisać niż dyski HDD. Niewielka część danych może zostać zapisana w obszarach serwisowych dysku. Dobrze jest korzystać z niskopoziomowych metod nadpisywania, jak np. funkcjonalność Secure Erase wbudowana w firmware – w tym przypadku nadpisywanie odbywać się będzie na poziomie sprzętowym, ponieważ zmiany wprowadza oprogramowanie dysku, a nie aplikacja.

Każdy producent pamięci SSD buduje ją w inny sposób, dlatego też ciężko znaleźć uniwersalną metodę zniszczenia danych znajdujących się na dysku. W przypadkach, kiedy producent nie dostarcza narzędzia do usuwania danych, trudno jest z pewnością orzec o całkowitym wyczyszczeniu dysku.

W przypadku dysków HDD jak i SSD dobrą i niezwykle ważną praktyką jest zweryfikowanie procesu nadpisywania danych.

CZYTAJ WIĘCEJ:Dlaczego i jak usuwać dane przed sprzedażą?

Kiedy niszczyć nośniki, a kiedy możemy użyć ich ponownie?Rozważając, kiedy powinniśmy zniszczyć nośniki, a kiedy możemy je nadpisać i przeznaczyć do ponownego użytku, musimy zastanowić się nad potencjalnymi skutkami, gdyby informacje dostały się do nieupoważnionych osób. W celu lepszego zrozumienia warto posłużyć się skalą potencjalnych skutków zaproponowanych w wytycznych amerykańskich FIPS 199. Wyróżniają one trzystopniowy poziom skutków dla poufności, integralności oraz dostępności danych:

  • poziom niski – utrata poufności, integralności oraz dostępności będzie miała niski wpływ na procesy, zasoby oraz osoby (niewielki wpływ na ciągłość działalność organizacji, niewielkie straty finansowe, niewielkie straty dla osób fizycznych);
  • poziom średni – utrata poufności, integralności oraz dostępności będzie miała poważny wpływ na procesy, zasoby oraz osoby (duży wpływ na ciągłość działania organizacji, duże straty finansowe, poważne straty dla osób fizycznych, jednak nie zagrażające zdrowiu ani życiu);
  • poziom wysoki – utrata poufności, integralności oraz dostępności będzie miała bardzo poważny, a wręcz katastrofalny wpływ na procesy, zasoby oraz osoby (poważny wpływ na ciągłość działania organizacji, a nawet utrata zdolności do działania, poważne szkody majątkowe, szkody dla osób zagrażające ich zdrowiu i życiu).

Musimy także wziąć pod uwagę czas i koszt potencjalnego usuwania danych, dlatego w przypadku nośników, które zawierają dane o wysokiej wartości dla organizacji i mają być wycofane z użycia służbowego, zalecamy ich zniszczenie.

W przypadku nośników zawierających informację o średnim poziomie, które nie są przeznaczone do ponownego użycia i będą wycofane z użytkowania służbowego, również zalecamy zniszczenie. Kiedy zdecydujemy się na ich ponowne użycie, np. poprzez sprzedaż, zalecamy używanie metod gwarantujących trwałe usunięcie danych, a następnie późniejszą weryfikację procesu.

Zalecamy przeprowadzenie procesu trwałego czyszczenia danych w przypadku każdego nośnika służbowego, zawierającego najniższą wartość informacji, który opuszcza organizację.

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!

Czy ankieta bezpieczeństwa dla podmiotu przetwarzającego powinna być indywidualnie dostosowana do każdej umowy powierzenia/ konkretnego rodzaju usług?

Nie ma konieczności, aby ankieta była dopasowywana każdorazowo do konkretnej umowy/konkretnego rodzaju usług świadczonych przez potencjalnego procesora. Z jednej strony byłoby to czasochłonne, a z drugiej nie jestem przekonana, czy byłoby efektywne: o ile możemy mniej więcej ocenić, które z wymagań co do zasady powinny być realizowane przez dany podmiot i o które warto zapytać w ankiecie, to trudno dopasować pytanie idealnie pod danego kontrahenta.

Wydaje się, że najlepszym rozwiązaniem byłoby stworzenie paru wersji ankiety dla procesora, np. szczegółowej (przesyłanej podmiotom dostarczającym rozwiązania IT czy firmom kadrowo-płacowym) i uproszczonej (dla podmiotów, którym będziemy powierzać dane w ograniczonym zakresie).

Wynik takiej ankiety mógłby być weryfikowany przez IOD, który na jej podstawie podejmowałby decyzję o tym, czy dany podmiot daje odpowiednie gwarancje związane z zapewnieniem bezpieczeństwa danym osobowym.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych?

Umowę powierzenia danych osobowych należy zawrzeć wówczas, gdy administrator zleca innemu zewnętrznemu podmiotowi przetwarzanie danych osobowych  w jego imieniu. Opisana sytuacja zlecenia przez administratora danych zewnętrznemu podmiotowi usługi migracji danych z jednego serwera na drugi będzie się wiązała z powierzeniem danych osobowych do przetwarzania. Przetwarzanie danych osobowych zgodnie z treścią art. 4 pkt. 1 RODO to nie tylko ich gromadzenie,  ale również inne operacje wykonywane na danych, takie jak ich przeglądanie, przesyłanie czy przenoszenie.

Taka czynność będzie się zatem mieściła się w pojęciu przetwarzania danych osobowych. Podsumowując, w sytuacji zlecenia innemu zewnętrznemu podmiotowi usługi migracji danych powinna być zawarta umowa powierzenia przetwarzania danych osobowych.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami?

Kancelaria prawna nie powinna ze swoim klientem zawierać umowy powierzenia danych osobowych w ramach realizacji usługi świadczenia pomocy prawnej związanej z prowadzeniem sprawy sądowej. Radca prawny lub adwokat wykonujący zawód w ustawowo określonych formach nie jest podmiotem przetwarzającym w zakresie przetwarzania danych związanych ze świadczeniem pomocy prawnej. Argumentem przemawiającym za takim stanowiskiem jest to, że istotą podmiotu przetwarzającego jest podporządkowanie się decyzjom administratora w zakresie przetwarzania danych osobowych.

Dodatkowo świadczenie usług prawnych w sposób zgodny z prawem oraz zasadami etyki, z równoczesnym zachowaniem tajemnicy zawodowej, wymaga samodzielnego podejmowania decyzji przez profesjonalnego pełnomocnika. Ponadto należy wskazać, że wykonywanie poleceń klienta (występującego jako ADO) przez prawnika stworzyłoby ryzyko nie tylko komplikacji przy wykonywaniu czynności zawodowych, lecz także (a może przede wszystkim) naruszenia zasad etyki.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?

Zapis dotyczący tego, że podmiot przetwarzający zobowiązuje się do udostępnienia dokumentacji z zakresu ochrony danych osobowych, w tym polityki ochrony danych osobowych, jest niewłaściwy. Podmiot, jakim jest administrator danych osobowych (ADO), powinien oczywiście być uprawniony do kontroli procesora, niemniej jednak kontrola ta nie powinna polegać na udostępnieniu całej dokumentacji, w tym polityki ochrony danych osobowych, która reguluje pozycję procesora jako ADO – niezależnie od pozycji procesora w ramach relacji powierzenia.

Można zapisać, że ADO będzie miał wgląd do wyciągu z polityki ochrony danych w części dotyczącej powierzenia oraz do wyciągu z rejestru kategorii czynności przetwarzania jego dotyczących czy możliwość weryfikacji nadanych upoważnień lub odebranych oświadczeń o zachowaniu poufności, podpisanych przez pracowników, który przetwarzają takie dane w ramach zawartej umowy. W pozostałym zakresie wszelkie inne informacje stanowią wewnętrzną dokumentację podmiotu, która nie powinna być ujawniana.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy pomiędzy uczelnią/szkołą a zakładem pracy powinna zostać zawarta umowa powierzenia danych osobowych?

Umowę powierzenia danych administrator jest zobowiązany zawrzeć wówczas, gdy powierza do przetwarzania dane osobowe innemu zewnętrznemu podmiotowi w jego imieniu i na jego rzecz. Udostępnienie danych osobowych oznacza zaś sytuację, w której administrator danych osobowych ujawnia/udostępnia dane osobowe innemu zewnętrznemu podmiotowi do realizacji jego własnych celów przetwarzania i własnymi sposobami. W przypadku zawarcia umowy o praktyki studenckie pomiędzy uczelnią (administratorem danych osobowych studentów) a zakładem pracy będzie dochodziło do udostępnienia danych osobowych, nie zaś do ich powierzenia.

Za przyjęciem takiego stanowiska przemawia fakt, że zakład pracy z chwilą otrzymania od uczelni danych osobowych studenta będzie je przetwarzał we własnych celach przetwarzania tj. ewidencja wejść i wyjść, ewidencja czasu praktyki czy nadanie studentowi upoważnienia do przetwarzania danych osobowych). Ponadto również zakład pracy będzie decydował o sposobach przetwarzania otrzymanych danych osobowych. .

Powyższe przemawia za tym, aby uznać zakład pracy za niezależnego administratora danych osobowych, a nie podmiot przetwarzający dane osobowe.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy w umowie powierzenia procesor może wpisać postanowienie o stawce za godzinę pracy jego IOD przy obsłudze audytu administratora?

W mojej ocenie będzie to zależało od charakteru współpracy administratora i procesora. Trudno oczekiwać pełnej i nieograniczonej obsługi indywidualnej administratora w każdym aspekcie, bez dodatkowych kosztów, jeśli zakres współpracy jest bardzo ograniczony i sprowadza się do paru godzin obsługi w miesiącu za np. łączną kwotę 600 zł.

Dlatego są głosy, że można uznać za dopuszczalne ustalenie, że koszty procesora ponoszone w związku z inspekcją/audytem powinny być zwrócone przez prowadzącego audyt administratora przy czym powinny to być faktyczne koszty i to w rozsądnej wysokości. Uzasadnione wydaje się pokrycie kosztów pracy pracowników procesora, którzy będą zaangażowani w czynności audytowe (np. koszty pracy pracownika procesora towarzyszącego prowadzącemu inspekcję w pomieszczeniach procesora).

Znajdą się też głosy przeciwne, że takie działania ograniczają przysługujące administratorowi prawo do audytu. Rekomendowanym byłoby tu znalezienie złotego środka, czyli przykładowo ustalenie opłat za zaangażowanie IOD w audyt inny niż wstępny/coroczny/związany z konkretnym naruszeniem, tj. że dodatkowe opłaty byłyby związane z tymi „nadprogramowymi” audytami.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia?

W przypadku audytu wewnętrznego osoby przeprowadzające audyt powinny posiadać upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem. W przypadku audytu zewnętrznego konieczność zawarcia umowy powierzania będzie zależna od tego, czy audyt jest przeprowadzany na zlecenie podmiotu administratora – wówczas umowa powierzenia powinna być zawarta. Jeśli audyt zewnętrzny jest przeprowadzany przez podmiot działający w oparciu o konkretne przepisy prawa, wówczas podmiot ten działa w oparciu o przepisy rangi ustawowej, nadające mu prawo do przeprowadzenia audytu/kontroli.

Zapytaj o ofertę

 

Katarzyna Szczypińska
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".