Wytyczne EROD 01/2021 dotyczące przykładów zgłaszania naruszeń ochrony danych - cz. II

Najnowsze wytyczne EROD 01/2021 uzupełniają wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych – wytyczne WP250. Dokument składa się z 6 rozdziałów rozdzielonych na 18 przykładów często występujących naruszeń, oznaczonych informacją o konieczności zgłaszania do organu nadzorczego i powiadamiania osób oraz proponuje środki zaradcze.

Zgodnie z zapowiedzą zapraszamy na drugą część opracowania na temat przyjętych przez Europejską Radę Ochrony Danych Wytycznych w sprawie przykładów zgłaszania naruszeń ochrony danych.

W pierwszej części opracowania skupiliśmy się przypadkach naruszeń związanych z atakami hackerskimi czy błędami ludzkimi.

Kradzież, zagubienie urządzenia,
albo dokumentów

Częstym przypadkiem jest zgubienie lub kradzież urządzeń przenośnych. W takich przypadkach administrator musi wziąć pod uwagę okoliczności operacji przetwarzania, takie jak rodzaj danych przechowywanych w urządzeniu, a także środki podjęte przed naruszeniem w celu zapewnienia odpowiedniego poziomu bezpieczeństwa. Wszystkie te elementy wpływają na potencjalne skutki naruszenia ochrony danych. Ocena zagrożenia może być trudna, ponieważ urządzenie nie jest już dostępne.

Tego rodzaju naruszenia można zawsze uznać za naruszenia poufności. Jeśli jednak nie ma kopii zapasowej dla skradzionej bazy danych, typ naruszenia może również obejmować naruszenie dostępności i integralność.

Przykład 10
W przykładzie nr 10 EROD zabiera nas do przedszkola, z którego skradziono dwa tablety. Tablety zawierały aplikację, która zawierała dane osobowe dzieci uczęszczających do przedszkola: imię i nazwisko, datę urodzenia, dane osobowe dotyczące edukacji dzieci. Zarówno zaszyfrowane tablety, które były wyłączone w momencie włamania, jak i aplikacja były chronione silnym hasłem. Dane zapasowe były efektywnie i łatwo dostępne dla administratora. Po stwierdzeniu włamania przedszkole wydało polecenie zdalnego wyczyszczenia pamięci tabletów.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować.

W tym konkretnym przypadku administrator danych podjął odpowiednie środki, aby zapobiec potencjalnemu naruszeniu danych i złagodzić ich skutki, stosując szyfrowanie urządzeń, wprowadzając odpowiednią ochronę hasłem i zabezpieczając kopię zapasową danych przechowywanych na tabletach. Zastosowany był również system zdalnego zarządzania urządzeniem, wobec czego usunięto przechowywane tam dane.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Opisane powyżej naruszenie ochrony danych dotyczyłoby poufności, dostępności i integralności odnośnych danych, jednak ze względu na odpowiednie postępowanie administratora danych przed i po naruszeniu danych żadne z nich nie nastąpiło. Ze względu na podjęte środki poufność danych pozostała nienaruszona. Ponadto kopia zapasowa zapewniała ciągłą dostępność danych osobowych, w związku z czym nie mógł wystąpić żaden potencjalny negatywny wpływ.

Z uwagi na te fakty, jest mało prawdopodobne, aby opisane powyżej naruszenie ochrony danych spowodowało zagrożenie dla praw i wolności osób, których dane dotyczą, dlatego nie było konieczności powiadamiania organu nadzorczego lub osób, których dane dotyczą. Jednak to naruszenie ochrony danych należy również udokumentować zgodnie z art. 33 ust. 5.

Przykład 11
Skradziono elektroniczny notebook pracownika firmy usługowej. Skradziony notebook zawierał imiona, nazwiska, adresy i datę urodzenia ponad 100 000 klientów. Ze względu na niedostępność skradzionego urządzenia nie było możliwe zidentyfikowanie innych kategorii danych osobowych, których dotyczy naruszenie. Dysk twardy notebooka nie był szyfrowany. Dane osobowe można było odzyskać z codziennych kopii zapasowych.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować, zgłosić organowi nadzorczemu oraz powiadomić osoby, których dane dotyczą.

EROD zwraca uwagę, iż administrator danych nie podjął żadnych wcześniejszych środków bezpieczeństwa, stąd dane osobowe przechowywane w skradzionym urządzeniu były łatwo dostępne dla każdej osoby, która weszła w jego posiadanie.

To naruszenie dotyczy poufności danych przechowywanych na skradzionym urządzeniu. Notatnik zawierający dane osobowe był w tym przypadku podatny na ataki, ponieważ nie posiadał żadnego zabezpieczenia hasłem ani szyfrowania. Brak podstawowych środków bezpieczeństwa zwiększa poziom ryzyka wystąpienia szkód dla osób, których dane dotyczą. Duża liczba osób dotkniętych naruszeniem zwiększa ryzyko.

Podczas oceny ryzyka administratorzy powinni wziąć pod uwagę potencjalne konsekwencje i negatywne skutki naruszenia poufności.

W wyniku naruszenia osoby, których dane dotyczą, mogą paść ofiarą oszustwa tożsamości, opierając się na danych dostępnych na skradzionym urządzeniu, dlatego ryzyko uważa się za wysokie.

Włączenie szyfrowania urządzeń i stosowanie silnej ochrony hasłem przechowywanej bazy danych mogłoby zapobiec naruszeniu danych, które spowodowałoby zagrożenie dla praw i wolności osób, których dane dotyczą. Z uwagi na te okoliczności wymagane jest zawiadomienie organu nadzorczego. Zawiadomienie osób, których dane dotyczą, również jest konieczne.

Przykład 12
Opisując dwunasty już przykład EROD zabiera nas do ośrodka odwykowego. Omawiana placówka nie miała wdrożonych mechanizmów kontroli dostępu. Skradziono papierowy dziennik, który zawierał podstawowe dane dotyczące tożsamości i stanu zdrowia pacjentów. Dane były przechowywane tylko na papierze i żadna kopia zapasowa nie była dostępna dla lekarzy leczących pacjentów. Książka nie była w żaden sposób zabezpieczona.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować, zgłosić organowi nadzorczemu oraz powiadomić osoby, których dane dotyczą.

Ten przypadek służy jako przykład naruszenia bezpieczeństwa danych wysokiego ryzyka. Ze względu na brak odpowiednich środków ostrożności, wrażliwe dane dotyczące zdrowia zgodnie z art. 9 ust. 1 RODO zostały utracone. Naruszenie to dotyczy poufności, dostępności i integralności odnośnych danych osobowych.

Kiedy ostatnio
robiłeś analizę ryzyka?

Ryzyko i DPIA są podstawowymi elementami budowy systemu ochrony danych.
ZAMÓW OFERTĘ
W wyniku naruszenia tajemnica lekarska zostaje naruszona, a nieuprawnione osoby trzecie mogą uzyskać dostęp do prywatnych informacji medycznych pacjenta, co może mieć poważny wpływ na jego życie osobiste. Naruszenie dostępności może również zakłócić ciągłość leczenia pacjentów, a ponieważ nie można wykluczyć zmiany / usunięcia części treści książki, naruszona zostaje również integralność danych osobowych. Na domiar złego, charakter danych osobowych przechowywanych w książce sprawia, że brak kopii zapasowych jest bardzo poważnym zagrożeniem.

Opisane powyżej naruszenie danych może poważnie wpłynąć na osoby, których dane dotyczą. W związku z tym powiadomienie organu nadzoru i zawiadomienie o naruszeniu osoby, której dane dotyczą, jest obowiązkowe.

Środki zapobiegawcze

EROD w wytycznych 01/2021 proponuje przykładowe zabezpieczenia dla urządzeń oraz dokumentów redukujące skutki naruszeń przetwarzanych na nich danych.

  1. Szyfrowanie danych przechowywanych na komputerach.
  2. Użyj hasła na wszystkich urządzeniach. Szyfruj wszystkie mobilne urządzenia elektroniczne w taki sposób, który wymaga wprowadzenia złożonego hasła w celu odszyfrowania.
  3. Używaj wieloskładnikowej autentykacji.
  4. Użyj oprogramowania MDM (Mobile Devices Management).
  5. Jeśli jest to możliwe i właściwe dla danego przetwarzania danych, dane osobowe należy zapisywać na centralnym serwerze, a nie na urządzeniu końcowym.
  6. Polityki korzystania z urządzeń.
  7. Zapewnij kontrole dostępu do pomieszczeń, aby umożliwić fizyczne zabezpieczenie urządzeń mobilnych, gdy pozostają bez opieki.

Błąd w wysyłce poczty

Źródłem ryzyka w tym przypadku jest również wewnętrzny błąd ludzki. Administrator nie może wiele zdziałać po tym, jak to się stało, dlatego zapobieganie jest jeszcze ważniejsze niż w innych rodzajach naruszeń.

Przykład 13
W kolejnym przykładzie EROD omawia przykład firmy zajmującej się sprzedażą. Wskutek pomyłki pracownika pomylono opakowania, w wyniku czego oba produkty wraz z fakturami zostały wysłane niewłaściwym osobom. Oznacza to, iż obaj klienci otrzymali nie swoje zamówienia, w tym faktury zawierające dane osobowe. Po stwierdzeniu naruszenia administrator odwołał zamówienia i przesłał je prawidłowym odbiorcom.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować.

Rachunki zawierały dane osobowe wymagane do pomyślnej dostawy (imię i nazwisko, adres oraz zakupiony przedmiot i jego cena). Ważne jest, aby zidentyfikować, w jaki sposób ludzki błąd mógł się zdarzyć i jak można było temu zapobiec. W konkretnym przypadku, gdy ryzyko jest niskie, wobec braku szczególnych kategorii danych osobowych lub innych danych, których nadużycie może prowadzić do istotnych negatywnych skutków. Naruszenie nie jest wynikiem błędu systemowego po stronie administratora i dotyczy tylko dwóch osób. Nie można było zidentyfikować żadnego negatywnego wpływu na osoby.

Nawet jeśli samo naruszenie nie stanowi dużego ryzyka dla praw i wolności osób, których dane dotyczą, często nie można uniknąć poinformowania ich o naruszeniu, ponieważ konieczna jest ich współpraca. aby zmniejszyć ryzyko.

Przykład 14
Departament zatrudnienia urzędu administracji publicznej wysłał do osób zarejestrowanych w jego systemie jako poszukujące pracy wiadomość e-mail o zbliżających się szkoleniach. Przez pomyłkę do tej wiadomości e-mail został załączony dokument zawierający wszystkie dane osobowe  wszystkich tych osób poszukujących pracy (imię i nazwisko, adres e-mail, adres pocztowy, numer ubezpieczenia społecznego). Liczba osób dotkniętych wyciekiem przekracza 60 000. Następnie urząd skontaktował się ze wszystkimi adresatami i poprosił ich o usunięcie poprzedniej wiadomości i niewykorzystywanie zawartych w niej informacji.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować, zgłosić organowi nadzorczemu oraz powiadomić osoby, których dane dotyczą.

W przypadku wysyłania takich wiadomości należało wprowadzić surowsze zasady i rozważyć wprowadzenie dodatkowych mechanizmów kontrolnych.

Liczba poszkodowanych osób jest znaczna, a zaangażowanie ich numeru ubezpieczenia społecznego wraz z innymi, bardziej podstawowymi danymi osobowymi, dodatkowo zwiększa ryzyko, które można określić jako wysokie.

Jak wspomniano wcześniej, sposoby skutecznego ograniczenia ryzyka związanego z podobnym naruszeniem są ograniczone, a mimo że administrator zażądał usunięcia wiadomości, nie może do tego zmusić odbiorców, ani też upewnić się, że wykonają żądanie. Wykonanie wszystkich rodzajów powiadomień powinno być oczywiste w takim przypadku.

Przykład 15
Lista uczestników kursu prawniczego języka angielskiego, który odbywa się w hotelu przez 5 dni, jest omyłkowo wysłana do 15 byłych uczestników kursu zamiast do hotelu. Lista zawiera nazwiska, adresy e-mail i preferencje żywieniowe 15 aktualnych uczestników. Tylko dwóch uczestników wypełniło swoje preferencje żywieniowe, stwierdzając, że nie tolerują laktozy. Administrator natychmiast po wysłaniu listy odkrywa błąd i informuje o błędzie odbiorców oraz prosi o usunięcie listy.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować.

Ryzyko wynikające z charakteru, wrażliwości, ilości i kontekstu danych osobowych jest niewielkie. Dane osobowe zawierają wrażliwe dane dotyczące preferencji żywieniowych dwóch uczestników. Nawet jeśli informacja, że ktoś nie toleruje laktozy, jest danymi zdrowotnymi, ryzyko, że dane te zostaną wykorzystane w sposób eksperymentalny, należy uznać za stosunkowo niskie.

Akredytowany kurs IOD
potwierdzi Twoje wysokie kompetencje

Przygotuj się do pełnienia funkcji inspektora ochrony danych. Jakość kursu potwierdził Mazowiecki Kurator Oświaty. Zapraszamy!
WYBIERZ TERMIN
O ile w przypadku danych dotyczących zdrowia przyjmuje się zwykle, że naruszenie może wiązać się z wysokim ryzykiem dla osoby, której dane dotyczą, to jednocześnie w tym konkretnym przypadku nie można zidentyfikować ryzyka, że naruszenie doprowadzi do szkód materialnych lub niematerialnych osoby, której dane dotyczą. Ilość naruszonych danych oraz liczba osób, których dane dotyczą, są również bardzo niskie.

Podsumowując, EROD stwierdza, że naruszenie nie miało znaczącego wpływu na osoby, których dane dotyczą. Fakt, że administrator danych niezwłocznie skontaktował się z odbiorcami po stwierdzeniu błędu, można uznać za czynnik łagodzący.

W związku z powyższym jest mało prawdopodobne, aby naruszenie powodowało zagrożenie dla praw i wolności osób, których dane dotyczą, w związku z czym nie było konieczne powiadomienie organu nadzorczego lub osób, których dane dotyczą. Jednak naruszenie należy udokumentować w wewnętrznej dokumentacji.

Przykład 16
Grupa ubezpieczeniowa oferuje ubezpieczenia samochodowe. W tym celu wysyła regularnie dostosowywane polisy dotyczące składek poprzez użycie zwykłej poczty. Oprócz nazwiska i adresu ubezpieczającego, pismo zawiera numer rejestracyjny pojazdu, stawki ubezpieczenia w bieżącym i następnym roku ubezpieczeniowym, przybliżony roczny przebieg oraz datę urodzenia ubezpieczającego.

Listy są pakowane za pomocą automatycznych maszyn do pakowania. Z powodu mechanicznego błędu, dwa listy dla różnych ubezpieczających są wkładane do jednej koperty i wysyłane do jednego ubezpieczającego pocztą. Ubezpieczający otwiera list w domu i ogląda swój prawidłowo dostarczony list, a także nieprawidłowo dostarczony list innego posiadacza polisy.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować oraz zgłosić organowi nadzorczemu.

Skutek dla osoby poszkodowanej należy uznać za średni, ponieważ informacje, które nie są publicznie dostępne, takie jak data urodzenia lub numery rejestracyjne pojazdu, a jeśli stawka ubezpieczenia wzrośnie, informacja o prawdopodobnym wypadku, zostaną ujawnione nieuprawnionemu odbiorcy

Prawdopodobieństwo niewłaściwego wykorzystania tych danych mieści się w przedziale między niskim a średnim, jednak chociaż wielu odbiorców prawdopodobnie wyrzuci źle otrzymany list do śmieci, w indywidualnych przypadkach nie można całkowicie wykluczyć, że pismo zostanie opublikowane w sieciach społecznościowych lub nieuprawniony odbiorca skontaktuje się z ubezpieczającym.

Według EROD naruszenie należy zgłosić do organu nadzorczego.

Środki zapobiegające błędom wysyłki

  1. Wyznaczanie dokładnych standardów wysyłania listów/ e-maili, bez miejsca na interpretację.
  2. Odpowiednie szkolenie personelu w zakresie wysyłania listów/ e-maili.
  3. W przypadku wysyłania wiadomości e-mail do wielu odbiorców są one domyślnie wymienione w polu „UDW”.
  4. Zastosowanie zasady czterech oczu.
  5. Automatyczne adresowanie zamiast ręcznego, z danymi wyodrębnionymi z dostępnej i aktualnej bazy danych; system automatycznego adresowania powinien być regularnie przeglądany pod kątem ukrytych błędów i nieprawidłowych ustawień.
  6. Zastosowanie opóźnienia wiadomości (np. wiadomość można usunąć/ edytować w określonym czasie po kliknięciu przycisku „wyślij”).
  7. Szkolenia uświadamiające na temat najczęstszych błędów, prowadzących do naruszenia danych osobowych.
  8. Szkolenia i broszury dotyczące postępowania w przypadku incydentów prowadzących do naruszenia ochrony danych osobowych oraz kogo należy poinformować (w tym IOD).

Inżynieria społeczna

Ostatnia kategoria, jakiej EROD poświęca uwagę w swoich wytycznych to inżynieria społeczna. Są to po prostu oszustwa, wykorzystywanie zabiegów socjotechnicznych w celu nakłonienia drugiej osoby do zrealizowania naszych celów.

Przykład 17
W przedostatnim przykładzie EROD zabiera nas do firmy telekomunikacyjnej, a właściwie do jej działu obsługi klienta. Pracownik odbiera telefon od osoby podającej się za klienta. Domniemany klient żąda od firmy zmiany adresu e-mail, na który mają być wysyłane informacje rozliczeniowe. Pracownik potwierdza tożsamość klienta, prosząc o podanie pewnych danych osobowych, zgodnych z procedurami obowiązującymi w firmie. Dzwoniący poprawnie wskazuje numer NIP i adres pocztowy żądanego klienta (ponieważ miał dostęp do tych elementów).

Po weryfikacji operator dokonuje żądanej zmiany i od tego momentu informacje rozliczeniowe są wysyłane na nowy adres e-mail. Procedura nie przewiduje powiadomienia do poprzedniego kontaktu e-mail. W następnym miesiącu uprawniony klient kontaktuje się z firmą  pytając, dlaczego nie otrzymuje faktury na swój adres e-mail i odrzuca się od niego telefon z żądaniem zmiany kontaktu e-mail. Później firma zdaje sobie sprawę, że informacja została wysłana do nielegalnego użytkownika i cofa zmianę.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować, zgłosić organowi nadzorczemu oraz powiadomić osoby, których dane dotyczą.

EROD przywołuje znaczenie wcześniejszych środków zabezpieczających. Naruszenie wiąże się z wysokim poziomem ryzyka, ponieważ dane rozliczeniowe mogą dostarczać informacji o życiu prywatnym osoby, której dane dotyczą (np. zwyczaje, kontakty) i może prowadzić do szkód materialnych (np. prześladowanie).

Kontrola UODO.
Dla nas to rutyna!

Przygotowanie do kontroli, asysta podczas kontroli oraz wsparciie pokontrolne to 3 sposoby na opanowanie sytuacji.
ZAPYTAJ O OFERTĘ
Dane osobowe uzyskane podczas tego ataku mogą być wykorzystane w celu ułatwienia przejęcia konta w tej organizacji lub wykorzystania dalszych środków uwierzytelniania w innych organizacjach. W związku z tym potrzebne jest zarówno powiadomienie organu nadzorczego, jak i komunikacja z osobą, której dane dotyczą.

W świetle tego przypadku należy wyraźnie dopracować proces weryfikacji klienta. Metody używane do uwierzytelniania nie były wystarczające. Złośliwa strona mogła udawać zamierzonego użytkownika, korzystając z informacji publicznie dostępnych i do których w innym przypadku miała dostęp. W zamian EROD proponuje wprowadzenie pozapasmowej metody uwierzytelniania wieloskładnikowego, np. zweryfikowanie zmienionego żądania, wysyłając prośbę o potwierdzenie do poprzedniego kontaktu lub dodanie dodatkowych pytań i wymaganie informacji widocznych tylko na poprzednich rachunkach.

Przykład 18
Ostatni przypadek przygotowany przez EROD dotyczy ataku na pocztę e-mail supermarketu. Sieć supermarketów trzy miesiące później wykrywa, że ktoś ustawił regułę, aby wszystkie wiadomości zawierające wyrażenia „faktura”, „płatność”, „przelew bankowy”, „uwierzytelnienie karty kredytowej” zostały przekierowywane na zewnętrzny adres e-mail. Ponadto, w międzyczasie sieć padła ofiarą ataku socjotechnicznego, w którym ktoś podszył się pod dostawcę i zmienił dane konta bankowego realnego dostawcy na swoje. Firma nie była w stanie wykryć, w jaki sposób osoba atakująca była w stanie uzyskać dostęp do kont e-mail, ale przypuszczała, że za zainfekowaną pocztę e-mail była odpowiedzialna grupa pracowników działu księgowości.

Dzięki przekazywaniu wiadomości e-mail w oparciu o słowa kluczowe, osoba atakująca uzyskała informacje łącznie o 99 pracownikach:
- imię i nazwisko oraz wynagrodzenie z danego miesiąca dotyczące 89 osób,
- imię i nazwisko, stan cywilny, liczba dzieci, wynagrodzenie, godziny pracy i pozostałe informacje o poborze wynagrodzenia 10 pracowników, których umowy zostały rozwiązane.

Administrator powiadomił tylko 10 osób, które nie pracują już dla sieci supermarketów.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować, zgłosić organowi nadzorczemu oraz powiadomić osoby, których dane dotyczą.

Ponieważ naruszenie mogłoby prowadzić zarówno do szkód materialnych (np. straty finansowe), jak i niemajątkowych (np. phishing), naruszenie danych osobowych może skutkować wysokim ryzykiem naruszenia praw i wolności osób fizycznych. Dlatego o naruszeniu należy poinformować wszystkich 99 pracowników, a nie tylko 10 pracowników.

Fakt, że naruszenie mogło się zdarzyć i pozostać niewykryte przez tak długi czas oraz fakt, że w dłuższym czasie socjotechnika mogła zostać wykorzystana do zmiany większej ilości danych, uwypuklił poważne problemy w systemie bezpieczeństwa IT administratora. Należy niezwłocznie zająć się nimi, kładąc nacisk na automatyczne przeglądy i kontrole zmian, wykrywanie incydentów i środki reagowania. Administratorzy przetwarzający wrażliwe dane, informacje finansowe itp. ponoszą większą odpowiedzialność za zapewnienie odpowiedniego bezpieczeństwa danych.

EROD wskazuje, że wszyscy pracownicy oraz organ nadzorczy powinni zostać powiadomieni o naruszeniu.

Czytaj także:

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".