Mikołaj Otmianowski

legal advisor

Lubię RODO, bo RODO to ocean możliwości.
[Więcej >>>]

Zadaj pytanie

Podsumowanie tygodnia nr 48

Mikołaj Otmianowski29 listopada 2019Komentarze (0)

Witajcie,

48 tydzień roku 2019, czyli święta się zbliżają a potem koniec roku. Jak co roku dużo pracy. Dla mnie ten tydzień był bardzo ciekawy. Uczestniczyłem w kilku spotkaniach i konferencjach konferencja (BECK, konferencja OIRP, warsztaty MIODO). Spotkałem wielu znajomych i poznałem mnóstwo nowych osób. Stoczyłem wiele rozmów o biznesie, szkole, RODO, AML i analizie ryzyka.

Najważniejsze wygrałem świetną ECO torbę od C.H. BECK:

i w końcu będę się świetnie prezentował z domową wałówką w drodze do pracy!

Na początek dwa przemyślenia

Mam ogólne odczucie, że jak coś już wydaje się ogarnięte i ustalone, to po takich spotkaniach status quo się burzy. Marzy mi się by było inaczej, ale z nowymi tematami po prostu zwykle jest sporo roboty.

Analiza ryzyka jest tematem odmienianym przez przypadki. Wszędzie.

Poniedziałek

W poniedziałek odbyła się V Konferencja Ochrony Danych Osobowych – RODO i polskie przepisy uzupełniające. Na zaproszenie adw. Xawerego Konarskiego oraz adw. dr. Grzegorz Sibiga, nasz niezawodny Maciej Otmianowski miał 20 minut w ramach, których sprawnie przedstawił zebranym kilka problemów związanych z DPIA. Problem wielki, czasu mało, ale Maciej wybrał świetne zagadnienia. Prezentacja została zakończona zaproszeniem do społecznego projektu www.jakietoryzyko.pl W ramach którego chcemy wspólnie ze specjalistami wypracować katalog kryteriów przydatnych w trakcie analizy ryzyka.

W naszej ocenie prezentacja została przyjęta z wielkim zainteresowaniem. W efekcie prezentacji Maciej został zaproszony na czwartek z gościnnym wykładem na spotkaniu w Stowarzyszeniu SABI – „obszar IT – analiza ryzyka w obszarze bezpieczeństwa danych osobowych – prowadzenie Maciej Otmianowski”. Maciek zadowolony, a inni? Jestem przekonany, że na pewno też.

Właśnie tam zobaczyłem po raz pierwszy torbę „Tru§t me, I am the lawyer”. Nie kupiłem. I dobrze jak się na końcu udało, ale o tym później (na końcu tego wpisu).

Wtorek

Wtorek to moje wystąpienie. Na zaproszenie dziekana Okręgowej Izby Radców Prawnych, r. pr. Włodzimierza Chruścika  oraz r. pr. Tomasza Zalewskiego– zaprezentowałem moje przemyślenia z zakresu tworzenia i prowadzenia produktów Legaltech na podstawie: www.riskundercontrol.pl oraz www.outlookzadania.pl Feedbeck zebrałem pozytywny. Dwie „duże” osoby napisały mi, że mówiłem z pasją – właśnie tak chciałem!– ale powiedziałem również o moich porażkach i tu pewne zaskoczenie, bo kilka osób mi pogratulowało odwagi mówienia o porażkach. Serio? To chyba normalne, czy nie? Ktoś nawet powiedział mi, że to takie „amerykańskie”. Fajnie. Tak miałem porażki i one kształtują mnie takiego jakim jestem!

Zauważyłem, że wszyscy prawnicy mają te same lub bardzo podobne problemy, ale jeszcze nie ma żadnego rozwiązania, które zaspokoiło by potrzeby prawników. Dla mnie szok. Tyle gadanie i ciągle nic, a mamy w końcu XXI wiek. Tak sobie myślę, że może jednak to prawnicy powinni dać z siebie więcej.

Bardzo identyfikuje się ze spostrzeżeniami mec. Łukasza Połomskiego na temat jego doświadczeń i wykorzystania WORD, Excel i PDF, także innych podstawowych narzędzi. Zobacz nagranie wystąpienia koniecznie, bo Łukasz to nie tylko sprawny prawnik, ale też mistrz słowa. Tu masz link do jego bloga

Środa –

planowana była jako dzień wolny od spotkań, ale wszystko się zmieniło z minuty na minutę. 3 spotkania, a nawet 4. Jedno o przestępstwach białych kołnierzyków i compliance. Zaplanowaliśmy w ramach „privacy by design” usługę “mądry Polak przed szkodą”. Korzystając z doświadczeń procesowych zaprzyjaźnionych adwokatów, chcemy zrobić szkolenia dla zarządów z ryzyk związanych z działaniami nie-compliance.

Koniec dnia był przyjemny, bo spotkanie z wychowawcą mojego dziecka. Same superlatywny. Moja mama nie miała tak łatwo ze mną…..

Czwartek i piątek

Dzień 4 tygodnia 48, czwartek. Dojechałem na MIODO –10:00. Idealnie. Ale poczekaj, jeszcze jedna ważna myśl, w środę, było wstępne spotkanie  MIODO  (biforek) na którym planowałem być, ale są ważniejsze sprawy niż biforek na MIODO😊 Ale nie o tym, dzwoni Maciek główny organizator i pyta czy może zrobić pokaz naszej aplikacji, bo trwa prezentacja produktów.

Proste, że tak.

Wracam do czwartku. 10:00. Start MIODO. Powitanie i warsztaty i tak do 19:00. Mega meteorytyka. Wykładowcy ekstraklasa: Dr. Marlena Sakowska-Baryła, dr. Mirosława Gumularz, Patrycja Kozik, Maciej Kołodziej, Tomasz Wąciż i Maciej Gruszczyński. Na sali tuzy i przyszłe tuzy tematu RODO w Polsce. Warsztaty z realizacji praw osób których dane dotyczą. Uff. To nie tylko mój problem. Identyfikacja, sposoby komunikacji, bardzo praktycznie. W trakcie warsztatów e-maile z „podmiotemdanych” chodzą tam i z powrotem. Dużo i praktycznie. Następne MIODO podobno 20-21 maja 2020 roku. Ja sobie termin wpisałem i wam też polecam!

W trakcie sporo rozmawiamy o aplikacjach. Jest wielkie zainteresowanie!

Piątek weekendu początek, zaczął się o 9:00. Znowu było ciężko, ale już inaczej. Sporo teorii, aż się boję klientom mówić, co nowego EROD i doktryna wymyśla. Nic to przemyślę, podzielę na pół i przekażę. Na koniec ocena decyzji UODO, praca w grupach. Argumenty za (jedni), argumenty przeciw (drudzy). Mega zabawa.

Podsumowanie

Koniec ufff. MIODO to spotkanie „kozaków RODO” w rodzinnej atmosferze. Konwencja na „ty”! Warto być.

Po takim tygodniu łeb mi pęka. Ale dla mnie najważniejsze jest to, że co chwila wracaliśmy do analizy ryzyka RODO i można powiedzieć, że DPIA jest odmieniane przez przypadki. Przez całe 5 dni, w każdej rozmowie. Wszyscy pytają o  aplikację, możesz zobacz lub po prostu zadzwoń 535 668 249.

Najważniejsze dla mnie jest to, że kiedy ja brykałem po konferencjach, to zespół walczył i pracował, a wyzwań sporo! Naprawdę konkrety. Przedświąteczny czas to wielka zabawa!

Zapraszamy na nasze szkolenie. Ostatnie w tym roku 12 grudnia lub 18 grudnia 2019.

Dziś był Black Friday. Nie zrobiłem oficjalnej oferty zniżek na moje szkolenie w dniu 12 grudnia, więc jak już tu doczytałeś to zapytaj o zniżkę na hasło: „będzie Pan zadowolony”.

Dzięki, że jesteście ze mną! RODO to wyzwania, to ocean możliwości.

Dobrego weekendu wszystkim życzę.

Mikołaj

Konferencje

Mikołaj Otmianowski28 listopada 2019Komentarze (0)

Cześć,

Wczoraj na konferencji organizowanej przez OIRP Warszawa na temat Legaltech w praktyce radcy prawnego opowiadałem o mojej historii związanej z tworzeniem rozwiązań dla prawników.

Mówiłem o www.timesheetsforoutlook.com – wtyczce do Outlooka uniemożliwiającej porządkowanie zadań,

Mówiłem też o www.riskundercontrok.pl – aplikacji do analizy ryzyka.

Co zostało odnotowane przez uczestników to wspomniałem o moich porażkach – (“to takie nie polskie, to takie amerykańskie”).

Konkluzji jest cała masa, ale głównie to są następujące:

  1. barierą zmian jest nieznajomość rozwiązań wśród zamawiających,
  2. ograniczony budżet,
  3. nie chęć do zmiany przyzwyczajeń.

Zakładam, że na tej konferencji zbierają się najbardziej “hop do przodu prawnicy” w zakresie nowych technologii i na pytanie o sposób wykorzystania WORDa wychodzi, że to maszyna do pisania, a na pytanie czy ktoś używa zaawansowanych funkcji PDF – praktycznie nikt nie odpowiada pozytywie. (sam jestem w tej grupie).

Daleka jeszcze droga przed nami. Myślę, że edukacja rynku zajmie jeszcze parę chwil, ale tak jak ostatnio  pisałem w Temidium, branża oczekuje na swojego Ubera.

A rozwiązania pojawiają się ciekawe np. dział prawny bardzo ciekawe rozwiązanie i jestem bardzo zainteresowany jak to wygląda w praktyce. A pergam.in – też wygląda ciekawie. Kilka nowych funkcjonalności w Lexie, w tym możliwość tworzenia podręcznych akt składających się nie tylko z dokumentacji, ale także z zewnętrznych plików oraz model pracy współdzielonej.

konkluzja: mały krokami, prostymi narzędziami można zdziałać cuda: tylko trzeba chcieć i wiedzieć jak wykorzystać z Excel, WORD oraz PDF.

pozdrawiam

do usyłszenia

Mikołaj

 

Raport NIK o RODO w szpitalach – 3 wnioski

Mikołaj Otmianowski14 listopada 2019Komentarze (0)

Witajcie,

Pozwoliłem sobie na ten krótki komentarz do raportu NIK pt. “wdrożenie przez podmioty lecznicze regulacji dotyczących ochrony danych osobowych”. Od razu rzuciło mi się kilka wniosków, którymi chcę się z wami podzielić.

Raport właściwie zaczyna się od skonstatowania obserwacji o braku przeprowadzenia w sektorze usług zdrowotnych analizy ryzyka pod kątem RODO.

NIK stwierdził, że analiza ryzyka to początek wdrożenia RODO

Tak właśnie mi się zawsze wydawało, a teraz jest potwierdzenie. Każde wdrożenie RODO powinno się zacząć od przeprowadzania analizy ryzyka, aby ustalić i zastosować odpowiednie środki techniczne i organizacyjne właściwe dla danej organizacji.

W dziewięciu szpitalach analiza ryzyka procesów przetwarzania danych
osobowych, która powinna poprzedzić przyjęcie właściwych środków
do ochrony danych osobowych, została przeprowadzona po upływie
od 35 do 201 dni od dnia wejścia w życie RODO, a w dwóch kolejnych wykonano
ją dopiero w trakcie kontroli NIK.

My się zgadzamy z tym wnioskiem w 100 %. Co więcej postawiliśmy właśnie na analizę ryzyka RODO. To jest kierunek naszego rozwoju i specjalizacji: doradzamy klientom jak przeprowadzić analizę ryzyka, dając narzędzie (aplikacja) oraz doradztwo eksperckie w zakresie IT, procesów i prawa.

DPIA – kto ma?

A właściwie “kto nie ma”?”. Ogólny wniosek z raportu:

Brak ocen skutków dla ochrony danych

Na szczęście nie jest aż tak dramatycznie.  Z raportu wynika, że połowa skontrolowanych szpitali ma analizę DPIA przeprowadzoną, choć trzeba zwrócić uwagę, że nawet jak mają to NIK zauważył błędy metodologiczne oraz istotne opóźnienia. O konieczności przeprowadzenia DPIA (czego wymaga unijny ustawodawca zgodnie z art. 35 RODO) wszyscy wiedzą, natomiast nie wszyscy wiedzą jak ją przeprowadzić. Dlatego zapraszam na nasze szkolenie na którym wyjaśniamy krok po kroku jak przeprowadzić analizę ryzyka z uwzględnieniem oceny skutków dla ochrony danych (tzw. DPIA).

Szkolenia kluczem do sukcesu

NIK w raporcie stwierdził, że tam gdzie personel został przeszkolony stwierdzono najmniej nieprawidłowości. Czyli każdy administrator powinien rozważyć inwestycje w skuteczne szkolenia personelu.

Jedną z głównych przyczyn wymienionych nieprawidłowości była nieznajomość
zagadnień bezpieczeństwa danych osobowych. Tylko w dziewięciu szpitalach
szkoleniami w tym zakresie objęto prawie cały personel (co najmniej
95%). W rezultacie w podmiotach tych stwierdzono najmniej istotnych nieprawidłowości
dotyczących ochrony danych osobowych pacjentów.

Szkolenia powinny być przygotowane i realizowane pod kątem konkretnej organizacji. Szkolenia ogólne raczej nie dadzą oczekiwanego efektu. Dlatego do realizacji usługi szkolenia najlepiej wybrać dostawcę znającego branżę i dodatkowo obeznanego z procedurami obowiązującymi w danej organizacji.

Raport NIK znajdziesz tutaj.

O korzyściach z aplikacji pisałem tutaj.

A jeśli chcesz porozmawiać to kontakt do mniej jest tutaj. Zapraszam serdecznie!

Mikołaj

Stało się. Pierwszym podmiotem administracji publicznej ukaranym przez Prezesa UODO został Burmistrz Aleksandrowa Kujawskiego. Dotychczas kary od Prezesa UODO dostawały wyłącznie podmioty prywatne. Ostatnia opiewająca na niemal 3 miliony złotych została nałożona na spółkę Morele.net.  Urzędnicy skontrolowali i ukarali podmiot z sektora publicznego, a konkretnie Burmistrza Aleksandrowa Kujawskiego.

Wysokość kary nie należy do rekordowych, ale 40 tysięcy złotych dla organu publicznego to kara wysoka, bo de facto to 40 % maksymalnego dopuszczalnego wymiaru kary. Przypomnę, że w Polsce maksymalny wymiar kary dla podmiotu publicznego wynosi 100 tysięcy złotych.

Za co więc tak surowa kara? Analizując wydaną decyzję Organ miał następujące zastrzeżenia:

  1. Brak umowy powierzenia z dwoma dostawcami usług zewnętrznych
  2. Brak procedury retencji danych
  3. Brak wdrożenia odpowiednich środków technicznych i organizacyjnych (brak backup’u nagrań z posiedzeń Rady Miejskiej)
  4. Brak wykonania analizy ryzyka dla procesu przetwarzania
  5. Nienależyte wykonanie Rejestru Czynności Przetwarzania
  6. Brak wykonania zaleceń PUODO oraz brak współpracy z organem

W tym artykule szczególną uwagę chciałbym poświęcić analizie ryzyka, ale najpierw pokrótce o pozostałych.

Umowa powierzenia, a właściwie jej brak

Burmistrz przekazał dane innemu podmiotowi nie dochowując staranności w zakresie wyboru tego podmiotu i pozostawił te dane de facto bez nadzoru. Czyli nadużył zaufania osób które dane mu przekazały, bo chciałby lub bo musiały zgodnie z przepisami. Co więcej podmiot, któremu dane zostały udostępnione nie mając umowy powierzania otrzymują je stał się automatycznie administratorem tych danych. W związku z tym naraża się na roszczenia ze strony osób których dane dotyczą (czy osoby wiedzą, że tymi danymi operuje) oraz kary administracyjne od regulatora (czy spełnił obowiązek informacyjny?). Umowa powierzenia stanowi podstawę prawną na podstawie której podmiot przetwarzający ma prawo przetwarzać dane osobowe. Dlatego tak ważne jest zawarcie umowy powierzenia. Patrząc od innej strony w tym konkretnym przypadku te dane miały zostać upublicznione w BIP, więc tak się głośno zastanawiam czy aby na pewno to jest taka istotna podstawa dla ukarania skoro dane te miały być publicznie dostępne?

Retencja danych

Według mnie to jeden z najtrudniejszych tematów związanych z przetwarzaniem danych osobowych i organizacją działania organizacji, ale tutaj chyba sytuacja była dość zero jedynkowa. Dane powinny być usuwane z BIP po okresie wskazanym w ustawie.

Rejestr czynności przetwarzania (RCP lub RCPDO)

Kolejną kwestią którą zainteresował się organ był Rejestr Czynności Przetwarzania. Obowiązkowe składowe rejestru są uregulowane w art. 30 ust. 1 RODO. Brak uwzględnienia ich wszystkich powoduje brak realizacji obowiązku prawnego ciążącego na Administratorze. W omawianym przypadku brakowało informacji o planowanym terminie usunięcia danych oraz o odbiorcach danych. Warto rejestr czynności przejrzeć i sprawdzić czy wszystko jest na swoim miejscu. Dlaczego warto? Przypominam mój wpis o spojrzeniu na organizację z lotu ptaka. Szczególnie korzyść nr 2.

Współpraca z organem

To dość zaskakujący punkt uwypuklony przez organ nadzorczy. Zawsze i każdorazowo należy współpracować z organem nadzorczym, bo to ma bezpośredni wpływ na wysokość kary. Wynika to przepisów prawa, ale też i ze zdrowego rozsądku, ponieważ organ każdorazowo uwzględnia chęć współpracy z organem czy to po wystąpieniu naruszenia czy to w ramach przeprowadzanej kontroli.

Brak analizy ryzyka, a kara

A teraz dla mnie najciekawsze. Ostatnio dosyć częstym wątkiem będącym przedmiotem postępowania urzędu jest kwestia wdrożenia odpowiednich środków organizacyjnych i technicznych mających na celu bezpieczne przetwarzanie danych osobowych. W omawianym przypadku zabrakło backupu danych. Bez backupu w razie utraty danych, Administrator nie ma możliwości ich odzyskania, a tym samym nie wymogu integralności danych. Takie kwestie powinny być przedmiotem analizy oraz dostosowania na etapie przeprowadzania analizy ryzyka.

Po raz kolejny w decyzji o karze administracyjnej wyczytać można, że Urząd Ochrony Danych Osobowych w ramach przeprowadzonej kontroli wskazuje na nienależyte wykonanie analizy ryzyka przez organizację. W przypadku kary nałożonej na Burmistrza nieprawidłowość została oznaczona m.in. jako brak wykonania szacowania ryzyka dla konkretnego procesu – zapisywania nagrań z posiedzeń Rady Miejskiej tylko na serwerze zewnętrznego podmiotu – YouTube.

Dlaczego to takie ważne?

Przede wszystkim Administrator każdorazowo decydując o sposobie przetwarzania danych osobowych w organizacji powinien zastosować się do praktyki myślenia procesowego, czyli takiego, w którym zanim zdecyduje się na przetwarzanie danych przeanalizował m.in. jakie dane są mu niezbędne, kto będzie za to odpowiadał czy też wreszcie, jakie środki techniczne i organizacyjne mają znaleźć zastosowanie w danym przypadku. Ma to na celu pełną ochronę praw i wolności osób, których dane dotyczą.

W momencie, w którym takie szacowanie ryzyka miałoby miejsce, Administrator pewnie by zauważył podatności i zagrożenia, jakie mogą zaistnieć w związku z przetwarzaniem danych w ramach konkretnego procesu. W takiej sytuacji przy wykonaniu oceny skutków dla osób, których dane dotyczą  i ogólnej oceny ryzyka zauważyłby wysokie ryzyko utraty danych. Dlaczego? Ponieważ w trakcie analizy zauważyłby jakie środki należy zastosować w każdym procesie.

Reasumując, zauważamy, że PUODO, coraz większy nacisk kładzie szacowania ryzyka przez organizacje, co zresztą jest zgodne z duchem RODO. Szacowanie ryzyka to czynność obowiązkowa, której lekceważenie kończy się w najlepszym przypadku nakazem jej przeprowadzenia. Systematyczne szacowanie ryzyka w oparciu o sensowny mechanizm i zdrowe podejście Administratora może niejednokrotnie przesądzić nie tylko co o uniknięciu kary, co też o uniknięciu wielu incydentów oraz naruszeń zasad ochrony danych osobowych w organizacji.

Na razie pozdrawiam, a już niedługo kilka wpisów o tym jak my przeprowadzamy analizę ryzyka dla naszych klientów.

pozdrawiam

Mikołaj

PS. zachęcam do zapoznania się z moim poprzednim wpisem na temat korzyści dla Doradcy z przeprowadzenia analizy ryzyka

Witam,

Do zapoznania się z wpisem zachęcam szczególnie doradców, w tym prawników i inspektorów ochrony danych osobowych, którzy obsługują klientów w zakresie ODO i chcieliby im dostarczyć analizę ryzyka RODO, tak by mogli spać spokojnie.

Tak by spać spokojnie mógł zarówno klient i doradca.

Sen to ważna sprawa, a jak najważniejszy punkt wdrożenia RODO, czyli zastosowanie odpowiednich środków technicznych i organizacyjnych “leży”, to jak taki sen może być spokojny. Co więcej teraz po karze nałożonej przez UODO na Morele.net, która to ukazuje kierunki działania i myślenia Prezesa.

Dlatego dzisiejszy wpis kieruje do Was – doradcy – abyście mieli wiedzę jakie usługi i jakie możliwości są już dostępne na rynku.

Analiza ryzyka

Obecnie ustawodawca wprowadza coraz więcej przepisów opartych o analizę ryzyka pozostawiając organizacjom decyzje co do zakresu wdrożenia i dostosowania się do przepisów, nie dając przy tym żadnych konkretnych minimalnych wymagań, których zero-jedynkowe spełnienie mogło by być uznane za bycie “zgodnym”. Po prostu teraz każdy sobie rzepkę skrobie i dokonuje oceny we własnym zakresie.

My zainteresowaliśmy się RODO i AML. W bliskiej perspektywie mamy analizę ryzyka pod kątem bezpieczeństwa informacji, czyli ISO 27001 oraz analizę ryzyka pod kątem zarządzania ciągłością działania, czyli ISO 22301. A istnieje też ustawa o cyberbezpieczeństwie, która też wymaga stosowanych analiz ryzyka.

Jak obecnie pozyskuje klientów na RODO?

Ja nie pytam czy RODO wdrożyli, bo właściwie 100 % odpowiada, że tak i to dawno.

Ja mówię, że wiem, że RODO wdrożyli, ale pytam o analizę ryzyka. Ja pytam “czy dostosowaliście środki organizacyjne i techniczne, aby przetwarzać dane zgodnie z RODO”? A kilerem zwykle jest pytanie nr 3 “czy macie to udokumentowane?”

Wtedy raczej jest cisza albo kiwanie głową, że papiery są. Ale co do zasady nikt z tego nic nie rozumie.

A przecież kwestią zasadniczą wynikającą z art. 24 RODO, jest wykazanie wdrożenia w swojej organizacji odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać.

Właśnie dlatego powstał ten wpis, wiem że to prawie reklama naszej aplikacji i usługi, ale ostatnio byłem na spotkaniu pokazywałem aplikacje i compliance manager klienta powiedział “Mikołaj musisz się bardziej reklamować, bo w ogóle nie wiedziałam, że taka aplikacja jest. A to super rozwiązanie.”

Dlatego jeśli zastanawiasz się nad tym tematem do dobrze trafiłeś. A teraz odpowiedz sobie na pytania….

Czy chciałbyś….

…zrozumieć jak można przeprowadzić szacowanie ryzyka i ocenę skutków dla ochrony danych?

… zostać liderem rynku i przeprowadzać analizę ryzyka dla swoich klientów?

… spać spokojnie wiedząc, że twoi klienci są obsłużeni w najwyższym standardzie?

Jeśli na którekolwiek z pytań odpowiedziałeś twierdząco, to chętnie pomożemy Tobie realizować usługę na najwyższym poziomie.

Naszą misją jest zmienianie świata poprzez dostarczanie doradcom świetnej aplikacji do analizy ryzyk tak by mogli przeprowadzać analizy ryzyka dla swoich klientów z korzyścią dla ochrony danych osobowych.

Wiem wiem, jeśli czytałeś mój poprzedni wpis o moim wystąpieniu na KIRP, to tam moja “misja” brzmiała nieco inaczej, ale każdego dnia nad nią pracuję.

Jak możemy Tobie pomóc?

Po pierwsze, zapraszamy do kontaktu z nami. Porozmawiamy i zobaczymy jaka opcja jest dla Ciebie najlepsza.

Po drugie, zapraszamy na nasze bardzo praktyczne szkolenie, które staramy się organizować w Warszawie w każdy ostatni czwartek miesiąca. Aktualna oferta jest tutaj. Przy czym jak zbierze się grupa chętnych to zrobimy szkolenie w innym terminie, a także innym miejscu.

Po trzecie, możemy wspólnie obsłużyć Twojego klienta np. ty od strony prawnej, my IT  albo odwrotnie albo jeszcze inaczej.

W tym momencie pewnie od razu pojawi się wątpliwość w twojej głowie: “Przedstawię ich mojemu klientowi, a oni go przejmą. Nie ma mowy.”

Otóż to zagrożenie istnieje wyłącznie w Twojej głowie.

Nie zrobimy tego, bo to nie fair.

Nie zrobimy tego, bo to byłoby wbrew ustaleniom z tobą.

Nie zrobimy tego, bo to byłby jednorazowy strzał i już nikt więcej by nam w ten sam sposób nie zaufał.

Nie zrobimy tego, bo naszym celem jest dostarczanie licencji na fantastyczne oprogramowanie, a to że robimy te analizy to głównie po to, żeby praktycznie doskonalić oprogramowanie i Was wspierać!

Po czwarte, możemy udzielić licencji twojemu klientowi, a ty (lub wspólnie) go obsłużymy w aplikacji.

Po piąte, możemy udzielić licencji Tobie, a ty będziesz obsługiwał swoich klientów w aplikacji i dostarczał im gotowe raporty. To rozwiązanie jest dla ciebie korzystne, bo klient będzie od Ciebie uzależniony. Raport jemu dostarczony nie będzie miał powiązań logicznych (makr), więc zmiana czegokolwiek wymaga dużej uwagi. Ty w naszej aplikacji zaktualizujesz rejestry jednym ruchem.

Po szóste, praktykujemy różne formy współpracy, a możemy zapewnić wsparcie zarówno w zakresie doradztwa IT, prawnego oraz biznesowego.

Co obecnie mamy gotowe?

Obecnie oferujemy aplikacje opartą o środowisko MS Excel z macrami umożliwia automatyzację przygotowania analizy ryzyka i rejestrów pod kątem RODO:

  1. rejestru czynności,
  2. rejestru kategorii,
  3. kompleksowej analizy ryzyka RODO (szacowanie ryzyka, plany postępowania, DPIA),
  4. upoważnień i rejestru.

Dwie ważne sprawy:

  1. cała aplikacja opiera się na słownikach, co ujednolica analizę ryzyka w organizacji,
  2. aplikacja ma wbudowane macra, więc polityka klienta musi zezwalać na instalowanie pliku Excel z macrami.

Co planujemy?

Aplikację, w której będzie możliwa:

  1. analiza ryzyka wg normy ISO27001
  2. analiza ryzyka wg normy  ISO22301
  3. analiza ryzyka zgodna z ustawą o krajowym systemie cyberbezpieczeństwa
  4. analiza ryzyka pod kątem AML

Na razie pracujemy nad naszym “Excelem”. Niemniej bądź pewny, że opracowujemy mockupy naszej aplikacji by ją przepisać na aplikację – aplikację. To nieco dłuższy projekt, ale toczy się równolegle.

Teraz najważniejsze: korzyści dla Ciebie

  1. Szansa na zaoferowanie dodatkowej usługi swoim klientom.
  2. Pozyskanie bezcennej wiedzy, wiedzy która będzie niezbędna do poruszania się na rynku doradztwa w najbliższych latach – “risk based approach”, czyli podejście oparte na ryzyku.
  3. Możliwość dostarczenia twojemu klientowi dokładnej analizy lub aplikacji, która realnie będzie go wspierać w przygotowaniu i aktualizacji rejestrów i analiz ryzyka. Korzyści dla klienta opisałem w tym wpisie.
  4. Otrzymasz sensowną metodykę przygotowania rejestrów pod kątem RODO, w tym szacowania ryzyka i oceny skutków (DPIA), a także podstawową bazę wiedzy.
  5. Dostaniesz narzędzie usprawniające proces obsługi klienta, a twoja baza wiedzy będzie rosła w jednej aplikacji.
  6. Aplikacja jest on-premises, czyli nie musisz dzielić się zebranymi informacjami z chmurą i to ty decydujesz komu dajesz dostęp do twojej bazy wiedzy, twojego know-how i twoich doświadczeń.

Co najważniejsze: dostaniesz narzędzie, które daje sensowne możliwości analizowania organizacji i dostosowywania środków technicznych i organizacyjnych we właściwych miejscach. Tak logicznie, zrozumiale i wytłumaczalnie.

Pewnie zapytasz: “skąd wy to wiecie?” albo “nie da się!”

Otóż, zwykle po naszej prezentacji aplikacji nie ma zbyt wielu pytań, a ludzie mówią, że wszystko jest jasne. My jesteśmy przekonani, że jest tak dlatego, że udało nam się przygotować aplikację do analizy ryzyka RODO właśnie w taki sposób: jasny, przejrzysty i zautomatyzowany. Proste to nie jest, bo analiza ryzyka wymaga zaangażowania, czasu i wiedzy eksperckiej. Ale to nasze szczęście, bo dzięki temu mamy co robić, prawda?!

Podsumowanie i zapowiedź:

Mając w głowie korzyści wymienione powyżej zachęcam do kontaktu ze mną, nawiązania współpracy i rozwijania swojej firmy z nami! Dbamy o to aby kontakt z każdym naszym klientem był wyjątkowy. Podsumowując możemy

  1. obsłużyć twojego klienta jako twoi podwykonawcy,
  2. obsłużyć twojego klienta na zasadach wspólnego projektu,
  3. obsłużyć twojego klienta sprzedając mu aplikacje.

Gwarantujemy bezpieczeństwo Twoich relacji z Twoim klientem. Oczywiście podpiszemy wszelkie NDA + inne zobowiązania dające tobie gwarancję bezpieczeństwa.

Niebawem na naszym blogu pojawi się wpis opowiadający jak można praktycznie przejść przez proces analizy ryzyka.

Życzę dobrego dnia!

Mikołaj

Aha i jeśli chciałbyś zobaczyć jeszcze to:

Tutaj pisałem o korzyściach dla klienta z wykorzystania naszej aplikacji i metodyki – może się Tobie przydać jako informacje sprzedażowe.

Tutaj pisałem trochę o analizie ryzyka tak po prostu.

Tutaj pisałem o konsekwencjach nie wdrożenia RODO w organizacji pod kątem tworzenia organizacji “na sprzedaż” i potencjalnego due diligence