Grupa JT Weston
Grupa JT Weston:
JT WESTON ADVISORS
JT WESTON LEGAL
Projekty UE
Projekty UE
Formularz kontaktowy
Wyszukaj

Blog

HomeZarządzanie bezpieczeństwemIntegracja procesów wynikających z RODO z funkcjonującymi procesami zarządzania bezpieczeństwem informacji w instytucjach finansowych
2. Mapowanie RODO na Wytyczne IT KNF i Rekomendację D

Integracja procesów wynikających z RODO z funkcjonującymi procesami zarządzania bezpieczeństwem informacji w instytucjach finansowych

by on 20 sierpnia 2018in Zarządzanie bezpieczeństwem, Zgodność regulacyjna

25 maja br. upłynął termin na dostosowanie się organizacji do wymogów wynikających z Rozporządzenia o ochronie danych osobowych (w skrócie ,,RODO”). W wielu instytucjach był to okres intensywnych prac, których celem było przygotowanie dokumentacji i wdrożenie procesów zapewniających zgodność z konkretnymi zapisami RODO. W mniejszym stopniu podejmowano próby integracji nowych procesów oraz dokumentów z już funkcjonującymi w organizacjach regulacjami, w szczególności adresującymi wymogi określone w Wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego (dalej: Wytyczne IT KNF), których wdrożenie jest obligatoryjne dla instytucji finansowych. Pierwowzorem Wytycznych IT KNF była Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego dla banków (dalej: Rekomendacja D). Wszelkie odwołania do numerów Wytycznych IT KNF są tożsame z numeracją zastosowaną w Rekomendacji D. Dodatkowym utrudnieniem dla integracji tych obszarów było odrębne właścicielstwo i odmiennie przypisane odpowiedzialności. Odpowiedzialność za wdrożenie Wytycznych IT KNF najczęściej spoczywała na działach bezpieczeństwa oraz IT, natomiast w przypadku przepisów dotyczących ochrony danych osobowych odpowiedzialność była po stronie działów prawnych oraz Compliance.

Przeprowadzając audyty oraz konsultacje i wdrożenia dotyczące RODO w instytucjach nadzorowanych przez KNF wielokrotnie spotykaliśmy się z całkowicie odrębnymi procesami i dokumentami mającymi zastosowanie do podobnych, a nawet tożsamych obszarów.

Warto zwrócić uwagę, że zarówno RODO, jak i Wytyczne IT KNF / Rekomendacja D stawiają duży nacisk na podejście oparte na ryzyku oraz na stosowanie w wybranych obszarach praktyk opisanych w normach i standardach ISO/IEC z serii 27000. Prezes Urzędu Ochrony Danych Osobowych w jednym ze swoich wystąpień wskazał, iż ,,jednym z najważniejszych, powszechnie akceptowanych dokumentów prezentujących aktualny stan wiedzy technicznej w zakresie stosowania środków bezpieczeństwa i zarządzania bezpieczeństwem są m.in. normy ISO/IEC z serii 27000” – https://uodo.gov.pl/pl/138/273. Tym samym istnieją duże możliwości integracji i optymalizacji procesów, których celem jest zapewnienie zgodności.

Wytyczne IT KNF / Rekomendacja D tworzą jeden spójny system, w którym każda z 22 wytycznych / rekomendacji powiązana jest w mniejszym lub większym stopniu z procesem zarządzania bezpieczeństwem danych osobowych. Rezultaty wdrożenia Wytycznych / Rekomendacji mogą być efektywnie wykorzystywane w kolejnych etapach wdrożenia i stosowania RODO. Poniższa tabela przedstawia obszary, których wykorzystanie przy wdrożeniu i/lub integracji przyniesie organizacji najwięcej korzyści oraz zoptymalizuje ich działanie:

Przedstawione propozycje integracji optymalizują zarządzanie bezpieczeństwem danych osobowych w powiązaniu z procesami, które w instytucjach objętych Wytycznymi IT KNF / Rekomendacją D powinny już funkcjonować. Dodatkowo należy uwzględnić procesy wynikające z zarządzania ryzykiem operacyjnym i zarządzania ciągłością działania, które dodatkowo wynikają z odrębnych regulacji. Traktując wspomniane obszary z osobna, organizacja będzie operowała nadmiarowymi procedurami. W praktyce często będzie to prowadziło do niespójnej dokumentacji oraz występowania błędów i nieporozumień w organizacji.

Share this article
0
Tags: , , , , , ,

Written by

The author didnt add any Information to his profile yet

Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij
Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij