styczeń 2019 – Agnieszka Madej

Dziś postanowiłam uporządkować temat obowiązku informacyjnego wynikającego z RODO, tak żeby nic nie umknęło. Temat wydaje się prosty, ale w niektórych momentach jest kontrowersyjny, warto zatem nim się zająć.

KIEDY NALEŻY PRZEKAZAĆ INFORMACJĘ I KOMU?

Administrator ma obowiązek informować osobę o przetwarzaniu jej danych w następujących sytuacjach:

podczas pozyskiwania danych bezpośrednio od tej osoby (art. 13 RODO);
zbierając dane o osobie z innych źródeł niż ta osoba (art. 14 RODO);
zmieniając cel przetwarzania danych lub dodając nowy cel przetwarzania;
na żądanie osoby, których dane są przetwarzane.

Zastanówmy się zatem jakich kategorii osób pozyskujemy dane przy prowadzeniu działalności gospodarczej. Na pewno będą to:

kandydaci do pracy, współpracy – w procesie rekrutacyjnym;
pracownicy (szeroko rozumiani tzn. gdzie będzie obowiązywała umowa o pracę, umowa cywilno-prawna) oraz współpracowników (umowa B2B z osobą fizyczną prowadzącą działalność gospodarczą);
praktykanci, stażyści;
potencjalni klienci i klienci będący osobami fizycznymi, w tym również prowadzący działalność gospodarczą;
kontrahenci będący osobami fizycznymi prowadzący działalność gospodarczą;
użytkownicy aplikacji mobilnych;
osoby komentujące artykuły i wpisy w mediach społecznościowych;
osoby korzystające w newslettera;
uczestnicy organizowanych przez nas konferencji itp… itd….

Możemy wciąż uzupełniać tę listę i zastanawiać się czy i jak spełniać obowiązek informacyjny. Dziś bardzo ogólnie rozwiniemy temat i w kolejnych wpisach postaramy się znaleźć złote środki ;). Mam nadzieję, że mi w tym pomożecie…

Jak widzimy, w przypadku niektórych tych kategorii będziemy pozyskiwać dane bezpośrednio od tych osób, więc będzie interesował nas obowiązek wynikający z art. 13 RODO. W innych przypadkach te dane będą udostępniane nam przez inne podmioty np. pracodawców osób. Inne przypadki związane z zakupem baz danych, czy też poleceniami zadowolonych klientów pozostawmy sobie na później.

CO POWINNO ZNALEŹĆ SIĘ W TAKIEJ INFORMACJI?

Tutaj powinniśmy przeanalizować art. 13 i 14 RODO. Mamy cały katalog informacji dla osoby, której dane dotyczą, a mianowicie:

tożsamość i dane osobowe administratora, a jeżeli dane osobowe będą współadministrowane przez dodatkowe podmioty, w informacji należy podać również dane współadministratorów;
dane kontaktowe inspektora ochrony danych, przy czym dane te nie muszą obejmować tożsamości Inspektora; Administrator podaje preferowany sposób komunikacji, może to być przykładowo: telefon, e-mail, formularz na stronie internetowej; Jeżeli podmiot nie wyznaczył IOD, to możne wskazać osobę do kontaktu np.koordynatora w zakresie ochrony danych osobowych;
cele przetwarzania danych oraz podstawy przetwarzania dla każdego celu:
- jeżeli podstawą przetwarzania jest prawo (art. 6 ust.1 lit. c oraz e, art. 9 ust.2 lit. b, g-j RODO), należy podać konkretny przepis;
- w przypadku podania podstawy prawnej odnoszącej się do prawnie uzasadnionych interesów realizowanych przez administratora lub osoby trzecie, należy wskazać jakie to są interesy; i tak np.:
  - dla monitoringu wizyjnego celami przetwarzania mogą być: zapewnienie bezpieczeństwa pracowników, ochrona mienia, kontrola produkcji, zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę;
  - dla monitoringu poczty elektronicznej, ruchu sieciowego, kopiowania, drukowania danych celami przetwarzania mogą być: kontrola czasu pracy pracowników, monitorowania właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, ujawnienie naruszenia tajemnicy informacji, wykrycie działań mających negatywny wpływ na wizerunek i reputację organizacji itp.;
informacje o odbiorcach danych osobowych lub kategoriach odbiorców, przy czym jako odbiorcę danych należy traktować również podmiot przetwarzający. Tutaj warto przystanąć. Definicja odbiorcy danych jest znacznie szersza niż w poprzednich przepisach i obejmuje również podmioty przetwarzające. Przykładowymi odbiorcami danych mogą być:
- ZUS, urzędy skarbowe, banki,
- podmioty w związku z wykonywaniem obowiązków pracowniczych np.: zewnętrzni przedstawiciele, usługodawcy, dostawcy, partnerzy, dystrybutorzy, podwykonawcy;
- podmioty trzecie oferujące dodatkowe świadczenia dla pracowników takie jak grupowe ubezpieczenia oraz podmioty uczestniczące w organizacji podróży służbowych;
- wykonawcy usług pocztowych i operacyjnych;
- biegli rewidenci oraz audytorzy zewnętrzni;
- podmioty świadczące usługi na rzecz administratora, w szczególności usługi informatyczne, marketingowe i telekomunikacyjne, księgowe, windykacyjne, faktoringowe, wydruku faktur, archiwizacji i niszczenia dokumentów, którym administrator powierza do przetwarzania dane osobowe;
- podmioty współpracujące w zakresie ochrony ubezpieczeniowej;
- podmioty lub organy uprawnione na podstawie przepisów prawa (w tym sądy, prokuratorzy, komornicy, organy regulacyjne i nadzorcze);
informacje o przekazywaniu danych do krajów trzecich, jeżeli dotyczy; jeżeli dane nie są przekazywane warto zamieścić taką informację;
okres przechowywania danych lub kryteria jego wyznaczenia;
informacje o prawach osoby, której dane dotyczą, tj. o prawie do:
- dostępu do danych;
- sprostowania danych;
- usunięcia danych – warto wskazać, że skorzystać z tego prawa można jeżeli osoba, której dane dotyczą uważa, że nie ma podstaw do ich przetwarzania;
- ograniczenia przetwarzania – warto wskazać, że można z prawa skorzystać, gdy podmiot danych uważa, że dane są nieprawidłowe lub nie ma podstaw do ich przetwarzania lub podmiot danych nie chce usunąć danych w związku z dochodzeniem lub obroną roszczeń, lub na czas wniesionego sprzeciwu względem przetwarzania danych; występując z tym żądaniem przetwarzanie zostanie ograniczone wyłącznie do przechowywania lub uzgodnionych z osobą działań;
- sprzeciwu – warto wskazać, że z prawa tego można skorzystać w przypadku sprzeciwu wobec przetwarzania danych w celu prowadzenia marketingu bezpośredniego, bądź z uwagi na szczególną sytuację;
- przenoszenia danych – warto uwzględnić, że prawo to nie ma charakteru generalnego, więc podmiot danych może z niego skorzystać, gdy do przetwarzania dochodzi na podstawie zgody lub umowy, a dodatkowo przetwarzanie musi odbywać się w sposób zautomatyzowany; można również poinformować, że prawo dotyczy żądania wydania danych w ustrukturyzowanym, powszechnie używanym formacie, bądź przesłania ich bezpośrednio innemu administratorowi;
- skargi do organu nadzorczego, w przypadku zastrzeżeń co do zgodności z prawem przetwarzania;
- cofnięcia zgody, jeżeli przetwarzanie oparto o zgodę;
- UWAGA: Nie w każdym procesie przetwarzania osoba będzie dysponowała całym katalogiem praw, dlatego należy zwrócić uwagę na charakter procesu przetwarzania w naszej organizacji i wskazać tylko te, które rzeczywiście w danym przypadku przysługują podmiotowi praw. Przykładowo nie będziemy zatem informować o prawie do przenoszenia danych, jeżeli są one przetwarzane wyłącznie w formie papierowej, albo o prawie osunięcia danych pracownika, gdy jesteśmy zobligowani przepisami praca gromadzić i przechowywać akta pracownicze;
informacje o wymogu lub dobrowolności podania danych oraz jakie są konsekwencje niepodania danych. Tutaj powinniśmy podać informację o tym, czy podanie danych jest wymogiem ustawowym, a może wymogiem związanym z zawarciem umowy lub też całkowicie dobrowolne;
gdy administrator opiera swoje decyzje na zautomatyzowanym podejmowaniu decyzji lub na profilowaniu i decyzje te wywierają skutki prawne lub podobne na osobę, której dane dotyczą, należy podać:
- informacje o rodzajach zautomatyzowanego przetwarzania danych i podejmowanych decyzjach;
- istotne informacje o zasadach podejmowania zautomatyzowanych decyzji;
- informacje o konsekwencjach dla osoby, której dotyczą;
gdy obowiązek informacyjny jest realizowany przez współadministatorów należy dodatkowo podać informacje odnośnie wspólnych uzgodnień pomiędzy współadministratorami;
w przypadku danych pozyskanych z innych źródeł niż osoba, której dane dotyczą oprócz informacji, o których mowa powyżej administrator dodatkowo informuję osobę o:
- kategoriach danych, które pozyskał – zaleca się kategoryzować dane przetwarzane przez administratora np.: proste dane identyfikacyjne, dane finansowe, dane o stanie zdrowia, dane osobiste, dane biometryczne, dane dotyczące umów i transakcji, dane dotyczące historii zatrudnienia, wykształcenia itp.
- źródle danych, w tym źródłach publicznych, jeżeli z nich korzystał. Dane osobowe nie posłużą do podejmowania zautomatyzowanej decyzji, w tym profilowania czyli zautomatyzowanego przetwarzania danych;
jeżeli informacja jest związana ze zmianą celu lub nowym celem przetwarzania, administrator podaje informacje spośród ww. katalogu, których osoba jeszcze nie posiada;
ponadto motyw 60 RODO nakazuje administratorowi podać wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.

CZY ZAWSZE MUSIMY SPEŁNIĆ OBOWIĄZEK INFORMACYJNY?

Otóż nie! Obowiązek informacyjny nie musi być realizowany, jeżeli:

osoba, której dane dotyczą dysponuje już tymi informacjami,
poinformowanie osoby, której dane dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Sytuacja braku możliwości lub niewspółmiernie dużego wysiłku może zachodzić w szczególności przypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym.
podanie informacji uniemożliwiłoby osiągnięcie celów przetwarzania lub poważnie je utrudniło. Przykładem takich sytuacji może być gromadzenie danych z innych źródeł w związku z obowiązkami prawnymi, gdzie przedstawienie podmiotowi informacji o procesach przetwarzania jego danych mogłoby uniemożliwić realizację tych obowiązków (np. pozyskiwanie danych w związku z realizacją obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu);
przepisy szczegółowo określają warunki pozyskania lub ujawnienia informacji,
dane są objęte tajemnica ustawową lub zawodową przewidzianą prawem krajowym lub unijnym.

KIEDY I W JAKI SPOSÓB POWINNYŚMY UDZIELIĆ INFORMACJI?

Może zanim przejdziemy do odpowiedzi na to pytanie, zadamy sobie pytanie „jak”. Jak można się zorientować mamy wiele informacji do przekazania. Jeżeli chcemy zrobić to na telefon, to przekazanie informacji może być dłuższe niż dalsza rozmowa. Zatem jak wyważyć prawo do informacji z szanowaniem czasu osób, którym chcemy przekazać informację?

Grupa Robocza art. 29 uznała za zasadne dokonanie selekcji i przekazanie w pierwszej kolejności najistotniejszych wiadomości, a zetem obowiązek informacyjny może być spełniany warstwowo. Pierwsza warstwa powinna zawierać informacje o tożsamości administratora, celach przetwarzania oraz o istnieniu praw osób, których dane dotyczą. W drugiej warstwie należy podać wszystkie pozostałe informacje, o których mowa w art. 13 oraz 14.

W przypadku pozyskania danych osobowych od osoby, której dane dotyczą, wszelkie wskazane wyżej informacje powinny być tej osobie przekazane podczas pozyskiwania danych, w zależności od kanału ich pozyskania:

słownie – jednak z uwagi na objętość informacji, warto przekazać je warstwowo: cześć informacji w rozmowie, pozostała przesłana mailowo (jeżeli przewidziana jest taka forma dalszej komunikacji), odesłanie do strony internetowej, możliwość pobrania informacji w formie papierowej;
mailowo – jeżeli inicjacja kontaktu następuje przez:
- administratora – wraz z wysłaniem pierwszego maila;
- osobę, której dane dotyczą – w odpowiedzi na pierwszego maila;
poprzez stronę internetową – należy odnieść informacje adekwatnie do kategorii osoby, której dane są przetwarzane np. oddzielne informacje dla kandydata do pracy, oddzielne dla klienta, dostawcy czy odwiedzającego stronę internetową itp.
informacja dostępna w widocznym miejscu w punkcie obsługi klienta, jeżeli w takim punkcie dane są pozyskiwane.

W przypadku pozyskiwania danych osobowych nie od osoby, której dane dotyczą, informacje powinny być tej osobie przekazane w zależności od sytuacji:

w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

CO Z OBOWIĄZKIEM INFORMACYJNYM WOBEC OSÓB WYSTĘPUJĄCYCH Z ŻĄDANIEM?

Właściwie nic innego jak przekazanie informacji ze standardowego obowiązku (art. 13 i 14 RODO), no może trochę bardziej szczegółowo. Przykładowo zamiast podawać kategorie odbiorców informacji wskazać konkretnych odbiorców z nazwy.

W przypadku żądania udzielenia informacji, administrator musi upewnić się co do tożsamości osoby występującej z żądaniem i zasadności jej żądania. Zaleca się, aby udzielać informacji wyłącznie osobom, których dane dotyczą lub które mają upoważnienie do otrzymania tego typu informacji (niebudzące wątpliwości). Potwierdzenie tożsamości może nastąpić poprzez zadanie kilku pytań weryfikujących tożsamość na podstawie katalogu danych podanych przez osobę danych np.:

- przy kontakcie bezpośrednim – weryfikacja na podstawie dowodu tożsamości;
- przy kontakcie telefonicznym – weryfikacja nr telefonu, ustalonych haseł do kontaktu, ewentualnie pytania dotyczące np. szczegółowych danych identyfikujących np. nr dokumentu tożsamości, nr PESEL, danych dotyczących miejsca urodzenia, szczegółów umowy, szczegółów transakcji itp.;
- przy kontakcie mailowym lub za pośrednictwem usług pocztowych – weryfikacja adresu do korespondencji, weryfikacja danych osoby, w tym podpisów.

Na dzisiaj to tyle w tym temacie. Przy następnym spotkaniu przeanalizujemy najbardziej kontrowersyjne przypadki np. informowanie pracowników naszego kontrahenta, wyznaczonych przez niego do realizacji umowy. Informować, czy nie informować? Można tak, można tak… jak to w starym dowcipie o maści na szczury… Dowcipu nie przytoczę, ale Wujek Google szybko go odnajdzie. Do zobaczenia wkrótce!

Jeżeli spodobał Ci się mój artykuł i uznasz, że warto się nim podzielić, udostępnij go w mediach społecznościowych lub wyślij znajomemu. Wystarczy, że klikniesz przyciski poniżej. Jeżeli chcesz zostawić komentarz pod artykułem jest to równoznaczne z wyrażeniem zgody na przetwarzanie przeze mnie Twoich danych zawartych w formularzy komentarza. Więcej przeczytasz w polityce prywatności.

W poprzednich wpisach poznaliśmy podstawowe pojęcia związane z ryzykiem (tutaj) i bezpieczeństwem informacji (tutaj), w tym danych osobowych. Przyszedł zatem czas, by zmierzyć się z tematem zarządzania ryzykiem. W dzisiejszym wpisie postaram się przedstawić ideę zarządzania ryzykiem oraz w jaki sposób należy podejść do wdrożenia zarządzania ryzykiem w organizacji. Uznałam, że jest to bardzo ważne zagadnienie i powinno być omówione zanim wejdziemy głębiej w proces zarządzania ryzykiem w bezpieczeństwie informacji i zarządzania ochroną danych osobowych opartym na ryzyku. Dlaczego tak sądzę? Dlatego, że niedostosowanie procedur zarządzania ryzykiem do organizacji może nie przynieść zamierzonych efektów i wręcz zniechęcić organizację do tego cudownego narzędzia zarządczego (… może nie podzielacie mojego zachwytu… mam nadzieję, że mnie się uda to zmienić 😉).

Zanim przejdziemy do definicji to kilka słów o zarządzaniu ryzykiem w bezpieczeństwie danych osobowych. RODO nie reguluje kwestii zarządzania ryzykiem, a nawet nie odwołuje się ani razy do tego pojęcia. RODO odwołuje się do ryzyka związanego z przetwarzaniem danych osobowych, jego oceny pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz najlepszych praktyk pozwalających zminimalizować to ryzyko. De facto odwołuje się do wielu aspektów właśnie zarządzania ryzykiem. Dlatego też GIODO w swoich poradnikach „Jak rozumieć podejście oparte na ryzyku wg RODO?” oraz „Jak stosować podejście oparte na ryzyku?” odnosi się do procesu zarządzania ryzykiem w bezpieczeństwie informacji…. ale o tym później.

Zacznijmy od definicji zarządzania ryzykiem zaczerpniętej z normy ISO 31000, która została powielona również w normie ISO/IEC 27005 dotyczącej zarządzania ryzykiem w bezpieczeństwie informacji.

Zarządzanie ryzykiem to skoordynowane działania dotyczące kierowania i nadzorowania organizacji w odniesieniu do ryzyka

Zrozumiałe? Spróbujmy troszkę oswoić tę definicję.

Z poprzednich definicji wiemy, że ryzyko to wpływ niepewności na cele. W drodze do realizacji naszych celów możemy zidentyfikować zdarzenia, które mogą nam przeszkodzić (zagrożenia) lub pomóc (szanse) w ich osiągnięciu. W bezpieczeństwie informacji skupimy się na zagrożeniach.
W zarządzaniu ryzykiem chodzi o to, by wprowadzić do organizacji pewien sposób myślenia (wyprzedzającego) i zasady postępowania, które zwiększą nasze szanse na osiągniecie celów. Zatem jeżeli już wyznaczymy cel, to musimy zastanowić się nad następującymi kwestiami:

Co może się wydarzyć niekorzystnego po drodze do sukcesu (osiągnięcia celu)?
Jaką mamy pewność, że może się to wydarzyć?
Co może być źródłową przyczyną takiego zdarzenia (jakie zagrożenie)?
Jak się wydarzy, to jak to wpłynie na nasz cel, jakie będą skutki dla organizacji?
Czy jesteśmy skłonni to zaakceptować?
Jeżeli nie, to w jaki sposób możemy nie dopuścić do takiego zdarzenia i ile nas to będzie kosztowało?
Jeżeli jednak się wydarzy, to czy jesteśmy w stanie zmniejszyć skutki i jak mamy się do tego przygotować?

To czy będziemy zapobiegać wystąpieniu zdarzenia, czy raczej przygotujemy się na zmniejszenie jego skutków, gdy już wystąpi, będzie zależało od poziomu ryzyka, od apetytu organizacji na ryzyko (skłonności do ryzyka) oraz od kosztów działań, które musielibyśmy ponieść, by zminimalizować ryzyko.

Pozyskanie tej wiedzy wymaga zaangażowania organizacji, ale to jeszcze nie wszystko. Jak już tę wiedzę zdobędziemy to wypada dobrze ją wykorzystać, co wiąże się z szeregiem działań, które:

pozwolą nam zdecydować, które ryzyka są istotne – określenie priorytetów,
pozwolą nam wdrożyć zabezpieczenia i zminimalizować prawdopodobieństwo, że zdarzenie wystąpi,
zapewnią nam informację, że nieuchronnie zbliża się zdarzenie, którego się obawialiśmy,
przygotują organizację do minimalizacji skutków zdarzenia, gdy już wystąpi.

Czy może to być działanie akcyjne?

Niestety nie, zarządzanie ryzykiem, jak każde ZARZĄDZANIE jest procesem ciągłym. Zatem musimy odpowiednio przygotować organizację poprzez zaplanowanie i wdrożenie procedur, podziału zadań i odpowiedzialności, monitorowanie, czy to co zaplanowaliśmy działa i czy działa prawidłowo, czy przynosi zamierzone efekty, czy możemy coś jeszcze poprawić, ulepszyć…. Tutaj wpadamy w pętlę Deminga, podstawową zasadę doskonalenia organizacji… ale to już dłuższa historia…

Dlaczego zarządzanie ryzykiem jest potrzebne?

Chcemy skutecznie zabezpieczyć nasz system informacyjny, a zatem chronić informacje należące do organizacji, bo to jest niezbędne np. do utrzymania konkurencyjnej pozycji na rynku, dobrego wizerunku organizacji;
Chcemy zapewnić bezpieczeństwo informacji, ale nie chcemy równocześnie ponosić zbyt dużych kosztów zabezpieczeń;
Chcemy również uniknąć zdarzeń, które mogą negatywnie wpłynąć na działania organizacji;
Chcemy, a wręcz musimy działać zgodnie z regulacjami czy wymaganiami prawnymi.

Jak wdrożyć zarządzanie ryzykiem w organizacji?

Najlepiej od początku do końca, systematycznie i w pełni, wdrażając poszczególne elementy procesu zarządzania ryzykiem. Należy zatem:

zbadać i zrozumieć cele i procesy biznesowe organizacji,
dostosować podejście odpowiednio do specyfiki danej organizacji, jej otoczenia zewnętrznego oraz skłonności do ryzyka (struktura organizacyjne, poziom dojrzałości, wymagania prawne dla działalności itp.),
opracować procedury i zastosować zestandaryzowane szablony do gromadzenia i zarządzania informacjami niezbędnymi w procesie zarządzania ryzykiem,
zebrać informacje – zidentyfikować i sklasyfikować aktywa organizacji,
zidentyfikować, ocenić ryzyka oraz zrozumieć ich istotę i wpływ na realizację celów organizacji,
wyznaczyć priorytety w postępowaniu z ryzykiem,
określić priorytety dla działań redukujących ryzyka,
zaangażować uczestników – właścicieli ryzyka do podejmowania działań minimalizujących ryzyko oraz monitorowania ryzyka i całego procesu,
monitorować postępowanie z ryzykiem i oceniać jego skuteczność,
regularnie monitorować i przeglądać ryzyka oraz proces zarządzania ryzykiem,
zbierać i analizować informacje w celu doskonalenia podejścia do ryzyka,
doskonalić proces i podnosić świadomość w zakresie zarządzania ryzykiem wśród kierownictwa i personelu.

Kluczem sukcesu wdrożenia zarządzania ryzykiem jest zawsze świadomość i postawa Kierownictwa.

Niestety bardzo często słyszę opinię, że ” w zarządzanie ryzykiem mogą się bawić duże korporacje, małe firmy nie mają czasu na zabawę – muszą działać”. Czy rzeczywiście tak jest? Nie, nie i jeszcze raz nie! Po pierwsze zarządzanie ryzykiem to nie zabawa, jeżeli wprowadzimy proces adekwatny do organizacji, to szybko zobaczymy korzyści. Po drugie każdy z nas znajduje chwilę na refleksję, by spojrzeć na to co nam się udało osiągnąć, a czego nie? Dlaczego nam się nie udało? Co trzeba poprawić? Czy to co się dzieje w otoczeniu jest szansą na biznes, czy zagrożeniem? Jednym słowem każdy z nas zarządza ryzykiem, może intuicyjnie, mało świadomie, ale jakoś zarządza. Uporządkowanie tego procesu może zwiększyć zdolność organizacji do realizacji jej celów.

Ciekawym zagadnieniem jest kwestia ustalenia w organizacji apetytu na ryzyko. Jest to jeden z fundamentalnych elementów zarządzania ryzykiem. Zachęcam do przeczytania artykuł Pani Anny KOROMBEL z Politechniki Częstochowskiej nt. Identyfikacji korzyści z zarządzania ryzykiem i wyznaczania apetytu ma ryzyko w małych i średnich przedsiębiorstwach. Artykuł dostępny jest tutaj. Miłej lektury i do zobaczenia wkrótce.

Miesiąc: styczeń 2019

Obowiązek informacyjny RODO – jak go realizować?

ZARZĄDZANIE RYZYKIEM – kilka słów wstępu