Procedury rodo przydatne w kontekście NIS 2

W prawie nowych technologii wiele się dzieje, zwłaszcza w obszarze cyberbezpieczeństwa. Regulacje w tym zakresie nie są „samotnymi wyspami”, a wiele obowiązków zawartych w różnych aktach prawnych łączy się ze sobą. Procedury uregulowane w przepisach o ochronie danych osobowych mogą okazać się przydatne w procesie zapewniania zgodności z przepisami dyrektywy NIS 2 i projektem implementującej ją ustawy.

Regulacyjne tsunami w obszarze nowych technologii trwa w najlepsze. Niniejszy tekst pisany miesiąc temu miałby inną treść i odwoływałby się do innych przepisów, publikacji i przewodników. W międzyczasie weszła w życie dyrektywa NIS 2, opublikowano rozporządzenie wykonawcze Komisji (UE) 2024/2690 z dnia 17 października 2024 r. ustanawiające zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowujące przypadki, w których incydent uznaje się za poważny w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług zaufania. ENISA opublikowała wytyczne wykonawcze do tego rozporządzenia ustanawiającego zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodologicznych dotyczących środków zarządzania ryzykiem w cyberprzestrzeni.

Zgodnie z zasadą rozliczalności opisaną w art. 5 ust. 2 rodo administrator jest odpowiedzialny za przestrzeganie zasad ochrony danych osobowych opisanych w art. 5 ust. 1 rodo i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). W celu jej realizacji administratorzy wdrażali różnego rodzaju dokumenty. Niektóre z nich pochodziły jeszcze z czasów przed rodo (polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym), inne wynikały już z nowych regulacji (np. polityka ochrony danych, choć nie stanowi ona obligatoryjnego elementu systemu ochrony danych osobowych). Wreszcie część z nich powstawała z zupełnie innych powodów (dokumentacja systemu zarządzania bezpieczeństwem informacji zgodna z normą ISO 27001). Zanim jednak zaczniemy, tym razem na potrzeby zapewnienia zgodności z dyrektywą NIS 2, wdrażać kolejne polityki i procedury, spróbujmy wykorzystać te rozwiązania, które funkcjonują pod rządami rodo. Okaże się bowiem, że gros z nich jest przydatne, czasem jako punkt wyjścia albo zestaw reguł gotowych do szerszego wykorzystania niż tylko rodo. Nie każdy administrator będzie podmiotem ważnym czy kluczowym. Podobnie nie każdy dostawca produktów, usług ICT będzie podmiotem przetwarzającym i vice versa – nie każdy podmiot przetwarzający będzie dostawcą produktów i usług ICT. Zarówno administratorzy, jak i podmioty przetwarzające dokumentują różnego rodzaju elementy systemu ochrony danych osobowych odnoszące się wprost do cyberbezpieczeństwa.

Polityka ochrony danych

Zgodnie z treścią art. 24 ust. 1 rodo administrator, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne. Dzięki temu przetwarzanie odbywa się zgodnie z rodo. Środki te w razie potrzeby są poddawane przeglądom i uaktualniane. W przypadku, w którym jest to proporcjonalne w stosunku do czynności przetwarzania, środki te obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Ten przepis wydaje się zbieżny z treścią art. 21 dyrektywy NIS 2. Czytamy w nim, że podmioty kluczowe i ważne mają wprowadzić odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług. Mają też służyć zapobieganiu wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu. Dalej wskazuje się w nim parametry, które należy wziąć pod uwagę, ustalając zakres stosowanych środków.

Przepisy rodo nie określają zakresu tematycznego polityki ochrony danych. Natomiast sama nazwa dokumentu może być pewną wskazówką. Ma to być dokument stanowiący wyraz woli najwyższego kierownictwa, określający zasady ochrony danych osobowych, obowiązki i odpowiedzialność osób biorących udział w przetwarzaniu oraz rozwiązania dotyczące ochrony danych osobowych w praktyce. Polityka ochrony danych jest przykładem dokumentu normatywnego. W praktyce zawiera ona często rozwiązania dotyczące obsługi naruszeń ochrony danych osobowych, opis środków organizacyjnych i technicznych służących ochronie danych, w tym tych przetwarzanych w systemach informatycznych. Należy zatem uwzględniać politykę ochrony danych w ramach dokumentacji systemu zarządzania bezpieczeństwem informacji, zapewniając tym samym zgodność procedur, a czasem wykorzystując rozwiązania dotyczące ochrony danych osobowych.

Biorąc pod uwagę fakt, że zgodnie z projektem ustawy dokumentacja systemu zarządzania bezpieczeństwem informacji ma obejmować m.in. polityki szacowania ryzyka i bezpieczeństwa systemu informacyjnego, warto zweryfikować, czy polityka ochrony danych nie obejmuje tych zagadnień.

Bezpieczeństwo przetwarzania

Innym obszarem rodo przydatnym w kontekście zgodności z wymaganiami dyrektywy NIS 2 i implementujących ją przepisów są wymagania dotyczące bezpieczeństwa przetwarzania zawarte w art. 32 rodo. Przepis ten w zasadzie nie wskazuje żadnych konkretnych rozwiązań organizacyjnych lub technicznych, ale zawiera szereg celów dla administratora, które przyjmują postać stosownych polityk i procedur (dokumentacja normatywna) oraz dowód na ich realizację (dokumentacja operacyjna).

Omawiany przepis nakazuje, aby administrator i podmiot przetwarzający wdrożyli takie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. Muszą przy tym uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Ten przepis wydaje się przydatny w kontekście zgodności z NIS 2, ponieważ nakłada obowiązek prowadzenia oceny ryzyka i zarządzania tym ryzykiem. Co prawda, art. 32 ust. 1 rodo dotyczy ryzyka kontekstowego dotyczącego naruszenia praw i wolności osoby fizycznej, zwłaszcza wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Niemniej stanowi on element pojęć szerszych: częściowo ryzyka w cyberbezpieczeństwie (nie obejmując w pełni ryzyka związanego z przetwarzaniem danych osobowych w formie papierowej) i ryzyka w organizacji.

Przy tworzeniu polityki zarządzania ryzykiem w cyberbezpieczeństwie należy brać pod uwagę wypracowane i wdrożone pod rządami rodo reguły zarządzania ryzykiem. Dzięki temu unikniemy dwóch metodologii w organizacji, zwłaszcza przy pokrywających się zakresach ryzyka. Poza tym ryzyka dotyczące phishingu i inżynierii społecznej (zob. motyw 89 preambuły dyrektywy NIS 2) występują też w ochronie danych osobowych, o czym świadczą liczne decyzje Prezesa UODO. Bezpieczeństwo informacji, w tym danych osobowych, to zapewnienie poufności, integralności i dostępności danych.

Cyberbezpieczeństwem, zgodnie z aktem o cyberbezpieczeństwie, są działania niezbędne do ochrony sieci i systemów informatycznych, użytkowników takich systemów oraz innych osób przed cyberzagrożeniami (art. 2 pkt 1). W dyrektywie NIS 2 przeczytamy, że bezpieczeństwo sieci i systemów informatycznych oznacza odporność sieci i systemów informatycznych, przy danym poziomie zaufania, na wszelkie zdarzenia, które mogą naruszyć dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez te sieci i systemy informatyczne lub dostępnych za ich pośrednictwem (art. 6 pkt 2). Z porównania tych dwóch rodzajów bezpieczeństwa wynika wprost, że elementem wspólnym jest zapewnienie (odporność) na naruszenia poufności, integralności i dostępności, a przecież autentyczność danych lub usług nie jest także pojęciem obcym w świecie ochrony danych osobowych.

Zgodnie z art. 32 ust. 1 rodo środki techniczne i organizacyjne powinny obejmować m.in. w stosownym przypadku:

1. pseudonimizację i szyfrowanie danych osobowych;
2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Dokumentacja normatywna i operacyjna mogą być brane pod uwagę w przypadku:

• polityk bezpieczeństwa systemu informacyjnego;
• zapewniania bezpieczeństwa w procesie nabywania, rozwoju, utrzymania i eksploatacji systemu informacyjnego, w tym testowanie systemu informacyjnego;
• zapewniania bezpieczeństwa fizycznego i środowiskowego, uwzględniając kontrole dostępu;
• zapewniania bezpieczeństwa zasobów ludzkich;
• wdrażania, dokumentowania, testowania i utrzymywania planów ciągłości działania umożliwiających ciągłe i niezakłócone świadczenie usługi oraz zapewniających poufność, integralność, dostępność i autentyczność informacji, planów awaryjnych oraz planów odtworzenia działalności umożliwiających odtworzenie systemu informacyjnego po zdarzeniu, które spowodowało straty przekraczające zdolności podmiotu do odbudowy za pomocą własnych środków (katastrofa);
• monitorowania systemu informacyjnego wykorzystywanego do świadczenia usługi w trybie ciągłym;
• polityk i procedur oceny skuteczności środków technicznych i organizacyjnych;
• podstawowych zasad cyberhigieny, takich jak zasady zerowego zaufania, aktualizacje oprogramowania, konfiguracje urządzeń, segmentacje sieci, zarządzanie tożsamością i dostępem lub budowanie świadomości użytkowników (zob. motyw 89 preambuły dyrektywy NIS 2);
• polityk i procedur stosowania kryptografii, w tym w stosownych przypadkach szyfrowania;
• zarządzania aktywami;
• polityk kontroli dostępu.

Instrukcje zarządzania systemem informatycznym funkcjonujące w niektórych organizacjach jako część polityki ochrony danych lub jako samodzielne dokumenty mogą być przydatne do wykorzystania w dokumentacji normatywnej dotyczącej cyberbezpieczeństwa. Przepis prawa stanowiący podstawę ich obowiązywania co prawda od lat nie obowiązuje, ale wiele organizacji posiada dokumentację zawierającą:

1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5. sposób, miejsce i okres przechowywania:
   1. elektronicznych nośników informacji zawierających dane osobowe;
   2. kopii zapasowych, o których mowa w pkt 4;
6. sposób zabezpieczenia systemu informatycznego przed działalnością złośliwego oprogramowania;
7. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Nie ulega wątpliwości, że każda z tych procedur może okazać się przydatna dla zapewnienia zgodności z wymaganiami dyrektywy NIS 2.

Bezpieczeństwo łańcucha dostaw

Elementy zapewnienia bezpieczeństwa łańcucha dostaw zostały już uwzględnione w ramach systemu ochrony danych osobowych (w relacjach między administratorem a podmiotem przetwarzającym), stanowiącym de facto pierwsze ogniwo łańcucha dostaw usług lub produktów informatycznych. W tym zakresie warto uwzględnić wymagania art. 28 rodo, zwłaszcza zawarte w:

• ust. 1: „Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą”;
• ust. 3 lit. c: „(…) umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający: c) podejmuje wszelkie środki wymagane na mocy art. 32”;
• ust. 3 lit. f: „(…) umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający: f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36”;
• ust. 3 lit. h: „(…) umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający: h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich”.

Jednocześnie warto pamiętać, że rodo obejmuje także zagadnienie dalszych ogniw łańcucha dostaw, a mianowicie:

• „warunki korzystania przez podmiot przetwarzający z innego podmiotu przetwarzającego („na ten inny podmiot przetwarzający zostają nałożone – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia”);
• odpowiedzialność względem administratora („jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym”).

Szczególnego podkreślenia wymaga art. 28 ust. 2 rodo, który ułatwia administratorowi identyfikację ogniw łańcucha dostaw („podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian”).

Warto pamiętać, że przydatne okaże się doświadczenie dotyczące weryfikacji, w tym także okresowej, podmiotów przetwarzających w zakresie gwarancji ochrony powierzonych danych osobowych. Zwraca na to uwagę Prezes UODO, który w decyzjach z 19 stycznia 2021 r. (DKN.5130.2215.2020) oraz z 10 października 2024 r. (DKN.5131.35.2021) wskazywał, że:

[art. 28 ust. 3 lit. h rodo] daje zatem administratorowi pewne narzędzia, korzystanie z których może zapewnić, że proces przetwarzania danych podlegających powierzeniu będzie zgodny z przepisami rozporządzenia 2016/679, a administrator uniknie odpowiedzialności za ich naruszenie. Podkreślić należy, że przeprowadzanie przez administratora w podmiocie przetwarzającym audytów, w tym inspekcji, należy traktować jako jeden z istotniejszych środków bezpieczeństwa, jakie powinien zastosować administrator w celu prawidłowego wywiązania się ze swoich obowiązków wynikających z art. 32 ust. 1 rozporządzenia 2016/679. Administrator powinien bowiem w czasie korzystania przez niego z usług podmiotu przetwarzającego dysponować wiedzą, czy i w jaki sposób podmiot, któremu powierzył przetwarzanie danych osobowych, spełnia wymogi określone w rozporządzeniu 2016/679. Nie ulega wątpliwości, że najskuteczniejszym sposobem zapewnienia sobie tej wiedzy przez administratora jest dokonywanie w podmiocie przetwarzającym stosownych audytów, w tym inspekcji.

Brak takich audytów w podmiocie przetwarzającym sam w sobie stanowi naruszenie art. 25 ust. 1 rodo, który nakazuje wdrożenie:

odpowiednich środków technicznych i organizacyjnych, nie tylko przy określaniu sposobów przetwarzania, ale także w czasie samego przetwarzania. Ciągłość wpisana w analizowany obowiązek może więc w praktyce przejawiać się m.in. w konieczności zapewnienia regularnego monitoringu zastosowanych zabezpieczeń oraz prowadzenia stałego nadzoru nad podmiotem przetwarzającym poprzez np. audyty i inspekcje, o których mowa w art. 28 ust. 3 lit. h) rozporządzenia 2016/679.

Prezes UODO podkreśla przy tym, że:

długotrwała współpraca stron, nie poparta okresowym, systematycznym przeprowadzaniem audytów bądź inspekcji nie gwarantuje, iż podmiot przetwarzający zrealizuje w sposób prawidłowy zadania wymagane przepisami prawa oraz wynikające z zawartej umowy powierzenia. Dotychczasowa, pozytywnie oceniana współpraca stanowić może jedynie punkt wyjścia przy dokonywaniu weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą.

Zarządzanie incydentami

W przypadku zarządzania incydentami rozwiązania wynikające z przepisów rodo mogą okazać się przydatne. Dotyczą one zarówno dokumentowania naruszeń ochrony danych osobowych, jak i ich klasyfikowania w celu ustalenia prawdopodobieństwa, by naruszenie to skutkowało ryzykiem naruszenia praw. Jak wiadomo, małe prawdopodobieństwo w tym zakresie zwalnia z obowiązku zgłaszania naruszenia UODO (art. 33 ust. 1 rodo). Wysokie ryzyko naruszenia praw lub wolności osób fizycznych wymusza zawiadomienie o naruszeniu osoby, której dane dotyczą.

Dyrektywa NIS 2 posługuje się dodatkowo pojęciem incydentu oznaczającego zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem (art. 6 pkt 6). Nie jest ono jednak odległe pojęciowo od naruszenia ochrony danych osobowych stanowiącego naruszenie bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Wydaje się, że naruszenie ochrony danych osobowych może być jednym z rodzajów incydentu, aczkolwiek nie dotyczy to naruszeń danych osobowych przetwarzanych w formie papierowej. Z kolei zasady klasyfikowania naruszeń ochrony danych osobowych i ocenianie prawdopodobieństwa ich wpływu na prawa i wolności osób fizycznych może okazać się przydatne dla oceny skali incydentu. Dodatkowo warto zauważyć, że „obsługa incydentu” oznaczająca działania i procedury, które mają zapobiec incydentowi, wykrywanie i analizowanie go, ograniczanie jego zasięgu lub reagowanie na niego i przywrócenie normalnego działania (art. 6 pkt 8 dyrektywy NIS 2) obejmuje elementy zbliżone do dokumentowania naruszenia ochrony danych, w tym okoliczności naruszenia, jego skutków oraz podjętych działań zaradczych (art. 33 ust. 5 rodo).

Podsumowanie

Powyższe rozważania nie wyczerpują możliwego wykorzystania procedur stworzonych na potrzeby ochrony danych osobowych przy zapewnianiu zgodności z wymaganiami dyrektywy NIS 2 oraz polskimi przepisami ją implementującymi. Można jeszcze wspomnieć o roli zadań IOD w edukacji z zakresu cyberbezpieczeństwa. Prawodawca unijny w art. 39 ust. 1 lit. b rodo jako jedno z jego zadań wskazuje monitorowanie przestrzegania rodo, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.

Praktyczna realizacja tego obowiązku nadaje się do wykorzystania dokumentowania zadań z zakresu cyberedukacji. W motywie 20 preambuły rozporządzenia wykonawczego Komisji (UE) 2024/2690 z dnia 17 października 2024 r. wskazuje się, że w odniesieniu do podstawowych praktyk cyberhigieny dla użytkowników odpowiednie podmioty powinny rozważyć takie praktyki, jak polityka „czystego biurka” i „czystego ekranu”, stosowanie uwierzytelnienia wieloskładnikowego i innych środków uwierzytelniania, bezpieczne korzystanie z poczty elektronicznej i przeglądanie stron internetowych, ochrona przed phishingiem i inżynierią społeczną, bezpieczne praktyki pracy zdalnej. ENISA w wytycznych wykonawczych jako przykłady praktyk z zakresu cyberhigieny wskazuje takie elementy jak: polityka „czystego” biurka i ekranu, stosowanie haseł i innych środków uwierzytelniania, zgłaszanie incydentów, bezpieczne korzystanie z poczty elektronicznej i przeglądanie stron internetowych, ochrona przed phishingiem i socjotechniką, bezpieczne korzystanie z urządzeń mobilnych, praktyki bezpiecznego połączenia, tworzenia kopii zapasowych, bezpiecznej telepracy i inne. Szkolenia z zakresu ochrony danych osobowych często obejmują właśnie te zagadnienia.

Z kolei w celu zapewnienia bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowania w przypadku podatności i ich ujawniania, warto skorzystać z rozwiązań dotyczących zasady privacy by design oraz privacy by default (art. 25 ust. 1 i 2 rodo).

W organizacjach można znaleźć wiele gotowych, regularnie wykorzystywanych i doskonalonych rozwiązań, które zapewniają zgodność z wymaganiami dyrektywy NIS 2. Czas oczekiwania na pozostałe rozwiązania można wykorzystać na inwentaryzację posiadanych polityk i procedur.

---

Autor

Tomasz Cygan

Autor jest adwokatem, inspektorem ochrony danych, wykładowcą i publicystą, a także posiadaczem certyfikatów CC i CISSP.