20 Lut

Czym jest System Zarządzania Bezpieczeństwem Informacji (SZBI)?

Pojęć związanych z bezpieczeństwem informacji jest bardzo dużo, a nim głębiej w las, tym ciemniej. Ja sama na początku miałam problem, żeby połapać się w tym co jest czym, co być musi, co być może, a co być powinno (mimo że nie musi).

Fundamentalnym jest System Zarządzania Bezpieczeństwem Informacji, czyli strategia działania w zakresie zapewniania właściwej ochrony informacji poufnych. Strategia ma zapewnić ciągłe doskonalenie podjętych działań i procedur w celu optymalizacji ryzyk związanych z naruszeniem poufności. Mówiąc krótko, na SZBI składają się wszystkie procedury, polityki, regulaminy i instrukcje bezpieczeństwa informacji, które wdrożyliśmy w naszej jednostce organizacyjnej. Read More

12 Lut

Jak często ABI powinien się szkolić?

Pytanie o to, jak często i jak bardzo powinien doskonalić się zawodowa administrator bezpieczeństwa informacji pojawia się często w kontekście tego, czy pracodawca który powołał ABI ma obowiązek zapewnić mu odpowiednie szkolenia. W mojej ocenie ABI powinien przynajmniej raz do roku doskonalić swoje umiejętności oraz poszerzać wiedzę, a nawet ośmielę się twierdzić, że dla ABI w dużych podmiotach, który musi szacować ryzyko i zapewnić ciągłość działania, raz do roku to zdecydowanie za mało. Obowiązek doskonalenia zawodowego nie wynika wprost z przepisów, jednakże pośrednio możemy go z nich wywodzić. Przede wszystkim z ustawy o ochronie danych osobowych:

Art. 36a ust. 5. Administratorem bezpieczeństwa informacji może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.

Zgodnie z rozporządzeniem MAiC z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji, w momencie zgłaszania ABI do rejestru GIODO administrator danych składa oświadczenie: Read More

29 Sty

Warsztaty: Realizowanie (w praktyce) zadań wynikających z przepisów o ochronie danych osobowych

Czy masz już dosyć szkoleń, na których ciągle słyszysz to samo, na których w kółko czytana jest ustawa o ochronie danych osobowych, a nie padają odpowiedzi na konkretne pytania i nie są rozwiązywane konkretne problemy? A po powrocie do biura stwierdzasz, że szkolenie nic Ci nie dało, bo nadal nie umiesz sobie poradzić z problemami i narzuconymi przez przepisy o ochronie danych osobowych obowiązkami?

Jeżeli odpowiedzi na powyższe pytania były twierdzące, to te warsztaty są dla Ciebie!

Przygotowałam dwudniowy program warsztatów, które nie będą nudne, które nie będą skupiały się na czytaniu przepisów, a na analizowaniu problemów z codziennej pracy przy danych osobowych i z bezpieczeństwem informacji w kontekście obowiązujących przepisów, decyzji GIODO oraz orzecznictwa. Podczas tych warsztatów będą padały trudne pytania, na które uczestnicy będą szukali odpowiedzi. Będę stawiała przed uczestnikami zadania, które będą musieli rozwiązać. Będą musieli poradzić sobie:

  • z konkretnymi incydentami bezpieczeństwa
  • trudnym szefem, który nie rozumie ich roli w zakresie nadzorowania bezpieczeństwa informacji
  • pracownikami, którzy „robią po swojemu”
  • pismem z GIODO
  • kontrolą z przestrzegania przepisów w praktyce
  • decyzją GIODO nakazującą przywrócenie stanu zgodnego  z prawem
  • analizą ryzyka i zagrożeń
  • niewłaściwym zabezpieczeniem danych
  • niezgłoszonymi od dawna zbiorami do GIODO
  • nadawaniem i zmienianiem upoważnień do przetwarzania danych
  • aktualizacją polityki bezpieczeństwa, którą zrobił ktoś inny
  • współpracą z informatykiem, który współpracować nie chce

Read More

26 Sty

Jak wysokie są kary za naruszenie ustawy o ochronie danych osobowych?

Ze względu na to, że reforma przepisów w zakresie ochrony danych osobowych (tzn. ogólne rozporządzenie o ochronie danych) przewiduje duże zmiany w zakresie nakładania kar za naruszenia przepisów o ochronie danych osobowych, postanowiłam szerzej omówić zmiany. Tym bardziej, że już w sieci pojawiło się sporo mniej lub bardziej prawdziwych informacji na ten temat. Moim zdaniem kary są obecnie zdecydowanie za niskie, za mało dotkliwe i przede wszystkim nieadekwatne do czynu i budżetu podmiotu (dla małych są za wysokie, dla dużych za niskie). Inspiracją do tego wpisu był także artykuł opublikowany w serwisie Sekurak Firma z UK dostała karę ~750 000 PLN. Ukradli im nieszyfrowany dysk, który rozpoczyna się, jakże mocno działającym na emocje zdaniem: Czyżby była to rozgrzewka przed potencjalnymi wysokimi karami (do 10 milionów EUR) związanymi z nowymi wytycznymi odnośnie danych osobowych? Artykuł straszy potencjalnych klientów konsekwencjami zmian przepisów. Demonizuje je i buduje negatywny odbiór. Artykuł jest w swoim przekazie bardzo nierzetelny, gdyż szczegółowa analiza sytuacji, tzn. tego co się wydarzyło, wielkości strat oraz przede wszystkim sytuacji finansowej i możliwości technologicznych „firmy z UK”, wskazują że jest to kara co najmniej adekwatna, jeżeli nie za niska. Jest mi przykro, że w Polsce nie doczekaliśmy się takich kar.

Omawiając zagadnienie skupię się  na karach wynikających bezpośrednio z przepisów o ochronie danych osobowych, pomijając te wynikające chociażby z Kodeksu Cywilnego (za naruszenie dóbr osobistych), czy Kodeksu Karnego (np. za cyberprzestępstwo). Zainteresowanych szerszym spojrzeniem odsyłam do bardzo dobrego omówienia Dochodzenia roszczeń wynikających z cyberprzestępstwa. Read More

18 Sty

Czy wysyłanie pracowników na szkolenie BHP wymaga zawarcia umowy powierzenia danych?

Dzisiaj omówię pytanie otrzymane przez mój fanpage od jednego z zaprzyjaźnionych ABI: czy wysyłając pracowników na szkolenie bhp prowadzone przez firmę zewnętrzną, przy przekazywaniu danych pracowników niezbędnych do przeprowadzenia szkolenia należy też sporządzić umowę powierzenia danych? Szkolenia takie są ustawowo obowiązkowe.

Pytanie bardzo mi się spodobało, bo stanowi problem, z którym musi zmierzyć się nie jeden ABI. I jak to w życiu bywa, to co w teorii wydaje się zrozumiałe, w praktyce budzi wątpliwości. Przede wszystkim należy zwrócić uwagę, że szkolenia rzeczywiście są obowiązkowe, ale przecież nie musi ich robić zewnętrzna firma, tylko zatrudniony przez administratora danych specjalista ds. BHP.
Jeżeli firma zdecydowała się jednak na zewnętrzny podmiot, który obsługuje ją w tym zakresie, moim zdaniem, należy podpisać umowę powierzenia (to może być część umowy na usługi lub zlecenia, nie ma obowiązku podpisywania oddzielnego dokumentu). Mówiąc krótko – ADO powierza zadanie, które mógłby zrealizować samodzielnie (i z którym wiąże się przetwarzanie danych, dla których jest ADO), innemu podmiotowi.

Read More

09 Sty

Czy można umieścić zgodę na przetwarzanie danych w regulaminie

Nie, nie i jeszcze raz nie. Najchętniej właśnie tak zakończyłabym ten wpis, jednakże jest to tak częsta praktyka, że wymaga szerszego omówienia. Zanim wyjaśnię dlaczego zaznaczę, że taka zgoda jest nieważna, więc nie jest to sprytny sposób na ominięcie problemu pozyskania zgody, a zamienienie małego kłopotu na duży. Zwłaszcza, że często pozyskać zgodę wcale nie jest tak trudno, wszystko jest kwestią chęci. Ale o tym za chwilę 🙂

Zgodnie z art. 7 pkt 5 ustawy o ochronie danych osobowych zgoda to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie. Zgoda nie może wynikać z oświadczenia woli o innej treści – czyli zgoda nie może być zawarta w regulaminie, którego zaakceptowanie wiąże się ze zgodą na warunki świadczenia usługi. Umieszczenie w regulaminie zgody, oznacza że wynika ona z „oświadczenia woli zgody na zasady świadczenia usługi określone w regulaminie”. Zatem taka zgoda jest domniemana i nieważna. A jeżeli została pozyskana właśnie w ten sposób, to został złamany art. 49.1. ustawy o ochronie danych osobowych Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Read More

03 Sty

Czy administrator danych może upoważnić do przetwarzania danych kogoś kto nie jest jego pracownikiem?

Nadawanie upoważnień do przetwarzania danych osobowych jest jednym z podstawowych obowiązków administratora danych, wynikających z ustawy o ochronie danych osobowych.

Informację jak nadawać upoważnienia oraz wzór upoważnienia znajdziesz tutaj

Większość administratorów danych nie ma wątpliwości, że obowiązkiem otrzymania upoważnienia są objęci jego pracownicy i współpracownicy.  Nawet jeżeli przetwarzanie danych wynika bezpośrednio z obowiązku narzuconego przez przepisy prawa (opisywałam to na przykładzie upoważniania nauczycieli przez szkołę). Jednakże w podanym przykładzie zabrakło odpowiedzi na pytanie, kto powinien upoważnić osobę, która nie jest pracownikiem szkoły, np. pielęgniarkę szkolną lub pracownika ochrony. Zgodnie z art. 37. ustawy o ochronie danych osobowych: Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.Oznacza to, że administrator danych upoważnia do swoich danych. Nawet jeżeli osoba, która otrzyma dostęp do danych nie jest pracownikiem administratora, to właśnie on powinien nadać upoważnienie. Read More

15 Gru

Zapraszam do rezerwowania terminów szkoleń na 2017 rok

Jeżeli chcielibyście skorzystać ze wsparcia osoby, która ma nie tylko wiedzę merytoryczną, ale także doświadczenie, to programy moich szkoleń są właśnie dla Was. Przyszłoroczna oferta szkoleniowa jest bardzo szeroka, obejmuje zarówno konsultacje i szkolenia online, jak i zajęcia przeprowadzane na miejscu,  w Waszej firmie.

Na ofertę szkoleniową składają się:

Warsztaty i szkolenia z ochrony danych osobowych (w tym ochrona wizerunku)

Audyty bezpieczeństwa oraz sprawdzenia zgodności z przepisami o ochronie danych osobowych

Konsultacje indywidualne online

Warsztaty i szkolenia z przeprowadzania kontroli zarządczej

08 Gru

Czy instytucje przetwarzające informacje niejawne są „zwolnione z ochrony danych osobowych”?

Spotkałam się z opinią, że podmioty przetwarzające informacje niejawne są zwolnione z obowiązków wynikających z ustawy o ochronie danych osobowych. Jest to oczywiście błędne przeświadczenie, ale warto omówić jego genezę i wyjaśnić dlaczego tak nie jest. Zwłaszcza, że wiele takich podmiotów stosuję tę „zasadę zwolnienia” i nie wypełnia obowiązków wynikających z przepisów prawa.

Miejska legenda wywodzi się z art. 43. 1. ustawy: Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych zawierających informacje niejawne. Z treści cytowanego przepisu wyraźnie wynika, że zwolnienie dotyczy tylko zbiorów danych zawierających informacje niejawne, nie dotyczy pozostałych zbiorów danych, nie oznacza także, że taki administrator danych jest zwolniony z pozostałych obowiązków wynikających z ustawy (stworzenia polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi, upoważnienia, zobowiązania do poufności, itd.). Read More

26 Lis

Jak zrobić rejestr zbiorów ABI

Bardzo długo nie poruszałam tego tematu, bo wydawało mi się, że to oczywista oczywistość, jednak liczne wiadomości od Was pełne wątpliwości jak stworzyć i prowadzić rejestr ABI, uświadomiły mi, że taki wpis jest Wam potrzebny. Wobec tego oddaję Wam instrukcję, jak stworzyć i prowadzić rejestr zbiorów danych osobowych ABI.

Po pierwsze rejestr zbiorów ABI to nie jest to samo co wykaz zbiorów danych osobowych, tworzony na potrzeby polityki. Dokładnie tłumaczyłam to tutaj. Wykaz zbiorów obejmuje wszystkie zbiory, a rejestr tylko te, które nie zostały zwolnione z obowiązku wpisania do rejestru. Oznacza to, że w niektórych podmiotach rejestr ABI może być pusty. Po drugie do rejestru ABI wpisuje się tylko zbiory danych zwykłych, zbiory danych wrażliwych w dalszym ciągu należy zgłaszać do GIODO. Zasady prowadzenia rejestru ABI określa ustawa o ochronie danych osobowych oraz Rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych. Read More