Author Archives: Sylwia Czub

13 lis

Szkolenia z kontroli zarządczej

Wychodząc na przeciw coraz większemu zainteresowaniu poszerzenia oferty szkoleniowej, serdecznie zapraszam do zamawiania szytych na miarę warsztatów z przeprowadzania kontroli zarządczej w instytucjach publicznych.

Oferta jest skierowana głównie do małych instytucji kultury (bibliotek, muzeów, domów kultury), oświaty, ale także ośrodków pomocy społecznej. W ramach oferty szkoleniowej można skorzystać z dwóch modułów:

  • ogólnego, dla jednostek które chcą wdrożyć procedury od zera
  • praktycznego, dla jednostek które chcą przejść przez proces kontroli w praktyce

Cały program i oferta są dostępne tutaj.

07 lis

Co ABI powinien zrobić w przypadku naruszenia bezpieczeństwa informacji

Nim dłużej pełnię obowiązki administratora bezpieczeństwa informacji, tym bardziej dostrzegam złożoność procesu nadzorowania zgodności przetwarzania danych z przepisami (a właściwie wszelkich informacji chronionych, bo nigdy nie ograniczam się tylko do danych osobowych) oraz ilość obowiązków, która jest proporcjonalna do zakresu działalności klienta. Nim więcej dzieje się u niego (a w agencjach reklamowych, czy firmach eventowych dzieje się bardzo dużo) tym więcej jest pracy. Czasami mam wrażenie, że nie sposób na bieżąco kontrolować wszystkie zapisy umowne, regulaminy, wydarzenia, systemy informatyczne. W ostatnim czasie rośnie też liczba drobnych incydentów, które wymagają ode mnie, jako ABI, przeprowadzenia sprawdzenia oraz działań naprawczych. Incydenty bezpieczeństwa to codzienność ABI. Większość wynika ze zwykłej niewiedzy, reszta z lenistwa lub zaniedbania. Dobry ABI powinien reagować nawet na drobne naruszenia bezpieczeństwa. Ponieważ drobne zaniedbania generują większe problemy, a z czasem nawarstwiają się i tworzą wielki problem.

Moje wskazówki dla ABI, jak radzić sobie ze stwierdzeniem naruszenia bezpieczeństwa informacji

Każdy incydent wymaga indywidualnego podejścia. Nie ignoruję żadnego zgłoszenia, nawet jeżeli już po pierwszym zdaniu, wiem „że to żaden problem”. Chcę budować więź zaufania pomiędzy ABI, a ludźmi przetwarzającymi dane osobowe, aby wiedzieli, że każdy ich problem traktuję poważnie i jestem od ich rozwiązywania. W efekcie wraz z wydłużającym się stażem pracy, jako ABI otrzymuję coraz więcej zgłoszeń i jestem w stanie wykryć coraz istotniejsze problemy. Read More

29 paź

Jak określić administratora danych osobowych w bibliotece wojskowej lub urzędzie?

Problem z ustaleniem administratora danych osobowych w bibliotece klubu wojskowego (dalej będę nazywać ją biblioteką wojskową) polega na tym, że ta biblioteka nie jest samodzielną jednostką organizacyjną. Biblioteka wojskowa znajduje się w strukturach organizacyjnych jednostki wojskowej, która nie posiada osobowości prawnej. Natomiast osobowość posiada obsługujący jednostkę wojskową pod względem administracyjnym i gospodarczym oddział, pododdział lub związek organizacyjny (np. Wojskowy Oddział Gospodarczy). Kierownicy bibliotek wojskowych stają przed trudnością w określeniu, czy administratorem jest jednostka, dowódca, czy WOG.

Punktem wyjścia do znalezienia odpowiedzi na pytanie, jest ustawowa definicja administratora danych: jest to organ, jednostka organizacyjna, podmiot lub osobę decydującą (samodzielnie) o celach i środkach przetwarzania danych osobowych.  Trudność w ustaleniu administratora danych osobowych w instytucjach państwowych polega na tym, że dla danych przetwarzanych w ramach jednego podmiotu (np. urzędu) może być różny administrator danych osobowych. Dla danych pracowniczych będzie nim pracodawca, ale dla danych przetwarzanych w ramach centralnego rejestru PESEL Minister Spraw Wewnętrznych i Administracji. Decydującym czynnikiem jest odpowiedź na pytanie kto decyduje o celach i środach przetwarzania danych osobowych. Co ciekawe w przypadku wniosków kierowanych do urzędu o udostępnienie danych z rejestru PESEL powstaje nowy zbiór danych osobowych „decyzji administracyjnych na wniosek o udostępnienie danych z rejestru PESEL”, dla którego administratorem jest podmiot przetwarzający te dane. Read More

25 paź

Wzór sprawozdania ze sprawdzenia zgodności przetwarzania danych z przepisami

Piszecie do mnie ostatnio z prośbą o wzór sprawozdania ze sprawdzenia zgodności z przepisami o ochronie danych osobowych. Prawda jest taka, że jest on już od bardzo dawna na moim blogu, ale po prostu chyba za bardzo ukryty, bo nie możecie do niego dotrzeć.

Przypomnę tylko krótko, że przeprowadzanie regularnych sprawdzeń ze zgodności przetwarzania danych z przepisami, jest obowiązkiem każdego administratora danych osobowych. Jest to podstawa do kontroli zgodności przetwarzania i stosowania odpowiednich środków. Może to być także forma analizy ryzyka i zagrożeń (a konkretne szacowania ryzyka). Gdy został powołany administrator bezpieczeństwa informacji, to jego obowiązkiem jest przeprowadzanie sprawdzeń. Jeżeli ABI nie ma, to sprawdzenia przeprowadza dyrektor/prezes/wojewoda itd. lub wyznaczona do tego przez niego osoba. Z takiego sprawdzenia przeprowadzonego w jednostce, która nie ma ABI wystarczy przygotować notatkę służbową (nie ma w ogóle obowiązku dokumentowania sprawdzenia, jednakże wydaje się to bardzo zasadne). Read More

21 paź

Zaproszenie na Fenomenalną konferencję

Kochani serdecznie zapraszam Was na Fenomenalną Konferencję. Będziecie mieli okazję wziąć udział w warsztatach z cenionymi specjalistami, którzy podzielą się nie tylko swoją wiedzą, ale także doświadczeniem. Będą też bardzo interesujące wykłady. Ze mną będziecie mieli okazję spotkać się dwukrotnie: podczas warsztatów poświęconych metodologii tworzenia regulaminów biblioteki, konkursów i wydarzeń oraz podczas wykładu o reformie przepisów o ochronie danych osobowych. Dużo ważnej wiedzy podanej w bardzo przystępny sposób. Nie czekajcie do ostatniej chwili, bo liczba miejsc na moje warsztaty jest ograniczona

http://fundacjafenomen.pl/fenomenalnabiblioteka

18 paź

[aktualizacja] Czy muszę mieć analizę ryzyka i zagrożeń?

Coraz częściej pytacie o to, czy istnieje obowiązek opracowania analizy zagrożeń i ryzyka. A tak w ogóle, to o co chodzi z tą analizą? Zgodnie z nazwą, analiza służy szacowaniu ryzyka i zagrożeń na poufności, integralności oraz rozliczalności informacji chronionych (myślę, że należy ten temat omawiać szerzej, nie tylko w zakresie danych osobowych). Krajowe przepisy o ochronie danych osobowych nie wskazują wprost na obowiązek opracowania analizy, jednakże już w ogólnym rozporządzeniu o ochronie danych osobowych, które będzie bezwzględnie obowiązywać od połowy 2018 roku, pojawia się konieczność szacowania ryzyka, aby móc zapewnić odpowiednie środki ochrony danych. Podobnie obowiązek szacować ryzyko mają wszystkie podmioty, które dotyczy Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego, czyli, te w których przetwarzane są informacje niejawne. Natomiast podmioty, które prowadzą rejestry publiczne są zobligowane do szacowania ryzyka na podstawie Rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.  Analiza ryzyka i zagrożeń to dokument będący wynikiem procesu szacowania ryzyka. Oznacza to, że nie można kupić gotowej analizy ryzyka i zagrożeń – powinna być ona tworzona indywidualnie dla każdego podmiotu. Read More

12 paź

Jak zmieniło się moje życie od kiedy mam profil zaufany ePUAP

Mówi się, że mała rzecz, a cieszy. Tak najprościej można podsumować działanie ePUAP. W skrócie, czym jest profil zaufany ePUAP: jest to elektroniczny podpis, który umożliwia załatwianie spraw urzędowych przez Internet. Tak, dobrze przeczytaliście, po zalogowaniu się na stronę ePUAP (a właściwie to już ePUAP2) można załatwić sprawę we wszystkich dostępnych na stronie urzędach (zauważyłam, że liczba dostępnych usług sukcesywnie rośnie). Nie trzeba wysyłać żadnych listów poleconych, ani biegać do kasy, aby kupić znaczki skarbowe (jeżeli sprawa wymaga opłaty, robimy zwykły przelew przez Internet).

Podczas studiów podyplomowych wielu moich wykładowców namawiało do założenia profilu zaufanego ePUAP, argumentując że jest to wynalazek naprawdę ułatwiający życie. Jednak nigdy nie chciało mi się tego zrobić, bo założenie konta na platformie ePUAP wymagało jego uwierzytelnienia w urzędzie (np. ZUSie, Urzędzie Skarbowym). Po założeniu działalności gospodarczej, liczba pism wymienianych z urzędami oraz moich wizyt w urzędach gwałtownie wzrosła (czasami ze względu na własne interesy, czasami załatwiałam interesy klientów). Szczególnie męczyło mnie aktualizowanie danych w CEIDG. Przy okazji jednej z w wizyt w US (okazało się, że muszę złożyć podpis na deklaracji, którą wysłałam pocztą… makabra) przeczytałam na drzwiach jednego z pokojów, że można tam zatwierdzić profil zaufanych ePUAP. Niewiele zastanawiając się nad tym, zalogowałam się z komórki do serwisu, założyłam konto i weszłam do pokoju, gdzie Pani w ciągu dwóch minut zatwierdziła mój profil. W sumie może straciłam na to 5 minut. Read More

06 paź

Czy można niszczyć dokumenty przez spalenie?

Wielu moich klientów lubi palić dokumenty i uważa to za najszybszy i najskuteczniejszy sposób niszczenia dokumentów. Często też jest to jedyna forma niszczenia dokumentów, jaką stosują w swojej firmie, dlatego nie kupują niszczarek. Czy metoda palenia dokumentów zawierających dane osobowe, dla których cel przetwarzania już ustał jest skuteczna. I przede wszystkim czy jest to zgodne z przepisami o ochronie danych osobowych?

Read More

26 wrz

Korzystanie z formularzy (i innych usług) Google, a ochrona danych osobowych

Designed by Freepik.com

W związku ze zmianami dotyczącymi zasad transferu danych poza obszar gospodarczy UE, pojawiło się ostatnio trochę pytań o korzystanie z usług Google w kontekście ochrony danych osobowych. Jedno z pytań, które dostałam dotyczyło formularzy Google:

Proszę o zaopiniowanie możliwości wykorzystania formularza Google, jako narzędzia gromadzenia i przechowywania danych osobowych przez instytucje kultury. Formularze Google są bezpłatnym narzędziem umożliwiającym tworzenie niestandardowych kwestionariuszy, współpracę w czasie rzeczywistym oraz zbieranie i przechowywanie danych na dysku internetowym. Więcej informacji o polityce bezpieczeństwa Google znajduje się na stronie: https://www.google.com/intl/pl_pl/policies/privacy/

Sondujemy możliwość jego wykorzystania w celu rekrutacji uczestników na wydarzenia organizowane przez instytucje kultury. Proszę o informację czy korzystanie z wyżej wspomnianego narzędzia będzie, zgodne z przepisami obowiązującego prawa w przypadku, gdy osoby fizyczne przesyłające swoje dane osobowe będą akceptowały poniższe zapisy:

Oświadczam, że wyrażam zgodę na przesyłanie wprowadzonych przeze mnie danych osobowych za pośrednictwem formularza Google. Jednocześnie oświadczam, że zostałem poinformowany o tym, że:

1. Administratorem danych osobowych jest: [tu właściwa nazwa i adres instytucji kultury]
2. Podanie danych jest dobrowolne. Nie przewiduje się przekazywania danych osobowych.
3. Przysługuje mi prawo do wglądu do moich danych osobowych i żądania ich poprawienia.

Osoby, które preferują inny sposób rekrutacji, będą miały możliwość wydrukowania zgłoszenia i złożenia go osobiście.  Zebrane dane osobowe będą przetwarzane zgodnie z przepisami obowiązującego prawa oraz w oparciu o wewnętrzną Politykę Bezpieczeństwa Informacji oraz Instrukcję Zarządzania Systemem Informatycznym instytucji kultury.

Czy to wystarczy, aby dane były zbierane legalnie poprzez formularze Google?

Read More

19 wrz

Zakończenie działalności gospodarczej a wykreślenie zbioru z GIODO

Ostatnio napisał do mnie przedsiębiorca, który zastanawiał się, jakie ma obowiązki wobec GIODO, jeżeli zakończył działalność gospodarczą. Odpowiedź na jego pytanie było złożone, bo zależało od kilku czynników.

Po pierwsze, czy rzeczywiście zakończyło się przetwarzanie danych w zbiorze. Zgłoszony przez przedsiębiorcę zbiór danych dotyczył klientów jego sklepu internetowego. Pomimo, że zakończył już działalność, nadal ma obowiązek przechowywać dokumentację związaną z działalnością na wypadek kontroli skarbowej. Oznacza to, że nie zakończyło się przetwarzanie danych. Nie ma podstawy do wykreślenia zbioru z rejestru prowadzonego przez GIODO, do momentu gdy minie określony przepisami prawa czas przechowywania dokumentacji i zostanie ona zniszczona. Read More