29 paź

Jak robić szkolenia okresowe z ochrony danych

Uważam, że każda nowa osoba w firmie powinna od razu, pierwszego dnia pracy poznać Administratora Bezpieczeństwa Informacji, który zapozna ją z obowiązkami wynikającymi z przepisów oraz zasadami zachowania poufności ustanowionymi przez Administratora Danych. Spotkanie, rozmowa, budowa relacji to podstawa. Bardzo staram się, współpracować z działami kadr u moich klientów, w taki sposób, aby zapewnić sobie przeszkolenie nowej osoby w jej pierwszym dniu pracy. Prawie zawsze jestem pierwszą osobą, z którą spotyka się nowy pracownik swojego pierwszego dnia pracy. To genialnie buduje przyszłe relacje, a jednocześnie daje tej osobie wyraźny sygnał w tej firmie bezpieczeństwo informacji jest traktowane naprawdę poważnie. W dużych firmach bardzo trudno jest przeprowadzać okresowe szkolenia z ochrony danych (zwłaszcza, jeżeli pracownicy większość czasu pracy spędzają poza stacjonarnym biurem). Wtedy najlepszym rozwiązaniem są szkolenia online. Read More

13 lip

Inspektor Ochrony Danych – czy będzie praca?

Wiem, że niecierpliwie czekacie na kolejne wpisy. Dłuższe odstępy między nowymi artykułami to nie efekt mojego lenistwa, tylko lawiny pracy i artykułów (w tym jednego bardzo ciekawego, naukowego, który ukaże się jesienią). Powtarzałam to i będę powtarzać, że w tej branży, dla ludzi pracowitych i zdolny, jest praca i dobre zarobki. Jeżeli interesuje Was ta tematyka ochrony danych osobowych, bezpieczeństwa informacji, ciągłości działania, cyberbezpieczeństwa, naprawdę polecam Wam profesjonalizację w kierunku wykonywania zawodu Inspektora Ochrony Danych. Opierając się na własnych doświadczeniu, mogę Wam powiedzieć, że na rynku jest bardzo mało dobrych specjalistów zajmujących się tematyką ochrony danych osobowych, a znalezienie dobrego administratora bezpieczeństwa informacji, który docelowo będzie ustawowym inspektorem ochrony danych graniczy z cudem. Ja sama współpracuję z trzema specjalistami w tej dziedzinie, gdyż potencjalnych klientów jest tak dużo, że nie jestem w stanie sama zrealizować zleceń, a nie chcę zostawiać ich z niczym. Read More

23 kwi

Ochrona danych osobowych a dostęp do informacji publicznej

Dostęp do informacji publicznej jest dzisiaj palącym problemem dla wielu instytucji publicznych (szczególnie urzędów) lub realizujących zadania publiczne, które po pierwsze są zasypywane pytaniami w tym trybie, po drugie nie wiedzą jak sobie z nimi radzić. Moja ogólna uwaga do zagadnienia i zalecenie jest takie, aby wprowadzić w swoim podmiocie procedurę postępowania z zapytaniem i udzielania odpowiedzi w trybie dostępu do informacji publicznej. Moje doświadczenie, wynikające z przeprowadzania audytów w instytucjach publicznych, jest takie, że pracownicy tych podmiotów zupełnie nie wiedzą, co robić z pytaniami o informację publiczną. Zazwyczaj jest w takim podmiocie wąskie grono osób, które mają właściwą wiedzę i potrafią udzielić odpowiedzi, jednakże szeregowi pracownicy, do których takie pytania są kierowane, nie wiedzą co z nimi robić. Podczas audytów stwierdziłam, że gdy do pracownika instytucji publicznej przychodzi e-mail z pytaniem w trybie dostępu do informacji publicznej, to albo od razu go kasuje, bo uznaje, że wymagana jest forma pisemna albo żąda udzielenia pełnych danych nadawcy pytania. Dodatkowo często odpowiedzi są udzielane przez samych pracowników, a powinny być konsultowane przynajmniej z osobą zajmującą się tego typu kwestiami i/lub z prawnikiem. Nie powinno w tym całym łańcuszku zabraknąć ABI. Wprowadzenie jednolitej procedury i przeszkolenie pracowników w zakresie postępowania z takimi postępowaniami, pozwoli uniknąć stresów i nieprzyjemnych sytuacji.

Opowiem dzisiaj o odpowiadaniu na pytania o informację publiczną w kontekście pytania zadanego w trybie ustawy o dostępie do informacji publicznej, które zostało skierowane przez Fundację Promocji Bezpieczeństwa. Samo pytanie także stanowi informację publiczną, więc poniżej je przytaczam: Read More

03 kwi

Jak wprowadzić nowy wzór upoważnienia do przetwarzania danych?

Ostatnio otrzymałam takie pytanie od Pani Samanty i uświadomiłam sobie, że nie jest to banalny problem, bo sama musiałam się z nim zmierzyć na początku mojej przygody w roli ABI. Wtedy niestety nie wyszło mi to najlepiej…

Zasady nadawania/zmiany/odwołania upoważnień są istotnym elementem, którego nie powinno zabraknąć w polityce bezpieczeństwa (jest to jeden ze stosowanych przez administratora danych środków organizacyjnych mających na celu zapewnienie poufności informacji). Ja w mojej ówczesnej polityce nie miałam przewidzianej sytuacji zmiany wzoru upoważnienia. Dlatego za pierwszym razem odwoływałam wszystkie upoważnienia i nadawałam wszystkim nowe. Wyobraźcie sobie ile było z tym pracy i zamieszania przy ponad 100 osobowej organizacji i ponad 20 zbiorach danych, gdzie stosowałam zasadę nadawania upoważnienia do każdego zbioru. Koszmar. W dodatku ciągle mi czegoś brakowało, nie zgadzało się, itd. Nie wiedziałam co zrobić ze starymi upoważnieniami (niszczyć, czy trzymać?) oraz jak wpisać zmianę do ewidencji upoważnień.  To doświadczenie nauczyło mnie, że najpierw należy zastanowić się nad przebiegiem procesu, następnie zacząć działać. Read More

08 mar

Kto musi powołać ABI/IOD?

Aktualna ustawa o ochronie danych osobowych określa, że powołanie ABI (administratora bezpieczeństwa informacji) jest przywilejem administratora danych. Oznacza to, że ma on możliwość, a nie obowiązek powołania ABI. Warto podkreślić, że w podmiotach, które przetwarzają dane na dużą skalę lub przetwarzają dane wrażliwe, ABI zdecydowanie powinien być powołany, bo pomimo że nie ma tego obowiązku, trudno jest wyobrazić sobie, jak taki podmiot będzie w stanie wywiązać się z obowiązku zapewnienia poufności danych bez osoby odpowiedzialnej za nadzór nad procesami przetwarzania.

Powołanie ABI przez podmioty publiczne (urzędy, szpitale, ośrodki pomocy społecznej, itd), banki, operatorów telekomunikacyjnych, agencje badawcze oraz inne podmioty, które przetwarzają dane w szerokim zakresie i na dużą skalę powinno być obligatoryjne już dzisiaj. Jest to kwestia chociażby zaufania do tych podmiotów oraz dawania przez nie gwarancji należytej świadomości i stosowanych środków w celu ochrony danych. Przekazywanie im danych wiąże się z kwestią zaufania w złożone deklaracje. Pomimo, że nie ma obowiązku powołania ABI, zdecydowanie jest to zalecane w tego typu podmiotach.

Nowelizacja przepisów o ochronie danych osobowych wprowadza w miejsce ABI inspektora ochrony danych osobowych (IOD). Jest to rola rozszerzona w stosunku do obecnych obowiązków ABI. Szerzej omówię to w oddzielnym artykule.  Read More

12 lut

Jak często ABI powinien się szkolić?

Pytanie o to, jak często i jak bardzo powinien doskonalić się zawodowa administrator bezpieczeństwa informacji pojawia się często w kontekście tego, czy pracodawca który powołał ABI ma obowiązek zapewnić mu odpowiednie szkolenia. W mojej ocenie ABI powinien przynajmniej raz do roku doskonalić swoje umiejętności oraz poszerzać wiedzę, a nawet ośmielę się twierdzić, że dla ABI w dużych podmiotach, który musi szacować ryzyko i zapewnić ciągłość działania, raz do roku to zdecydowanie za mało. Obowiązek doskonalenia zawodowego nie wynika wprost z przepisów, jednakże pośrednio możemy go z nich wywodzić. Przede wszystkim z ustawy o ochronie danych osobowych:

Art. 36a ust. 5. Administratorem bezpieczeństwa informacji może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.

Zgodnie z rozporządzeniem MAiC z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji, w momencie zgłaszania ABI do rejestru GIODO administrator danych składa oświadczenie: Read More

06 cze

Czy wykaz zbiorów w polityce może zastąpić rejestr ABI?

Pytanie od Pani Ewy:

W polityce bezpieczeństwa posiadamy wykaz zbiorów danych osobowych. Czy to jest jednoznaczne z jawnym rejestrem zbiorów danych osobowych? Czy powinien to być nowy rozbudowany odrębny dokument (wg Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11. 05.2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych osobowych (Dz. U. poz. 719)) ?

Wykaz zbiorów w polityce bezpieczeństwa zawiera informacje o zawartości zbioru, jego strukturze, polach informacyjnych przetwarzanych w ramach poszczególnych systemów oraz powiązania między nimi. Dodatkowo są wskazane programy służące do przetwarza tych danych. Zakres danych w wykazie zbiorów zawartym w polityce określa Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych.
Read More

15 lut

Sprawozdanie roczne, czy z każdego sprawdzenia

Kolejne pytanie od Pana Daniela:
Mam pytanie odnośnie planu sprawdzeń i późniejszego sprawozdania ABI. Chciałbym przedstwić plan sprawdzeń na okres jednego roku, który zawiera kilka sprawdzeń (polityka+instrkukcja, ewidencje, itp) w związku z tym w zamieszczonym przez Panią wzorze powtarzam cały punkt 1) do każdego sprawdzenia, zaznaczając odpowiednie pozycje?
Sprawozdanie jako ABI sporządzam na koniec wszystkich sprawdzeń (pisząc raporty z każdego sprawdzenia) czy po każdym sprawdzeniu z zachowaniem terminu do 30 dni? Read More

21 sty

Webinaria dla administratorów bezpieczeństwa informacji – 26.01.2016 (wtorek)

Designed by Freepik.com

Czy zostaliście powołani na ABI i nie wiecie, jak skutecznie wywiązywać się ze swoich obowiązków? Może znacie już teorię, przeczytaliście ustawę oraz akty wykonawcze do niej, ale nadal nie potraficie zastosować tego w praktyce. A może boicie się przeprowadzać sprawdzenia na zlecenie GIODO lub negatywnej reakcji Waszych szefów, na niekoniecznie pozytywny, wyniki Waszej kontroli.  Jeżeli chcecie zyskać praktyczną wiedzę, która pozwoli Wam skutecznie i bezstresowo pełnić rolę ABI, to te webinaria są dla Was!

Zapraszam na dwa warsztaty (prowadzone na żywo) poświęcone tematyce:

  1. Prowadzenie zbiorów danych przez ABI
  2. Przeprowadzanie sprawdzeń i przygotowywanie sprawozdań przez ABI

 

Read More