polityka bezpieczeństwa – Sylwia Czub bloguje o danych osobowych

31 gru

Czy można aktualizować politykę ochrony danych osobowych?

Nowy rok to czas na zmiany, może więc przyszła pora na aktualizację polityki bezpieczeństwa? Przepisy RODO nie dają nam wytycznych dotyczących tworzenia i aktualizowania dokumentacji ochrony danych osobowych. Nie wskazują nawet na to, czy administrator powinien posiadać sformalizowaną politykę, jednakże trudno sobie wyobrazić skuteczny system ochrony danych bez dobrego systemu zarządzania bezpieczeństwem informacji. Właśnie dlatego wszystkie audyty czy kontrole rozpoczynają się od analizy wdrożonych w firmie, czy podmiocie publicznym polityk ochrony danych.

Zauważyłam, że wielu administratorów, którzy mają takie polityki boi się dokonywać zmian w nich, czy aktualizacji. Czasami nawet zakazują wprowadzanie zmian swoim inspektorom ochrony danych (co może powodować oczywiste frustracje). Jednym z najczęstszych argumentów za nieaktualizowaniem polityk jest to, że zostały one stworzone przez profesjonalny podmiotom lub kupione od profesjonalnego podmiotu. Administrator uważa, że po pierwsze nikt nie zna się lepiej na swojej pracy, niż ktoś kto zawodowo zajmuje się ochroną danych, po drugie jeśli stworzył taką dokumentację, to bierze za nią odpowiedzialność. I tu pies pogrzebany.

Czy po wejściu RODO dotychczasowa dokumentacja bezpieczeństwa pójdzie do kosza?

Dostaję bardzo dużo pytań o to, czy po wejściu w życie RODO dotychczasowe polityki bezpieczeństwa oraz instrukcje zarządzania systemami informatycznymi będą miały sens i czy w ogóle będą potrzebne. Krajowa ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych wskazywała wprost w art. 36 ust. 2 obowiązek prowadzenia dokumentacji, co więcej w przepisach wykonawczych do ustawy były szczegółowe wytyczne co powinna (minimum) zawierać dokumentacja, a po nowelizacji ustawy w 2015 roku pojawiły się także zasady prowadzenia rejestrów zbiorów danych osobowych oraz sposób realizowania nadzoru nad procesami przetwarzania przez ABI (które stanowiły także wytyczne dla administratorów danych, którzy nie powołali ABI).

Natomiast RODO w odróżnieniu od dotychczasowej ustawy nie daje jasnych wytycznych, a jedynie „wskazówki”. Wynika to z faktu, że lata stosowania sztywnych reguł, udowodniły że są one nieadekwatne do rzeczywistości (najczęściej za nią w ogóle nie nadążają), która wymaga bardzo kompleksowego i szerokiego podejścia do zagadnienia bezpieczeństwa informacji. Read More →

20 lut

Czym jest System Zarządzania Bezpieczeństwem Informacji (SZBI)?

Pojęć związanych z bezpieczeństwem informacji jest bardzo dużo, a nim głębiej w las, tym ciemniej. Ja sama na początku miałam problem, żeby połapać się w tym co jest czym, co być musi, co być może, a co być powinno (mimo że nie musi).

Fundamentalnym jest System Zarządzania Bezpieczeństwem Informacji, czyli strategia działania w zakresie zapewniania właściwej ochrony informacji poufnych. Strategia ma zapewnić ciągłe doskonalenie podjętych działań i procedur w celu optymalizacji ryzyk związanych z naruszeniem poufności. Mówiąc krótko, na SZBI składają się wszystkie procedury, polityki, regulaminy i instrukcje bezpieczeństwa informacji, które wdrożyliśmy w naszej jednostce organizacyjnej. Read More →

20 lip

Pomagam stworzyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym

Domyślam się, że niektórzy mogą odebrać to negatywnie, ale postanowiłam wprowadzić symboliczną opłatę za sprawdzanie dokumentacji bezpieczeństwa. Długo nosiłam się z tą decyzją, ale liczba przesyłanych przez Was dokumentów sięga kilkunastu tygodniowo i od kilku tygodni nie robię nic innego, tylko sprawdzam i sprawdzam 🙂

Doszłam do wniosku, że najwyższa pora zacząć cenić swój czas. Mam nadzieję, że wykażecie zrozumienie dla mojej decyzji. Tym bardziej, że doświadczenie pokazuje, że na podstawie zmian, które Wam podpowiadam oraz uwag co jest źle, większość z Was potrafi poprawić dokumentację do stanu idealnego 🙂

Zapraszam do zapoznania się ze szczegółami oferty w zakładce ZAMÓW DOKUMENTACJĘ BEZPIECZEŃSTWA

14 lip

Zmiana adresu administratora danych a ochrona danych osobowych

Czy zastanawialiście się kiedyś jakie są konsekwencje zmiany adresu administratora danych? Omówię to dla trzech przypadków:

Tymczasowa zmiana adresu głównej siedziby
Stała zmiana adres głównej siedziby
Zmiana adresu filii/oddziału

Tymczasowa zmiana adresu głównej siedziby

Jest to sytuacja, w której firma (administrator danych) musi zmienić tymczasowo siedzibę, aby w określonym, znanym terminie wrócić do pierwotnej siedziby lub przenieść się pod docelowy adres. Tymczasowa przeprowadzka nie skutkuje zmianą adresu w rejestrach, w których figuruje jednostka (CEiDG, RIK, SIO, rejestr REGON, itp.). Oznacza to, że adres siedziby administratora danych nie uległ zmianie, zmienił się jedynie adres korespondencyjny. Tymczasowa zmiana nie wpływa na dane ADO podawane przy wypełnianiu obowiązku informacyjnego z art. 24 i 25 UODO, pozyskiwaniu zgody na przetwarzanie danych osobowych, czy dane w rejestrach prowadzonych przez GIODO. Natomiast konieczne jest niezwłoczne zaktualizowanie wykazu budynków, pomieszczeń oraz części pomieszczeń stanowiących obszar przetwarzania danych osobowych w polityce bezpieczeństwa danych osobowych. Read More →

06 cze

Czy wykaz zbiorów w polityce może zastąpić rejestr ABI?

Pytanie od Pani Ewy:

W polityce bezpieczeństwa posiadamy wykaz zbiorów danych osobowych. Czy to jest jednoznaczne z jawnym rejestrem zbiorów danych osobowych? Czy powinien to być nowy rozbudowany odrębny dokument (wg Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11. 05.2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych osobowych (Dz. U. poz. 719)) ?

Wykaz zbiorów w polityce bezpieczeństwa zawiera informacje o zawartości zbioru, jego strukturze, polach informacyjnych przetwarzanych w ramach poszczególnych systemów oraz powiązania między nimi. Dodatkowo są wskazane programy służące do przetwarza tych danych. Zakres danych w wykazie zbiorów zawartym w polityce określa Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych.
Read More →

17 maj

Czy dokumentacja bezpieczeństwa informacji stanowi informację publiczną?

Wiele podmiotów publicznych publikuje na swoich stronach internetowych politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym. Często uzasadniają to koniecznością upublicznienia dokumentacji bezpieczeństwa, jako informacji publicznej. Czy rzeczywiście jest to informacja publiczna? I w szczególności czy odmówienie wglądu w dokumentację może skutkować negatywnymi konsekwencjami dla jednostki publicznej?

Ustawa o dostępie do informacji publicznej określa, że każda informacja o sprawach publicznych stanowi informację publiczną w rozumieniu ustawy i podlega udostępnieniu (…)

Różnica w pojęciu osoby upoważnionej, uprawnionej oraz użytkownika

Bardzo często spotykam się w dokumentacjach, które przesyłacie mi do sprawdzenia w pomieszaniu pojęć: użytkownika, osoby upoważnionej oraz osoby uprawnionej. Nie są to synonimy i nie można używać ich zamiennie. Natomiast każde z nich ma kluczowe znaczenie dla dobrej organizacji polityki bezpieczeństwa informacji.

Osoba upoważniona – to osoba (najczęściej pracownik, ale niekoniecznie), która otrzymała upoważnienie do przetwarzania danych osobowych od administratora danych (ADO). Upoważnienie najczęściej jest wydawane na piśmie, chociaż GIODO dopuszcza także wydawanie upoważnień w formie służbowej wiadomości e-mail, ale jest to raczej rozwiązanie dla małych firm. Poza tym może stwarzać problemy w przyszłości przy kontroli upoważnień. Warto jeszcze przypomnieć, że upoważnienie powinno zawierać także informacje o tym do jakich danych (tzn. zbiorów) oraz w jakim zakresie pracownik otrzyma dostęp. Uważam, że warto od razu dodać informację o systemach informatycznych, do których zostaną nadane uprawnienia oraz loginie, który ma zostać przydzielony. Zmniejszy to liczbę dokumentów, które trzeba będzie wypełniać. Możecie skorzystać z przygotowanego przeze mnie wzoru. Read More →

06 kwi

Polityka bezpieczeństwa: określenie środków technicznych i organizacyjnych

Na określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych składają się w szczególności:

Procedura nadawania/zmiany/odwołania upoważnień do przetwarzania danych.
Obowiązki Kierownika/Dyrektora/Zarządu (czyli tego kto działa w imieniu ADO).
Obowiązki Osoby Upoważnionej.
Obowiązki ASI (jeśli jest), ABI (jeśli jest) oraz np. koordynatora ochrony danych (jeśli jest).
Opis zastosowanych zabezpieczeń technicznych.
Opis zastosowanych zabezpieczeń organizacyjnych.
Procedura postępowania przy naruszeniu bezpieczeństwa danych (co zrobić, komu zgłosić, itd.).
Zasady udostępniania danych.
Procedury powierzania danych.

Wskazówki do poszczególnych punktów: Read More →

24 lis

Czego nie robić, gdy tworzy się politykę bezpieczeństwa

Dużo mówi się o tym co powinna zawierać polityka bezpieczeństwa, jak ją stworzyć, a ja trochę przekornie, opowiem o błędach, z którymi najczęściej spotykam sprawdzając polityki klientów. Read More →