- Sejm przyjął sprawozdania GIODO za lata 2014, 2015
7 lipca 2016 Generalny Inspektor Ochrony Danych Osobowych przedstawił sprawozdanie z działalności za lata 2014, 2015.
Sprawozdania są dostępne na stronie internetowej GIODO.Transmisję z Sejmu można obejrzeć na stronie internetowej (15:08:39 – 16:31:32).
Dostępny jest również Stenogram.Wcześniej, 22 czerwca, Sprawozdania zostały rozpatrzone na posiedzeniu Komisji Sprawiedliwości i Praw Człowieka. Na stronie internetowej Sejmu dostępna jest transmisja.
Continue reading → - Jak wykorzystać Rozporządzenie w sprawie KRI do tworzenia systemu ochrony danych osobowych
W trakcie zorganizowanej przez PTI Konferencji „Bezpieczeństwo danych w sektorze publicznym” miałem przyjemność wygłosić prelekcją na temat wykorzystania „Rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych”, w tworzeniu systemu ochrony danych osobowych.
Wynikający z Rozporządzenia obowiązek stworzenia systemu zarządzania bezpieczeństwem informacji w podmiotach realizujących zadania publiczne (więc nie tylko w urzędach!), zaczyna powoli przebijać się do świadomości osób odpowiedzialnych za bezpieczeństwo informacji. Skutkuje to, częstym na szkoleniach i konferencjach pytaniem: „Co Pan mówi?! Czego wy od nas chcecie?! Nie dość, że mamy stworzyć politykę bezpieczeństwa danych osobowych, to jeszcze mamy mieć drugą politykę bezpieczeństwa informacji?”.
W trakcie prezentacji starałem się pokazać, że nie tylko nie musimy powielać zapisów z polityki bezpieczeństwa danych osobowych w polityce bezpieczeństwa informacji, ale powinniśmy dążyć do scalenia i ujednolicenia tych systemów. Opracowany na podstawie § 20 Rozporządzenia system zarządzania powinien umożliwić prawidłowy dobór zabezpieczeń.
Zgodnie z ustawą o ochronie danych osobowych „Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną(…)”. Ale jakie środki będą „właściwe”? Podmioty realizujące zadania publiczne, dobierając zabezpieczenia powinny opierać się na analizie ryzyka przeprowadzonej zgodnie z Rozporządzeniem (§ 20 ust. 2. pkt 3)).
Oczywiście, polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznych służącym do przetwarzania danych osobowych muszą zawierać wszystkie wymagane elementy. Przykładowo, wykaz zbiorów danych i opis struktury, nie będą częścią systemu zarządzania bezpieczeństwem informacji. Jednak „określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych”, możemy włączyć już do systemu zarządzania bezpieczeństwem informacji.
Prezentację można pobrać ze strony Konferencji.
Zachęcam również do zapoznania się z pozostałymi prezentacjami i udziału w kolejnych edycjach.
Jarosław Żabówka
- Zmiany
Zdecydowałem o wprowadzeniu kilku zmian w naszym serwisie. Na początek dwie:
- Zmiana szaty graficznej. Obecny szablon jest uboższy, ale jest również w łatwiejszy w codziennym administrowaniu. Liczę, że prostota przełoży się na mniejszą ilość błędów w działaniu.
- Dodałem zakładkę „Praca”. Ofert pracy dla Administratorów bezpieczeństwa informacji jest coraz więcej i w naszym serwisie też nie powinno ich zabraknąć. Na początek prezentujemy oferty z serwisu Jooble.