konflikt interesów

Inspektor ochrony danych oświaty w konflikcie interesów

W wielu materiałach dotyczących niezależności, poruszono kwestie łączenia funkcji IOD z innymi obowiązkami nie wynikającymi bezpośrednio z RODO. I nawet nie chodzi o to, że administratorzy chcą je łączyć np. ze stanowiskami asystenckimi, kadrowymi czy specjalistycznymi z innych dziedzin. To akurat kwestia merytoryczna, organizacyjna i wizerunkowa, która może wywoływać szyderczy uśmiech wśród inspektorskiej braci ale […]

Budowanie SZBI

ISO 27002 Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji to kluczowy dokument systemu zarządzania według ISO 27001 oraz pierwsze z zagadnień omawianych szerzej przez ISO 27002. Nie będziemy skupiać się na zaletach jakie niesie za sobą decyzja o ustanowieniu takiej polityki, lecz bardziej na roli, przywództwie i odpowiedzialności najwyższego kierownictwa. Jeżeli jednak chcielibyście się dowiedzieć więcej o zaletach, możecie znaleźć je […]

krypteks

Schyłek ery tradycyjnych haseł

Od dawna wiadomo, że era haseł jakie do tej pory wykorzystywaliśmy musi dobiec końca. Od kiedy? W zasadzie od prelekcji RSA Security Conference w 2004 r, w której Bill Gates przewidział konieczność odejścia od tej metody autoryzacji. Jest to tym bardziej prorocze, że zaledwie rok wcześniej amerykański NIST opublikował wytyczne opisujące w jaki sposób chronić […]

świąteczny wieniec

Art 21 Prawo do sprzeciwu w szczególnej sytuacji

Prawo do sprzeciwu zgodnie z art 21 RODO daje możliwość odwołania zgody na przetwarzanie danych osobowych z powodu naszej szczególnej sytuacji. Dotyczy to dwóch przypadków. Pierwszy, gdy administrator przetwarza nasze dane w celu realizacji zadania publicznego. Drugi, w celu realizacji własnego interesu przez administratora. Wiemy już, że ów akt prawny nie dostarcza wystarczających wytycznych co […]

Budowanie SZBI

System zarządzania bezpieczeństwem informacji cz. V

System zarządzania bezpieczeństwem informacji – Ocena wyników Jak wspomniałem przy okazji poprzedniego wpisu z naszego poradnika, mamy trzy możliwości oceny SZBI: mierzenie / monitorowanie, audyt wewnętrzny, przegląd zarządzania. Używam słowa możliwości, ponieważ nie każda organizacja w swoich politykach bezpieczeństwa (niepowiązanych z ISO) będzie używała wszystkich trzech metod. Najczęściej spotykaną jest audyt wewnętrzny. Patrząc pod kątem […]

pocięte kawałki papieru

A po co nam te procedury?

Niech pierwszy rzuci kamieniem ten kto choć raz w życiu nie pomyślał – po co nam te procedury? Bez względu na to czy okupujemy fotel prezesa, jesteśmy trybikiem w korporacyjnej maszynie a może klientem po drugiej stronie lady. Niestety u większości z nas samo to słowo wywołuje odruch obronny. Procedury kojarzone są zwykle z czymś […]

Mapa ryzyka

IOD gwarantem kompleksowej analizy ryzyka?

Czy obowiązki jakie nakłada europejskie rozporządzenie o ochronie danych osobowych na IOD są gwarantem kompleksowej analizy ryzyka z jego strony? Jeżeli nie, to w jakim zakresie powinni mieć w nią wkład? Jeżeli tak, to czy inspektorzy posiadają wystarczające kompetencje aby w pojedynkę przeprowadzić proces szacowania? Zgodnie z przepisami, Inspektor powinien być włączany we wszystkie działania […]

Budowanie SZBI

System zarządzania bezpieczeństwem informacji cz. IV

System zarządzania bezpieczeństwem informacji – Cele bezpieczeństwa informacji. Jeżeli w wyniku przeprowadzonej analizy ryzyka lub własnej inicjatywy zdecydowaliśmy się wdrożyć działania na rzecz bezpieczeństwa informacji powinniśmy określić czemu takie działania mają służyć. Innymi słowy wyznaczyć cele bezpieczeństwa odpowiadając sobie na pytanie co poprzez planowaną politykę, procedurę, plan postępowania itp. chcemy osiągnąć. Żeby było ciekawiej powinniśmy […]

znak drogowy stop

Zasada privacy by default a prawa dostępu do informacji

Zasada privacy by default jest jedną z naczelnych zasad determinujących przetwarzanie danych osobowych. W dużym skrócie, chodzi o to, aby zapewnić jak najwęższy dostęp do informacji identyfikujących osobę. Często przy jednoczesnym zabezpieczeniu interesów własnych i praw osób, które dane dotyczą. Można powiedzieć, że administrator powinien udzielać dostępu do informacji zgodnie z zasadą wiedzy koniecznej. Czyli […]