Statuo

Ochrona danych, kontrola zarządcza, wizerunek i promocja

IOD a cyberbezpieczeństwo

IOD a cyberbezpieczeństwo

Autor: Łukasz Wojciechowski

Na zajęciach i szkoleniach często słyszę – „Przepisy znam i ciągle się ich uczę, chodzę na dobre szkolenia, zdobywam praktyczne umiejętności, ale komputery i informatyka to dla mnie obcy świat. Czy mimo wszystko mogę być IOD?”. Odpowiedź jest prosta. Inspektor ochrony danych nie musi być programistą czy znawcą systemów informatycznych. Nie musi rozkręcać komputerów i samodzielnie czyścić wentylatorów lub montować dokupionych kości RAM. Musi mieć jednak podstawową wiedzę na temat cyberbezpieczeństwa i bezpiecznego przetwarzania danych osobowych w systemach informatycznych. Na tyle ugruntowaną, żeby być w stanie uczyć tego zagadnienia pracowników podmiotów, w których pełni swoją funkcję.

Czy IOD musi zajmować się cyberbezpieczeństwem?

Dla niektórych inspektorów to przyjemność, dla innych najtrudniejszy wycinek pracy, ale odpowiedź jest jedna – tak, musi. Nie każdy zdaje sobie sprawę, że gdyby nie lawinowy wzrost danych osobowych przetwarzanych w Internecie, RODO nigdy by nie powstało. Przepisy RODO regulują zarówno kwestię danych osobowych przetwarzanych w sposób tradycyjny (papierowy), jak również tych przetwarzanych w formie elektronicznej. Zgodnie z art. 37 ust. 5 RODO: „Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań (wymienionych w art. 39 RODO). Jeżeli IOD czuje, że wiedza praktyczna w zakresie cyberbezpieczeństwa nie jest jego mocną stroną to warto wziąć się do pracy i szybko nadrobić braki.

IOD a cyberbezpieczeństwo – praktyka wykonywania zadań

Zadania Inspektora ochrony danych w zakresie cyberbezpieczeństwa można podzielić na dwie grupy. Pierwsza z nich to rekomendacje wydawane dla administratora (danych osobowych) w zakresie bezpiecznego przetwarzania danych osobowych. Będą one wynikiem odpowiedzi na zadawane pytania lub przeprowadzonych sprawdzeń, w których należy także uwzględnić systemy informatyczne. IOD powinien przypominać administratorowi, że w RODO wskazano konieczność „regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania” (art. 32 ust. 1 lit. d). Inspektora powinno interesować m.in. czy:

  • dane osobowe nie są przesyłane w treści wiadomości e-mail bez żadnego zabezpieczenia?
  • każdy użytkownik systemu informatycznego ma swój login i hasło?
  • administrator korzystający z usług hostingu zabezpieczył swoje interesy podpisując odpowiednią umowę powierzenia danych osobowych?
  • kopie zapasowe są przechowywane i tworzone w odpowiedni sposób?

W przypadku jakichkolwiek wątpliwości nie warto udawać, że wiemy więcej niż w rzeczywistości. Konsultacja z informatykiem lub innym fachowcem nie tylko nie przynosi ujmy inspektorowi, jest wręcz wskazana! IOD musi być też na bieżąco z przepisami prawa. Nie każdy zdaje sobie sprawę, że niedługo po rozpoczęciu bezwzględnego obowiązywania RODO została uchwalona ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Inspektor powinien zapoznać się z przepisami ustawy i sprawdzić, czy nowe regulacje nie obowiązują administratora, u którego pełni swoją funkcję.

IOD a cyberbezpieczeństwo – szkolenia dla pracowników

Drugą grupę zadań Inspektora ochrony danych stanowi prowadzenie szkoleń dla pracowników. Wynika to zarówno bezpośrednio z przepisów RODO (art. 39 ust. 1 lit. b) oraz z wytycznych UODO. Cyberbezpieczeństwo powinno być istotnym elementem takich szkoleń. Z jednej strony pozwoli uniknąć błędów i wpłynie na bezpieczeństwo przetwarzania danych osobowych, z drugiej jest jednym z najbardziej interesujących zagadnień z punktu widzenia uczestników. IOD powinien być przygotowany na udzielanie podstawowych informacji i spotkanie z osobami, które mają bardzo podstawową wiedzę w zakresie bezpieczeństwa informacji. Takie osoby nie są też przygotowane na to, że ktoś będzie im czytał poszczególne artykuły rozporządzenia z kartki lub wyświetlanej prezentacji. Jeśli nie zasną w trakcie takiego szkolenia, to wyjdą zdegustowane i nic nie zapamiętają. Najlepsze będą szkolenia z konkretnymi, praktycznymi treściami.

Przykłady zagadnień omawianych na szkoleniach

IOD podczas szkoleń może odnosić się do cyberbezpieczeństwa wykraczając poza funkcjonowanie podmiotu, w którym pełni swoją funkcję. Uczestnicy najbardziej zainteresują się zagadnieniami, które dotyczą także ich życia prywatnego. Na takich przykładach najlepiej jest omówić istotę sprawy przy okazji poruszając aspekty bezpośrednio odnoszące się do sfery zawodowej. Do przygotowania szkolenia polecam oczywiście artykuły odnoszące się do bezpieczeństwa w Internecie na blogu Statuo.pl 🙂

1. Na początku warto zainteresować uczestników szkolenia tematyką cyberbezpieczeństwa przedstawiając praktyczne informacje przydatne w codziennej pracy:
2. Następnie warto podać uczestnikom konkretne przykłady cyberprzestępstw wraz z informacjami jak się przed nimi uchronić:
3. Jako przerywnik lub zakończenie polecam pozostałe tematy związane z bezpiecznym użytkowaniem Internetu:
administracjaadministracja samorządowabezpieczeństwo informacjicyberbezpieczeństwocyberprzestępczośćinspektor ochrony danychochrona danychochrona danych osobowychUODOŁukasz Wojciechowski

22 grudnia 2018


Poprzedni wpis

Kolejny wpis