009 Bezpieczeństwo danych w kontekście Inspektora Ochrony Danych
W dzisiejszym odcinku porozmawiamy o roli Inspektora Ochrony Danych Osobowych w firmie. Swoją wiedzą i doświadczeniem podzieli się z nami Monika Tośta, która bezpieczeństwem danych zajmowała się zanim stanowisko IODO stało się modne. Oprócz pracy w Kolporterze, należy do rady programowej Cyber Women Community – aktywna społeczność pań łączącą ekspertki z dziedziny Cybersecurity z kobietami, które chcą rozwijać swoje kompetencje w tej dziedzinie.
Tematy poruszane w odcinku:
- obowiązki IOD
- co daje satysfakcję w tej pracy
- RODO – biurokracja, czy niezbędne minimum
- na jakim etapie prowadzenia działalności gospodarczej powinno się zainteresować bezpieczeństwem danych
- outsourcing, czy zgłębianie tematu samemu – co wybrać
- jak wygląda ścieżka rozwoju IOD
- migracja IOD pomiędzy firmami, czy to możliwe
- od czego zacząć przygodę z tym zawodem
- jakie umiejętności się przydadzą
- aż dwa suchary 😀
Linki
https://csoc.pl/cwc/ – Cyber Women Community
Monika Tośta – profil na LinkedIn
https://zaufanatrzeciastrona.pl/
Muzyka użyta w podcaście: „90’s Rock Style” by monkeyman535 z serwisu freesound.org
Transkrypcja
Pytania: pytanie na rozgrzewkę, czy słuchasz podcastów, jeśli tak to jakich?
Nie nie słucham, ale codziennie czytam różne książki (historyczne, autobiografie, klasyka, z dziedziny samorozwoju 😊
Mówiąc o danych, pierwsze co mi się kojarzy, dane komputerowe, dlatego zacznijmy od tego, kiedy zaczęła się Twoja przygoda z komputerami?
Tak ogólnie z komputerami to bardzo bardzo, dawno temu już na studiach kiedy pisałam pracę magisterską – komputer przydał mi się niezmiernie 😊 a potem w mojej pierwszej pracy w Kolporterze każdy w biurze miał komputer do pracy, poznałam wówczas różne systemy pomocne w wykonywaniu czynności związanych z pracą. Komputer znacznie ułatwił też komunikacje z naszymi oddziałami w całej Polsce poprzez maile i inne komunikatory.
Jak to się stało, że trafiłaś do tego zawodu, opowiedz proszę jak zostałaś Inspektorem Danych Osobowych?
Dziś mogę się przyznać , że to był wielki przypadek 😊
IOD to zawód dość świeży natomiast wcześniej takie podobne stanowisko nazywało się Administrator Bezpieczeństwa Informacji bo może nie każdy wie ale w Polsce ochrona danych osobowych była już od 1997 r. dokładnie ustawa o ochronie danych osobowych obowiązywała od 29 sierpnia 1997 r.
Oczywiście ta ustawa nie miała teoretycznie żadnych kar (były kary pozbawienia wolności, ale z tego co ja kojarzę za dane nikt nie siedział…) Natomiast jak weszło RODO z olbrzymimi karami finansowymi to sami wiemy jak to obecnie wygląda – każdy ma już świadomość że jego dane są ważne , że firmy czy instytucje powinny je odpowiednio chronić zabezpieczać , a za ich ujawnienie czy inne niespełnienie wymagań RODO są realne wysokie kary pieniężne. A jak coś dotyka finansów i portfela staje się ważne.
Jakbyś mogła przybliżyć, co wchodzi w zakres Twoich obowiązków?
Moje obowiązki 😊 akt RODO reguluje wiele aspektów w kontekście Inspektora w organizacji jakie powinien mieć kwalifikacje, nawet na jakiej umowie może być zatrudniony, kiedy go wyznaczyć, czy też jaki ma zakres obowiązków
Należy tylko dobrze zagłębić się w artykułu go dotyczące
5. Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art.
Art. 38 ststus Inspektora i 39 zadania inspektora
Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
Artykuł 39 Zadania inspektora ochrony danych 1. Inspektor ochrony danych ma następujące zadania:
informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;
współpraca z organem nadzorczym; e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego
Można powiedzieć, że to taka niewdzięczna praca, bo jak już się słyszy o bezpieczeństwie danych, to raczej w kontekście wycieku jakichś danych, a nie o tych super zabezpieczonych, wręcz wewnątrz organizacji, osoba ustalająca procedury związane z bezpieczeństwem danych postrzegana jest jako ta, która utrudnia pracę pozostałym pracownikom. Powiedz mi zatem, z czego czerpiesz radość, co Cię kręci w tej pracy?
Tak to prawda, biznes nie lubi zabezpieczeń, asekuracji raczej podejmuje wielkie ryzyko aby coś wypaliło i je wkalkulowuje w koszty. Natomiast ja jestem od tego aby zminimalizować lub w ogóle wyeliminować to trywialne ryzyko dotyczące danych żeby na tej płaszczyźnie wszystko grało , było zabezpieczone , etc. uświadamiam wszystkim, że tego ryzyka firma nie musi podejmować, jeśli odpowiednio wcześniej mnie powiadomi i przygotuje odpowiednie procedury wymagane zgody, oświadczenia etc.
Jaki jest główny cel wprowadzenia polityki bezpieczeństwa danych w firmie, RODO jak to postrzegasz, biurokracja czy niezbędne minimum Praktycznie każda działalność gospodarcza wiąże się z przetwarzaniem danych osobowych, na jakim etapie prowadzenia, otwierania działalności, powinno się zainteresować bezpieczeństwem danych
Tak, RODO wbrew pozorom miało zminimalizować biurokracje nigdzie nie znajdziesz informacji, że jakiś papier ma być, w przeciwieństwie do starej ustawy z 97 r. gdzie był ustawowy obowiązek prowadzenia dokumentacji Polityka Bezpieczeństwa czy Instrukcji zarządzania Systemem Informatycznym IZSI. Więc obecnie w wielu firmach widoczny jest trend biurokracji i papierologii. Ja zauważam wręcz paradoksalnie, ze w związku z faktem że RODO nie do końca jasno dookresla co ma być My Polacy lubimy mieć zatem wszystko co tylko możliwe na piśmie i najlepiej podpisane. Nie wiem z czego to wynika, na pewno łatwiej potem w śądzie udowodnić Pani , czy Panu, że podpisał się na Klauzuli informacyjnej i firma ma z głowy (sprawa jest wygrana) ale to jest takie nasze polskie podejście zero – jedynkowe. RODO proszę mi uwierzyć żadnych takich absurdów i asekuracyjnych papierów nie zawiera (to my sami (ludzie wdrażający RODO) tak skomplikowaliśmy sobie życie że doszło do absurdów opisywanych nawet w gazetach)
Na jakim etapie działalności należy zainteresować się danymi
Jak najwcześniej, jeżeli zbudujemy już bazę danych to już jesteśmy za nią odpowiedzialni i musimy działać wstecz i np., zbierać zgody …
Jak przedstawia się ścieżka rozwoju osoby związanej z ochroną danych, czy można zaobserwować tu powiedzmy jakieś analogie do zawodu programisty, gdzie mamy takie trzy słowa klucze określające poziom zaawansowania specjalisty, czyli: Junior, Mid, Senior, jak to widzisz?
IODO – samo stanowisko nie ma gradacji
Natomiast zachęcam do zdobywania certyfikatów ISO 27 000, etc, innych
Zachęcam do rejestracji wszystkich zainteresowanych na nasze październikowe CyberEspresso realizowane przez moje fantastyczne koleżanki z branzy w ramach Cyber Women Community.
Właśnie w październiku opowiadamy o certyfikatach, które warto zdobyć, które się liczą w naszej branży.
Jak to jest z migracją pomiędzy firmami, czy ekspertyza w jednej firmie osadzona jest w domenie, w obrębie której działa firma, czy też posiadane umiejętności są na tyle uniwersalne, że bez problemu można przenieść je na inną branżę?
Nie to tak nie działa , zalecam podejście indywidualne do zbiorów danych i systemów szczególnie jeśli są to inne branże
jakie umiejętności są najważniejsze w tym zawodzie, tzw. twarde umiejętności techniczne, miękkie, czy może znajomość aktów prawnych regulujących kwestie z bezpieczeństwem danych?
od czego zacząć przygodę z tym zawodem, gdyby ktoś właśnie miał się zdecydować na ten zawód, to skąd czerpać wiedzę. gdzie ma stawiać pierwsze kroki, co byś mu poradziła?
Studia podyplomowe są świetne teraz już można stricte poszukać dla IODO ten zawód wpisze się na stale w nasze firmy/ instytucje, na rynku mamy już wiele stowarzyszeń które pomagają w zdobywaniu wiedzy i rozwoju
Są też konferencje, na których można porozmawiać i wiele dowiedzieć się wprost od ekspertów.
jak z perspektywy lat oceniasz ścieżkę kariery, którą wybrałaś, czy jakbyś mogła cofnąć czas, to wybrałabyś tak samo?
Nie zastanawiam się czy to dobrze, że wybrałam taki a nie inny zawód generalnie jestem zadowolona , to był mój świadomy wybór który doprowadził mnie do miejsca w którym obecnie jestem i oczywiście nie zatrzymuję się tu – nadal się rozwijam, uczę, ale już na tym etapie dzielę się też wiedzą i uświadamiam innych 😊
Czy możesz polecić jakieś książki /publikacje/ strony, które warto śledzić jako uzupełnienie poruszanego dzisiaj tematu gdzie
Tak oczywiście:
Ja obserwuje ; Niebezpieczna Trzecia Strona, Niebezpiecznik.pl, naszą urzędową www.uodo.pl
Z anglojęzycznych stron www.gdprtoday.org/
Kopalnią wiedzy i ekspertów jest dla mnie linkedin – zapraszam wszystkich zainteresowanych do bezpośrednich kontaktów ze mną. Teraz świat daje takie możliwości trzeba tylko z nich skorzystać i nie bać się 😊
Dowcip o informatykach?
Najbardziej lubię ten o informatykach i pieniądzach
Najszybciej pieniądze wydaje się podczas wyścigów konnych
Najprzyjemniej na kobiety, a
Najwięcej na ……………. informatyków
„A co mówi informatyk gdy dostanie pen driva pod choinke
Dzięki za pamięć”
I tym miłym akcentem ja również bardzo dziękuję Ci Damian za ten wywiad.