Forum Inspektorów Ochrony Danych

Witam serdecznie,
Tak, ja się wybieram i już nie umiem się doczekać. Ostatnio nawał obowiązków zawodowych doprowadził do mojego odsunięcia się od tematyki ODO, więc z przyjemnością powrócę na znajome tory.

Też będę 😊

Po wczorajszej ostatniej prelekcji znowu mam wrażenie, że zdroworozsądkowe podejście do tematu OD nie wystarczy...

To nie jest do końca tak. W ubiegłym roku miałam opracowaną politykę i instrukcję. Nadszedł audyt i wypisał 19 zaleceń. W tym roku przyszli sprawdzić czy wypełniono zalecenia. Jestem bogatsza o wiedzę i doświadczenie, ale to i tak nadal przypomina  kopanie się z koniem. Wystąpienie Pani Naczelnik na konferencji pokazało, że zupełnie nie jest zorientowana w możliwościach technicznych, kadrowych i finansowych placówek.  Takie podejście nie rozwiąże naszych problemów. Aby ochrona danych osobowych w naszych placówkach nie ograniczała się wyłącznie do zapisów w procedurach wewnętrznych musielibyśmy najpierw dokonać inwentaryzacji technicznych środków ochrony danych osobowych jakie posiadamy, potem określić potrzeby i dopiero wtedy zająć opisem tego jak być powinno i co trzeba zrobić, aby ochrona informacji była skuteczna. Normy ISO w przypadku placówek oświatowych mają się jak garbaty do ściany.  Zresztą nowe unijne przepisy nie mają przepisów wykonawczych. To Administrator dokonując mapowania ryzyka będzie określał jakich środków użyje aby skutecznie chronić dane osobowe. Jeżeli tak mają wyglądać szkolenia i konferencje, podczas których czyta nam się przepisy i później przedstawia koncert życzeń to nic z tego nie będzie. W pierwszej kolejności potrzebna nam jest ściślejsza współpraca, szersze pole wymiany doświadczeń i szkolenia na poziomie ZDECYDOWANIE merytorycznie wyższym, bo przepisy to ja sobie sama umiem przeczytać, a określenie "mapowanie ryzyka" brzmi dość bajkowo.
Po drugie analiza ryzyka jest  mocno wpisana w tzw. kontrolę zarządczą. Dla wielu z nas to science fiction, a właśnie te umiejętności są kluczowe dla właściwego określania ryzyka i reakcji na nie. Takie szkolenia były organizowane dla kadry zarządzającej a nie dla nauczycieli czy już w ogóle dla pracowników samorządowych na stanowiskach pomocniczych zwanych potocznie "sekretarkami". Zresztą ja mam ten luksus, że jak coś powiem to nikt z tym nie dyskutuje, ale wiem od wielu z nas, że status ABI w wielu placówkach jest taki, że to "ten co się czepia, a jak całe życie tak robiłem i było dobrze". A tak w ogóle to szkolenia powinny mieć formę warsztatową, która jest znacznie "skuteczniejsza" w przekazywaniu wiedzy.

Tylko, że nie będzie Pani w stanie spełnić zaleceń pokontrolnych. Większość placówek nie ma serwerów sieciowych, nie tworzy i nie przydziela domen użytkownikom sieci, a więc gdzie zgodnie z sugestią Pani Naczelnik ma Pani stworzyć "folder z dokumentami o znaczeniu strategicznym". Dzwoniłam do Śląskiej Sieci Metropolitalnej, która ma nas technicznie wpierać i tam też otrzymałam odpowiedź, że serwer sieciowy to jedne skuteczne rozwiązanie. Ofertę tworzą mi już drugi tydzień, ale mniej więcej w naszej placówce to jednorazowy koszt około 15 000 zł. Trzeba zaznaczyć, że mam już zbudowaną sieć LAN na terenie placówki, więc u mnie jest to tylko kwestia podpięcia serwera i zainstalowania oprogramowania. Jak ktoś ma internet drogą radiową to jeszcze bardziej komplikuje sprawę. W razie problemów i wątpliwości służę pomocą. Pozdrawiam

Już wcześniej natknęłam na tę propozycję, ale koszt jest dość wysoki. Do tego dochodzą jeszcze koszty podróży i zakwaterowania. Znalazłam coś znacznie bliżej. Jeśli uzbiera się grupa, studia ruszą od października. Kosztują połowę tego co studia w Warszawie. Pozdrawiam