Zarządzanie Bezpieczeństwem i Higieną Pracy

I. Ogólna charakterystyka prowadzonych studiów

Główny celem studiów podyplomowych „Zarządzanie bezpieczeństwem i higieną pracy” jest doskonalenie kwalifikacji zawodowych  oraz przekazanie słuchaczom (specjaliści BHP, pracownicy zajmującymi się problematyką BHP, osoby zainteresowane podjęciem w przyszłości pracy w służbach BHP)  specjalistycznej wiedzy  w zakresie bezpieczeństwa i higieny pracy.

Studia podyplomowe „Zarządzanie bezpieczeństwem i higieną pracy” skierowane są do osób pragnących uzyskać specjalistyczne i przyszłościowe kwalifikacje zawodowe z zakresu BHP, a także do pracowników: przedsiębiorstw, instytucji państwowych, pomocy przedmedycznej, administracji samorządowej oraz do osób prowadzących działalność gospodarczą.

Ukończenie studiów podyplomowych na tym kierunku  umożliwia osobom, które nie ukończyły studiów wyższych o specjalności w zakresie bezpieczeństwa i higieny pracy  pełnienie zadań pracownika Służby BHP zgodnie z przepisami prawnymi obowiązującymi od dnia 1 lipca 2005 r. (Dz.U. 2004, Nr 246, poz. 2468).

Prowadzącymi są wykładowcy Uczelni, ratownicy medyczni oraz  eksperci i specjaliści z zakresu prawa pracy i BHP.

II. Program studiów

Pro­gram stu­diów podyplomowych „Zarządzanie bezpieczeństwem i higieną pracy”  obej­mu­je za­kres wie­dzy ukie­run­ko­wa­ny na prak­tycz­ne przygotowanie do zawodu starszego inspektora lub specjalisty do spraw bezpieczeństwa i higieny pracy,(warunek: co najmniej jeden roku stażu pracy w służbie BHP),starszego specjalisty do spraw bezpieczeństwa i higieny pracy (warunek: co najmniej trzy lata stażu pracy w służbie BHP) oraz głównego specjalisty do spraw bezpieczeństwa i higieny pracy (warunek: co najmniej pięć lat stażu pracy w służbie BHP).

Przykładowe przedmioty:

  • Prawna ochrona pracy,
  • Ergonomia –  w tym organizacja stanowisk pracy w dostosowaniu dla specyficznych potrzeb pracodawcy,
  • Dokumentacja BHP. Wypadki, zgłoszenia, zwolnienia – Dokumentacja do wypełnienia dla komisji powypadkowych,
  • Systemy i struktury ochrony przeciwpożarowej w środowisku pracy,
  • Analiza zagrożeń na stanowisku pracy,
  • Wymagania zdrowotne wobec pracowników,
  • Prawodawstwo, teoria i praktyka bezpieczeństwa eksploatacji urządzeń, instalacji i sieci elektroenergetycznych, cieplnych i gazowych w energetyce,
  • Zasady udzielania pierwszej pomocy,
  • Czynniki środowiska pracy – niebezpieczne, szkodliwe i uciążliwe.

Program studiów ma na celu praktyczne zapoznanie słuchaczy z organizacją i  metodyką szkolenia oraz popularyzacją bezpieczeństwa pracy – Trening kompetencji (doskonalenie umiejętności).

Kierownik studiów podyplomowych – ZBiHP

III. Zasady rekrutacji

Słuchaczami studiów mogą być osoby posiadające dyplom ukończenia studiów co najmniej pierwszego stopnia (niezależnie od kierunku ukończonych studiów).

 Kandydaci ubiegający się o przyjęcie na studia składają:

  • formularz zgłoszeniowy na studia podyplomowe;
  • aktualną fotografię zgodną z wymaganiami stosowanymi przy wydawaniu dowodów osobistych;
  • odpis lub poświadczona za zgodność z oryginałem kserokopia dyplomu ukończenia studiów wyższych;
  • dowód wpłaty opłaty jednorazowej (wpisowe);
  • skierowanie, w przypadku kierowania na studia podyplomowe przez instytucję zewnętrzną, z podaniem kwoty dofinansowania, adresu i NIP-u instytucji oraz upoważnieniem Uczelni do wystawienia faktury proforma.

Rekrutacja na studia podyplomowe odbywa się bez egzaminów wstępnych. O przyjęciu decyduje kolejność zgłoszeń (datą decydującą o kolejności zgłoszeń jest data złożenia wszystkich wymaganych dokumentów). Osoby przyjęte na studia podyplomowe na podstawie kompletnej dokumentacji zostaną poinformowane w formie pisemnej pocztą tradycyjną lub pocztą elektroniczną o terminie rozpoczęcia zajęć.

IV. Organizacja oraz charakterystyka studiów podyplomowych

Studia prowadzone są zarówno metodami tradycyjnymi, jak i z wykorzystaniem metod i technik kształcenia na odległość. Około 75% zajęć  prowadzonych jest w systemie zdalnym, pozostałe 25% (4 zjazdy stacjonarne). Zajęć odbywa się w formie zjazdów stacjonarnych organizowanych weekendowo.

System zdalny:

Studia w 75% realizowane są w systemie e-learningowym na platformie e-learningowej Moodle WSBiO oraz za pośrednictwem strony Cisco Webex Meetings.

Termin przyjmowania zgłoszeń:  31 październik 2021r.

Warunkiem rozpoczęcia studiów podyplomowych jest liczba co najmniej 21 słuchaczy

V. Warunki ukończenia studiów

Studia podyplomowe kończą się ustnym egzaminem końcowym, w trakcie którego nastąpi sprawdzenie zakresu opanowanej wiedzy, umiejętności i kompetencji.

Absolwent studiów podyplomowych: „Zarządzanie Bezpieczeństwem  i Higieną Pracy” otrzymuje:

  • świadectwo ukończenia studiów podyplomowych Wyższej Szkoły Bezpieczeństwa i Ochrony im. Marszałka Józefa Piłsudskiego z siedzibą w Warszawie opracowane zgodnie z wytycznymi treści Rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 12 września 2018 r. w sprawie dokumentów wydawanych w związku z przebiegiem lub ukończeniem studiów podyplomowych i kształcenia specjalistycznego (Dz.U. 2018 poz. 1791),
  • zaświadczenie ukończenia szkolenia pierwszej pomocy przedmedycznej.

VI. Sylwetka absolwenta

Studia podyplomowe pozwalają zdobyć wiedzę praktyczną i teoretyczną konieczną do podjęcia  pracy na stanowisku starszego inspektora lub specjalisty do spraw bezpieczeństwa i higieny pracy. Nabyta wiedza, umiejętności i kompetencje dają absolwentom  uprawnienia do samodzielnego kierowania działami oraz wdrażania zagadnień BHP  w miejscu pracy, zgodnie z obowiązującymi uregulowaniami prawnymi.

Wiedza: Absolwent studiów będzie posiadał wiedzę z zakresu bezpieczeństwa i higieny pracy, w głównych jej obszarach: ergonomii – w tym organizacja stanowisk pracy w dostosowaniu dla specyficznych potrzeb pracodawcy, prawa pracy, dokumentacji BHP (wypadki, zgłoszenia, zwolnienia – dokumentacja do wypełnienia dla komisji powypadkowych, ochroną przeciwpożarową) zarządzania bezpieczeństwem pracy i ryzykiem zawodowym oraz elementów psychologii pracy. Ponadto nabędzie wiedzę z zakresu zasad udzielania  pierwszej pomocy, ochrony przeciwpożarowej, zastosowania technologii informatycznych w zarządzaniu bezpieczeństwem obejmujące zastosowanie w bezpieczeństwie pracy/produkcji różnego rodzaju nowych technologii np. reglamentacja dostępu w określone sektory zakładu lub do określonych maszyn, automatyzacja systemu kontroli zdolności pracownika do wykonywania zadań na powierzonym stanowisku itd. oraz analizy zagrożeń na stanowisku pracy.

Umiejętności: Absolwent będzie posiadał umiejętności prowadzenia szkoleń w zakresie bhp, przeprowadzania kontroli przestrzegania przepisów bezpieczeństwa i higieny pracy (procedury prawne związane z wypadkami w pracy).

Absolwent nabędzie również  umiejętności tworzenia prezentacji multimedialnych oraz technicznego przeprowadzenia zdalnego szkolenia.

Kompetencje: Absolwent nabędzie kompetencje budowania relacji interpersonalnych. Posiada umiejętność przygotowania wystąpień ustnych dotyczących zagadnień szczegółowych bhp. Dostrzega potrzebę uczenia się przez całe życie w kontekście podnoszenia kwalifikacji zawodowych oraz w odniesieniu do zagadnień prawa pracy i zagadnień prawnych bhp oraz dostrzega potrzebę rozwoju osobistego i zawodowego.

VII. Zasady odpłatności

  • Opłata za naukę składa się z:
  1. Opłaty wpisowej na pokrycie kosztów postępowania rekrutacyjnego – 200 zł.

Płatne nie później niż w dniu złożenia dokumentów na konto Uczelni.

W przypadku rezygnacji z podjęcia studiów podyplomowych opłata jednorazowa (wpisowe) nie podlega zwrotowi.

  • Czesnego
  • Opłata za całość studiów wynosi:  3800 zł. (płatne do 10 dnia pierwszego miesiąca nauki).
  • Opłata semestralna: 2 x 2000 zł. (płatne do 10 dnia pierwszego miesiąca semestru).
  • Opłata ratalna: 10 x 420 zł. (płatne do 10 dnia każdego miesiąca).

Studentom i absolwentom WSBiO przysługuje zniżka na czesnym w wysokości – 15% rocznego czesnego.

Zniżka będzie kalkulowana od pełnej kwoty czesnego, bez względu na to czy uregulowanie czesnego będzie odbywać się jednorazowo czy ratalnie.

Opłaty za usługi edukacyjne wnosi się na rachunek bankowy o numerze:  45 1020 1068 0000 1302 0072 7586

W tytule płatności należy wpisać: Imię i nazwisko, wpisowe lub czesne, nazwę studiów podyplomowych.

Jeśli zainteresował  Cię kierunek studiów podyplomowych: „Zarządzanie bezpieczeństwem i higieną pracy”  napisz lub zadzwoń do nas: adres e-mail: rekrutacja@wsbio.waw.pl , tel. 22 856 52 06


Formularz zgłoszeniowy na studia podyplomowe:  „Zarządzanie bezpieczeństwem i higieną pracy” (do pobrania poniżej)

Formularz-zgłoszeniowy-na-studia-podyplomowe--1 

Studia podyplomowe

Szanowni Państwo,
serdecznie zapraszamy do obejrzenia fotorelacji z obron prac dyplomowych. Do egzaminów dyplomowych przystąpili Studenci kierunku Bezpieczeństwo Narodowe (I i II stopień studiów) oraz Bezpieczeństwo Wewnętrzne (I stopień studiów). Obrony prac dyplomowych w Roku akademickim 2020/2021 zostały zrealizowane w formie tradycyjnej z zachowaniem środków ostrożności zalecanych w aktualnej sytuacji epidemiologicznej (budynek Uczelni przy ul. Zakroczymskiej 13).
1 lipca 2021r.

 

 

 

 

 

 

 

2 lipca 2021r.

6 lipca 2021r.

 

7 lipca 2021r.

13 lipca 2021r.

Gratulujemy Absolwentom doskonałego przygotowania i wspaniałych ocen końcowych. Trzymamy kciuki za następnych Studentów! 🙂

Dziękujemy członkom Komisji Egzaminacyjnych za przychylne nastawienie do Studentów oraz profesjonalne czuwanie nad przebiegiem egzaminów.

Wszystkim uczestniczącym w obronach prac dyplomowych dziękujemy za dostosowanie się do wymogów sanitarnych.

Podziękowania od Studentów/ Absolwentów:

dla Pana doktora Krzysztofa Bojarskiego                                           dla Pani mgr Marioli Kowalczyk

dla Pana mgr Andrzeja Kapkowskiego

w ramach obchodów 100 rocznicy odzyskania przez Polskę niepodległości RZECZPOSPOLITA – 100 LAT PÓŹNIEJ

Konferencja odbyła się 24 listopada 2018 r.  w Auli, przy ul. Felińskiego 15.

Organizator konferencji: Wydział  Bezpieczeństwa Wyższej Szkoły Bezpieczeństwa i Ochrony im. Marszałka  Józefa Piłsudskiego z siedzibą w Warszawie

 Konferencję poprowadził dr inż. Włodzimierz Zieliński – Dziekan WB WSBiO.

Tematy wystąpień:

Wojna hybrydowa Gen dyw. rez. Jerzy Michałowski (gość specjalny)
Świat jako Wielka Szachownica Marcin Żaczek (student WSBIO)
Traumatyczne wspomnienie Eugeniusz Bądzyński – były więzień KL Dachau (gość specjalny)
Korekty granic Polski 1918 r. i 1945 r. Andrzej Bujanowicz (student WSBiO)
Mniejszości narodowe w Polsce okresu międzywojennego i współcześnie Paweł Zieliński (student WSBiO)
Religie i wyznania w Polsce Marta Siarkiewicz (student WSBiO)
Broń chemiczna zatopiona w Bałtyku Joanna Śliwińska (studentka WSBiO)
Pokojowe zjednoczenie Polski i Ukrainy Damian Golik, Natalia Kozicka (studenci WSBiO)
Znaczenie rejonów podbiegunowych Dawid Blicharz, Majchrzak Bartosz (studenci WSBiO)
Wojsko Polskie na Misjach Pokojowych Jarosław Pająk (student WSBiO)
Bezpieczeństwo państwa w kontekście Art. 5 Traktatu NATO Dr inż. Włodzimierz Zieliński (Dziekan WSBiO)

 Dziękujemy wszystkim uczestnikom konferencji, a w szczególności studentom i gościom specjalnym!

Prezentowane materiały wkrótce zostaną opublikowane na stronie.

 

Celem konferencji było:

  • Przedstawienie dorobku wybranych grup studentów i kół zainteresowań w kontekście wizji Polski po stu latach od uzyskania niepodległości
  • Praktyczne wdrażanie studentów do opracowywania przekrojowych materiałów, wystąpień publicznych i dyskusji na szerokim forum
  • Pogłębienie wzajemnych relacji nauczyciel – student na gruncie naukowym i pedagogicznym
  • Nawiązanie więzi naukowych i dydaktycznych z innymi uczelniami i studentami

Komitet Naukowy Konferencji:

Dr Jacek Pomiankiewicz –Rektor WSBiO
Prof. dr hab. Tadeusz Kmiecik – WSBiO
Prof. dr hab. Zenon Stachowiak – UKSW
Dr hab. Włodzimierz Fehler – prof. UPH
Dr hab. Władysław Kubiak – KSW
Dr inż. Tadeusz Szmidtka – ASzW
Dr inż. Krzysztof Paszkowski – WSBiO
Płk dr inż. Cezary Sochala – WSBiO
Ks. dr Paweł Wojtas – WSBiO

Goście specjalni konferencji:

Gen. dyw. rez. Jerzy Michałowski
Nadbrygadier Ryszard Grosset – SGSP
Eugeniusz Bądzyński – były więzień KL Dachau

Współorganizatorzy konferencji:

ALERT-Stowarzyszenie Myśli Strategicznej Bezpieczeństwa Narodowego
Studenckie Koło Zainteresowań „Bezpieczeństwo – Historia -Geopolityka”
Samorząd Studencki

Zespół organizacyjny konferencji:

Dr inż. Włodzimierz Zieliński – Dziekan WB WSBiO – przewodniczący
Mgr Agnieszka Gałkowska – wiceprzewodnicząca
Lic. Iwona Marzec
Mgr Sylwia Proszkiewicz
Lic. Iwona Semeniuk
Mgr Dominika Zając

Zespół przygotowania publikacji:

Dr inż. Włodzimierz Rycerski – przewodniczący
Płk dypl. inż. Michał Gałkowski
Mgr Jolanta Gałązka
Mgr Dominika Zając

Organizatorzy zapewniają możliwość opublikowania artykułów pokonferencyjnych (także zaproszonych gości) w monografii po uzyskaniu pozytywnych recenzji wydawniczych.
Termin składania artykułów do 30 listopada 2018 r. Artykuły należy przesyłać w wersji elektronicznej do dziekanatu WB WSBiO. Prosimy o przygotowanie artykułów zgodnie z ogólnymi wymogami edytorskimi.

Dane kontaktowe:

W sprawach  zgłoszeń, organizacji i publikacji pokonferencyjnych:
Tel: 22 856 52 06, 22 519 30 10
E-mail: dominika.zajac@wsbio.waw.pl, dzial_studenta@wsbio.waw.pl

Telewizja przemysłowa, monitoring wizyjny czy CCTV, to określenia dla systemów klasyfikowanych w Ustawie o ochronie osób i mienia jako zabezpieczenie techniczne – systemy elektroniczne. Normy (dobrowolnego stosowania), które wspierają zastosowanie CCTV w zabezpieczeniach to seria PN-EN 62676, w tym najbardziej pomocna w zrozumieniu zastosowań: PN-EN 62676-1-1:2014-06 – Systemy dozorowe CCTV stosowane w zabezpieczeniach — Część 1-1: Wymagania systemowe — Postanowienia ogólne.

Dane osobowe w CCTV?

Definicja danych osobowych nie zmieniła się znacząco od 20 lat. Nadal co do zasady są to dwie definicje:

  1. Dane dotyczące zidentyfikowanej osoby
  2. Dane identyfikujące osobę.

W przypadku systemów monitoringu wizyjnego możemy mieć do czynienia z obiema „grupami” danych. Szczególnie w przypadku obiektów, na których dodatkowo jest realizowana kontrola dostępu, niezależnie czy na podstawie systemów elektronicznych, jak i tradycyjnych (posterunek stały, z kontrolą i książką wejść), będziemy mieć do czynienia ze zidentyfikowaną osobą.

Kto jest właścicielem?

Ważnym aspektem w przypadku systemów monitoringu wizyjnego jest to, że w wielu przypadkach są one własnością chronionych firm. Oznacza to, że agencje ochrony i jej pracownicy pracują na systemach klienta i w wielu przypadkach dochodzi tutaj do powierzenia przetwarzania danych osobowych agencji ochrony, bądź upoważnienia do przetwarzania pracowników ochrony (czynność samodzielna administratora). Za przetwarzanie danych osobowych, zabezpieczenie ich i ewentualne przekazywanie odpowiedzialni są właściciele obiektów i to na nich również ciąży obowiązek dopełnienia wszelkich wymagań z RODO oraz nowelizowanego Kodeksu Pracy.

Nowe regulacje

Z dniem wejścia w życie przepisów RODO, weszły w życie również przepisy Ustawy z dnia 10 maja 2018, o ochronie danych osobowych (Dz. U. 1000, z 2018). Poza regulacjami w zakresie samych danych osobowych, pojawiły się przepisy precyzujące zastosowanie systemów monitoringu wizyjnego czy monitorowania  poczty elektronicznej pracowników. Art. 111 wprowadza do Kodeksu Pracy, art. 22(2) następujące, dozwolone cele stosowania monitoringu:

  1. Zapewnienie bezpieczeństwa pracownikom
  2. Ochrona mienia
  3. Kontrola produkcji
  4. Zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

W regulacji wskazano również pomieszczenia, które co do zasady należy wyłączyć spod obserwacji. Są to pomieszczenia socjalne, palarnie, stołówki, szatnie, czy pomieszczenia udostępniane organizacjom związkowym. Pod pewnymi restrykcjami można jednak stosować monitoring tych pomieszczeń, jeśli jest to niezbędne do realizacji jednego z czterech wspomnianych wyże celów.

W jaki sposób uregulować monitorowanie?

Art. 22(2) dodawany przez cytowaną Ustawę, w paragrafie 6 wskazuje, że cele stosowanego monitoringu wizyjnego, zakres jego prowadzenia oraz sposób zastosowania musi zostać uregulowany. Dla zakładów objętych układem zbiorowym, należy to uczynić w układzie zbiorowym. Dla zakładów powyżej 50 osób zatrudnionych – w Regulaminie Pracy, a dla tych poniżej progu, podobnie jak są regulowane inne istotne elementy organizacji, w obwieszczeniu.

Jest to wyrażeniem zasady obowiązującej w RODO, że osoba, której dane dotyczą ma prawo do pełnej wiedzy, gdzie jej dane są przetwarzane, w jaki sposób i do jakich celów.

Informacja o monitorowaniu

Ważnym aspektem, który do dnia 25 maja nie był regulowany w żaden konkretny sposób, jest wymóg poinformowania pracowników o fakcie monitorowania zakładu pracy oraz pomieszczeń. Według nowych przepisów wykonane to ma być na kilka sposób (łącznie):

  1. Poprzez informację w regulaminie, obwieszczeniu lub układzie zbiorowym (patrz punkt powyżej);
  2. W sposób przyjęty w zakładzie pracy, na dwa tygodnie przed rozpoczęciem monitorowania, np. poprzez tablice ogłoszeń, czy informacje wysłane mailem – na dwa tygodnie przed rozpoczęciem monitorowania;
  3. Poprzez system odpowiednich znaków lub system dźwiękowy (systemy nagłośnienia, DSO), nie później niż na jeden dzień przed uruchomieniem;
  4. Przed dopuszczeniem do pracy – pisemnie.

Retencja danych, czyli okres przechowywania

Zmiany w Kodeksie Pracy zmieniają też kwestie przetwarzania danych osobowych w systemach monitoringu wizyjnego. O ile do dnia 25 maja 2018 można było się posługiwać jako przesłanką legalności – uzasadnionym interesem administratora (która w RODO znajduje się w art. 6.1.f), o tyle w tym przypadku przepis w randze ustawy określa maksymalny czas retencji danych (okresu przechowywania). Jest to:

  1. Okres nieprzekraczający 3 miesięcy;
  2. W przypadkach, gdy zapis z monitoringu wizyjnego stanowi dowód w postepowaniu na podstawie przepisu prawa lub pracodawca powziął informację, iż mogą stanowić dowód w postępowaniu, termin ten został określony jako „do momentu prawomocnego zakończenia postępowania”.

Komentarz

Uregulowanie

Obecnie systemy monitoringu wizyjnego funkcjonują dość dowolnie. W niektórych obiektach i u niektórych przedsiębiorców regulacje wewnętrzne zostały już dawno wprowadzone. W innych przypadkach działały w oparciu o przepisy uchylonej już Ustawy o ochronie danych osobowych z 1997 roku. W niektórych nie są uregulowane w żaden sposób.

Wprowadzana regulacja wymusi na pracodawcach, którzy administrują systemami uporządkowanie tej kwestii, zgodnie z duchem RODO, które dla przypomnienia nie ma na celu ochrony danych osobowych, a osoby fizyczne, w związku z przetwarzaniem ich danych osobowych.

Retencja

Niepokoić może jedynie krótka retencja (okres przechowywania) danych osobowych. Dla przypomnienia, czyny o najniższej społecznej szkodliwości, podlegające karaniu, a więc wykroczenia, przedawniają się po roku, chyba że wszczęto postępowanie, to po 2 latach. A nie zawsze ujawnienie nastąpi tak szybko. Na szczęście ustawodawca przewidział, że nawet samo wszczęcie podstępowania bywa dość czasochłonne i zawarł furtkę, w której administrator (pracodawca) może wydłużyć ten okres w związku z podejrzeniem zaistnienia sytuacji, która dalej będzie prowadzona w trybie określonym w przepisach prawa.

Takie podejście utrzymuje bardzo istotną przesłankę odmowy do usunięcia danych (wyłączenia prawa do bycia zapomnianym), którą jest obrona, dochodzenie lub ustalenie roszczeń (art. 17 RODO).

O autorze

Autor zajmuję się bezpieczeństwem informacji, w tym danych osobowych od 2000 roku. Pełnił funkcje ABI, CISO w instytucjach administracji publicznej. Wdrażał i realizował ochronę danych osobowych, audyty i szkolenia w wielu firmach krajowych, koncernach i korporacjach międzynarodowych. Ochroną fizyczną osób i mienia zajmuje się od 1995 roku.

Prowadzi szkolenia i kursy w Wyższej Szkole Bezpieczeństwa i Ochrony w Warszawie z zakresu bezpieczeństwa i ochrony danych osobowych, audytu bezpieczeństwa, zarządzania bezpieczeństwem. 

Już niebawem wejdą w życie przepisy ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), potocznie zwanego RODO.

Jedną z ważniejszych zasad jaką wprowadza RODO, jest rozliczalność, rozumiana nieco inaczej niż dotychczas. Według przepisów, które zostają uchylone z dniem wejścia w życie RODO, oznaczała możliwość przypisana operacji na danych konkretnej osobie lub procesowi. Według nowych przepisów rozliczalność oznacza, że:

 Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). (art. 5.2 RODO)

Takie rozwiązanie ma na celu ustanowienie rzeczywistej i faktycznej ochrony danych osobowych, a nie jak dotychczas skupienie się na dokumentacji. Pod obecnie obowiązującymi przepisami ukształtował się pogląd, że wystarczy aby organizacja posiadała dwa dokumenty określone w Rozporządzeniu ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych i już uzyskana jest tzw. zgodność z przepisami prawa. Mowa oczywiście o Polityce Bezpieczeństwa Danych Osobowych i Instrukcji Zarzadzania Systemem Informatycznym służącym do przetwarzania danych osobowych, opisanych precyzyjnie w cytowanym Rozporządzeniu MSWiA.

Według RODO ilość dokumentacji obowiązkowej jest ograniczona, a dodatkowo fakultatywna. Np. w przypadku rejestru czynności przetwarzania danych osobowych jest on wymagany dla organizacji zatrudniających więcej niż 250 osób (dodatkowo są jeszcze inne warunki), czy dla oceny wpływu dla ochrony danych (DPIA), konieczne jest zaistnienie wysokiego prawdopodobieństwa naruszenia praw lub wolności.

Jak w takim razie wykazać zgodność?

W zarządzaniu bezpieczeństwem informacji od lat funkcjonuje rozwiązanie opisane w normie ISO 27001, nazywane Deklaracją Stosowania. Jest to wykaz wdrożonych zabezpieczeń, wraz z uzasadnieniem ich wyboru. Ważne jest, aby w trakcie audytu „zerowego” czy też „startowego”, (wykonywanego przed wdrożeniem nowych rozwiązań), zidentyfikować już istniejące zabezpieczenia. Zarówno organizacyjne jak i techniczne (podział z RODO).

Jeden z wiodących dokumentów na których pracujemy w trakcie szkolenia – Certyfikowany Audytor Bezpieczeństwa zawiera wszystkie elementy z Deklaracji Stosowania, a więc może być bardzo dobrym przewodnikiem, po zabezpieczeniach.

Audyt zgodności a audyt bezpieczeństwa

RODO wymaga wdrożenia rozwiązań odpowiednich do zagrożeń. Mówi o tym art. 32.

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, (…)

Oznacza to, że sama identyfikacja zabezpieczeń, czy samo wykonanie dokumentacji wymaganej bądź dobrowolnej, nie oznacza jeszcze pełnej zgodności z przepisem. Drugim etapem oceny musi być ocena adekwatności stosowanych zabezpieczeń do zidentyfikowanego ryzyka.

Tu z pomocą przychodzi drugie rozwiązanie. Jest to Indeks Bezpieczeństwa, który zbudowany jest na zasadzie „myślenia opartego o ryzyko”, zaszytego w RODO. Z technicznej strony Indeks oparty jest o średnią ważoną zastosowanych środków w odniesieniu do prawdopodobieństwa i skutku. Środki ochrony są skatalogowane w pięć grup (filarów bezpieczeństwa) oraz dodatkowo pogrupowane w skale wpływu na dane zagrożenie lub dany skutek.

Metody audytu

Aby zebrać właściwe dane do oceny, czy nasze rozwiązania są:

  • Po pierwsze wdrożone
  • Po drugie adekwatne

musimy dobrać właściwe metody audytowania.

Slajd ze szkolenia Certyfikowany Audytor Bezpieczeństwa. Metody audytu w oparciu o normę ISO 19011

Dość częstym błędem w przypadku audytu jest zbytnie skupienie się na technikach interaktywnych, wykonywanych zdalnie, tj. np. ankietach wysyłanych do uczestników procesów bezpieczeństwa, czy wywiady z pomocą środków komunikacji elektronicznej. Takie gromadzenie dowodów z audytu, mimo że dość wygodne może być obarczone błędem, szczególnie jeśli mówimy o realizacji konkretnych czynności (logowanie, wystawianie upoważnień etc.). W tym przypadku zalecane formy to obserwacja, niezależnie czy na miejscu czy zdalna, np. przegląd próbek zapisu z systemu CCTV, czy logów systemowych przesłanych do analizy.

Podsumowanie

Audyt bezpieczeństwa, jako narzędzie zarządcze może w dużym stopniu pomóc organizacjom w wykazaniu zgodności z RODO. Ważne jest jednak, aby pamiętać o kilku kluczowych sprawach:

  1. Audyt zgodności (compliance) nie jest jedynym działaniem wymaganym w RODO
  2. Ocena adekwatności stosowanych zabezpieczeń w zależności od poziomu ryzyka naruszenia praw i wolności powinna być wykonywana jako spełnienie wymagania z art. 5.2 RODO (rozliczalność)
  3. Aby oba etapy były właściwie zrealizowane, powinniśmy pamiętać o właściwych metodach audytu.

Od kwietnia 2018 poszerzamy naszą ofertę szkoleniową o uznane na świecie szkolenie oparte o standardy brytyjskie, wydawane przez BSI – British Standards Institution.

Dlaczego BSI?

Aby odpowiedzieć na to pytanie, musimy nieco cofnąć się do historii. Skrót BS – oznacza British Standard, podobnie jak w Polsce PN – oznacza polską normę.

Większość z nas zna standard (w Polsce mówi się normę) ISO 9001 Systemy zarządzania jakością — Wymagania, której obecne wydanie to 2015 rok. Ale czy ktoś zna BS 5750, wydany w 1979 roku? Jest to „pradziadek” naszej obecnej normy ISO 9001. Pierwsze wydanie z tą nazwą to ISO 9001 z 1987 roku i oparte jest właśnie o BS 5750.

To jednak nie jedyny przykład. Nieco dłuższą ścieżkę życia ma obecny standard międzynarodowy ISO 22301 – Bezpieczeństwo powszechne – Systemy zarządzania ciągłością działania – Wymagania. Jego bezpośrednim przodkiem był BS 25999, a jeszcze wcześniej wydawnictwo o nazwie PAS 56 (PAS jako rodzaj publikacji przybliżymy w dalszej części artykułu).

Monitor arkusza wspierającego PAS 56 w organizacji (źródło własne)

Podobnie było ze standardami (normami) ISO 27001 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania  i 27002 Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji. Ich prekursorem były trzy zeszyty standardów brytyjskich – BS 7799. Co ciekawe, przez lata ISO 27002 funkcjonowała wprost pod nazwą PN-ISO 17799.

Bądź w awangardzie

Ten mechanizm „od PAS/BS do ISO” sprawia, że uczestnicy naszych szkoleń będą w awangardzie specjalistów i managerów krajowego, europejskiego i światowego bezpieczeństwa. Już dziś mogą poznać nowe koncepcje zarządzania bezpieczeństwem zawarte w BS, z których wiele będzie stanowić w przyszłości standardy światowe, wydawane między innymi przez ISO.

Korzystaj z wiedzy ekspertów z całego świata

Lista standardów otwartych do pracy (strona BSI Standards Development)

Warto wiedzieć w jaki sposób opracowywane są standardy BS. BSI podzielone jest na komitety (podobnie jak ISO i nasz krajowy PKN). Nadzorują jakość standardów (jako zespół ekspertów) i stronę techniczną procesu opracowania i publikacji.

Natomiast udział w zakresie merytorycznym ma naprawdę wielu specjalistów i ekspertów branżowych z całego świata. Pracują poprzez specjalny portal, w ramach którego zgłaszają uwagi o charakterze technicznym (czyli kwestie czytelności, jakości standardu) oraz merytorycznym, czyli związane z przyjęciem konkretnego rozwiązania.

Ten mechanizm tworzenia (też okresowej rewizji) standardu powoduje, że publikacje te są po prostu pracą wspólną czasem nawet setek ekspertów, pod redakcją komitetów technicznych. Warto wprowadzić taką wiedzę i doświadczenie do swojej codziennej pracy zarówno w celu podwyższenia standardów firmy jak i jej przyszłemu rozwojowi.

Standard otwarty do komentowania i pracy nad nim

Nie tylko publikacje

Korzystaj z opieki specjalistów i ekspertów BSI

Bardzo ważnym aspektem publikacji standardów brytyjskich jest również pewien rodzaj opieki BSI nad osobami korzystającymi ze standardów. Praktycznie wszystkie nowe publikacje lub rewizje (zmiany) istotnych standardów związane są z konferencjami wprowadzającymi (tzw. launch conferences). Po publikacjach nowych wydań norm ISO 9001 i ISO 14001, które w Wielkiej Brytanii mają oznaczenie BS-ISO 9001 i BS-ISO 14001, BSI zorganizował bardzo dużą konferencję wprowadzającą, w ramach której realizowane były również warsztaty dla uczestników. Przygotowywały do stosowania nowych rozwiązań.

Podobnie było przy rewizji standardu BS 10012:2017 – ochrona danych. Specyfikacja systemu zarządzania informacjami personalnymi. Konferencja odbyła się następnego dnia roboczego po publikacji (publikacja w piątek konferencja, w poniedziałek). Co ważne, podstawą rewizji standardu była publikacja RODO (po angielsku GDPR) oraz uchylenie umowy Safe Harbour z USA.

Nasz trener opisał to wydarzenie na stronie Linkedin: Brexit i GDPR & BS 10012:2017

Kolejny argument do korzystania ze standardów – pomagają zrozumieć wymagania prawne i wspierają poprzez wskazywanie dobrych praktyk. I tutaj powrócić należy do PAS. Jest to jeden z typów publikacji BSI. Skrót oznacza Publicly Available Specification czyli Publicznie Dostepna Specyfikacja. Jest to wydawnictwo, który standaryzuje elementy produktu, usługi lub procesu. PAS są zazwyczaj zlecane przez liderów branży – czy to pojedyncze firmy, małe i średnie przedsiębiorstwa, stowarzyszenia handlowe czy agencje rządowe.

Warto stosować PAS, bo często są pierwszymi próbami uregulowania konkretnego obszaru. Dla przykładu PAS, powiązany w pewnym stopniu z RODO. Jednym z ograniczeń w RODO jest stosowanie ograniczenia wieku dla samodzielnie wyrażanej zgody przy korzystaniu z usług społeczeństwa informacyjnego. Wiek, od którego małoletni może samodzielnie udzielić zgody to 16 lat (regulatorzy krajowi mogą to zmienić i w Polsce planowane jest 13 lat). Ale jak sprawdzić? Jakie mechanizmy wprowadzić?

Odpowiedzią może być PAS 1296:2018 Online age checking. Provision and use of online age check services. Code of Practice, czyli Zapewnienie i korzystanie z internetowych usług sprawdzania wieku. Kodeks postępowania (dobre praktyki).

Ta specyfikacja jest też przydatna dla serwisów dla dorosłych, sprzedaży on-line towarów i produktów, które mogą trafić tylko do osoby dorosłej lub w określonym wieku.

Kto prowadzi?

Szkolenia prowadzi trener WSBiO, który bierze aktywny udział w tworzeniu standardów z szeroko rozumianego bezpieczeństwa. Komentował i zgłaszał uwagi między innymi do ISO 45001 – standardu dotyczącego bezpieczeństwa i higieny pracy (zastępującego OHSAS i PN-N 18001), współpracując i przenosząc do systemu uwagi polskich specjalistów z dziedziny BHP. Włączył się również w prace nad ISO z dziedziny zarządzania ciągłością działania ISO 22316 – Security and resilience – Organizational resilience – Principles and attributes.

Bierze aktywny udział w konferencjach organizowanych przez BSI w Polsce i Wielkiej Brytanii, omawiając aktualny stan prac nad standardami. Przykładem może być konferencja: Ciągłość Działania, wyzwania dla infrastruktury krytycznej, organizowana przez BSI Polska, w trakcie której przeprowadził prelekcję Ocena zdolności organizacji do zarządzania kryzysowego – kierunki standaryzacji systemu oceny. Wykład oparty był o standard BS 11200:2014 – zawierający dobre praktyki z zakresu zarządzania kryzysowego (opublikowany) w powiązaniu z projektem ISO 22325 Security and resilience — Emergency management — Guidelines for capability assessment. Uzupełnieniem była wiedza o najnowsze kierunki i te, w które podąża standaryzacja obszaru odporności organizacji (business Resilience), przywieziona z konferencji w Londynie „Business Continuity & Resilience”.

Ale sama wiedza to nie tylko to czego mogą się spodziewać uczestnicy szkoleń. Posiada szeroką praktykę w zakresie stosowania standardów. Przykładem niech będą ćwiczenia z zarządzania kryzysowego i ciągłości działania, zrealizowane na podstawie BS 11200:2014 Crisis management. Guidance and good practice , ISO 22320 Societal security — Emergency management — Requirements for incident response i ISO 22398 Societal security — Guidelines for exercises. Uzupełniając o wiedzę praktyczną z obsługi zdarzeń kryzysowych w Polsce w tym np. zagrożenia zamachem na Metro w Warszawie, czy powódź w Krakowie (Ćwiczenia zrealizowano dla Akzo Nobel Decorative Paints – w fabryce produkującej farby i lakiery marek między innymi Dulux, Hammerite).

Pozostając przy przykładzie BS 11200:2014, w 2017 roku obsługiwał kryzys w jednej z fabryk w Wielkiej Brytanii, a przy incydentach bezpieczeństwa informacji wspierał się ISO 27035 Information technology — Security techniques — Information security incident management (porzednie wydanie) obsługując zdarzenie dla jednej z największych firm telekomunikacyjnych.

O Brisitsh Standards Institution

BSI jest najstarszą, działającą organizacją standaryzacyjną. Pierwotnie od 1901 roku jako Rada Instytutu Inżynierów Budowlanych miała na celu wprowadzanie standaryzacji do branż budowlanej i metalowej.

W latach 1914-1945 większość prac związanych z tworzeniem standaryzacji nakierowane było na działania wojenne w ramach War Emergency Standards. W 1931 roku organizacja zmieniła nazwę na obecną: British Standards Institution.

Wzrost znaczenia standaryzacji spowodował, że zaraz po II wojnie światowej, w 1946 roku w Londynie pojawiła się koncepcja powołania Międzynarodowej Organizacji Standaryzacyjnej (znanej dziś jako ISO), którego BSI był członkiem założycielem.

Zapraszamy do zapisów na najbliższą edycję szkolenia.

Na początku roku nastąpiła zmiana przepisów Kodeksu Karnego, dotyczących obrony koniecznej. Zaznaczam, że w Kodeksie Karnym, ponieważ zarówno obrona konieczna jak i stan wyższej konieczności, jako tzw. kontratypy występują tez w Kodeksie Wykroczeń, regulującym odpowiedzialność za czyny o niższej szkodliwości. Nowelizacja dotyczyła przepisów prawa karnego, więc o tym dziś.

Nowa treść dodana została w § 2a i brzmi:

  • 2a. Nie podlega karze, kto przekracza granice obrony koniecznej, odpierając zamach polegający na wdarciu się do mieszkania, lokalu, domu albo na przylegający do nich ogrodzony teren lub odpierając zamach poprzedzony wdarciem się do tych miejsc, chyba że przekroczenie granic obrony koniecznej było rażące

Jak widać, ustawodawca w sposób szczególny wzmacnia ochronę mieszkania, domu, ogrodzonego terenu wyłączając karalność mieszkańców czy użytkowników lokali i posesji. Zanim przejdę do pokazania, że nadal istnieje ryzyko w przypadku przekroczenia granic obrony koniecznej, przypomnę tylko, że osoba która siłą wdziera się do lokalu i na żądanie nie opuszcza go popełnia przestępstwo z art. 193 (potocznie naruszenie miru domowego). Jest to artykuł o tyle ciekawy historycznie, że na nim opierała się ochrona fizyczna mienia przed regulacją Ustawą o ochronie osób i mienia. Wraz z artykułami właśnie 25 Kodeksu Karnego i odpowiednio 15 Kodeksu Wykroczeń (obrona konieczna) oraz 26 Kodeksu Karnego i odpowiednio 16 Kodeksu Wykroczeń (stan wyższej konieczności). Były podstawowym materiałem, jaki pracownik ochrony, nazywany jeszcze wtedy agentem ochrony po prostu musiał znać.

Bezprawny i bezpośredni

Art. 25. § 1. Nie popełnia przestępstwa, kto w obronie koniecznej odpiera bezpośredni, bezprawny zamach na jakiekolwiek dobro chronione prawem.

Definicja obrony koniecznej wskazuje na dwa elementy, które muszą zaistnieć. Pierwszy z nich mówi o bezprawności czynu. Oznacza to, że stosując obronę konieczną powinniśmy być pewni, że osoba działa bezprawnie.  Przykład (niestety rzeczywisty)

Dwóch mężczyzn szarpało się z trzecim. Usiłowali położyć go na ziemi, obezwładnić. Nie zadawali ciosów. Z pomocą „napadniętemu” ruszyło dwóch innych mężczyzn, którzy pomogli uwolnić się „napadniętemu”. Napadnięty był przestępcą poszukiwanym międzynarodowym listem gończym, a dwóch cywilnych mężczyzn Policjantami Wydziału Kryminalnego. Aby rozwiać wszelkie wątpliwości, co do tego, że działali w granicach prawa należy przypomnieć o zasadach podejmowania interwencji. Policjant (nie tylko, praktycznie każda ze służb) ma prawo odstąpić od „regułek”, w sytuacji gdy wymagane jest natychmiastowe działanie.

„Pomocnicy” w postępowaniu usiłowali powołać się na obronę konieczną (chronili prawo „napadniętego” co najmniej do nietykalności). Niestety, nie zachodzi tutaj przesłanka do zastosowania obrony koniecznej, bo zamach Policjantów na wolność i nietykalność nie był działaniem bezprawnym. Działali w ramach uprawnienia.

Bezpośredni oznacza, że musi być „tu i teraz” i stwarzać zagrożenie dla jakiegokolwiek dobra. W orzecznictwie mowa jest również o tym, że niebezpieczeństwo dla tego dobra musi być realne, to znaczy, że może się zmaterializować w każdej chwili.

Rzeczywisty – to jest jedna z okoliczności, która też towarzyszy od lat obronie koniecznej, ale nie jest opisana w przepisie. Rzeczywisty oznacza, że zamach ma zaistnieć w realnej rzeczywistości, a nie w wyobrażeniach osoby, która stosuje obronę konieczną. Czyli nie w formie scenariusza zamachu (że zaraz się zdarzy), tylko już jest wprowadzany w życie.

Przekroczenie granic – dwa sposoby

Co do zasady istnieją dwie formy przekroczenia granic obrony koniecznej:

  • Eksces ekstensywny – czyli przekroczenie co do czasu w którym podjęto obronę;
  • Eksces intensywny – czyli przekroczenie polegające na użyciu tzw. niewspółmiernych środków.

Eksces ekstensywny

Wystąpi w dwóch przypadkach:

  • Działanie podjęto przed zamachem. Po prostu zamach nie nastąpił, ale obrona już tak. Oczywiście w praktyce bardzo ciężko jest rozgraniczyć czas, tym bardziej że sytuacje takie są często bardzo dynamiczne, związane z dużymi emocjami.
  • Działanie podjęto po zamachu. Czyli już po prostu zamach na dobro został dokonany, a my próbujemy się bronić. Tylko przed czym? Jako analogia dla tego sposobu przekroczenia granic, nasuwa mi się kilka zdarzeń w których w pościgu już za osobami broniący się użył noża, czy w przypadku jednej z interwencji Policjanci oddawali strzały za oddalającym się. Inna podstawa działania. W niektórych przypadkach nadal można działać, np. ująć (ujęcie obywatelskie, szerzej w kolejnych artykułach), niemniej nie będzie to już obrona konieczna.

Eksces intensywny

Jest w teorii dość prostym stanem. Używamy narzędzi niewspółmiernych do tych, jakich użył atakujący. Niestety, znów orzecznictwo w sprawach, w których nastąpiło przekroczenie granic obrony koniecznej wskazuje, że nie jest to prosty mechanizm na zasadzie – ktoś miał nóż, a ja użyłem pistoletu, to przekroczyłem. Sądy orzekające w tych sprawach wskazywały też na kwestie biegłości w posługiwaniu się narzędziami ataku, umiejętności walki i wielu innych aspektów, które powodowały, że granice zostały przekroczone w sposób znaczny.

Obrona domu, mieszkania, posesji

Analizując nowy przepis, wprowadzony nowelizacją w lutym, należy szczególnie zwrócić uwagę na fakt, że przyjęta została zasada, że osoba „nie podlega karze”, a nie: „nie popełnia czynu zabronionego” jeśli broni swojego domu, posesji czy terenu (ogrodzonego). Czyli mamy tutaj do czynienia tylko z karalnością czynu, a nie jego bezprawnością.

Trochę historii

Obrona konieczna jako kontratyp jest dość ciekawym przypadkiem. Historycy prawa doszukują się źródeł już w czasach rzymskich. Obrona Milona przez Cycerona oparta była na stwierdzeniu, że istnieje owo niepisane lecz przyrodzone prawo, którego mimo, że nie uczymy się, to rozumiemy i akceptujemy, że siłę możemy odpierać siłą.

To też ciekawy przykład prawa zwyczajowego, które po latach przerodziło się w prawo stanowione.

  • 1
  • 2