W najnowszym odcinku wideopodcastu Sofixit „Między nami ekspertami” pokazano, jak świadomie projektować i rozwijać platformy danych, bez technologicznego hype’u i bez marketingowego cukru.
Temat odcinka:
„Platformy danych bez tabu: co działa, co boli, czego unikać.”
Gośćmi odcinka są: ✨ Błażej Ksycki – Data Solutions Consultant ✨ Mateusz Paździor – Head of Data Engineering
W rozmowie poruszono m.in. decyzje „build vs buy”, ryzyko vendor lock-in, granice self-service, ukryte koszty chmury, podejście use case first oraz KPI biznesowe, które pokazują realną wartość wdrożenia.
To odcinek dla osób, które chcą budować platformy danych jako trwały fundament organizacji, a nie zbiór przypadkowo dobranych narzędzi.
Nowoczesny biznes coraz częściej sięga po sztuczną inteligencję, ale samo wdrożenie AI nie gwarantuje sukcesu. Kluczowe jest dopasowanie odpowiedniego rozwiązania do konkretnego wyzwania, danych, procesów i celów organizacji. To właśnie temu zagadnieniu Sofixit poświęca najnowszy odcinek wideopodcastu „Między nami ekspertami”.
Temat odcinka: „AI szyte na miarę: jak dopasować rozwiązanie do konkretnego wyzwania biznesowego?”
Gośćmi odcinka są:
✨ Krzysztof Jędrzejewski – AI R&D Director ✨ Tomasz Tarczyński – Head of Data Science
W rozmowie Sofixit pokazuje, jak świadomie podchodzić do wyboru rozwiązań opartych na sztucznej inteligencji, nie przez pryzmat aktualnego hype’u, ale realnych potrzeb biznesowych, dostępnych danych, ograniczeń technologicznych i oczekiwanych efektów.
Odcinek wyjaśnia, dlaczego AI nie jest jednym uniwersalnym narzędziem do wszystkiego oraz jak odróżnić sytuacje, w których warto sięgnąć po generatywną sztuczną inteligencję, od tych, gdzie lepiej sprawdzą się modele predykcyjne, klasyczne NLP, computer vision, optymalizacja lub rozwiązania regułowe.
W odcinku omawiane są m.in.:
🔹 różne typy AI – od GenAI, przez modele predykcyjne, supervised i unsupervised learning, po reinforcement learning, computer vision, NLP, reguły i optymalizację, 🔹 kryteria wyboru właściwego rozwiązania: cel biznesowy, KPI, jakość i dostępność danych, wymagania dotyczące opóźnień, budżet, kompetencje oraz regulacje, w tym AI Act, 🔹 koszty wdrożenia i utrzymania AI – trening, inferencja, infrastruktura, integracje, dane, ludzie, ryzyko oraz wpływ środowiskowy, 🔹 znaczenie podejścia POC, szybkiej weryfikacji hipotez, modularnej architektury oraz decyzji stop/go, 🔹 wyzwania związane z integracją i utrzymaniem rozwiązań AI w organizacji, 🔹 dylemat self-host vs API oraz wpływ tych decyzji na prywatność, wygodę i całkowity koszt posiadania, 🔹 sytuacje, w których GenAI ma największy sens oraz te, w których klasyczne modele mogą być tańsze, szybsze, bardziej interpretowalne i skuteczniejsze, 🔹 rola agentów AI jako narzędzi do orkiestracji zadań, wraz z ich potencjałem i ograniczeniami, 🔹 przykłady praktycznych wdrożeń, m.in. wykrywanie uszkodzeń na zdjęciach z wykorzystaniem computer vision oraz system rekomendacji reklam oparty na podejściu warstwowym, 🔹 najczęstsze mity wokół AI, takie jak: „GenAI nadaje się do wszystkiego”, „im bardziej zaawansowane rozwiązanie, tym lepsze” czy „wystarczy, że mamy dane”.
To rozmowa z ekspertami, którzy pokazują, że skuteczne wdrożenie AI zaczyna się nie od wyboru technologii, ale od dobrego zrozumienia problemu. Dopiero wtedy można dobrać rozwiązanie, które realnie wspiera biznes, skaluje się w organizacji i przynosi mierzalną wartość.
Nowoczesna opieka zdrowotna coraz mocniej opiera się na danych, interoperacyjności i inteligentnej automatyzacji. To właśnie tym zagadnieniom poświęcony jest najnowszy odcinek wideopodcastu Sofixit „Między nami ekspertami”.
Temat odcinka: „Sztuczna inteligencja i automatyzacja w opiece zdrowotnej – jak dane zmieniają branżę medyczną”
Gościnią odcinka jest Katarzyna Starosławska – Innovation & Data Advisor.
W rozmowie poruszamy temat rosnącej roli danych w systemie ochrony zdrowia oraz tego, jak sztuczna inteligencja i nowoczesne technologie wpływają na rozwój branży medycznej. To obszar pełen szans, ale również wyzwań związanych z jakością danych, ich bezpiecznym wykorzystaniem oraz potrzebą standaryzacji i integracji systemów.
W odcinku omawiamy m.in.:
znaczenie danych medycznych dla rozwoju systemów ochrony zdrowia,
wyzwania związane z ich zbieraniem, przechowywaniem i analizą,
działania Unii Europejskiej na rzecz ujednolicenia zarządzania danymi,
rolę interoperacyjności i standardów w efektywnym wykorzystaniu informacji,
technologie umożliwiające bezpieczne łączenie danych z różnych źródeł,
potencjał zastosowań AI w medycynie oraz związane z nim aspekty etyczne,
przykłady wdrożeń sztucznej inteligencji w Polsce i Europie,
korzyści wynikające z pełniejszego dostępu pacjentów do własnych danych medycznych.
To rozmowa z ekspertką, która od lat łączy perspektywę innowacji, danych i strategii, pokazując, jak technologia może wspierać poprawę jakości leczenia oraz zwiększać efektywność funkcjonowania systemów ochrony zdrowia.
Udostępniamy kolejny odcinek wideopodcastu firmy Sofixit
Gośćmi odcinka są: Krzysztof Osiński – SVP of R&D Krzysztof Heyda – Head of Product (Digital & Mobile)
W najnowszym odcinku poruszony zostaje temat wykorzystania danych w branżach Retail i Quick Service Restaurant. Rozmowa koncentruje się na tym, jak dane sprzedażowe, operacyjne, wideo i behawioralne wspierają podejmowanie trafniejszych decyzji biznesowych, rozwój produktów oraz budowanie przewagi konkurencyjnej. W odcinku omówione zostają zmiany, jakie zaszły w podejściu do danych na przestrzeni ostatnich 5–10 lat, a także to, które źródła informacji są dziś szczególnie istotne z perspektywy organizacji rozwijających nowoczesne produkty i usługi. Goście dzielą się również spojrzeniem na praktyczny proces przechodzenia od danych do decyzji oraz na rolę Business Intelligence i sztucznej inteligencji w tym obszarze.
Poruszony zostaje także temat budowania kultury data-driven w organizacjach Retail i QSR oraz technologii i trendów, które będą kształtować przyszłość pracy z danymi w tych sektorach.
To praktyczna rozmowa o tym, jak dane mogą stać się nie tylko narzędziem analitycznym, ale realnym wsparciem dla wzrostu, efektywności i innowacji biznesowych.
Zapraszamy do obejrzenia kolejnego odcinka, w którym omawiane są wyzwania związane z budowaniem organizacji działającej w oparciu o dane, nie tylko na poziomie technologii, ale również procesów, kultury organizacyjnej i sposobu podejmowania decyzji.
Goście odcinka:
Paweł Zieliński – Head of Data & Analytics
Dorota Imiela – Senior Data Governance Manager
W tym odcinku omawiane są najważniejsze zagadnienia związane z budowaniem organizacji, w której dane realnie wspierają decyzje biznesowe i rozwój firmy. Poruszane są między innymi kwestie:
budowania zaufania pracowników do danych i przełamywania oporu wobec zmian,
czynników, które sprawiają, że technologia zaczyna realnie pracować na rzecz biznesu,
sposobów skutecznego mierzenia dojrzałości organizacji w obszarze data-driven,
barier, które najczęściej utrudniają transformację,
łączenia zarządzania danymi z procesami biznesowymi,
znaczenia „masy krytycznej” użytkowników dla powodzenia wdrożenia,
działań, które w praktyce okazują się najskuteczniejsze,
metod diagnozy dojrzałości organizacji i punktów, od których warto rozpocząć ten proces.
To praktyczna rozmowa o ludziach, procesach i technologiach, pokazująca, że skuteczna transformacja data-driven zaczyna się nie od samych narzędzi, lecz od świadomego podejścia do zmiany i budowania organizacji opartej na danych.
10 grudnia 2025 roku DAMA Poland miała przyjemność uczestniczyć w konferencji Ministerstwa Cyfryzacji dotyczącej wykonanych prac w ciągu ostatnich 2 lat.
Zmieniło się wiele, od rozwoju aplikacji mObywatel o kilkanaście funkcjonalności (w tym e-Punkty Karne, najczęściej odwiedzana zakładka), aż po inicjatywy związane z e-sportem i spójnym reprezentowaniem Polski na konferencjach międzynarodowych przez nowy departament GovTech.
Członkowie DAMA mieli także okazję wziąć udział w konsultacjach Departamentu Zarządzania Danymi, gdzie głównym tematem były ostatnie regulacje, a także zapytanie o nadchodzące zmiany. Każdy mógł zgłosić swoje uwagi, a także posłuchać co na ten temat mają do powiedzienia osoby bezpośrednio odpowiedzialne za bezpieczeństwo informacji w kraju.
Zapraszamy również do streszczenia konferencji opublikowanej na stronie rządowej oraz tych udostępnionych przez naszych członków na LinkedIn:
DAMA Poland stale stara się wspierać Ministerstwo Cyfryzacji, zwłaszcza oddolnie poprzez inicjatywy edukacji (współpraca z IRMiR, współpraca z ALK), czy konsultacji (Miasto Kraków). Jesteśmy dumni ze wszystkich prac wykonanych przez ostatnie lata i gratulujemy świetnych rezultatów.
Zarządzanie bezpieczeństwem jest jednym z podstawowych zagadnień zarządzania danymi.
Konsekwencje utraty bezpieczeństwa informacji powodują bezpośrednie zakłócenia działalności oraz mogą wpłynąć na bezpieczeństwo kontrahentów i klientów, których dane są przetwarzane, a nawet mogą doprowadzić do likwidacji przedsiębiorstwa. Mogą spowodować straty finansowe poprzez konieczność usuwania uszkodzeń, utratę zysków lub nałożenie kar finansowych za niewystarczające zabezpieczenia.
Bezpieczeństwo informacji obejmuje różne rodzaje zagrożeń w tym celowe szkodliwe działania takie jak cyberataki, ale także błędy ludzkie, awarie, czynniki środowiskowe. Ogromna liczba zagadnień koniecznych do uwzględnienia przy wdrażaniu i stosowaniu zasad bezpieczeństwa informacji powoduje dużą trudność w zaplanowaniu działań. Z uwagi na tą rozległość dziedzinową stosuje się systemowe podejście do zarządzania bezpieczeństwem. System Zarządzania Bezpieczeństwem Informacji (SZBI) jak nazwa wskazuje koncentruje się na zarządzaniu, czyli określeniu ról, odpowiedzialności, zadań. SZBI ma wymiar formalny i praktyczny. Wymiar formalny poprzez konieczność zapewnienia zgodności z licznymi regulacjami (w szczególności przepisami prawa). Wymiar praktyczny poprzez faktyczną odporność na zagrożenia bezpieczeństwa informacji.
Zgodność z regulacjami
Rozpoczęcie prac nad SZBI wymaga wpierw zbadania czy w branży, którą zajmuje się organizacja istnieją regulacje prawne zawierające konkretne wymagania lub wskazania na standardy lub normy.
Według stanu na początek listopada 2025 r. na ukończeniu przygotowań jest nowelizacja Ustawy o krajowym systemie cyberbezpieczeństwa (KSC) ujednolicająca wymagania dla strategicznych branż m.in: energii, transportu, bankowości, ochrony zdrowia, wod-kan, infrastruktury cyfrowej, usług pocztowych, gospodarowania odpadami, wytwarzania żywności, wybranych produkcji oraz podmiotów publicznych. Nowelizacja jest implementacją Dyrektywy NIS2. W przypadku świadczenia usług w innych krajach organizacja musi zbadać jakie tam istnieją regulacje dotyczące bezpieczeństwa informacji, np. sposoby implementacji NIS2 w krajach UE, standardy NIST na rynku USA. Oprócz powyższych ogólnych wymagań bezpieczeństwa informacji istnieją szczegółowe dotyczące np. danych osobowych (ustawa ODO), danych finansowych (rozporządzenie DORA), informacji niejawnej (ustawa OIN), rozporządzenie wykonawcze NIS2 dla podmiotów świadczących usługi m.in. DNS, chmurowe, platform handlowych. Regulacje wskazują głównie na potrzebę działań proaktywnych. Z uwagi na dynamikę zmian regulacje wymagają nieustannej weryfikacji.
Dostępnych jest wiele opisów ram działania (framework) wspomagających uruchomienie SZBI, wśród których najpopularniejsze są normy International Organization for Standardization (ISO) serii 27000 oraz standardy National Institute of Standards and Technology (NIST). Dobre praktyki zawarte są w COBIT, ITIL, SABSA, CIS Critical Security Controls, a także DMBOK.
DMBOK zawiera zbiór dobrych praktyk z zakresu Ładu danych, w których bezpieczeństwo danych jest jednym z 11 głównych obszarów wiedzy. DMBOK wskazuje na zależności bezpieczeństwa danych z innymi zagadnieniami takimi jak architektura, metadane, ład danych. zarządzanie danymi, etyką, przechowywanie i operacjami na danych, integracja i interoperacyjność, zarządzanie dokumentami i treścią, magazynowanie danych i BI, jakość danych, Big Data. Opisuje kompleksowo zagadnienia przez cele, działania, narzędzia, techniki, wytyczne dla wdrożenia, nadzór. Bazuje m.in. na normach ISO, standardach NIST oraz dobrych praktykach i doświadczeniu ekspertów.
Regulacje definiują cele natomiast budowa systemu bezpieczeństwa musi zostać przeprowadzona indywidualnie w organizacji, w sposób dostosowany do wewnętrznej specyfiki danej organizacji.
Zgodność z regulacjami lub standardem potwierdzona kontrolami lub audytami może być warunkiem koniecznym dla prowadzenia działalności (jak w przypadku informacji niejawnej) lub realizacji zamówienia (np. wymaganie certyfikatu ISO).
Odpowiedzialność
SZBI jako system zarządzania musi być zatwierdzony przez najwyższe kierownictwo zgodnie z ich odpowiedzialnością. Kompletność systemu pod kątem zarządzania definiuje m.in. kryterium “Brak konfliktu obowiązków, niezgody i “ziemi niczyjej” w działaniach w zakresie bezpieczeństwa informacji” zgodnie z Podręcznikiem kontroli systemów informatycznych dla najwyższych organów kontroli. Konieczność zaangażowania kierownika jednostki jest wskazane przez regulacje, oraz wytyczne jak ISO lub DMBOK. Wdrożenie organizacji bezpieczeństwa informacji jest zmianą kultury organizacyjnej, dlatego pomocne może być stosowanie metodyk zarządzania zmianą. Wg. DMBOK w przypadku braku kierownika ds. bezpieczeństwa informacji (CISO) odpowiedzialność spoczywa na menadżerach ds. danych (którzy i tak zawsze muszą być angażowani w zagadnienia bezpieczeństwa danych). Wprowadzenie zabezpieczeń musi być spójne w całej organizacji stąd wymaga zaangażowania pracowników na każdym szczeblu. Materializujące się ryzyka w obszarze bezpieczeństwa mogą być bardzo dotkliwe dla interesariuszy organizacji oraz dla samych organizacji i personalnie ich pracowników poprzez konsekwencje przewidziane przepisami szczegółowymi, kodeksem karnym, regulaminem pracy. Niezależnie od delegowania zadań i zdefiniowania ról konsekwencje ponosi kierownictwo jednostki. Nowelizacja KSC definiuje kary finansowe za brak zabezpieczeń zarówno dla podmiotów jak i samych kierowników podmiotów.
Chociaż, jak wskazuje Krzysztof Liderman (2012), „chronimy informacje – dane są tylko ich szczególnym przypadkiem”, to coraz więcej informacji przyjmuje postać wyłącznie danych cyfrowych, stąd wiodącą rolę w bezpieczeństwie informacji powierza się komórkom IT. Podobnie jak w przypadku wdrażania Ładu danych (Data Governance) wdrożenie SZBI często powierzchownie traktuje się to jako zadanie ograniczone do wdrożenia rozwiązań informatycznych. Jednorazowy projekt wdrożenia nowego oprogramowania np. do monitorowania sieci komputerowej lub szkolenie nie będzie skuteczny i nie można go traktować jako wdrożenie SZBI. Bez współpracy całej organizacji wdrożenie SZBI jest niemożliwe. Zabezpieczenie systemów przedsiębiorstwa i przechowywanych w nich danych wymaga współpracy komórek IT, odpowiedzialnych za organizację pracy, zabezpieczenia fizyczne i osobowe oraz interesariuszy biznesowych. Wynika to z różnorodności zagrożeń, np. zabezpieczenia organizacji mogą zostać przełamane metodami psychotechnicznymi (np. phishing), lub szkodliwymi działaniami samych pracowników (świadomymi lub nieświadomymi), stąd równie istotne są działania organizacyjne i odpowiednie szkolenie pracowników.
“Środki zarządzania ryzykiem w cyberbezpieczeństwie powinny zatem dotyczyć również bezpieczeństwa fizycznego i środowiskowego sieci i systemów informatycznych przez włączenie środków ochrony takich systemów przed awariami, błędem ludzkim, złośliwymi działaniami lub zjawiskami naturalnymi, zgodnie z normami europejskimi i międzynarodowymi, takimi jak normy zawarte w serii ISO/IEC 27000.” (pkt 79 dyrektywy NIS2)
Praktyczne rozwiązania
Prace nad bezpieczeństwem danych mają znaczenie praktyczne pod względem realnego zabezpieczenia się przed zdarzeniami takimi jak wykradzenie lub zniszczenie informacji. Sprawny system zabezpieczeń może działać odstraszająco lub skutecznie utrudnić realizację ataków zewnętrznych lub wewnętrznych. Wdrażając zabezpieczenia przed utratą bezpieczeństwa informacji, trzeba pamiętać, że minimalizują one ryzyka, ale nie likwidują całkowicie zagrożeń. Zgodnie z normą ISO 27001 podstawą budowy SZBI jest analiza ryzyka.
„Bezpieczeństwo informacji oznacza uzasadnione (np. analizą ryzyka i przyjętymi metodami postępowania z ryzykiem) zaufanie, że nie zostaną poniesione potencjalne straty wynikające z niepożądanego (przypadkowego lub świadomego) ujawnienia, modyfikacji, zniszczenia lub uniemożliwienia przetwarzania informacji przechowywanej, przetwarzanej i przesyłanej w określonym systemie jej obiegu” (Liderman 2012)
Według DMBOK wdrażanie zabezpieczeń danych w organizacji należy rozpocząć od analizy potrzeb biznesowych. Należy uwzględnić misję, wielkość, branżę i jej regulacje. Najczęściej bezpieczeństwo informacji rozpatruje się w trzech wymiarach:
poufności – zapewnienia, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom;
integralności – zapewnienia, że informacja nie jest zmodyfikowana, usunięta lub dodana w sposób niewłaściwy;
dostępności – zapewnienia, że informacja jest możliwa do wykorzystania na żądanie, w założonym czasie, przez uprawnioną osobę.
Informacje wymagają ochrony niezależnie od nośnika: dokumentów papierowych, elektronicznych, systemów informatycznych z bazami danych, wiadomości e-mail, komunikatorów, połączeń głosowych, wiadomości SMS oraz bezpośredniego przekazywania między osobami. Zabezpieczenia informacji powinny być adekwatne do zagrożeń. Każdy rodzaj nośnika wymaga odrębnej analizy ryzyka i zabezpieczeń.
Wdrażanie zabezpieczeń musi uwzględniać konieczność zapewnienia efektywnego działania organizacji, ponieważ same zabezpieczenia mogą stać się zagrożeniem dla efektywności / celów organizacji a przynajmniej stanowić zagrożenie dla dostępności informacji.
Regulacje i dostępne rozwiązania koncentrują się na działania proaktywnych, które wymagają inwestycji finansowych. Jednocześnie przy szacowaniu budżetu warto mieć na uwadze że działania reaktywne generują zwykle wyższe koszty niż działania proaktywne.
Kluczowe dla bezpieczeństwa danych są działające procesy, procedury i usługi bezpieczeństwa wewnątrz organizacji. W standardach, dobrych praktykach, technikach, technologiach np. zarządzanie tożsamością, ograniczenia dostępu do danych, maskowania danych jest dostępna znaczna ilość rozwiązań, stąd wybór i decyzje o wdrożeniu wymagają szerokich analiz ryzyk, potrzeb, efektywności oraz budżetowych. System jest tak bezpieczny jak wszystkie elementy systemu.
W praktyce bardzo pomocną okazuje się Norma ISO 27001, porządkująca zagadnienia bezpieczeństwa w postaci 93 rodzajów zabezpieczeń, które powinny zostać przeanalizowane przez organizacje przez pryzmat ryzyka i potrzeby zastosowania. Norma grupuje zabezpieczenia w obszary:
organizacyjny np. podział odpowiedzialności, polityki dostępu;
fizyczny np. ochrona budynku, konserwacja sprzętu;
technologiczny np. szyfrowanie, systemy monitorowania sieci;
personalny np. zapisy w umowach o pracę, procedury kadrowe.
Według NIST, DMBOK oraz literatury branżowej jednym z pierwszych podstawowych działań dla właściwego wdrożenia SZBI jest klasyfikacja informacji. Klasyfikacja polega na określeniu grup informacji o podobnych potrzebach zabezpieczeń. Najczęściej stosuje się jako kryterium podziału regulacje prawne i potrzeby poufności uzyskując grupy np.: informacje do ogółu odbiorców, informacje do użytku wewnętrznego, informacje poufne. Identyfikuje się informacje wymagające szczególnej ochrony. Dzięki klasyfikacji można zróżnicować poziomy zabezpieczeń co za tym idzie koszty ich stosowania. Wdrożenie klasyfikacji wiąże się z koniecznością inwentaryzacji informacji i zarządzania metadanymi.
Skuteczność wdrożenia bezpieczeństwa informacji powinna być mierzona w celu uzyskania pewności że działa właściwie. Może być mierzona z wykorzystaniem audytów (w szczególności zewnętrznych), metryk obejmujących np. procent wdrożonych zaleceń audytu, trendów incydentów, statystyki operacji bezpieczeństwa, świadomości bezpieczeństwa.
Regulacje bezpieczeństwa danych a Ład danych
Z bezpośredniego brzmienia lub z semantyki pojęć, definicji i wymagań widać zbieżność pomiędzy regulacjami bezpieczeństwa informacji takimi jak zawarte w ISO 27001 oraz nowelizowanej KSC a Ładem danych wg. DMBOK. Wdrożenie SZBI wg. regulacji wymaga określenia ról, odpowiedzialności, polityk, standardów i procedur dotyczących zarządzania danymi. SZBI to system zarządzania ukierunkowany na bezpieczeństwo, ale definiując zasady niezbędne jest uwzględnienie biznesowych celów, strategii organizacji, wartości danych, kluczowych procesów. Z kolei wdrażając Ład danych według DBMOK, w szczególności opracowując strategie i inne zasady należy uwzględniać regulacje m in. dotyczące bezpieczeństwa danych. Porównując wytyczne można dostrzec podobieństwa bezpośrednie i semantyczne, m. in.:
Ład danych wg. DMBOK
System Zarządzania Bezpieczeństwem Informacji
Polityki bezpieczeństwa
Polityki bezpieczeństwa
Określenie ról i odpowiedzialności za zarządzanie danymi danych, w tym bezpieczeństwo.
Określenie ról i odpowiedzialności za bezpieczeństwo informacji.
Zapewnienie dostępności danych dla procesów biznesowych.
Zapewnienia dostępności – podstawowy atrybut bezpieczeństwa informacji.
Zarządzania metadanymi.
Zarządzanie aktywami w tym prowadzenie ewidencji.
Zarządzanie jakością danych.
Zapewnienie integralności – podstawowy atrybut bezpieczeństwa informacji.
Jeżeli organizacja wdrożyła wpierw Ład danych może ponieść mniejszy nakład pracy i kosztów przy wdrożeniu regulacji bezpieczeństwa takich jak nowelizacja KSC dzięki m.in. znajomości danych jakie są przetwarzane w organizacji, ich klasyfikacji, dostępności oraz właścicieli / opiekunów. Przy braku Ładu danych w organizacji wdrażając wzorcowo zasady bezpieczeństwa informacji, w tym SZBI, jednocześnie wdraża się elementy Ładu danych.
Regulacje takie jak nowelizacja KSC mogą stanowić jedną z uzasadnień wdrażania Ładu danych i uzyskania szerszych korzyści z zarządzania danymi.
Najlepsze praktyki zabezpieczania danych opisane są szczegółowo w rozdziale 6 najnowszego wydania DMBOK (2024).
Tekst jest rozwinięciem rozdziału “Bezpieczeństwo Danych” w publikacji Dane miejskie w praktyce. Podręcznik dla samorządów 2024.
DAMA-DMBOK Data management body of knowledge, praca zbiorowa pod redakcją D. Henderson, S. Earley, L, Sebastian-Coleman, E. Sykora, E, Smith, C. Bradley, M. Valentini, Technics Publications, New Jersey 2024 (DMBOK);
Dyrektywa Parlamentu Europejskiego I Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148; Dyrektywa – 2022/2555 – EN – EUR-Lex; (NIS2)
Liderman K., 2012, Bezpieczeństwo informacyjne, Warszawa, Wydawnictwo Naukowe PWN;
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/101; Regulation – 2022/2554 – EN – DORA – EUR-Lex (DORA)
Ogromne wolumeny danych wpływające na organizację życia każdego mieszkańca w Polsce są przetwarzane w urzędach Jednostek Samorządu Terytorialnego (JST) czyli w urzędach miast, województw, powiatów, gmin. JST gromadzą i przetwarzają dane nie tylko w zakresie bezpośrednio dotyczącym osób fizycznych np. danych meldunkowych, ale prawie w każdym zakresie dotyczącym naszego otoczenia np. architektury, transportu, edukacji, ochrony środowiska, bezpieczeństwa, wodociągów i wielu innych. Dane te służą podejmowaniu decyzji wpływających na organizację życia lokalnej społeczności np. dotyczące lokalizacji szkoły lub tras autobusów. Wybrane dane są przekazywana do rejestrów rządowych stanowiąc podstawę do decyzji na poziomie całego kraju lub Unii Europejskiej. Wybrane dane są udostępniane publicznie stanowiąc źródło referencyjnych danych dla wielu firm. Przetwarzanie danych w JST jest uregulowane licznymi branżowymi przepisami.
Dojrzałość danych Polski w czołówce UE
Według badań Unii Europejskiej w 2024 r. Polska zajęła 2 miejsce w badaniu dojrzałości otwierania danych państw UE, co może świadczyć zaawansowanej organizacji pracy z danymi w polskiej administracji publicznej. Nieliczne dostępne badania zarządzania danymi w JST (naukowe oraz kontrole Najwyższej Izby Kontroli) koncentrują się najczęściej na zarządzaniu bezpieczeństwem informacji. Zgodnie z rozporządzeniami w sprawie Krajowych Ram Interoperacyjności od 2012 r. wszystkie JST powinny posiadać wdrożone Systemy Zarządzania Bezpieczeństwem Informacji (SZBI). Mimo tego obowiązku tylko ok 44-75% JST (w zależności od badanej grupy w okresie 2012-2024 r.) wdrożyło SZBI, a przy tym w większości niekompletnie. Wymagania ww. Rozporządzenia dla SZBI są oparte o normę ISO 27001 i są spójne z elementami bezpieczeństwa Ładu Danych opisanymi w Data Management Body of Knowledge (DMBoK). Obszar bezpieczeństwa jest jednym z fundamentów Ładu Danych. Części wspólne wymagań ww. Rozporządzenia oraz Ładu Danych obejmują kluczowe konieczności: określenia ról, przypisania odpowiedzialności, prowadzenia ewidencji (metadanych), określenia zasad dostępu i wielu innych regulacji organizacji pracy z danymi. Powyższe oznacza że badania zarządzanie bezpieczeństwem informacji mogą być wskaźnikiem wdrażania Ładu Danych w urzędach, a ich dostępne wyniki świadczą o znacznych problemach.
Webinar o danych, który przyciągnął przedstawicieli JST
Podczas webinarium. „Czy Ład Danych w samorządzie jest możliwy?” przedstawiciele DAMA Poland Chapter podjęli dyskusję nad problematyką wdrożenia Ładu Danych w JST. Webinarium zostało zorganizowane jako spotkanie w ramach sieci Analityków danych miejskich prowadzonej przez Instytut Rozwoju Miast i Regionów. O potrzebie organizacji spotkania świadczy frekwencja – w webinarium uczestniczyło 147 przedstawicieli z 46 jednostek samorządowych.
Podczas spotkania Wojciech Łachowski przedstawił korzyści jakie może przynieść Ład Danych w JST, w tym: lepsze decyzje, transparentność, większa efektywność, rozwój usług cyfrowych. Zidentyfikował także główne bariery wprowadzania Ładu Danych w JST analogiczne do generalnych problemów transformacji cyfrowej JST, m.in. brak środków finansowych, opór przed zmianami, problem z zapewnieniem odpowiednich kompetencji, niejasne przepisy, dług technologiczny, zła organizacja pracy. Karol Berłowski rozwinął wybrane problemy. Działalność JST jest wręcz przeregulowana przez liczne, niespójne lub nawet sprzeczne przepisy branżowe. Powyższe jest m.in. przyczyną rozległego problemu ustalenia jednolitej definicji dla jakości danych i operacyjnego właścicielstwa danych. Znaczące nieustrukturyzowanie danych powoduje komplikacje technologiczne zarządzania. JST mają trudność aby pozyskać specjalistów i zaoferować warunki pracy konkurencyjne lub zbliżone wobec sektora prywatnego.
Mimo wielu problemów w niektórych urzędach podejmuje sią działania w celu usprawnienia zarządzania danymi czego przykładem jest Urząd Miasta Krakowa
Podczas spotkania Filip Dzięcioł uwzględnił podstawy teoretyczne wskazując na kluczowe aspekty Ładu Danych wg. DMBoK, takie jak strategia, polityka, standardy, nadzór. Omówił podstawowe obszary Ładu Danych: architektura, modelowanie, składowanie i operacje, bezpieczeństwo, integracja i interoperacyjność, zarządzanie zawartością, dane główne i referencyjne, hurtowanie i analityka, metadane, zarządzanie jakością. Zaznaczył problematykę wdrożeniową w organizacji która już przetwarza dane, przedstawił koncepcję wdrożenia piramidy Aikena oraz wskazał rekomendacje implementacyjne.
Problemy są podobne w każdym urzędzie. Bazując na swoich doświadczeniach jako eksperta Urzędu Komisji Nadzoru Finansowego, potwierdzonych przykładami z realizacji podobnych projektów w administracji publicznej oraz instytucji finansowych, Andrzej Burzyński przedstawił praktyczne możliwości wdrożenia Ładu Danych. Rozpoczęcie wdrożenia można zacząć od pryncypiów uzgodnionych z kierownikami poszczególnych obszarów merytorycznych. To zapewnia identyfikację rzeczywistych potrzeb i umożliwia określenie ogólnej polityki zarządzania danymi, z której będą wynikały zasady zarządzania danymi. Potrzebne jest uwzględnienie ludzi – ról i odpowiedzialności, potrzeb procesów oraz modelu informacyjnego który usprawni dostęp do potrzebnych danych. Ogólne dokumenty strategiczne są niezbędne do realizacji działań w postaci projektów i usług. Konieczne jest zaangażowanie kadry kierowniczej, w tym najwyższego szczebla, z uwagi na potrzebę wprowadzenia struktury organizacyjnej zarządzania danymi – przypisania odpowiedzialności dla poszczególnych osób za zarządzania danymi, np. w poszczególnych komórkach merytorycznych właścicieli danych. Potrzebne jest powołanie zespołu prowadzącego zagadnienia wdrażania Ładu Danych, skupiającego kompetencje w tym obszarze, stanowiący wsparcie dla pozostałej części jednostki. Zespół wspiera rozwiązywanie szczegółowych problemów np. zarządzania jakością danych. Inne niezbędne działania to m.in. wdrożenie katalogu danych, zidentyfikowanie obszarów tematycznych danych, opracowanie definicji, określenie danych referencyjnych, opracowanie zasad przepływu danych. Wprowadzenie Ładu Danych nie wymaga znaczącego zwiększenia zatrudnienia lub radykalnej zmiany sposobu działania lecz skoordynowania i uspójnienia bieżącej działalności. Wprowadzenie może nastąpić małymi krokami w drodze ewolucji oraz pracy zespołowej całej organizacji. Podmioty przetwarzające dane dla swojej bieżącej działalności mają już pewne elementy organizacyjne które można przebudować lub rozwinąć w celu osiągnięcia Ładu Danych. Istnieje dużo gotowych metodyk i narzędzi informatycznych wspierających takie działania.
Podczas spotkania omówiono potrzeby zarządzania danymi w JST, problemy oraz ich teoretyczne i praktyczne rozwiązania na prawdziwych przykładach. Przykłady rzeczywistego wdrożenia Ładu Danych w polskiej administracji publicznej stanowią dowód że jest to dostępna i już sprawdzona metoda zarządzania także dla podobnych podmiotów – Jednostek Samorządu Terytorialnego. Arkadiusz Dąbkowski wskazał że gotowe wzorce zarządzania danymi można znaleźć w DMBoK, a kompetencje można rozwijać w społeczności DAMA Poland https://damapoland.org/.
Wobec planowanych zmian w przepisach dotyczących bezpieczeństwa informacji w JST (nowelizacji Ustawy o z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa) wprowadzanie regulacji zarządzania danymi w obszarze bezpieczeństwa danych JST staje się koniecznością. Zmieniając sposób zarządzania danymi w obszarze bezpieczeństwa, JST muszą wprowadzić regulacje skutkujące automatycznym wprowadzeniem elementów Ładu Danych. Te elementy stanowią znakomity przyczółek do objęcia Ładem Danych także innych obszarów, jak np. dokumenty strategiczne, jakość, zarządzanie danymi podstawowymi i referencyjnymi.
Źródła przywoływanych badań
D. Lisiak-Felicka, M. Szmit, Systemy Zarządzania bezpieczeństwem informacji w administracji samorządowej w Polsce – badanie empiryczne, „Przegląd Organizacji”, TNOiK 2023
D. Lisiak-Felicka, M. Szmit, Zarządzanie Bezpieczeństwem Informacji w Urzędach administracji samorządowej. Główne problemy, „Współczesny człowiek wobec wyzwań: szans i zagrożeń w cyberprzestrzeni aspekty społeczne-techniczne-prawne”, praca zbiorowa pod redakcją A. Kamińska-Nawrot, J. Grubicka, Uniwersytet Pomorski w Słupsku, Słupsk 2021,
Czy ład danych w samorządzie jest możliwy? – relacja z webinaru DAMA i IRMiR
25 kwietnia 2024 r. odbyło się wyjątkowe seminarium online, które zgromadziło prawie 200 ekspertów od danych i przedstawicieli administracji publicznej wokół jednego pytania: czy Ład Danych w samorządzie jest możliwy?
Współorganizatorami wydarzenia byli DAMA Poland Chapter oraz Instytut Rozwoju Miast i Regionów (IRMIR). Spotkanie okazało się nie tylko inspirującą dyskusją, ale i konkretnym drogowskazem dla urzędników, którzy chcą lepiej zarządzać danymi w swoich instytucjach.
🎤 Wśród prelegentów wystąpili:
Karol Berłowski – o praktykach zarządzania danymi w Warszawie,
Filip Dzięcioł – o filarach zarządzania danymi wg DMBOK i Piramidzie Ikena,
Andrzej Burzyński – o wdrożeniu Ładu Danych w KNF,
Arkadiusz Dąbkowski – o działalności DAMA Poland Chapter,
Wojciech Łachowski – o wyzwaniach stojących przed samorządami.
🔍 O czym rozmawialiśmy? Przede wszystkim o tym, że Ład Danych (Data Governance) to nie moda, ale konieczność – szczególnie tam, gdzie dane mogą usprawnić decyzje, podnieść jakość usług publicznych i zwiększyć przejrzystość działania urzędu.
Nie zabrakło jednak trzeźwego spojrzenia na bariery: brak krajowych wytycznych, silosowość, niskie kompetencje czy ograniczone zasoby.
💡 Z perspektywy prelegentów jasne jest jedno: Ład Danych w samorządzie jest możliwy, ale wymaga myślenia o danych jako o zasobie stategicznym i wdrażania podejścia opartego na ludziach, procesach i wspartego właściwymi narzędziami.
