Szkolenie z zakresu bezpieczeństwa informacji

Transkrypt

1

2 Szkolenie z zakresu bezpieczeństwa informacji

3 Plan prezentacji 1. Podstawowe pojęcia ochrony danych osobowych 2. Zasady przetwarzania danych osobowych 3. Obowiązki GIODO 4. Obowiązki Administratora Ochrony Danych 5. Obowiązki Administratora Bezpieczeństwa Informacji 6. Rejestracja zbioru danych osobowych 7. Rozporządzenie MSWiA ws dokumentacji przetwarzania danych osobowych 8. Norma ISO/IEC Norma ISO/IEC Zadania i procesy, jakie należy realizować w związku z ustawą o ODO

4 PODSTAWOWE POJĘCIA DANE OSOBOWE wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ustawy o ODO) [np. imię, nazwisko, nr PESEL]

5 Czy zdjęcie będzie daną osobową?

6 PODSTAWOWE POJĘCIA PRZETWARZANIE DANYCH OSOBOWYCH jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, (np. przechowywanie dokumentów w archiwum)

7 PODSTAWOWE POJĘCIA ZBIÓR DANYCH posiadający strukturę zestaw danych o charakterze osobowym oraz abstrakcyjnym (np. lista zatrudnionych pracowników)

8 ZASADY PRZETWARZANIA DANYCH OSOBOWYCH 1. Zasada legalności Przetwarzanie danych osobowych musi odbywać się zgodnie z obowiązującymi przepisami prawnymi przede wszystkim musi być spełniona jedna z przesłanek legalności przetwarzania danych osobowych określona w art. 23 ust. 1 ustawy, a w przypadku danych wrażliwych ich przetwarzanie musi mieścić się w zakresie jednego z wyjątków wskazanych w art. 27 ustawy

9 2. Zasada realizowania zgodnego z prawem celu zbieranie danych osobowych dopuszczalne jest tylko dla realizacji oznaczonych, zgodnych z prawem celów dane nie mogą być poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,

10 przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: w celach badań naukowych, dydaktycznych, historycznych lub statystycznych (np. praca magisterska), z zachowaniem przesłanek legalności przetwarzania danych osobowych i stosownych obowiązków informacyjnych

11 3. Zasada poprawności i adekwatności przetwarzane dane muszą być merytorycznie poprawne, m.in. aktualne, stąd administrator danych zobligowany jest poinformować osoby, których dane przetwarza, o prawie dostępu do treści swoich danych i ich poprawiania zakres przetwarzanych danych osobowych musi być adekwatny w stosunku do oznaczonego celu i stanowić minimum konieczne do zrealizowania określonego celu (wymóg proporcjonalności /adekwatności/ to kluczowy wymóg w procesie przetwarzania danych osobowych)

12 4. Zasada ograniczenia czasowego dane nie powinny być przetwarzane dłużej niż jest to niezbędne dla realizacji określonych celów po zrealizowaniu celu, dla którego dane zostały zebrane, ich przechowywanie jest co do zasady dopuszczalne wówczas, gdy obowiązek przechowywania wynika z przepisów (np. akta pracownicze)

13 Przetwarzanie danych Zbieranie danych Udostępnianie danych Aktualność danych Rodzaj danych Adekwatność zbierania danych do celu ich przetwarzania Usuwanie danych Cel przetwarzania

14 DANE WRAŻLIWE dane ujawniające pochodzenie rasowe oraz etniczne (np. kolor skóry) dane ujawniające poglądy polityczne (np. poglądy lewicowe) dane ujawniające przekonania religijne oraz filozoficzne (np. wyznanie ewangelickie)

15 DANE WRAŻLIWE dane ujawniające przynależność wyznaniową, partyjną, związkową (np. SLD) dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym (np. spis palących pracowników) dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym

16 DANE WRAŻLIWE Zgodnie z art. 27 ustawy o ochronie danych osobowych co do zasady zabrania się przetwarzania danych wrażliwych. Istnieją jednak wyjątki od tej zasady.

17 Art. 27 ust 2 ustawy o ODO - Przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli np: Osoba, której dane dotyczą wyrazi zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych Przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dotyczą i stwarza pełne gwarancje ich ochrony Przetwarzanie dotyczy danych niezbędnych do dochodzenia praw przed sądem Przetwarzanie dotyczy danych podanych do wiadomości publicznej przez osobę, której dane dotyczą

18 DANE ZWYKŁE Art. 23 ustawy o ochronie danych osobowych przewiduje 5 przesłanek legalności przetwarzania danych osobowych. Są to: 1. Zgoda osoby, której dane dotyczą; 2. Prawo lub obowiązek wynikający z przepisu prawnego; 3. Realizacja umowy, gdy osoba której dane dotyczą jest jej stroną ; 4. Realizacja zadania publicznego; 5. Wypełnienie prawnie usprawiedliwionego celu.

19 Obowiązki Generalnego Inspektora ochrony danych osobowych (GIODO) GIODO to organ ochrony danych osobowych nadzorujący przestrzeganie przez administratorów danych przepisów o ochronie danych osobowych; Do jego obowiązków należy kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych;

20 Obowiązki Generalnego Inspektora ochrony danych osobowych (GIODO) Prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach; Wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych;

21 Kontrola GIODO 1. Inspektor dokonujący kontroli obowiązany jest okazać się imiennym upoważnieniem i legitymacją służbową (kontrolę może odbywać w godzinach 6 22). 2. Kierownik kontrolowanej jednostki jest obowiązany umożliwić inspektorowi przeprowadzenie kontroli, w szczególności: oględziny sprzętu i wyposażenia, przeglądanie dokumentów i wszelkich danych, oraz przesłuchiwanie wzywanych osób i przyjmowanie wyjaśnień.

22 Kontrola GIODO 3. W toku kontroli zbiorów uzyskanych w wyniku czynności operacyjno-rozpoznawczych inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej. 4. Z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych.

23 Kontrola GIODO 5. Protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść do protokołu umotywowane zastrzeżenia i uwagi. 6. W razie odmowy podpisania protokołu przez kontrolowanego administratora danych, inspektor czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w terminie 7 dni, przedstawić swoje stanowisko na piśmie GIODO.

24 Kontrola GIODO skutki kontroli 1. Jeżeli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, występuje do GIODO o zastosowanie odpowiednich środków. 2. GIODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych

25 ADMINISTRATOR DANYCH OSOBOWYCH To osoba fizyczna, prawna bądź jednostka organizacyjna bez osobowości prawnej, która decyduje o celach i środkach przetwarzania danych osobowych: Administratorem danych osobowych nie jest każdy dysponent tych danych, a tylko ten, kto decyduje o celach i środkach ich przetwarzania wyrok NSA (syg. II SA 1098/01).

26 ADMINISTRATOR DANYCH OSOBOWYCH Może powołać administratora bezpieczeństwa informacji (art. 36a ustawy o ODO) Spoczywa na nim szereg obowiązków związanych z przetwarzaniem danych osobowych, czyli: obowiązek informacyjny obowiązki związane z zabezpieczeniem danych, (np. uniemożliwienie dostępu do danych osobom nieupoważnionym)

27 ADMINISTRATOR DANYCH OSOBOWYCH obowiązek zgłoszenia zbioru danych do rejestru, wprowadzenie dokumentacji z zakresu przetwarzania danych (Polityka Bezpieczeństwa i Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych) i nadanie upoważnień do przetwarzania danych.

28 ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI Administrator Danych Osobowych może powołać Administratora Bezpieczeństwa Informacji. Fakt powołania ABI podlega zgłoszeniu do ogólnopolskiego, jawnego rejestru prowadzonego przez GIODO. ADO może powołać także zastępców ABI (art. 36a ust. 6 ustawy o ODO). Dane o zastępcach ABI nie podlegają rejestracji. Zastępcy ABI muszą spełnić takie same wymogi, co sam ABI.

29 ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI W przypadku niepowołania ABI to Administrator Danych Osobowych wykonuje, co do zasady, jego obowiązki (art. 36b ustawy o ODO). ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych (art. 36a ust. 7 ustawy o ODO )

30 ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI Art. 36a ust. 5 ustawy o ODO ABI może zostać jedynie osoba, która: 1. posiada pełną zdolność do czynności prawnych 2. korzysta z pełni praw publicznych; 3. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; 4. nie była karana za przestępstwo umyślne.

31 OBOWIĄZKI ABI Art. 36a ust. 2 ustawy o ODO 1. Zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności: Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych

32 OBOWIĄZKI ABI Nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 oraz przestrzegania zasad w niej określonych Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; 2. Prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych

33 UPRAWNIENIE DO REJESTRACJI ABI GIODO prowadzi ogólnopolski, jawny rejestr administratorów bezpieczeństwa informacji Administrator Danych Osobowych może zgłosić do rejestracji Generalnemu Inspektorowi powołanie Administratora Bezpieczeństwa Informacji w terminie 30 dni od dnia jego powołania (art. 46b ustawy o ODO). Dane zawarte w zgłoszeniu powołania ABI do rejestracji: dane identyfikujące ADO dane identyfikujące ABI oświadczenie ADO

34 UPRAWNIENIE DO REJESTRACJI ABI Jeżeli ADO powołał ABI to może go również odwołać. W tym celu ADO musi zgłosić wniosek o odwołanie ABI, które powinien zawierać informacje o dacie i przyczynie jego odwołania. Odwołanie ABI powinno zostać zgłoszone GIODO w ciągu 30 dni od dnia zaistnienia tego faktu (art. 46b ustawy o ODO). Wzory zgłoszenia powołania i odwołania ABI stanowią załącznik do Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r.

35 OBOWIĄZEK REJESTRACJI ZBIORÓW DANYCH OSOBOWYCH Jeżeli Administrator Danych Osobowych nie powoła ABI, jest on zobowiązany zgłosić zbiór danych do rejestracji GIODO, z wyjątkiem 12 przypadków, o których mowa w art. 43 ust. 1 i 1a, m.in.

36 WYJĄTKI DOTYCZĄCE REJESTRACJI DANYCH Zawierające informacje niejawne Przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się

37 WYJĄTKI DOTYCZĄCE REJESTRACJI DANYCH Dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności Przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej

38 WYJĄTKI DOTYCZĄCE REJESTRACJI DANYCH Powszechnie dostępnych Przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego

39 WYJĄTKI DOTYCZĄCE REJESTRACJI DANYCH Przetwarzanych w zakresie drobnych bieżących spraw życia codziennego Przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane wrażliwe

40 ZGŁOSZENIE DO REJESTRACJI ZBIORU DANYCH OSOBOWYCH Zgłoszenie powinno zawierać wytyczne zawarte zgodnie z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, który stanowi załącznik do Rozporządzenia

41 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

42 Rozporządzenie określa: 1. Sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;

43 Rozporządzenie określa: 2. Podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; 3. Wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.

44 Rozporządzenie określa: 4. Jakie poziomy bezpieczeństwa infrastruktury informatycznej należy stosować w zależności od pewnych elementów jej architektury oraz w zależności od tego jakie dane osobowe są przetwarzane w systemach.

45 POZIOMY BEZPIECZEŃSTWA System jest podłączony z publiczną siecią telekomunikacyjną. POZIOM WYSOKI W systemie przetwarzane są dane wrażliwe. System nie jest podłączony z publiczną siecią telekomunikacyjną. POZIOM PODWYŻSZONY W systemie nie są przetwarzane dane wrażliwe. System nie jest podłączony z publiczną siecią telekomunikacyjną. POZIOM PODSTAWOWY

46 Na dokumentację, o której mowa w 1 pkt 1, składa się: Polityka bezpieczeństwa informacji Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej instrukcją". Dokumentację, o której mowa w 1 pkt 1, prowadzi się w formie pisemnej oraz wdrażane są przez Administratora danych osobowych.

47 Polityka bezpieczeństwa informacji (PBI) Polityka bezpieczeństwa, o której mowa w 3 ust. 1, zawiera w szczególności: 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

48 Polityka bezpieczeństwa informacji (PBI) Polityka bezpieczeństwa, o której mowa w 3 ust. 1, zawiera w szczególności: 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4) sposób przepływu danych pomiędzy poszczególnymi systemami; 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

49 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych (IZSI) Instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

50 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych (IZSI) Instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

51 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych (IZSI) Instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 5) sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt 4, 6) sposób zabezpieczenia systemu informatycznego przed działalnością złośliwego oprogramowania

52 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych (IZSI) Instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 7) sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4; 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

53 NORMA ISO/IEC To norma międzynarodowa standaryzująca systemy zarządzania bezpieczeństwem informacji. Została ogłoszona 14 października 2005 r. na podstawie brytyjskiego standardu BS opublikowanego przez BSI. W Polsce normę ISO/IEC opublikowano 4 stycznia 2007 r. ISO/IEC jest specyfikacją systemów zarządzania bezpieczeństwem informacji na zgodność z którą mogą być prowadzone audyty, na podstawie których są wydawane certyfikaty.

54 NORMA ISO/IEC W normie ISO/IEC wyróżniono jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji: Polityka bezpieczeństwa; Organizacja bezpieczeństwa informacji; Zarządzanie aktywami; Bezpieczeństwo zasobów ludzkich;

55 NORMA ISO/IEC Bezpieczeństwo fizyczne i środowiskowe; Zarządzanie systemami i sieciami; Kontrola dostępu; Zarządzanie ciągłością działania; Pozyskiwanie, rozwój i utrzymanie systemów informatycznych; Zarządzanie incydentami związanymi z bezpieczeństwem informacji; Zgodność z wymaganiami prawnymi i własnymi standardami.

56 NORMA ISO/IEC To międzynarodowa norma określająca wytyczne związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu zarządzania bezpieczeństwem informacji (SZBI)

57 NORMA ISO/IEC ISO jest próbą zgromadzenia i standaryzacji wytycznych w celu osiągnięcia takich korzyści, jak: utworzenie katalogu zabezpieczeń, który jest rozpoznawany na całym świecie, jako zaufany dla wielu organizacji, wyznaczenie miernika dającego możliwości ewaluacji SZBI, stworzenie meta standardu dającego możliwości odnoszenia się do niego przez różne regulacje branżowe.

58 NORMA ISO/IEC W celu osiągnięcia założonych celów, ISO identyfikuje 11 obszarów zabezpieczeń, 39 celów zabezpieczeń oraz 133 zabezpieczenia. Każde zabezpieczenie jest odpowiednio opisane wraz z wytycznymi do implementacji i wyjaśnieniem intencji jego stosowania. Standard wskazuje również, które zabezpieczenia powinny być ważne dla organizacji z legislacyjnego punktu widzenia, które zaś z punktu widzenia bezpieczeństwa informacji.

59 Podstawowe różnice pomiędzy ISO i ISO Standard audytorski oparty o wymagania stawiane audytowi. Lista zabezpieczeń organizacyjnych, które powinny zostać uwzględnione. Używany do audytowania bezpieczeństwa organizacji oraz certyfikowania w zakresie SZBI. Wytyczne implementacyjne oparte o rekomendowane dobre praktyki. Lista 133 zabezpieczeń operacyjnych, które organizacja powinna rozważyć. Używany do szacowania kompletności i spójności systemu zarządzania bezpieczeństwem organizacji.

60 Zadania i procesy, jakie należy realizować w związku z ustawą o ODO Jakie dane i od kogo są zbierane Cel zbierania danych Ustalenie, czy wymagana jest rejestracja zbiorów Zadania związane z rejestracją zbiorów danych Obowiązek informacyjny Wydawanie i odbieranie upoważnień do przetwarzania danych osobowych; prowadzenie ewidencji wydanych upoważnień

61 Zadania i procesy, jakie należy realizować w związku z ustawą o ODO Zabezpieczenie danych osobowych w formie tradycyjnej i w systemach informatycznych Stworzenie i aktualizacja dokumentacji (PBI, IZSI) Nadzór nad ochroną danych osobowych (monitorowanie zabezpieczeń); powołanie ABI Usuwanie danych

62 Zasady przetwarzania danych w sytuacjach dnia codziennego

63 Zasady przetwarzania danych w sytuacjach dnia codziennego Przetwarzanie danych osobowych poza siedzibą firmy

64 Zasady przetwarzania danych w sytuacjach dnia codziennego Ksero sieciowe - zasady bezpiecznego drukowania dokumentów

65 Zasady przetwarzania danych w sytuacjach dnia codziennego Zbyt głośne rozmowy między pracownikami

66 Zasady przetwarzania danych w sytuacjach dnia codziennego Pozostawianie kluczy w drzwiach

67 Zasady przetwarzania danych w sytuacjach dnia codziennego Bezpieczne zasady elektronicznej wymiany dokumentów

68 Zasady przetwarzania danych w sytuacjach dnia codziennego Właściwe ustawienie monitorów

69 Zasady przetwarzania danych w sytuacjach dnia codziennego Właściwe przechowywanie haseł dostępu

70 Zasady przetwarzania danych w sytuacjach dnia codziennego Każdorazowe wylogowanie się ze swojego konta przed opuszczeniem stanowiska

71 Zasady przetwarzania danych w sytuacjach dnia codziennego Niepozostawianie osób postronnych w pomieszczeniu bez nadzoru osoby upoważnionej

72 Zasady przetwarzania danych w sytuacjach dnia codziennego Zasady postępowania z dokumentami

73 Zasady przetwarzania danych w sytuacjach dnia codziennego Informacje, jakich nie powinno się udzielać w rozmowach telefonicznych

74 Zasady przetwarzania danych w sytuacjach dnia codziennego Zasady niszczenia dokumentów

75

76 Zasady przetwarzania danych w sytuacjach dnia codziennego Ksero dowodów osobistych

77 Zasady przetwarzania danych w sytuacjach dnia codziennego Zasada czystego biurka

78 CZY MAJĄ PAŃSTWO JAKIEŚ PYTANIA?

79 Dziękuję za uwagę Marcin Polit Paulina Wyszomirska