Jak pewnie każdy zauważył, od dłuższego czasu nie zajmowałem się tym blogiem. Spowodowane jest to całą masą nowych obowiązków jakie mam w związku z prowadzeniem firmy. Ale z blogowaniem nie skończyłem, tyle że robię to teraz pod szyldem iSecure. Jeśli nie przeszkadza Wam zatem, że wspomniany blog to blog firmowy, serdecznie zapraszam do zapoznania się z nim :-)
Dobra wiadomość jest taka, że firmowy blog jest na bieżąco aktualizowany, a większość wpisów to notki merytoryczne, które stanowią naturalną kontynuację tego co publikowałem tutaj.
wtorek, 6 kwietnia 2010
środa, 30 grudnia 2009
Bankowość internetowa c.d.
Jakiś czas temu informowałem Czytelników bloga o ciekawym artykule nt. bezpieczeństwa bankowości internetowej. Teraz chciałbym polecić inny tekst, opublikowany w serwisie Wyborcza.biz, gdzie znaleźć można garść informacji o problemie kradzieży pieniędzy z kont bankowych. Zapraszam do czytania.
poniedziałek, 7 grudnia 2009
GIODO i nasza-klasa.pl
Parę dni temu w Internecie pojawiła się bardzo ciekawa informacja o nowej inicjatywie GIODO, która polega na współpracy z portalem nasza-klasa.pl. Ma ona polegać na edukowaniu użytkowników portalu w zakresie bezpiecznego korzystania z sieci, a także właściwego chronienia danych osobowych. Szczegóły można znaleźć tutaj.
czwartek, 3 grudnia 2009
Bankowość internetowa
Co jakiś czas dają o sobie znać hackerzy, którzy wyłudzają od ludzi pieniądze stosując metody phishingowe. I mimo tego, że mówi się o tym wiele w różnego rodzaju mediach, co jakiś czas znajdują się kolejne ofiary, które tracą oszczędności właśnie przez phishing. Parę dni temu znalazłem bardzo ciekawy materiał dotyczący bezpieczeństwa bankowości elektronicznej stworzony oficjalnie przez Związek Banków Polskich. Zapraszam więc do lektury.
piątek, 24 lipca 2009
Luka na Uniwersytecie Jagiellońskim
O tym jak ważne są zabezpieczenia wszelkich elektronicznych rejestrów wczoraj przekonali się przyszli studenci UJ. Okazało się bowiem, że mając fikcyjne konto w Elektronicznej Rejestracji Kandydatów, można było uzyskać dostęp do takich danych jak nr konta bankowego, nr NIP, adresu zamieszkania, no i oczywiście imion i nazwisk. Sprawą zapewne zajmie się GIODO. Pełna treść newsa dostępna jest na stronach Onetu.
piątek, 10 lipca 2009
Prywatność pracowników w miejscu pracy
Temat prywatności pracownika w miejscu pracy pojawia się w internecie dość często. Przeglądając stronę magazynu Komputer Świat natknąłem się na bardzo ciekawy artykuł, który powinien rozwiać sporo wątpliwości związanych z tym zagadnieniem. Odpowiedzi na pytania udzielał Generalny Inspektor Ochrony Danych Osobowych - Pan Michał Serzycki.
środa, 8 lipca 2009
Tajemnicze umowy... cz. 2
O umowach powierzenia przetwarzania danych pisałem już dość dawno temu w tym miejscu, niemniej jako że temat jest dość szeroki i na pierwszy rzut oka skomplikowany, warto do niego powrócić, co też poniżej czynię.
Ustawa o ochronie danych osobowych poświęca ww. umowom zaledwie jeden artykuł, a mianowicie art. 31. Żeby lepiej zrozumieć o co w nim chodzi, spróbujmy przeanalizować jego poszczególne zapisy.
Pierwszą istotną informację otrzymujemy już na samym początku: "Administrator danych może powierzyć innemu podmiotowi (...) przetwarzanie danych". Oznacza to, że np. przedsiębiorca będący "właścicielem" danych osobowych może te dane przetwarzać także przy pomocy innych podmiotów (firm trzecich). Jak to w praktyce może wyglądać? Wyobraźmy sobie firmę X, która nie ma swoich kadr i płac (w sensie odpowiedniego działu). Taka firma z reguły korzysta wówczas z usług biura rachunkowego, które wspiera ww. firmę w zakresie kadrowo - płacowym wypełniając np. deklaracje pracowników do ZUS, prowadzi ewidencję urlopów etc. Jednym słowem biuro ma dostęp do danych osobowych pracowników firmy X, a więc je przetwarza. I teraz najważniejsze - żeby opisane tu czynności były zgodne z ustawą o ochronie danych osobowych, w umowie łączącej obie te firmy powinny znaleźć się zapisy, o których mowa w art. 31.
O jakie zapisy chodzi? Otóż umowa powierzenia przetwarzania danych powinna:
- być sporządzona na piśmie,
- określać zakres powierzenia (czyli należy wskazać jakie dane powierzamy np. imię, nazwisko, datę urodzenia etc.),
- określać cel powierzenia (np. obsługa kadrowo - płacowa, obsługa IT, przeprowadzenie rekrutacji w imieniu administratora danych etc.),
- zawierać zobowiązanie podmiotu, który przyjmuje dane do przetwarzania o tym, że podjął środki techniczne i organizacyjne, o których mowa w rozdziale 5 ustawy o ochronie danych osobowych (a więc podmiot taki powinien mieć m.in. własną politykę bezpieczeństwa, system upoważnień do przetwarzania danych, ich ewidencję etc.).
To są elementy niezbędne, które muszą pojawić się w takiej umowie. Nie oznacza to jednak, że dokumentu takiego nie można rozbudować o jeszcze inne zapisy. W swojej praktyce spotkałem się zarówno z 1 - paragrafowymi zapisami w umowie podstawowej regulującymi ww. temat, jak również z umowami liczącymi sobie po 5 - 7 stron!
Przykładowo umowę powierzenia można rozbudować o następujące elementy:
- kary umowne,
- uprawnienia kontrolne dla administratora danych,
- możliwość przeprowadzenia audytu przez ABI administratora danych,
Na koniec chciałbym wskazać kilka obszarów, które dość często stanowią przedmiot powierzenia danych:
- call center,
- pozyskiwanie klientów (przedstawiciele handlowi),
- usługi ochroniarskie (np. w centrach handlowych),
- marketing świadczony na rzecz klientów administratora danych (wykonywany w jego imieniu np. wysyłka spersonalizowanego mailingu).
Ustawa o ochronie danych osobowych poświęca ww. umowom zaledwie jeden artykuł, a mianowicie art. 31. Żeby lepiej zrozumieć o co w nim chodzi, spróbujmy przeanalizować jego poszczególne zapisy.
Pierwszą istotną informację otrzymujemy już na samym początku: "Administrator danych może powierzyć innemu podmiotowi (...) przetwarzanie danych". Oznacza to, że np. przedsiębiorca będący "właścicielem" danych osobowych może te dane przetwarzać także przy pomocy innych podmiotów (firm trzecich). Jak to w praktyce może wyglądać? Wyobraźmy sobie firmę X, która nie ma swoich kadr i płac (w sensie odpowiedniego działu). Taka firma z reguły korzysta wówczas z usług biura rachunkowego, które wspiera ww. firmę w zakresie kadrowo - płacowym wypełniając np. deklaracje pracowników do ZUS, prowadzi ewidencję urlopów etc. Jednym słowem biuro ma dostęp do danych osobowych pracowników firmy X, a więc je przetwarza. I teraz najważniejsze - żeby opisane tu czynności były zgodne z ustawą o ochronie danych osobowych, w umowie łączącej obie te firmy powinny znaleźć się zapisy, o których mowa w art. 31.
O jakie zapisy chodzi? Otóż umowa powierzenia przetwarzania danych powinna:
- być sporządzona na piśmie,
- określać zakres powierzenia (czyli należy wskazać jakie dane powierzamy np. imię, nazwisko, datę urodzenia etc.),
- określać cel powierzenia (np. obsługa kadrowo - płacowa, obsługa IT, przeprowadzenie rekrutacji w imieniu administratora danych etc.),
- zawierać zobowiązanie podmiotu, który przyjmuje dane do przetwarzania o tym, że podjął środki techniczne i organizacyjne, o których mowa w rozdziale 5 ustawy o ochronie danych osobowych (a więc podmiot taki powinien mieć m.in. własną politykę bezpieczeństwa, system upoważnień do przetwarzania danych, ich ewidencję etc.).
To są elementy niezbędne, które muszą pojawić się w takiej umowie. Nie oznacza to jednak, że dokumentu takiego nie można rozbudować o jeszcze inne zapisy. W swojej praktyce spotkałem się zarówno z 1 - paragrafowymi zapisami w umowie podstawowej regulującymi ww. temat, jak również z umowami liczącymi sobie po 5 - 7 stron!
Przykładowo umowę powierzenia można rozbudować o następujące elementy:
- kary umowne,
- uprawnienia kontrolne dla administratora danych,
- możliwość przeprowadzenia audytu przez ABI administratora danych,
Na koniec chciałbym wskazać kilka obszarów, które dość często stanowią przedmiot powierzenia danych:
- call center,
- pozyskiwanie klientów (przedstawiciele handlowi),
- usługi ochroniarskie (np. w centrach handlowych),
- marketing świadczony na rzecz klientów administratora danych (wykonywany w jego imieniu np. wysyłka spersonalizowanego mailingu).
Subskrybuj:
Posty (Atom)
