Słów kilka na temat ochrony danych osobowych

Zmiany, zmiany...

2010-04-06T23:32:00.004+02:00

Jak pewnie każdy zauważył, od dłuższego czasu nie zajmowałem się tym blogiem. Spowodowane jest to całą masą nowych obowiązków jakie mam w związku z prowadzeniem firmy. Ale z blogowaniem nie skończyłem, tyle że robię to teraz pod szyldem iSecure. Jeśli nie przeszkadza Wam zatem, że wspomniany blog to blog firmowy, serdecznie zapraszam do zapoznania się z nim :-)

Dobra wiadomość jest taka, że firmowy blog jest na bieżąco aktualizowany, a większość wpisów to notki merytoryczne, które stanowią naturalną kontynuację tego co publikowałem tutaj.

Bankowość internetowa c.d.

2009-12-30T09:59:00.005+01:00

Jakiś czas temu informowałem Czytelników bloga o ciekawym artykule nt. bezpieczeństwa bankowości internetowej. Teraz chciałbym polecić inny tekst, opublikowany w serwisie Wyborcza.biz, gdzie znaleźć można garść informacji o problemie kradzieży pieniędzy z kont bankowych. Zapraszam do czytania.

GIODO i nasza-klasa.pl

2009-12-07T15:42:00.005+01:00

Parę dni temu w Internecie pojawiła się bardzo ciekawa informacja o nowej inicjatywie GIODO, która polega na współpracy z portalem nasza-klasa.pl. Ma ona polegać na edukowaniu użytkowników portalu w zakresie bezpiecznego korzystania z sieci, a także właściwego chronienia danych osobowych. Szczegóły można znaleźć tutaj.

Bankowość internetowa

2009-12-03T09:56:00.004+01:00

Co jakiś czas dają o sobie znać hackerzy, którzy wyłudzają od ludzi pieniądze stosując metody phishingowe. I mimo tego, że mówi się o tym wiele w różnego rodzaju mediach, co jakiś czas znajdują się kolejne ofiary, które tracą oszczędności właśnie przez phishing. Parę dni temu znalazłem bardzo ciekawy materiał dotyczący bezpieczeństwa bankowości elektronicznej stworzony oficjalnie przez Związek Banków Polskich. Zapraszam więc do lektury.

Luka na Uniwersytecie Jagiellońskim

2009-07-24T10:49:00.002+02:00

O tym jak ważne są zabezpieczenia wszelkich elektronicznych rejestrów wczoraj przekonali się przyszli studenci UJ. Okazało się bowiem, że mając fikcyjne konto w Elektronicznej Rejestracji Kandydatów, można było uzyskać dostęp do takich danych jak nr konta bankowego, nr NIP, adresu zamieszkania, no i oczywiście imion i nazwisk. Sprawą zapewne zajmie się GIODO. Pełna treść newsa dostępna jest na stronach Onetu.

Prywatność pracowników w miejscu pracy

2009-07-10T13:45:00.003+02:00

Temat prywatności pracownika w miejscu pracy pojawia się w internecie dość często. Przeglądając stronę magazynu Komputer Świat natknąłem się na bardzo ciekawy artykuł, który powinien rozwiać sporo wątpliwości związanych z tym zagadnieniem. Odpowiedzi na pytania udzielał Generalny Inspektor Ochrony Danych Osobowych - Pan Michał Serzycki.

Tajemnicze umowy... cz. 2

2009-07-08T10:05:00.004+02:00

O umowach powierzenia przetwarzania danych pisałem już dość dawno temu w tym miejscu, niemniej jako że temat jest dość szeroki i na pierwszy rzut oka skomplikowany, warto do niego powrócić, co też poniżej czynię.
Ustawa o ochronie danych osobowych poświęca ww. umowom zaledwie jeden artykuł, a mianowicie art. 31. Żeby lepiej zrozumieć o co w nim chodzi, spróbujmy przeanalizować jego poszczególne zapisy.
Pierwszą istotną informację otrzymujemy już na samym początku: "Administrator danych może powierzyć innemu podmiotowi (...) przetwarzanie danych". Oznacza to, że np. przedsiębiorca będący "właścicielem" danych osobowych może te dane przetwarzać także przy pomocy innych podmiotów (firm trzecich). Jak to w praktyce może wyglądać? Wyobraźmy sobie firmę X, która nie ma swoich kadr i płac (w sensie odpowiedniego działu). Taka firma z reguły korzysta wówczas z usług biura rachunkowego, które wspiera ww. firmę w zakresie kadrowo - płacowym wypełniając np. deklaracje pracowników do ZUS, prowadzi ewidencję urlopów etc. Jednym słowem biuro ma dostęp do danych osobowych pracowników firmy X, a więc je przetwarza. I teraz najważniejsze - żeby opisane tu czynności były zgodne z ustawą o ochronie danych osobowych, w umowie łączącej obie te firmy powinny znaleźć się zapisy, o których mowa w art. 31.
O jakie zapisy chodzi? Otóż umowa powierzenia przetwarzania danych powinna:
- być sporządzona na piśmie,
- określać zakres powierzenia (czyli należy wskazać jakie dane powierzamy np. imię, nazwisko, datę urodzenia etc.),
- określać cel powierzenia (np. obsługa kadrowo - płacowa, obsługa IT, przeprowadzenie rekrutacji w imieniu administratora danych etc.),
- zawierać zobowiązanie podmiotu, który przyjmuje dane do przetwarzania o tym, że podjął środki techniczne i organizacyjne, o których mowa w rozdziale 5 ustawy o ochronie danych osobowych (a więc podmiot taki powinien mieć m.in. własną politykę bezpieczeństwa, system upoważnień do przetwarzania danych, ich ewidencję etc.).
To są elementy niezbędne, które muszą pojawić się w takiej umowie. Nie oznacza to jednak, że dokumentu takiego nie można rozbudować o jeszcze inne zapisy. W swojej praktyce spotkałem się zarówno z 1 - paragrafowymi zapisami w umowie podstawowej regulującymi ww. temat, jak również z umowami liczącymi sobie po 5 - 7 stron!
Przykładowo umowę powierzenia można rozbudować o następujące elementy:
- kary umowne,
- uprawnienia kontrolne dla administratora danych,
- możliwość przeprowadzenia audytu przez ABI administratora danych,
Na koniec chciałbym wskazać kilka obszarów, które dość często stanowią przedmiot powierzenia danych:
- call center,
- pozyskiwanie klientów (przedstawiciele handlowi),
- usługi ochroniarskie (np. w centrach handlowych),
- marketing świadczony na rzecz klientów administratora danych (wykonywany w jego imieniu np. wysyłka spersonalizowanego mailingu).

Program antywirusowy w małej firmie

2009-06-26T13:59:00.006+02:00

Wraz z niniejszym wpisem chciałbym rozpocząć nowy cykl, który roboczo nazwałem ODO w małej firmie. W ramach cyklu publikował będę posty, które mogą być szczególnie użyteczne dla osób prowadzących niewielki biznes i nie chcą wydawać zbyt wielu pieniędzy na bezpieczeństwo, niemniej chcą dobrze chronić dane osobowe np. swoich pracowników czy klientów.

Jednym z niezbędnych elementów instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych jest procedura opisująca sposoby zabezpieczenia systemu przed działalnością szkodliwego oprogramowania, a więc m.in. wirusów, robaków internetowych, trojanów etc. Procedura ta, jak sama nazwa wskazuje, powinna opisywać w jaki sposób firma zabezpiecza dane osobowe przed ww. zagrożeniami. Należałoby zatem wspomnieć w niej o stosowanym oprogramowaniu antywirusowym. Jednym z ciekawszych, a przede wszystkim bezpłatnych (także do komercyjnego użytku!!!) tego typu programów jest ClamWin Free AntiVirus. ClamWin posiada m.in. takie składniki jak:
- ręcznie uruchamiany skaner,
- możliwość zaplanowania skanowania z wyprzedzeniem,
- kwarantannę dla zainfekowanych plików,
- automatycznie pobieraną aktualizację baz sygnatur wirusów,
- możliwość skanowania pojedynczych plików,
Program nie posiada niestety funkcji ochrony rezydentnej do skanowania bieżąco otwieranych plików. Jeśli jednak ta wada jest do zaakceptowania to zupełnie za darmo uzyskują Państwo darmowego antywirusa, którego można ująć we wcześniej wspomnianej procedurze.
ClamWin jest do pobrania z tego miejsca, natomiast tutaj można przeczytać jak program wypadł w testach różnych antywirusów.

Wyciek danych

2009-05-22T12:18:00.001+02:00

Jak można przeczytać na stronie internetowej TVN24, parę dni temu miał miejsce dość spory wyciek danych z jednej ze szkół językowych. Danymi tymi były adresy e-mail, a te jak wiadomo, bywają niekiedy uznawane za dane osobowe w rozumieniu ustawy o ochronie danych osobowych. Swego czasu pisałem o tym tutaj. Sam news do przeczytania w tym miejscu.

GIODO w akcji

2009-05-19T11:09:00.001+02:00

Dziś rano trafiłem na interesujący news - Generalny Inspektor Ochrony Danych Osobowych ma zamiar dokładnie przyjrzeć się firmie Google, a to za sprawą nowej usługi, czyli Google Street View. Usługa ta ma polegać na tym, że w sieci pojawią się trójwymiarowe obrazy miast (w Polsce na pierwszy ogień idą Warszawa i Kraków), przy czym obrazy te będą bardzo szczegółowe dzięki nagraniom z kamer instalowanych na samochodach. GIODO stwierdziło, że usługa ta może naruszać sferę prywatności Polaków, a to oznacza, że może tu dojść do złamania prawa, a konkretnie naruszenia przepisów ustawy o ochronie danych osobowych.
Pozostaje nam zatem obserwować jak poradzi sobie z tym tematem nasz rodzimy urząd, zwłaszcza w kontekście wcześniejszej, mocno kontrowersyjnej decyzji w sprawie zdjęć na Naszej-Klasie.

Jakie dokumenty musi posiadać ADO?

2009-05-14T13:39:00.002+02:00

Życie przedsiębiorcy w świetle przepisów ustawy o ochronie danych osobowych nie jest łatwe. Oprócz tego, że istnieje wymóg zgłaszania pewnych kategorii danych do GIODO, każdy podmiot przetwarzający dane osobowe (zarówno swoje jak i powierzone mu do przetwarzania) musi spełniać szereg innych wymogów, a zwłaszcza posiadać dokumentację opisującą system ochrony danych osobowych. Przyjrzyjmy się zatem, czego od przedsiębiorcy wymaga ustawodawca w świetle interesującego nas tematu.

Przede wszystkim na warsztat musimy wziąć rozdział 5 ustawy o ochronie danych osobowych. I tak po kolej:
- art. 36 ust. 2 mówi nam o tym, że administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych (do tematu dokumentacji wrócę w dalszej części wpisu),
- art. 37 nakazuje natomiast, by administrator danych upoważnił każdą osobę przetwarzającą dane osobowe (a więc wymóg posiadania upoważnienia),
- art. 39 ust. 1 wprowadza wymóg prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych,
- art. 39 ust. 2 przewiduje zaś, że osoby, które zostały upoważnione mają obowiązek zachować w tajemnicy dane osobowe do których mają dostęp, przy czym obowiązek ten rozciąga się również na informacje o tym jak dane osobowe są zabezpieczone,
- art. 39a jest ściśle powiązany z art. 36 ust. 2, ponieważ rozwija temat związany z koniecznością posiadania dokumentacji. Ta ostatnia opisana jest, zgodnie z delegacją zawartą w niniejszym przepisie, w akcie wykonawczym wydanym do ustawy o ochronie danych osobowych, a dokładniej w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dn. 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Należy zauważyć, że przywołane tu rozporządzenie nakazuje, by podmiot przetwarzający dane osobowe posiadał kolejne dwa dokumenty, a mianowicie: politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.

Zróbmy zatem małe podsumowanie tego, o czym napisałem powyżej. Administrator danych osobowych (lub podmiot, który w imieniu administratora przetwarza dane) powinien posiadać:

dokumentację obejmującą: politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych,

upoważnienia do przetwarzania danych osobowych,

ewidencję osób upoważnionych,

oświadczenia o zachowaniu danych osobowych w tajemnicy oraz informacji o sposobach ich zabezpieczeń.

W zasadzie to nie wszystko. Szybkie spojrzenie na art. 31 interesującej nas ustawy i okazuje się, że jeżeli administrator danych osobowych chce powierzyć innemu podmiotowi dane osobowe może to zrobić, ale tylko w drodze tzw. umowy powierzenia przetwarzania danych osobowych.
Obecnie nie jest już wymagane, by każda osoba, która przetwarza dane została w tym zakresie przeszkolona.

W którymś z następnych wpisów przyjrzę się dokładniej polityce bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych. Póki co polecam natomiast poczytać sobie o tych dokumentach na stronie GIODO pod tymi linkami: polityka, instrukcja.

Zgoda na przetwarzanie danych

2009-02-24T23:26:00.002+01:00

Wiele razy spotkałem się z pytaniami czy zgoda na przetwarzanie danych może stanowić część np. regulaminu czy umowy. Warto się zatem przyjrzeć jak ta kwestia została uregulowana w ustawie o ochronie danych osobowych.
Przede wszystkim wspomniana ustawa definiuje w swym art. 7 pkt. 5 czym jest zgoda. Dla przypomnienia, w myśl wskazanego tu przepisu, przez zgodę "rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści". Z punktu widzenia niniejszego wpisu istotna jest druga część cytowanego fragmentu.
O co w tym chodzi? Otóż zamysłem ustawodawcy było zapobieżenie takim sytuacjom, które powodowałyby że zachodzić będzie wątpliwość co do tego kto, w jakim zakresie, a także w jakim celu może przetwarzać dane. Należy tu podkreślić, że zamysł ten nie będzie spełniony, jeśli oświadczenie o zgodzie będzie stanowiło odesłanie do treści innych dokumentów, w tym zwłaszcza regulaminów lub umów. Zostało to wyraźnie stwierdzone w orzecznictwie NSA, a zwłaszcza w wyroku z dnia 4 kwietnia 2003 r. (wyrok ten można pobrać ze strony GIODO pod tym adresem: http://bip.giodo.gov.pl/plik/id_p/58/j/en/). NSA stoi na stanowisku, że klauzula zgody powinna stanowić wyodrębnione oświadczenie spośród innych postanowień umowy/regulaminu, tak aby osoba zainteresowana miała możliwość wyrażenie bądź odmówienia zgody na przetwarzanie danych. Podobnie nie jest dopuszczalne stwierdzenie, że podpisanie umowy jest jednoznaczne z wyrażeniem zgody na przetwarzanie danych np. w celach przesyłania informacji handlowych.
A zatem pamiętajmy o tym, by zgody na przetwarzanie danych wyodrębniać z innych dokumentów tak by istniała możliwość podjęcia decyzji o tym, czy godzimy się przetwarzanie czy też takiej zgody nie udzielamy.

2009-01-14T23:28:00.000+01:00

Po raz kolejny Generalny Inspektor Ochrony Danych Osobowych zaprasza wszystkich zainteresowanych na dzień otwarty w związku z obchodami Europejskiego Dnia Ochrony Danych Osobowych. Spotkanie odbędzie się 28 stycznia w godz. 10 - 15 - ta w siedzibie GIODO tj. w Warszawie przy ul. Stawki 2. Będzie to świetna okazja, by porozmawiać z urzędnikami na nurtujące nas tematy z zakresu danych osobowych.

PS. Po nieco przydługiej przerwie, blog wraca do życia. A zatem zachęcam do odwiedzania stronki od czasu do czasu.

2008-11-24T20:08:00.002+01:00

Rozporządzenie wykonawcze do ustawy o ochronie danych osobowych w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024), nakłada na administratora danych obowiązek stosowania w systemach przetwarzających dane osobowe hasła o określonej długości, składni i nakazuje ich periodyczną zmianę.

W dzisiejszym wpisie zajmę się jednym z praktycznych sposobów realizacji wspomnianych powyżej wymagań w systemie Microsoft Windows XP Professional.

Zgodnie z treścią przywołanego rozporządzenia, hasła powinny być zmieniane co najmniej co 30 dni. Aby system operacyjny wymuszał zmianę haseł w opisany sposób, należy otworzyć „panel sterowania”, następnie wybrać „narzędzia administracyjne”, przejść do „zasad kont” i dalej wybrać „zasady haseł”. Wybieramy opcję „maksymalny okres ważności hasła” i wpisujemy 30 (dni). W ten sposób realizujemy wymóg zmiany hasła co najmniej co 30 dni. Możemy również modyfikując opcję „minimalny okres ważności hasła” ustawić minimalny czas, po jakim użytkownik ma możliwość zmiany hasła.

Wymagania odnośnie składni i długości haseł używanych w systemach informatycznych przetwarzających dane osobowe zależą od stosowanego poziomu bezpieczeństwa. Ustawa wyróżnia podstawowy, podwyższony oraz wysoki poziom bezpieczeństwa. Na poziomie podstawowym wystarczy stosowanie 6 znakowych haseł, natomiast poczynając od podwyższonego poziomu bezpieczeństwa, należy stosować 8 znakowe hasła, zawierające małe i wielkie litery oraz cyfry lub znaki specjalne.

Windows XP Professional potrafi poradzić sobie z realizacją wskazanych powyżej wymagań. Należy wybrać opcję „minimalna długość hasła” i uzupełnić wpisując 8 znaków. Następnie powinniśmy przejść do opcji „hasło musi spełniać wymogi co do złożoności” i wybrać „włączone”. Dzięki dokonanym zmianom hasło nie będzie mogło zawierać nazwy konta użytkownika ani części jego pełnej nazwy dłuższej niż dwa kolejne znaki. Będzie musiało także zawierać znaki z trzech spośród następujących czterech kategorii:

Wielkie litery angielskie (od A do Z)
Małe litery angielskie (od a do z)
Cyfry systemu dziesiętnego (od 0 do 9)
Znaki niealfabetyczne (na przykład !, $, #, %)

Tak skonfigurowany system Windows XP Professional pomoże nam w realizacji wymagań rozporządzenia do ustawy o ochronie danych osobowych, w zakresie składni haseł oraz wymuszania ich okresowej zmiany. Ostatnią przydatną opcją w ustawieniach „zasad haseł” jest „wymuszanie tworzenia historii haseł”. Dzięki niej, można zapobiec naprzemiennemu używaniu przez użytkowników określonych - tych samych haseł. Maksymalna ilość pamiętanych haseł to 24. Należy pamiętać, iż w przypadku aktywacji tej opcji, konieczne jest ustawienie „minimalnego okresu ważności hasła” (najlepiej na okres np. 29 dni).

E-mail jako dana osobowa

2008-11-16T13:14:00.001+01:00

Dzisiaj będzie o mailach w kontekście danych osobowych. Wyobraźmy sobie zatem taką sytuację: znamy tylko adres e-mailowy osoby pracującej w firmie X. Adres ten zbudowany jest w ten sposób, że składa się z imienia, kropki i nazwiska np. jan.kowalski, a dalej standardowo "@" i domena firmowa. Czy uzbrojeni w taką wiedzę możemy zidentyfikować osobę, a zatem spełnić wymogi definicji ustawowej "danych osobowych"? Moim zdaniem jak najbardziej.
Zobaczmy jak to mogłoby wyglądać. Osoba mająca informacje o ww. mailu idzie do firmy wymienionej w domenie (przez domenę najczęściej można dotrzeć do firmy - traktując ją jako adres www, zresztą domena jest z reguły nazwą firmy). Na recepcji pyta o naszego Kowalskiego z maila, a usłużna recepcjonistka mówi "tak oczywiście, siedzi tam". I proszę bardzo - Kowalski z maila robi się nagle Kowalskim z krwi i kości. Pełna identyfikacja, a i nakłady pracy włożone w dopasowanie informacji z maila do konkretnej osoby minimalne.
Co innego jeśli mail wygląda na przykład tak: janosik@ i dalej domena jednego z popularnych portali np. wp.pl albo gazeta.pl. Takiego "janosika" raczej nie dopasujemy do konkretnej osoby, a poza tym, osoba ukrywająca się pod takim pseudonimem mogła w dowolny sposób i dowolnymi informacjami wypełnić formularz rejestracyjny, żeby zyskać adres e-mail. W tym przypadku ciężko jest zatem mówić o adresie poczty jako danej osobowej, bo wydaje się, że nie są tu spełnione przesłanki definicji ustawowej tego terminu.
Dobrze, pozostał jeszcze jeden przypadek, a mianowicie ten sam jan.kowalski tylko w domenie któregoś z ww. portali. W moim przekonaniu tu również ciężko będzie mówić o danych osobowych, gdyż takich "Janów Kowalskich" może być kilku np. inny mail może wyglądać tak: jan_kowalski@ albo kowalski.jan@ etc. i ta sama domena. Ponadto pozostaje jeszcze formularz rejestracyjny - nie do zweryfikowania. Wreszcie - właściciel domeny raczej nie udostępni nam danych zawartych w takim formularzu. A zatem ciężko tu mówić o spełnieniu wymogów ustawowej definicji danych osobowych.

Stanowisko Rządu w sprawie prezydenckiego projektu ustawy o zmianie ustawy o ochronie danych osobowych

2008-10-28T19:51:00.000+01:00

Po wysłuchaniu publicznym, które odbyło się 9 lipca 2008 r., przyszła kolej na Stanowisko Rządu w sprawie prezydenckiego projektu ustawy o zmianie ustawy o ochronie danych osobowych. Zostało ono przyjęte przez Rząd 17 września 2008 r.

Wspomnieć należy w tym miejscu, iż prezydencki projekt w zamyśle miał wyposażyć Generalnego Inspektora Ochrony Danych Osobowych w nowe narzędzia, które umożliwią mu skuteczniejszą walkę o prawa osób, których dane dotyczą.

Jak to zwykle w tego typu sytuacjach bywa, kij ma dwa końce. Na jednej szali mamy bowiem interesy osób, których dane osobowe są przetwarzane niezgodnie z prawem. Z kolei na drugiej szali mamy interes Administratorów Danych (szczególnie tych drobnych, przetwarzających małe ilości danych, w ramach niedużych przedsiębiorstw). „Idealna” ustawa o ochronie danych osobowych powinna ważyć obydwa interesy, uwzględniając stosunek Konsument-Przedsiębiorca i chroniąc w pełniejszy sposób ten pierwszy podmiot. Tego typu model funkcjonuje w naszym prawie cywilnym (prawo konsumenckie) oraz w systemach prawnych innych europejskich krajów.

Projekt nowelizacji zakłada przyznanie GIODO kompetencji polegających na możliwości nakładania kar finansowych w drodze decyzji administracyjnej. Równocześnie planuje się rozbudowanie aparatu sankcji, poprzez modyfikację przepisów karnych ustawy o ochronie danych osobowych.

Rządowi nie przypadł jednak do gustu prezydencki model zmian w ustawie o ochronie danych osobowych i chcąc nie chcąc, stanął on po stronie Administratorów Danych. W omawianym Stanowisku skrytykowano w szczególności zapisy projektu dotyczące równoczesnego zaostrzenia sankcji karnych i wprowadzenia kar pieniężnych nakładanych w drodze decyzji administracyjnej. Inne zarzuty dotyczyły wyposażenie GIODO w środki pozwalające na egzekucję nałożonych przez niego kar pieniężnych (niejako obok egzekucji administracyjnej). O ile argumenty przywołane powyżej można w jakiś sposób uzasadnić, o tyle skrytykować moim zdaniem należy Stanowisko Rządu, w odniesieniu do zmian w przepisach karnych ustawy o ochronie danych osobowych.

Rząd stwierdził, że penalizacja czynu polegającego na przetwarzaniu danych wrażliwych przed zarejestrowaniem zbioru danych nie ma sensu, gdyż… sam autor projektu wskazuje na brak korzystania z przepisów karnych przez prokuraturę i policję. To jest koronny argument Rządu na wykazanie, że nie należy penalizować przetwarzania danych wrażliwych przed zarejestrowaniem zbioru. Otóż przepisy karne tworzy się nie dlatego że ktoś robi coś złego, ale dlatego ponieważ dane zachowanie jest „złe”. Idąc tropem obranym przez Rząd, należałoby się zastanowić nad racją bytu np. przepisów dotyczących ochrony informacji z kodeksu karnego (w tym przepisów dotyczących hackerstwa) – bo przecież, tak mało spraw przeciwko hakerom trafia do prokuratury…

Nie ulega wątpliwości, że Prezydencki projekt zawiera wady. Dajmy mu jednak szansę i nie marnujmy tej inicjatywy, na którą wszyscy tak długo czekali. Czy możemy sobie pozwolić na zwłokę w tej sprawie?

Tutaj zamieszczam odnośnik do omawianego Stanowiska na stronach sejmu w formacie pdf.

Czy to już science - fiction?

2008-10-19T20:44:00.000+02:00

Mówiąc o przetwarzaniu danych osobowych w formie elektronicznej, co do zasady mamy na myśli aplikacje zainstalowane na komputerach. A czy ktoś z Czytelników zastanawiał się może ile danych osobowych ma na swym telefonie komórkowym?
Dużo się pisze o ochronie komputerów, o zabezpieczaniu danych hasłami, programach antywirusowych, firewallach oczywiście w kontekście PC. Natomiast niewiele osób zdaje sobie sprawę z tego, że w przeciwieństwie do komputera, telefon komórkowy dużo łatwiej stracić ot choćby poprzez przypadkowe zostawienie go w sklepie etc. Niby jest PIN kod, ale nie oszukujmy się - nie jest to zbyt mocne zabezpieczenie. A jak dodamy do tego jeszcze urządzenia typu smartfon czy palmofon, a więc telefony wykorzystujące system operacyjny (a więc narażone na ataki wirusów) zaczyna robić się naprawdę groźnie. Już sama książka adresowa zawiera w sobie sporo danych np. imię, nazwisko, pseudnim, numer telefonu, a niekiedy również zdjęcie. nie wspominając o tym, że wiele osób zapisuje sobie w komórce pin kody do kart, numery rachunków bankowym, nr NIP, PESEL etc. Wydaje się, że jest to wystarczająca ilość informacji, zaklasyfikować je pod pojęcie danych osobowych, o którym mowa w ustawie o ochronie danych osobowych.
Pomyślmy zatem o zabezpieczeniu telefonu np. dodatkowym hasłem (taka możliwość istnieje w przypadku zarówno Windows Mobile jak i Symbiana), a w przypadku jego sprzedaży o dokładnym wyczyszczeniu danych.

Tajemnicze umowy... cz. 1

2008-10-15T23:32:00.002+02:00

Tym razem będzie o tzw. umowach powierzenia przetwarzania danych. Temat jest dość szeroki, więc postanowiłem rozbić go na parę części. W tej odsłonie chciałbym napisać krótko o technikach wprowadzania w życie takich umów.
Dla przypomnienia dodam tylko, że wymóg stosowania tego typu dokumentów wynika wprost z art. 31 ustawy o ochronie danych osobowych, a stosuje się go, gdy administrator danych ma zamiar powierzyć swe dane (np. dane kadrowe) firmie zewnętrznej (np. do biura rachunkowego).
Wracając jednak do meritum - wielu przedsiębiorców nie ma niestety świadomości, że istnieje coś takiego jak wspomniany wyżej art. 31, a to oznacza, że zawierane przez nich umowy albo w ogóle nie odnoszą się do zawartej w tym przepisie regulacji albo zawierają jakieś ogólne klauzule o poufności. Nie wchodząc teraz w szczegóły czy jest to wystarczające czy nie (dla ciekawskich od razu dodam, że zapis o poufności z reguły nie jest wystarczający) chciałbym teraz skupić się na rozwiązaniu takiego problemu. Otóż nic nie stoi na przeszkodzie, by zawartą już umowę (np. ogólną umowę o współpracy) uzupełnić tak, by spełniała wymogi ustawowe, oczywiście pod warunkiem, że firma będzie już świadoma, że jest to niezbędne z punktu widzenia ustawy o ochronie danych osobowych. Jak tego dokonać? Oto możliwe rozwiązania:
- stworzyć odrębną umowę powierzenia, w której odwołamy się do istniejących już zapisów umownych,
- przygotować aneks do istniejącej już umowy, w którym znajdą się niezbędne zapisy wynikające z ustawy (o nich przy następnym wpisie),
Jeśli natomiast jesteśmy dopiero na etapie nawiązywania współpracy, zapisy dotyczące powierzenia od razu możemy wrzucić do tekstu podstawowej umowy, możemy też stworzyć załącznik do niej (a w nim spełniamy wymogi z art. 31) albo zdecydować się na odrębną umowę powierzenia.

Mając świadomość, że do tematu podszedłem trochę od środka, niniejszym zapewniam Czytelników, że do zagadnienia umów powierzenia niebawem powrócę.

Księgi akcyjne

2008-10-10T17:15:00.002+02:00

Jeśli ktoś od jakiegoś już czasu zajmuje się tematyką danych osobowych, doskonale zdaje sobie sprawę jak łatwo przeoczyć jakiś zbiór danych. W niniejszej notatce chciałbym zwrócić uwagę na taki właśnie, wydawałoby się niepozorny, zbiór. Zgodnie z wymogami przepisów kodeksu spółek handlowych spółki akcyjne mają obowiązek prowadzić dla swych akcjonariuszy tzw. księgę akcyjną. Księga taka, o ile akcjonariusze są osobami fizycznymi (mogą być nimi także inne firmy!), z oczywistych względów zawiera dane osobowe (np. takie jak imię, nazwisko, adres, nr NIP, miejsce pracy etc.). Dane te przetwarzane są, rzecz jasna, w sposób legalnych, gdyż wynika to z przepisów wspomnianego wyżej ksh. Powstaje jednak pytanie czy taki zbiór wymaga rejestracji.
Ustawa o ochronie danych osobowych określa w art. 43 jakie zbiory nie wymagają zgłoszenia do GIODO. Wydawać by się mogło, że do ksiąg akcyjnych zastosowanie będzie miała przesłanka mówiąca o danych powszechnie dostępnych. Jednak nie jest to prawdą. Dane zawarte w księdze akcyjnej znane są tylko innym akcjonariuszom, a więc ciężko nazwać je danymi powszechnie znanymi, stąd też konkluzja jest taka, że zbiór danych zawarty w księdze akcyjnej podlega rejestracji w GIODO.

Zabezpiecz swoje dane!

2008-10-07T22:13:00.001+02:00

Wiele się mówi o zabezpieczaniu danych, zwłaszcza teraz gdy tak łatwo jest stracić wartościowe informacje zgromadzone na naszych komputerach. Wśród tych informacji mogą być oczywiście dane osobowe, a to może oznaczać już kłopoty z punktu widzenia prawa (kontrola GIODO, wnioski do prokuratury etc.). Dlatego też chciałbym w paru słowach polecić Czytelnikom dość interesującą aplikację, która może wspomóc pracę osób, które przetwarzają dane (w tym również administratorów bezpieczeństwa informacji) i trzymają je na dyskach twardych (ale też na pamięciach flash).
Aplikacja, o której myślę nazywa się Steganos Safe i oferuje dwa ciekawe narzędzia:
- pierwsze z nich umożliwia stworzenie czegoś na kształt wirtualnego, zabezpieczonego hasłem sejfu na dysku,
- drugie zaś pozwala trwale usuwać dane z komputerów.
Jeśli chodzi o stworzenie sejfu to użytkownik sam decyduje ile poświęcić na to miejsca na dysku twardym, następnie przyporządkowuje do tej części hasło (program pokazuje, czy jest ono silne czy też łatwo je złamać) i wrzuca stosowne pliki. Obsługa jest naprawdę banalna i nawet początkujący użytkownik szybko rozezna się o co chodzi w tej aplikacji.
Natomiast opcja trwałego usuwania danych integruje się z Windows, w ten sposób, że po kliknięciu prawym przyciskiem myszy na wybranym pliku pojawia się - oprócz standardowych - opcja "Destroy". Następuje wymazanie danych z dysku twardego. Robiłem do tego mały test za pomocą aplikacji OnTrack EasyRecovery i nie udało się odzyskać tak usuniętych plików. A zatem z czystym sumieniem mogę polecić Steganos Safe. Program dostępny jest w Internecie w wersji shareware, ale to powinno wystarczyć, by podjąć decyzję, czy chcemy korzystać z tej aplikacji czy nie.

Sklepy internetowe a rejestracja zbiorów

2008-10-06T10:42:00.001+02:00

Co jakiś czas pojawia się w sieci pytanie, czy sklep internetowy musi rejestrować zbiory w GIODO. W poniższym poście spróbuję chwilę zająć się tym tematem.
Ustawa o ochronie danych osobowych w art. 43 ust. 1 wskazuje administratorów danych, którzy zwolnieni są z obowiązku rejestracji zbiorów w GIODO. Przy okazji sklepu internetowego pod uwagę można brać przesłankę w myśl której rejestracja nie jest wymagana, gdy przetwarzanie następuje wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. A zatem na dobry początek właściciel sklepu powinien się zastanowić czy będzie przetwarzał dane osobowe klientów tylko w takim właśnie celu. Jeśli tak, to trzymając się przepisów, nie trzeba rejestrować zbiorów w GIODO. Jeżeli jednak pojawiła by się chęć wykorzystania danych do innych celów, być może wówczas konieczny stałby się stosowny wniosek do ww. urzędu. Tak na szybko można sobie wyobrazić kilka innych celów, które mogą być atrakcyjne z punktu widzenia przedsiębiorcy prowadzącego sklep internetowy, a mianowicie: cel marketingowy, marketing własnych produktów, cel statystyczny, cel informacyjny dla przedsiębiorcy (preferencje klientów) etc. Często też sklep internetowy umożliwia zamówienie niedostępnego towaru, który w jakimś okresie zostanie dopiero sprowadzony przez firmę, a dopiero potem wysłany do klienta, podczas, gdy jego dane cały czas pozostają w posiadaniu przedsiębiorcy. Do wcześniej wskazanych celów dorzuciłbym jeszcze zachowanie danych dla celów reklamacji oraz windykację.
Podsumowując - wydaje się, że bezpieczniejszym rozwiązaniem dla właściciela sklepu będzie zarejestrowanie zbioru danych w GIODO. A to oznacza, że firma musi spełnić szereg wymogów określonych w ustawie o ochronie danych osobowych oraz w aktach wykonawczych (m.in. posiadać politykę bezpieczeństwa oraz instrukcję zarządzania, upoważnienia do przetwarzania danych).
Zachęcam też do rzucenia okiem na platformę e-GIODO, gdzie można podejrzeć wnioski rejestracyjne kilku większych sklepów internetowych np. Merlin.pl

Kopie zapasowe

2008-10-03T15:26:00.002+02:00

Jakiś czas temu natknąłem się na bardzo ciekawy, a przy tym całkowicie darmowy (freeware) program do robienia kopii zapasowych - SyncBack. Piszę o tym, ponieważ jak pewne większość z Czytelników wie, jednym z wymogów prawnych wynikających z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych jest konieczność uregulowania w instrukcji zarządzania takich kwestii jak:
- procedury tworzenia kopii zapasowych zbiorów danych,
- określenie miejsca, sposobu oraz okresu przechowywania kopii zapasowych.
SyncBack idealnie może nam się przydać w niewielkiej firmie, by spełnić powyższe wymogi. Za jego pomocą możemy wykonywać kopie np. na dysk zewnętrzny lub pendrive. Jest również możliwość określenia częstotliwości wykonywania takich kopii. Natomiast jeśli chodzi o sposób, to SyncBack wykonuje kopie przyrostowe (za wikipedią: kopia przyrostowa polega na kopiowaniu jedynie tych plików, które zostały utworzone lub zmienione od czasu utworzenia ostatniej kopii przyrostowej lub normalnej oraz na oznaczeniu ich jako zarchiwizowanych).
Uzbrojeni w tą wiedzę, możemy spokojnie przystąpić do spisania procedury tworzenia backupu, która stanowi, jak wcześniej wspominałem, integralną część instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, a więc jednego z dwóch dokumentów wymaganych przez prawo.

Konferencja GIODO

2008-10-01T16:36:00.000+02:00

Prace nad portalem edukacyjnym poświęconym ochronie danych osobowych trwały już od dłuższego czasu w GIODO i wszystko wskazuje na to, że powoli mają się ku końcowi. 22 października w Warszawie, a 31 października w Gdańsku odbędzie się ogólnopolska konferencja pod tytułem: Portal informacyjno - szkoleniowy "eduGIODO" - nowe źródło informacji o ochronie danych osobowych na którą serdecznie zaprasza Generalny Inspektor Ochrony Danych Osobowych Pan Michał Serzycki. Szczegóły na temat tego wydarzenia można znaleźć tutaj. Udział w konferencji jest bezpłatny, zgłoszenia przyjmowane są do 15 października pod numerem telefonu 022 860 73 95 (godz. 8.00 - 16.00) lub na adres e-mail: desiwm@giodo.gov.pl