No i zamklimy.
Zapraszam na:
- uodoBlog.pl
- NomadowyBlog.pl
a w międzyczasie na uodo.pl
środa, 10 września 2008
poniedziałek, 8 września 2008
Zamykamy?
No to zamykamy :)
Czas zamknąć, bo się mały bałagan zaczął robić.
Jak wystartowałem z blogiem, to miał być poświęcony uodo, potem doszedł e-podpis, potem jakieś poboczne tematy i zrobił się bałagan.
Dodatkowo znudziło mi się dyktowanie adresu bloga przez telefon (ile można literować) i pojawiły sie z bloggerem problemy, których nie mogłem przeskoczyć.
W niedzielę poszły zamówienia na 2 nowe domeny:
- NomadowyBlog.pl - tam będzie blog poświęcony wszystkiemu (mój prywatny),
- uodoBlog.pl - a tu blog poświęcony ochronie danych osobowych.
Mam nadzieję, że od środy obie domeny będą dostępne.
Czas zamknąć, bo się mały bałagan zaczął robić.
Jak wystartowałem z blogiem, to miał być poświęcony uodo, potem doszedł e-podpis, potem jakieś poboczne tematy i zrobił się bałagan.
Dodatkowo znudziło mi się dyktowanie adresu bloga przez telefon (ile można literować) i pojawiły sie z bloggerem problemy, których nie mogłem przeskoczyć.
W niedzielę poszły zamówienia na 2 nowe domeny:
- NomadowyBlog.pl - tam będzie blog poświęcony wszystkiemu (mój prywatny),
- uodoBlog.pl - a tu blog poświęcony ochronie danych osobowych.
Mam nadzieję, że od środy obie domeny będą dostępne.
wtorek, 19 sierpnia 2008
Dostarczanie wyciągów - ciąg dalszy.
Jakiś czas temu napisałem o cudym wyciągu znalezionym w mojej skrzynce pocztowej (link). A dzisiaj znalazlem na alert24.pl tekst o tym jak pewien obywatel znalazl całą paczkęz listami (listy z banków, TP S.A.). Na szczęście obywatel był porządnym obywatelem i zechciało mu się oddać te listy na poczcie (mimo oporów pracowników poczty) i nawet czapeczkę dostał :) Link
Ale nie o tym.
Na końcu swojego poprzedniego artykułu napisałem, że za cienki jestem, żeby podjąć dyskusję dotyczącą luki w procedurach instytucji, które przetwarzają dane osobowe i dostarczają nam rachunki/wyciągi za pomocą poczty (nie tylo PP, ale też innych firm dostarczających przesyłki).
Ale po tym wypadku coraz bardziej zaczynam zastanawiać się nad tym problemem.
Chyba trzeba zadać pytanie pracownikom biura GIODO, bo przecież zgodnie z art. 36 ust. 1:
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Czas chyba zapoznać się z regulacjami dot. dostarczania przesyłek przez PP.
Ale nie o tym.
Na końcu swojego poprzedniego artykułu napisałem, że za cienki jestem, żeby podjąć dyskusję dotyczącą luki w procedurach instytucji, które przetwarzają dane osobowe i dostarczają nam rachunki/wyciągi za pomocą poczty (nie tylo PP, ale też innych firm dostarczających przesyłki).
Ale po tym wypadku coraz bardziej zaczynam zastanawiać się nad tym problemem.
Chyba trzeba zadać pytanie pracownikom biura GIODO, bo przecież zgodnie z art. 36 ust. 1:
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Czas chyba zapoznać się z regulacjami dot. dostarczania przesyłek przez PP.
niedziela, 17 sierpnia 2008
Szkolenie on-line z ochrony danych osobowych
Znalazłem ostatnio szkolenie z ochrony danych osobowych, na które nie trzeba jechać. Siadasz wygodnie do komputera i lecisz on-linowo.
Szkolenie jest w stałej ofercie firmy 4systems pod adresem: link. Koszt: 290PLN.
Do kogo skierowane jest szkolenie? Ze wzgledu na sposób przeprowadzenia (brak instruktora, szkolenie według zaprogramowanej ściezki), szkolenie to skierowane jest do osób, które dopiero co rozpoczynają przygodę z ochroną danych osobowych. Zakres kursu jest szeroki, a sama ustawa jest dość pogmatwana, żeby opracować ten temat bez serii wyjaśnień. Dlatego można wykupić dodatkowo za 250PLN, 10 godzin warsztatów.
Czy kurs jest wart polecenia? Cieżko wyrokować, jeżeli nie było się uczestnikiem (sorki ale szkoda mi kasy żeby płacić za to co już wiem), ale może lepiej dołożyć do 540PLN (szkolenie i warsztaty) pare groszy i zaliczyć kurs z instruktorem. No chyba, że potrzebuje się papierka lub są problemy z wolnym dniem.
Szkolenie jest w stałej ofercie firmy 4systems pod adresem: link. Koszt: 290PLN.
Do kogo skierowane jest szkolenie? Ze wzgledu na sposób przeprowadzenia (brak instruktora, szkolenie według zaprogramowanej ściezki), szkolenie to skierowane jest do osób, które dopiero co rozpoczynają przygodę z ochroną danych osobowych. Zakres kursu jest szeroki, a sama ustawa jest dość pogmatwana, żeby opracować ten temat bez serii wyjaśnień. Dlatego można wykupić dodatkowo za 250PLN, 10 godzin warsztatów.
Czy kurs jest wart polecenia? Cieżko wyrokować, jeżeli nie było się uczestnikiem (sorki ale szkoda mi kasy żeby płacić za to co już wiem), ale może lepiej dołożyć do 540PLN (szkolenie i warsztaty) pare groszy i zaliczyć kurs z instruktorem. No chyba, że potrzebuje się papierka lub są problemy z wolnym dniem.
czwartek, 14 sierpnia 2008
Czy na pewno pracodawcy nie mogą tworzyć baz CV?
W dzisiejszej Gazecie Prawnej ukazał się artykuł pod tytułem Firmy nie mogą tworzyć baz danych kandydatów do pracy: link
W artykule poruszony został temat zbierania do celów rekrutacji danych o przyszłych pracownikach. Pisałem już o wcześniej (np. Przyjmowanie pracownika, a dane osobowe., ).
Hmm... Zaczynam wątpić w rzetelność dziennikarzy w zakresie formułowania tytułów. Wiem, że im większy, głośniejszy i bardziej sensacyjny artykuł, tym większe zainteresowanie tematem. Ale to jest przecież Gazeta Prawna, która opisuje prawo a nie Super Expres, czy inny Fakt.
Co mi się nie podoba? Pobieżne potraktowanie tematu i tytuł, który powinien brzmieć:
Firmy najczęściej nie mogą tworzyć baz danych kandydatów do pracy, lub Firmy muszą zabezpieczać bazy danych kandydatów do pracy. Wtedy bym się zgodził.
Dlaczego najczęściej?
Rozpatrywany był przypadek, kiedy rekrutacja prowadzona jest przez firmę właściwą i przyszły pracownik nie zamieścił w CV klauzulki z pozwoleniem na przetwarznie danych (tej nieszczęsnej), lub zamieścił ją nieprecyzyjną (czyli złą). Wtedy faktycznie. Po zakończonej rekrutacji należy niezwłocznie zniszczyć dokumenty osób, które nie zostały przyjęte.
No dobra, a co się dzieje w przypadku, gdy przyszły pracownik wyraźnie wyjawił swoją wolę przechowywania jego danych przez przyszłego pracodawcę?
Wtedy na podstawie art. 23 ust. 1 pracodawca ma prawo przetwarzać dane przyszłego/niedoszłego pracownika w celu ujawnionym w akcie woli (no dobra - głupie sformułowanie ;)).
1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie
dotyczących jej danych,
O tym, że pracodawca może przetwarzać dane pracownika w przyszłowści mówi art. 23 ust. 2
Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.
No to jednak niedoszły/przyszły pracodawca ma prawo zostawić sobie CV osób, które nie zostały przyjęte :)
A pokomplikumy jeszcze sprawę i zadajmy pytanie, co w przyadku, gdy rekrutację robi firma zewnętrzna? A to już lekcje do odrobienia dla Pana Dziennikarza.
No i dochodzimy do problemu nr 2. W artykule przewija się problem niezabezpieczonego przetwarzania danych osobowych (dla niezorientowanych przetwarzanie zaczyna się już w momencie zbierania danych, a kończy na procesie utylizacji) link
I u dobry byłby tytuł nr 2 :)
Każda baza danych osobowych musi być zabezpieczona. Mówi o tym rozdział 5 UODO. Obojętnie czy jest to przechowywanie danych kandydatów do pracy, czy niszczenie dokumentów kandydatów odrzuconych, czy zbieranie CV. W ciągu całego procesu przetwarzania danych osobowych, te dane muszą być zabezpieczone.
A poza tym, to dobrze, że taki artykuł sie pojawił. Mała poprawka (np. drugi artykuł po przebadaniu sprawy dokładniej) i byłoby super :)
W artykule poruszony został temat zbierania do celów rekrutacji danych o przyszłych pracownikach. Pisałem już o wcześniej (np. Przyjmowanie pracownika, a dane osobowe., ).
Hmm... Zaczynam wątpić w rzetelność dziennikarzy w zakresie formułowania tytułów. Wiem, że im większy, głośniejszy i bardziej sensacyjny artykuł, tym większe zainteresowanie tematem. Ale to jest przecież Gazeta Prawna, która opisuje prawo a nie Super Expres, czy inny Fakt.
Co mi się nie podoba? Pobieżne potraktowanie tematu i tytuł, który powinien brzmieć:
Firmy najczęściej nie mogą tworzyć baz danych kandydatów do pracy, lub Firmy muszą zabezpieczać bazy danych kandydatów do pracy. Wtedy bym się zgodził.
Dlaczego najczęściej?
Rozpatrywany był przypadek, kiedy rekrutacja prowadzona jest przez firmę właściwą i przyszły pracownik nie zamieścił w CV klauzulki z pozwoleniem na przetwarznie danych (tej nieszczęsnej), lub zamieścił ją nieprecyzyjną (czyli złą). Wtedy faktycznie. Po zakończonej rekrutacji należy niezwłocznie zniszczyć dokumenty osób, które nie zostały przyjęte.
No dobra, a co się dzieje w przypadku, gdy przyszły pracownik wyraźnie wyjawił swoją wolę przechowywania jego danych przez przyszłego pracodawcę?
Wtedy na podstawie art. 23 ust. 1 pracodawca ma prawo przetwarzać dane przyszłego/niedoszłego pracownika w celu ujawnionym w akcie woli (no dobra - głupie sformułowanie ;)).
1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie
dotyczących jej danych,
O tym, że pracodawca może przetwarzać dane pracownika w przyszłowści mówi art. 23 ust. 2
Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.
No to jednak niedoszły/przyszły pracodawca ma prawo zostawić sobie CV osób, które nie zostały przyjęte :)
A pokomplikumy jeszcze sprawę i zadajmy pytanie, co w przyadku, gdy rekrutację robi firma zewnętrzna? A to już lekcje do odrobienia dla Pana Dziennikarza.
No i dochodzimy do problemu nr 2. W artykule przewija się problem niezabezpieczonego przetwarzania danych osobowych (dla niezorientowanych przetwarzanie zaczyna się już w momencie zbierania danych, a kończy na procesie utylizacji) link
I u dobry byłby tytuł nr 2 :)
Każda baza danych osobowych musi być zabezpieczona. Mówi o tym rozdział 5 UODO. Obojętnie czy jest to przechowywanie danych kandydatów do pracy, czy niszczenie dokumentów kandydatów odrzuconych, czy zbieranie CV. W ciągu całego procesu przetwarzania danych osobowych, te dane muszą być zabezpieczone.
A poza tym, to dobrze, że taki artykuł sie pojawił. Mała poprawka (np. drugi artykuł po przebadaniu sprawy dokładniej) i byłoby super :)
środa, 13 sierpnia 2008
Piramidalna bzdura... dane osobowe firmy
Jak tu wymagać znajomości ustawy o ochronie danych osobowych od właścicieli małych firm i osób prywatnych , jeżeli ABI w dużych instytucjach nie mają zielonego pojęcia na ten temat.Do jednej ze znajomych firm, Makro Cash & Carry przysłało bardzo ładny liścik, z informacją że na podstawie UODO prztwarzaja dane osobowe i że bardzo informują, że są to takie a takie dane, przetwrzane w takim i takim celu. Dodatkowo powołują się na art. 25 UODO.
He... pięknie i ładnie, tylko po co?
Czym zajmuje się Makro? Makro z założenia zajmuje sie obsługą osób, które prowadzą działalność gospodarczą (placówki handlowe i usługowe, przedsiębiorstwa produkcyjne, lokale gastronomiczne, hotele itp.) lub dokonują zakupów na rzecz instytucji, biur, urzędów (informacja ze strony makro.pl). W tym drugim przypadku osoby dokonujące zakupów dla instytucji i tak podają dane adresowe instytucji. Imię i nazwisko pracownika można potraktować jako dane kontaktowe, a nie dane osbowe.
Więc powołanie się w kontaktach z klientem instytucjonalnym na UODO jest bzdurą. UODO dotczy przetwarzania danych osób fizycznych, a już sam profil klienta uniemożliwia przetwarzanie tych danych (bo przecież klientem nie może być osoba prywatna).
Dalej... w liście tym p. Joanna Młynarczyk (ta pani podpisała sie jako ABI) powołuje sie na art. 25, jako sposób pozyskania (tak sądzę - tak na prawdę to nie rozumiem całego zdania). Już wiem, chodzi na pewno o to, że według tej pani, art. 25 nakłada na Makro obowiązek wysłania tego listu. BINGO :)
Otóż art. 25 nakłada na administratorze danych powiadomienie osoby, której dane są przetwarzane w przypadku uzyskani informacji od osoby, której te dane nie dotyczą (firma dostała dane np. z innej firmy). No dobra, ale te dane zostały uzyskane w celu otrzymania karty, a więc musiały zostać przekazane przez samego zainteresowanego. Więc nie szafowałbym tak tymi artykułami, w nadziei, że list będzie wyglądał poważnie.
Pomijam już, że nazwa firmy została wydrukowana bez polskich znaków, a adres już z polskimi znakami (niebalstwo), co jak już opieramu sie na UODO powoduje złamanie art. 26, który nakazuje dołożenie szczególnej staranności - ale przecież i tak to nie są dane osbowe. :)
Taki krótki i ładny liścik. :)
Jak to mawia pewien mądry znajomy odpoczywając w pracy: Nadgorliwość jest gorsza od faszyzmu. ;)
wtorek, 12 sierpnia 2008
Dlaczego nie dostaję wyciągów z banku?
Jakiś czas temu podziękowałem swojemu bankowi za wyciągi przesyłane papierkowo za pomocą poczty. Zrobiłem to w sumie z powodu lasów i bałaganu (za dużo papierów w domu).Ale troche się zdziwiłem, kiedy dostałem wyciąg z banku. Ale...
... kurcze, nie ten bank, nie to nazwisko, nie to miasto, nie ten kod pocztowy, tylko ta sama ulica i numer bloku i mieszkania. Czyli dostałem cudzy wyciąg, tylko dlatego że mieszkamy na tej samej ulicy ale w różnych miastach... No i co z tym fantem zrobić?
1. Wrzucić do zwrotów, ale euro skrzynka nie posiada miejsca na zwroty.
2. Położyć na skrzynce, ale może ktoś sobie gwizdnąć.
3. Oddać listonoszowi, ale nie widuję człowieka.
4. Zadzwonić do człowieka, ale nie dostałem numeru telefonu, bo pani z informacji powiedziała, że telefon zarejestrowany jest na innego abonenta i uodo zakazuje podania numeru. ;)
5. Zanieść do banku, ale jaką mam pewność, że pani z okienka przekaże komuś faktycznie a nie sama otworzy.
6. Zanieść na pocztę, ale patrz pkt. 5.
Więc? Do niszczarki :) List poszedł na trociny. Problem z głowy.
No dobra, ale wcale nie problem z głowy, bo przecież to tylko z głowy ten konkretny przypadek. A co w resztą listów i wyciągów, które dostarcza nasz ukochana monopolistyczna instytucja.
Przecież w tym momecie zawiniły co najmniej trzy osoby kilka osób:
1. Listonosz, bo podczas wrzucania nie zwrócił uwagi na miasto.
2. Osoba dzieląca listy dla listonosza, bi nie zwróciła uagi na miasto.
3. Osoba sortująca na sortowni, bo nie zwróciła uwagi na miasto.
Co zawiera wyciąg?
1. Kompletne dane osobowe - imię, nazwisko, adres.
2. Stan konta, wydatki, przychody.
3. Ewentualne linie kredytowe.
Dość dużo danych, których nie miałbym ochoty udostępniać.
Za cienki jestem, żeby rozpocząć dyskusję z samym sobą o aspetkach prawnych, ale zastawiam się:
1. Czy banki nie powinny podpisywać umowy na przetwarzanie danych - wysyłanie wyciągów jest na podstawie umowy między bankiem i pocztą.
2. Czy poczty nie można pociągnąć do odpowiedzialności za taką niedbałość.
uodo.pl
Zamiklem na weekend i początek tygodnia, bo jakoś weekend miałem odpoczynkowy strasznie, a teraz zająłem sie kleceniem uodo.pl.
Nie mogę dojść do porozumienia z templatkami. Jak któraś fajna, to za nie jest darmowa. Jak darmowa i fajna, to okazuje się, że to nie jest to o co mi chodzi (brak elemntów, które powinny być)... i tak straciłem sporo czasu na przeszukiwanie sieci.
Ale mam nadzieję, że już ruszyło - trona ma być funkcjonalna i zawierać informacje, a nie być ładna (no dobra - powinna być ładna, ale jeszcze nie mam na tyle umiejętności).
Nie mogę dojść do porozumienia z templatkami. Jak któraś fajna, to za nie jest darmowa. Jak darmowa i fajna, to okazuje się, że to nie jest to o co mi chodzi (brak elemntów, które powinny być)... i tak straciłem sporo czasu na przeszukiwanie sieci.
Ale mam nadzieję, że już ruszyło - trona ma być funkcjonalna i zawierać informacje, a nie być ładna (no dobra - powinna być ładna, ale jeszcze nie mam na tyle umiejętności).
niedziela, 10 sierpnia 2008
Wyciek danych z bułgarskiej kasy chorych
Jak wczoraj podał na swojej stronie Puls Biznesu w bułgarskiej kasy chorych wyciekły dane osobowe niustalonej liczby ubezpieczonych. Link
Według informacji, dane osób (zawierające także dane dotyczące zdrowia i przepisywane leki ) od jakiegoś czasu funduszom zdrowia i koncernom farmaceutycznym sprzedawał informatyk.
W tej informacji należy zwrócić uwagę na dwa problemy:
1. jakie skutki może mieć taki wyciek danych
2. kim jest informatyk w firmie i jaki powinien mieć nadzór.
ad. 1)
Z informacji wynika, ze wyciekły dane adresowy pacjentów, informacje dotyczące chorób i stosowanych leków.
Autor zwrócił uwagę na możliwość szantarzu ludzi (ze względu na ich choroby i dolegliwości). Jakie skutki może mieć szantarz osoby, która ma istotny wpływ na losy kraju lub wydawanie publicznych pieniędzy? Jakie skutki może mieć szantarz każdego z nas?
A spróbujmy zawrzeć ubezpieczenie, kiedy ubezpiczający ma wszytskie informacje dotyczące naszego stanu zdrowia? W najlepszym wypadku skończy się wysoką składką.
Spróbujmy żyć w momencie, kiedy ktoś publicznie wyjawi dane dotyczące naszego zdrowia?
Pomijam ataki marketingowe, które swojej uciążliwości nie stanowią zagrożenia.
Ale na problem należy spojrzeć też z "lotu ptaka". Ta masa danych (dane setek tysięcy osób) stanowi bardzo ciekawy materiał dla firma farmacetycznych, które mają bardzo dobre narzędzie nacisku na kasę chorych przy zawieraniu kontraktów. Koszty społeczne są nie do oszacowania.
ad. 2)
Infomatyk... szara eminencja w firmie. Z doświadczenia wiem, że mało kto wie czym zajmuje się informatyk (administrator sieci i serwerów), a tym bardziej mało kto potrafi kontrolować poczynania informatyka.
Dlatego ABI nie powinien być ani informatykiem, ani szefem działu informatyki. Jednocześnie ABI powinien mieć umiejętności pozwalalające na kontrolę zabezpieczeń i egzekwowanie wykonywania procedur przez dział informatyki.
Jeżeli w bułgarksiej kasie chorych wdrożone i wykonywane byłyby procedury kontrolne nad działaniem informatyków, sytuacja taka nie miałaby miejsca lub zostałaby szybko wykryta podczas rutynowej kontroli bepieczeństwa.
Według informacji, dane osób (zawierające także dane dotyczące zdrowia i przepisywane leki ) od jakiegoś czasu funduszom zdrowia i koncernom farmaceutycznym sprzedawał informatyk.
W tej informacji należy zwrócić uwagę na dwa problemy:
1. jakie skutki może mieć taki wyciek danych
2. kim jest informatyk w firmie i jaki powinien mieć nadzór.
ad. 1)
Z informacji wynika, ze wyciekły dane adresowy pacjentów, informacje dotyczące chorób i stosowanych leków.
Autor zwrócił uwagę na możliwość szantarzu ludzi (ze względu na ich choroby i dolegliwości). Jakie skutki może mieć szantarz osoby, która ma istotny wpływ na losy kraju lub wydawanie publicznych pieniędzy? Jakie skutki może mieć szantarz każdego z nas?
A spróbujmy zawrzeć ubezpieczenie, kiedy ubezpiczający ma wszytskie informacje dotyczące naszego stanu zdrowia? W najlepszym wypadku skończy się wysoką składką.
Spróbujmy żyć w momencie, kiedy ktoś publicznie wyjawi dane dotyczące naszego zdrowia?
Pomijam ataki marketingowe, które swojej uciążliwości nie stanowią zagrożenia.
Ale na problem należy spojrzeć też z "lotu ptaka". Ta masa danych (dane setek tysięcy osób) stanowi bardzo ciekawy materiał dla firma farmacetycznych, które mają bardzo dobre narzędzie nacisku na kasę chorych przy zawieraniu kontraktów. Koszty społeczne są nie do oszacowania.
ad. 2)
Infomatyk... szara eminencja w firmie. Z doświadczenia wiem, że mało kto wie czym zajmuje się informatyk (administrator sieci i serwerów), a tym bardziej mało kto potrafi kontrolować poczynania informatyka.
Dlatego ABI nie powinien być ani informatykiem, ani szefem działu informatyki. Jednocześnie ABI powinien mieć umiejętności pozwalalające na kontrolę zabezpieczeń i egzekwowanie wykonywania procedur przez dział informatyki.
Jeżeli w bułgarksiej kasie chorych wdrożone i wykonywane byłyby procedury kontrolne nad działaniem informatyków, sytuacja taka nie miałaby miejsca lub zostałaby szybko wykryta podczas rutynowej kontroli bepieczeństwa.
sobota, 9 sierpnia 2008
So, stop apologizing. Your English is great.
To cytat z blogu prowadzonego przez osobę o nicku Trika (dość pokrętne zdanie, ale nie wiedziałem jak odmienić Trika ;))
Odwiedzam to miejsce regularnie (ze wzgledu na tematy związane z egzaminami MS).
Wpis: link
Stop apologizing, seriously. Even if your English is not great, it is way better than my Farsi, Schwyzerduetsch, Amharic, Portuguese, or Mandarin. In fact, the less-great your English is, the more-charming I find your question.
While we're on the topic, I will remind you that having customers and co-workers around the world is my favorite part of my job. I like being called Trika-san occasionally, and I like reviewing Saudi Arabian marketing materials for use "all around the Kingdom" (exotic sounding to those of us not in kingdoms) and, frankly, I am much more glamorous in other languages, e.g. "Le Blog de Trika."I think it is interesting, and cool, that you who get certified in Germany have essentially the same experience as someone who gets certified in Mexico--where the only thing different might be the language the exam is in.
Sometimes for the MCP Live Meetings we make a map of who has registered. Like this, from one of last week's meetings on Microsoft Certified Master, where we had people calling in from all over the place. Like Mats in Sweden, for example.
I just think that's nice, is all. And I appreciate that you write to me in my language; I regret that I don't respond in yours. So, stop apologizing. Your English is great.
No właśnie... możemy czuć się pewnie - przecież to my rozmawiamy w języku dla nas obcym (a dla angielskojęzycznych naturalnym), a oni zapewne po polsku potrafią powiedzieć Vodka. ;)
Nie bójmy się mówić po angielsku - nasz angielski jest zawsze lepszy niż ich polski :) Dogadamy się zawsze... najwyżej zabolą nas ręce ;)
Odwiedzam to miejsce regularnie (ze wzgledu na tematy związane z egzaminami MS).
Wpis: link
Stop apologizing, seriously. Even if your English is not great, it is way better than my Farsi, Schwyzerduetsch, Amharic, Portuguese, or Mandarin. In fact, the less-great your English is, the more-charming I find your question.
While we're on the topic, I will remind you that having customers and co-workers around the world is my favorite part of my job. I like being called Trika-san occasionally, and I like reviewing Saudi Arabian marketing materials for use "all around the Kingdom" (exotic sounding to those of us not in kingdoms) and, frankly, I am much more glamorous in other languages, e.g. "Le Blog de Trika."I think it is interesting, and cool, that you who get certified in Germany have essentially the same experience as someone who gets certified in Mexico--where the only thing different might be the language the exam is in.
Sometimes for the MCP Live Meetings we make a map of who has registered. Like this, from one of last week's meetings on Microsoft Certified Master, where we had people calling in from all over the place. Like Mats in Sweden, for example.
I just think that's nice, is all. And I appreciate that you write to me in my language; I regret that I don't respond in yours. So, stop apologizing. Your English is great.
No właśnie... możemy czuć się pewnie - przecież to my rozmawiamy w języku dla nas obcym (a dla angielskojęzycznych naturalnym), a oni zapewne po polsku potrafią powiedzieć Vodka. ;)
Nie bójmy się mówić po angielsku - nasz angielski jest zawsze lepszy niż ich polski :) Dogadamy się zawsze... najwyżej zabolą nas ręce ;)
ABI jako wrzut na dupie
Sorki za tytuł, ale nie mogłem inaczej :)
Na forum strony e-ochronadanych.pl pojawił się post "szczęśliwca", któremu dopisano do zakresu obowiązków stanowisko ABIego: link
Cytat:
mam mały problem, od roku doszedł mi któryś z kolei aneks do umowy o pracę. zostałam ABI w swojej firmie. Nikt poważnie nie podchodzi do funkcji jaką wykonuję. dosłownie ze wszystkim mam ,,pod górkę''.dla pracowników i kierowników jestem osobą, która wymyśla ,,jakies bzdury'', wymądrza sie itp. Pracuję w miejscu gdzie wszyscy mają wgląd w mój monitor, jest hałas, cały czas dzwonią telefony, które muszę odbierać ( recepcja). Nie jestem w stanie w takich warunkach pracować. Oczywiście zgłosiłam ten problem kierownictwu i dowiedziałm się, że ABI nie ma tak dużo pracy a ja sobie wymyslam ,,robotę''. Nadmieniam, że wczesniej nie było takiego stanowiska jak ABI i jest bardzo dużo do zrobienia. Moim kierownikiem jest osoba, która zajmuje się Administracją, Marketingiem i Reklamą. Wszystkie sprawy związane z ochroną danych muszą z nią konsultować tylko, że ona nie ma o tym wiedzy więc proszę sobie wyobrazić jakie dostaję odpowiedzi. Boje się iść do prezesa bo pojawi się konflikt z kierownictwem. Zastanawiałam się czy z tego wszystkiego nie zrezygnować. Jednak bardzo wciągnęła mnie ochrona danych osobowych, Jestem po kliku szkoleniach, zgłębiam cały czas tą wiedzę.Jak to wszystko uporządkować aby dalej zajmować się tym co naprawdę lubię robić i nie narobić sobie wrogów?Może ktoś z was miał podobny problem, proszę o dobrą radę.w trakcie pisania nasunęły mi się jeszcze dwa pytania:jakie jest usytułowanie ABI w strukturze jednostki organizacyjnej?jakie kompetencje powinien posiadać ABI wobec pozostałych pracowników?z góry dziękuję za odpowiedź
Typowe podejście do obowiązków ABIego w wielu firmach - znaleźć ofiarę, do i tak rozrośnietych obowiązków dorzucić nowe, uznać, że wszystko jest w porządku i jakoś to będzie.
Drodzy szefowie (a więc często ADO) - nie traktujcie ABIego jak wrzut na swojej dupie, bo to on odpowiada za ochronę Waszej dupy. Jednocześnie ABI nie przejmuje na swoje barki odpowiedzialności karnej, więc nie myślcie, że naleźliście łosia na którego będzie można zrzucić odpowiedzialność w razie kontroli.
Jeżeli chcecie być dobrze chronieni, w Waszym interesie zaintersujcie sie losem ABIego - przeskszolcie go, otwórzcie mu drzwi do swojego gabinetu (powienien podlegać bezpośrednio WAM), zadbajcie o to, by miał czas na dobre wykonywanie swoich obowiązków.
Wbrew pozorom dobre wykonywanie obowiązków wymaga od ABIego znajomości wielu dziedzin:
- prawa (nie tylko ustawa, ale wiele opinii, wyroków...)
- informatyki i zabezpieczeń informatycznych
- psychologii
Bez Waszego poparcia, ABI nic nie zdziała.
A wszystko będzie "dobrze" do wycieku danych lub kontroli GIODO.
Na forum strony e-ochronadanych.pl pojawił się post "szczęśliwca", któremu dopisano do zakresu obowiązków stanowisko ABIego: link
Cytat:
mam mały problem, od roku doszedł mi któryś z kolei aneks do umowy o pracę. zostałam ABI w swojej firmie. Nikt poważnie nie podchodzi do funkcji jaką wykonuję. dosłownie ze wszystkim mam ,,pod górkę''.dla pracowników i kierowników jestem osobą, która wymyśla ,,jakies bzdury'', wymądrza sie itp. Pracuję w miejscu gdzie wszyscy mają wgląd w mój monitor, jest hałas, cały czas dzwonią telefony, które muszę odbierać ( recepcja). Nie jestem w stanie w takich warunkach pracować. Oczywiście zgłosiłam ten problem kierownictwu i dowiedziałm się, że ABI nie ma tak dużo pracy a ja sobie wymyslam ,,robotę''. Nadmieniam, że wczesniej nie było takiego stanowiska jak ABI i jest bardzo dużo do zrobienia. Moim kierownikiem jest osoba, która zajmuje się Administracją, Marketingiem i Reklamą. Wszystkie sprawy związane z ochroną danych muszą z nią konsultować tylko, że ona nie ma o tym wiedzy więc proszę sobie wyobrazić jakie dostaję odpowiedzi. Boje się iść do prezesa bo pojawi się konflikt z kierownictwem. Zastanawiałam się czy z tego wszystkiego nie zrezygnować. Jednak bardzo wciągnęła mnie ochrona danych osobowych, Jestem po kliku szkoleniach, zgłębiam cały czas tą wiedzę.Jak to wszystko uporządkować aby dalej zajmować się tym co naprawdę lubię robić i nie narobić sobie wrogów?Może ktoś z was miał podobny problem, proszę o dobrą radę.w trakcie pisania nasunęły mi się jeszcze dwa pytania:jakie jest usytułowanie ABI w strukturze jednostki organizacyjnej?jakie kompetencje powinien posiadać ABI wobec pozostałych pracowników?z góry dziękuję za odpowiedź
Typowe podejście do obowiązków ABIego w wielu firmach - znaleźć ofiarę, do i tak rozrośnietych obowiązków dorzucić nowe, uznać, że wszystko jest w porządku i jakoś to będzie.
Drodzy szefowie (a więc często ADO) - nie traktujcie ABIego jak wrzut na swojej dupie, bo to on odpowiada za ochronę Waszej dupy. Jednocześnie ABI nie przejmuje na swoje barki odpowiedzialności karnej, więc nie myślcie, że naleźliście łosia na którego będzie można zrzucić odpowiedzialność w razie kontroli.
Jeżeli chcecie być dobrze chronieni, w Waszym interesie zaintersujcie sie losem ABIego - przeskszolcie go, otwórzcie mu drzwi do swojego gabinetu (powienien podlegać bezpośrednio WAM), zadbajcie o to, by miał czas na dobre wykonywanie swoich obowiązków.
Wbrew pozorom dobre wykonywanie obowiązków wymaga od ABIego znajomości wielu dziedzin:
- prawa (nie tylko ustawa, ale wiele opinii, wyroków...)
- informatyki i zabezpieczeń informatycznych
- psychologii
Bez Waszego poparcia, ABI nic nie zdziała.
A wszystko będzie "dobrze" do wycieku danych lub kontroli GIODO.
piątek, 8 sierpnia 2008
Czas i pora sięchyba przedstawić
Dostałem po uszach, że komentuję wypowiedzi osób, które podpisują się imieniem i nazwiskiem a sam chowam się za nickiem Nomad. Faktycznie. Powinieniem sie przedstawić. Nie sądziłem, że artykuł pójdzie tak mocno w świat ;)
Nazywam się Rafał Skarżyński. Mieszkam w Białymstoku.
Pracuję w jednej z dużych firm, jako specjalista w DI i na codzień zajmuję się administracją jednego z większych systemów w firmie oraz zapwnieniem ciągłości pracy jednej z lokalizacji w Polsce. Pracuję na styku IT i biznesu.
W drugim miejscu jestem administratorem bezpieczeństwa informacji i zajmuję się zabezpieczeniem instytucji przed GIODO ;)
Taki ASI i ABI w jednym. :)
Nie jestem prawnikiem - prawo wykorzystuję instrumentalnie w swojej drugiej pracy z zakresie koniecznym do zabezpieczenia danych osobowych zgodnie z uodo i całą resztą przepisów.
Pies nie zawsze jest taki brudny ;)
Nazywam się Rafał Skarżyński. Mieszkam w Białymstoku.
Pracuję w jednej z dużych firm, jako specjalista w DI i na codzień zajmuję się administracją jednego z większych systemów w firmie oraz zapwnieniem ciągłości pracy jednej z lokalizacji w Polsce. Pracuję na styku IT i biznesu.
W drugim miejscu jestem administratorem bezpieczeństwa informacji i zajmuję się zabezpieczeniem instytucji przed GIODO ;)
Taki ASI i ABI w jednym. :)
Nie jestem prawnikiem - prawo wykorzystuję instrumentalnie w swojej drugiej pracy z zakresie koniecznym do zabezpieczenia danych osobowych zgodnie z uodo i całą resztą przepisów.
Pies nie zawsze jest taki brudny ;)
Nie spodziewałem się tego
Rezultat wykopu:
Prawdę mówiąc nie spodziewałem się takiego wyniku:
- 1665 wyświetleń
- 1535 wejść, w tym:
- 1490 unikalnych wejść
Tekst pojawił się na wykop.pl ok. 12.00, a ok. 21 wskoczył na pierwszą stronę.
O godzinie 0.00 było kopnięty zostałem 82 razy.
Mam nadzieję, że przynajmniej 10% zostanie czytelnikami.
Pozdrawiam.
czwartek, 7 sierpnia 2008
Wojny medialnej ciąg dalszy...
... czyli nikt nam nie wmówi, że białe jest białe, a czarne jest czarne. :)
Po przeczytaniu wypowiedzi Pawła na vBeta.pl (czytaj tekst wcześniej) zainteresowałem się, co piszą na ten temat inne media internetowe. No i wygląda to ciekawie.
1. Najpierw GIODO na swojej stronie umieścił informację o zakończonej kontroli w PEKAO S.A.
2. Potem na stronie alert24.pl poszedł dość osobliwy artykuł: link
Co możemy w nim wyczytać?
No to, że wydawca portalu zna już wyniki kontroli GIODO (jakim cudem, skoro p. rzecznik GIODO Małgorzata Kałużyńska - Jasak w rozmowie telefonicznej zaprzeczyła, że przekazała prasie jakiekolwiek wyniki pokontrolne) i że z raportu wynika, że winą za wyciek danych należy obciążyć głównie firmy zewnętrzne, które przygotowywały stronę rekrutacyjną i niewystarczająco je zabezpieczyły przez atakiem hakerów. A mimo tego, ten niedobry GIODO spowodował, że biedny bank został zobligowany do wewnętrznych "działań dyscyplinarnych". Czyli według p. Doroty Żuberek z GW, winni są wszyscy, tylko nie bank, a i tak GIODO czepia się niewiadomo czego. I w dodatku przedstawiciele GIODO zasłaniają sie prokuraturą i nic nie mówią. (GIODO broni się, że nie może wypowiadać się w sprawie, która trafiła do prokuratury).
Dalej wypowiada się p. Mierzwa (kurcze, znowu dostał mikrofon do ręki) i bardzo ładnie wybiela swój bank.
2. Dalej temat trafia do Dziennika Internautów (link), gdzie Przemysław Mugeński już na samym początku i to grubymi literkami pisze:
To nie Pekao S.A. tylko firmy współpracujące z bankiem przy serwisie zainwestujprzyszlosc.pl naruszyły przepisy ustawy o ochronie danych osobowych, co doprowadziło do wycieku danych prawie 1,5 tys. osób - wykazała kontrola GIODO. Na wniosek Pekao S.A. sprawą tą zajęła się teraz prokuratura. Śledztwo prowadzone będzie w firmie home.pl, na której serwerach stał wspomniany serwis - donosi alert24.pl
O matko, jak można być takim ignorantem i nie umieć czytać ze rozumieniem tekstu, na który sie powołuje? Jak można nie sprawdzić źródła?
Wynika z tego, że bank jest cacy, a winne są home.pl i Possum. :) Cudnie. Już przy drugim przedruku całkowicie zmieniony został sens.
Potem już całość kręci się wokół tej tezy. Gratulacje.
3. Potem temat trafia na vBEta.pl: link z tytułem GIODO uznało, że Pekao SA nie jest winne ws. wycieków CV.
A tam już poleciało:
GIODO uznało, że nie było zagrożenia dla danych klientów banku - a zatem nie ma problemu (bo bank jest zobowiązany przede wszystkim do chronienia danych klientów). Aktualnie na wniosek banku sprawa została skierowana do prokuratury, która ma się dokładniej przyjrzeć firmie hostingowej home.pl (na serwerach tej firmy znajdowała się strona zainwestujwprzyszlosc.pl).
Ani słowa o źródle informacji, czyli stronie GIODO.
4. Wpis trafia do wkop.pl (link), gdzie biedni pracownicy GIODO dostają po głowie.
Super:) Bank się wybielił, urzędasy są durni, internauci wkurzeni. Sensacja.
Jaka jest prawda:
- GIODO nie przekazało do mediów żadnych informcji dot. wyników po kontroli. Jedynie opublikowana została oficjalna informacja na stronie.
- Winny był bank i to z jego winy wyciekły dane. Nawet, jeżeli dotyczyło to tylko spraw proceduralnych.
Wnioski:
1. Gazeta Wyborcza straciła już swój status niezależnego dziennika. Wiem, że wiele osób twierdziło to już dawno, ale dla mnie ten artykuł na alert24.pl był na prawdę gorzką pigułką.
2. Dziennikarze nie są już wyrocznią, bo sami nie potrafią czytać. Nie mówiąc już o pisaniu.
3. WEB 2.0 to potęga. Ale też duże niebezpieczeństwo.
4. Niezbadane sa wyroki wykop.pl
5. Kłamstwo powtarzane, z czasem staje się prawdą.
6. Podobno p. rzecznik GIODO, to miła osoba :)
Po przeczytaniu wypowiedzi Pawła na vBeta.pl (czytaj tekst wcześniej) zainteresowałem się, co piszą na ten temat inne media internetowe. No i wygląda to ciekawie.
1. Najpierw GIODO na swojej stronie umieścił informację o zakończonej kontroli w PEKAO S.A.
2. Potem na stronie alert24.pl poszedł dość osobliwy artykuł: link
Co możemy w nim wyczytać?
No to, że wydawca portalu zna już wyniki kontroli GIODO (jakim cudem, skoro p. rzecznik GIODO Małgorzata Kałużyńska - Jasak w rozmowie telefonicznej zaprzeczyła, że przekazała prasie jakiekolwiek wyniki pokontrolne) i że z raportu wynika, że winą za wyciek danych należy obciążyć głównie firmy zewnętrzne, które przygotowywały stronę rekrutacyjną i niewystarczająco je zabezpieczyły przez atakiem hakerów. A mimo tego, ten niedobry GIODO spowodował, że biedny bank został zobligowany do wewnętrznych "działań dyscyplinarnych". Czyli według p. Doroty Żuberek z GW, winni są wszyscy, tylko nie bank, a i tak GIODO czepia się niewiadomo czego. I w dodatku przedstawiciele GIODO zasłaniają sie prokuraturą i nic nie mówią. (GIODO broni się, że nie może wypowiadać się w sprawie, która trafiła do prokuratury).
Dalej wypowiada się p. Mierzwa (kurcze, znowu dostał mikrofon do ręki) i bardzo ładnie wybiela swój bank.
2. Dalej temat trafia do Dziennika Internautów (link), gdzie Przemysław Mugeński już na samym początku i to grubymi literkami pisze:
To nie Pekao S.A. tylko firmy współpracujące z bankiem przy serwisie zainwestujprzyszlosc.pl naruszyły przepisy ustawy o ochronie danych osobowych, co doprowadziło do wycieku danych prawie 1,5 tys. osób - wykazała kontrola GIODO. Na wniosek Pekao S.A. sprawą tą zajęła się teraz prokuratura. Śledztwo prowadzone będzie w firmie home.pl, na której serwerach stał wspomniany serwis - donosi alert24.pl
O matko, jak można być takim ignorantem i nie umieć czytać ze rozumieniem tekstu, na który sie powołuje? Jak można nie sprawdzić źródła?
Wynika z tego, że bank jest cacy, a winne są home.pl i Possum. :) Cudnie. Już przy drugim przedruku całkowicie zmieniony został sens.
Potem już całość kręci się wokół tej tezy. Gratulacje.
3. Potem temat trafia na vBEta.pl: link z tytułem GIODO uznało, że Pekao SA nie jest winne ws. wycieków CV.
A tam już poleciało:
GIODO uznało, że nie było zagrożenia dla danych klientów banku - a zatem nie ma problemu (bo bank jest zobowiązany przede wszystkim do chronienia danych klientów). Aktualnie na wniosek banku sprawa została skierowana do prokuratury, która ma się dokładniej przyjrzeć firmie hostingowej home.pl (na serwerach tej firmy znajdowała się strona zainwestujwprzyszlosc.pl).
Ani słowa o źródle informacji, czyli stronie GIODO.
4. Wpis trafia do wkop.pl (link), gdzie biedni pracownicy GIODO dostają po głowie.
Super:) Bank się wybielił, urzędasy są durni, internauci wkurzeni. Sensacja.
Jaka jest prawda:
- GIODO nie przekazało do mediów żadnych informcji dot. wyników po kontroli. Jedynie opublikowana została oficjalna informacja na stronie.
- Winny był bank i to z jego winy wyciekły dane. Nawet, jeżeli dotyczyło to tylko spraw proceduralnych.
Wnioski:
1. Gazeta Wyborcza straciła już swój status niezależnego dziennika. Wiem, że wiele osób twierdziło to już dawno, ale dla mnie ten artykuł na alert24.pl był na prawdę gorzką pigułką.
2. Dziennikarze nie są już wyrocznią, bo sami nie potrafią czytać. Nie mówiąc już o pisaniu.
3. WEB 2.0 to potęga. Ale też duże niebezpieczeństwo.
4. Niezbadane sa wyroki wykop.pl
5. Kłamstwo powtarzane, z czasem staje się prawdą.
6. Podobno p. rzecznik GIODO, to miła osoba :)
Czytanie ze zrozumieniem, czyli jak z jednej informacji...
... można wysnuć różne wnioski.
Podstawowym dokumentem do interpretacji będzie oficjalna informacja GIODO dot. zakończonej ostatnio kontroli w PEKAO S.A. w związku z wyciekiem danych osobowych. Trochę długie zdanie, ale niech tam... :) Link
Informacja brzmiała tak:
Zakończona kontrola GIODO w Banku Pekao S.A. i współpracujących z Bankiem instytucjach potwierdziła doniesienia prasowe, zgodnie z którymi wyciek danych osobowych nie był związany z podstawową działalnością Banku, w związku tym dane klientów banku nie były zagrożone.
Wyciek dotyczył bowiem danych osobowych osób, które starały się o pracę w Banku. Oprócz Banku Pekao S.A. kontroli poddane zostały również firmy, które z nim współpracowały. Jej wyniki wskazują na naruszenia przepisów ustawy o ochronie danych osobowych, o czym zostały zawiadomione organy ścigania, które prowadzą postępowanie wyjaśniające w tej sprawie. Wobec powyższego GIODO, realizując obowiązki nałożone ustawą o ochronie danych osobowych, skierował wniosek o wszczęcie postępowania dyscyplinarnego wobec osób winnych naruszenia wewnętrznych procedur obowiązujących w Banku, gwarantujących poszanowanie zasad ochrony danych osobowych, w tym polityki bezpieczeństwa.
Tego samego dnia wrzuciłem informację na ten temat na swoim blogu. Link
Dzisiaj, dzięki wykop.pl dotarłem do informacji umieszczonej na vBeta.pl przez Pawła Cebulę. Link
Brzmi ona tak:
Po ujawnieniu przez jednego z polskich blogerów jak kiepsko chronionego są CV i listy motywacyjne kierowanego do Pekao SA (jak Pekao chroni dane osobowe) pojawiła się od razu deklaracja, że całą tę sprawę zbada GIODO. Można powiedzieć, że już znamy efekty tej pracy.
GIODO uznało, że nie było zagrożenia dla danych klientów banku - a zatem nie ma problemu (bo bank jest zobowiązany przede wszystkim do chronienia danych klientów). Aktualnie na wniosek banku sprawa została skierowana do prokuratury, która ma się dokładniej przyjrzeć firmie hostingowej home.pl (na serwerach tej firmy znajdowała się strona zainwestujwprzyszlosc.pl).
Dla mnie jest to chora sytuacja - to tak jakby osoba, która się postrzeliła, miała pretensje o to do producenta broni. Generalnie winni są wszyscy dookoła (hakerzy, osoby wykonujące serwis, firma hostingowa), ale nie sam bank do którego kierowane były CV czy listy motywacyjne.
Kurcze, zastanawiam się czemu szanowny Paweł tak skopał swoją informację. Czy chodziło o sensację i zjednoczenie się braci internetowej przeciw durnym urzędasom, czy po prostu człowiek nie rozumie tego co czyta.
Tak rodzi się sensacja i plotka.
Co ciekawsze - link dotyczący mojego wpisu uzyskał na wykop.pl 0 wykopów, natomiast na obecną chwilę artykuł Pawła mial 116 wykopów. ;) Niezbadane są wyroki użytkowników.
Podstawowym dokumentem do interpretacji będzie oficjalna informacja GIODO dot. zakończonej ostatnio kontroli w PEKAO S.A. w związku z wyciekiem danych osobowych. Trochę długie zdanie, ale niech tam... :) Link
Informacja brzmiała tak:
Zakończona kontrola GIODO w Banku Pekao S.A. i współpracujących z Bankiem instytucjach potwierdziła doniesienia prasowe, zgodnie z którymi wyciek danych osobowych nie był związany z podstawową działalnością Banku, w związku tym dane klientów banku nie były zagrożone.
Wyciek dotyczył bowiem danych osobowych osób, które starały się o pracę w Banku. Oprócz Banku Pekao S.A. kontroli poddane zostały również firmy, które z nim współpracowały. Jej wyniki wskazują na naruszenia przepisów ustawy o ochronie danych osobowych, o czym zostały zawiadomione organy ścigania, które prowadzą postępowanie wyjaśniające w tej sprawie. Wobec powyższego GIODO, realizując obowiązki nałożone ustawą o ochronie danych osobowych, skierował wniosek o wszczęcie postępowania dyscyplinarnego wobec osób winnych naruszenia wewnętrznych procedur obowiązujących w Banku, gwarantujących poszanowanie zasad ochrony danych osobowych, w tym polityki bezpieczeństwa.
Tego samego dnia wrzuciłem informację na ten temat na swoim blogu. Link
Dzisiaj, dzięki wykop.pl dotarłem do informacji umieszczonej na vBeta.pl przez Pawła Cebulę. Link
Brzmi ona tak:
Po ujawnieniu przez jednego z polskich blogerów jak kiepsko chronionego są CV i listy motywacyjne kierowanego do Pekao SA (jak Pekao chroni dane osobowe) pojawiła się od razu deklaracja, że całą tę sprawę zbada GIODO. Można powiedzieć, że już znamy efekty tej pracy.
GIODO uznało, że nie było zagrożenia dla danych klientów banku - a zatem nie ma problemu (bo bank jest zobowiązany przede wszystkim do chronienia danych klientów). Aktualnie na wniosek banku sprawa została skierowana do prokuratury, która ma się dokładniej przyjrzeć firmie hostingowej home.pl (na serwerach tej firmy znajdowała się strona zainwestujwprzyszlosc.pl).
Dla mnie jest to chora sytuacja - to tak jakby osoba, która się postrzeliła, miała pretensje o to do producenta broni. Generalnie winni są wszyscy dookoła (hakerzy, osoby wykonujące serwis, firma hostingowa), ale nie sam bank do którego kierowane były CV czy listy motywacyjne.
Kurcze, zastanawiam się czemu szanowny Paweł tak skopał swoją informację. Czy chodziło o sensację i zjednoczenie się braci internetowej przeciw durnym urzędasom, czy po prostu człowiek nie rozumie tego co czyta.
Tak rodzi się sensacja i plotka.
Co ciekawsze - link dotyczący mojego wpisu uzyskał na wykop.pl 0 wykopów, natomiast na obecną chwilę artykuł Pawła mial 116 wykopów. ;) Niezbadane są wyroki użytkowników.
środa, 6 sierpnia 2008
Olimpiada
Nie mogłem się powstrzymać, żeby nie umieścić tego rysunku.
Nie mogłem też doczekać do 08.08.08.
Źródło: http://www.pokersucht.com/chinatraining.jpg
Śmieszne, ale zarazem smutne.
Kto im dał prawo organizować Igrzyska Olimpijskie?
Kolejne klopoty PEKAO S.A.
No i co ja poradzę, że nie lubię tego banku?
Ale sami sobie są winni :)
Gazeta.pl umieściła informację o kolejnych kłopotach gignta bankowego. Link
Otóż część bankomatów należących do PEKAO S.A. przestała rozpoznawać "swoich" klientów. Jak tłumaczyła p. z biura prasowego - Część bankomatów błędnie identyfikuje nasze karty debetowe Maestro.
Jest to dość duży problem dla klientów banku, ponieważ awaria dotyczy ok. 600 bankomatów i głównej karty debetowej banku.
Podobno informatycy już usuneli błąd.
Co ciekawsze, koleżanka z pracy miala problem z zalogowaniem się na stronę elektronicznego systemu bankowego w/w instytucji.
Czyżby większa awaria?
Ale sami sobie są winni :)
Gazeta.pl umieściła informację o kolejnych kłopotach gignta bankowego. Link
Otóż część bankomatów należących do PEKAO S.A. przestała rozpoznawać "swoich" klientów. Jak tłumaczyła p. z biura prasowego - Część bankomatów błędnie identyfikuje nasze karty debetowe Maestro.
Jest to dość duży problem dla klientów banku, ponieważ awaria dotyczy ok. 600 bankomatów i głównej karty debetowej banku.
Podobno informatycy już usuneli błąd.
Co ciekawsze, koleżanka z pracy miala problem z zalogowaniem się na stronę elektronicznego systemu bankowego w/w instytucji.
Czyżby większa awaria?
Uważaj co i gdzie podajesz
Ciekawy wpis, dotyczący udostepniania danych o zarobkach pojawił się na antyweb.pl: link.
Nic dodać, nic ująć.
Ludzie - uważajcie co i komu podajecie. Trochę rozwagi i myślenia abstrakcyjnego!!
Nic dodać, nic ująć.
Ludzie - uważajcie co i komu podajecie. Trochę rozwagi i myślenia abstrakcyjnego!!
wtorek, 5 sierpnia 2008
Następni analfabecie
Kolejna ulotka znaleziona w skrzynce, pomimo naklejki, żeby nie wrzucać reklam:
real,-
sklep w Białymstoku
www.real.pl
Wiem, że wrzucanie reklam realizują wynajęci ludzie, ale nie jestem w stanie namierzyć, kto wrzuca ale wiem co wrzuca.
I będe podawał takie firmy-analfabeci cały czas
real,-
sklep w Białymstoku
www.real.pl
Wiem, że wrzucanie reklam realizują wynajęci ludzie, ale nie jestem w stanie namierzyć, kto wrzuca ale wiem co wrzuca.
I będe podawał takie firmy-analfabeci cały czas
Punkt widzenia zależy od punktu siedzenia
Tia...
Rozmawiam często w ludźmi na temat ochrony danych osobowych (bo taki gadatliwy jestem) i dość często słyszę zdanie, że jest to zbędny kłopot dla przedsiębiorców, że to dodatkowe wydatki, że to kłopoty w codziennej pracy.
Ha...
No tak, że to dodatkowy kłopot, to się zgodzę. Oczywiście trzeba zmienić przyzwyczajenia i np. pilnować zmiany haseł i nie pracować na koncie administratora. No, że dodatkowe wydatki, też się zgodzę, ale przecież za pracę należy płacić (pracodawca sam może przecież zdbać o bezpieczeństwo i papierkologię). Nie mogę natomiast zgodzić się, że jest to zbędny kłopot.
Dlaczego?
Proponuję zamienić się rolami i przyjąć rolę osoby, której to dane są przetwarzane. W sumie nie jest to takie trudne, bo przecież pracodawcy lub właściciele firm są też klientami, których dane są przetwarzane w różnych celach.
Pytanie: Czy właścicel/pracodawca chciałby, żeby jego dane przetwarzane były poza wszelkimi regulacjami? Przecież każdemu przysługuje ochrona danych i prywatności.
Bardzo dobzym przykładem jest bank PEKAO S.A. (bank ten zasłużył sobie na miano dożywotniego przykładu ignorancji i indolencji w zakresie chrony danych). Nie zostało tu dopilnowane bezpieczeństwo danych i dane wielu osoby wypłynęły do sieci.
Dla przypomnienia - dane chronione są podczas całego procesu przetwarzania - od momentu pozyskania do zniszczenia (http://nomadowyblog.blogspot.com/2008/06/przetwarzanie-danych.html).
Dlaczego ważny jest moment niszczenia? Nie wiem, czy panowie Kaczyńscy są zadowoleni z tego, że dokumenty PC (przeiceż ta partia już nie istnieje) wylądowały na śmietniku? Link Dość często zapomina się o wartości dokumentów w momencie zniszczenia - wydają sięwtedy przecież bezużyteczne.
Wpis ten dedykuję mojemu dzisiejszemu rozmówcy - właścicielowi firmy, który stwierdził, że na głupoty pieniędzy nie wyda, a uodo to kłody rzucone przedsiębiorczości.
Rozmawiam często w ludźmi na temat ochrony danych osobowych (bo taki gadatliwy jestem) i dość często słyszę zdanie, że jest to zbędny kłopot dla przedsiębiorców, że to dodatkowe wydatki, że to kłopoty w codziennej pracy.
Ha...
No tak, że to dodatkowy kłopot, to się zgodzę. Oczywiście trzeba zmienić przyzwyczajenia i np. pilnować zmiany haseł i nie pracować na koncie administratora. No, że dodatkowe wydatki, też się zgodzę, ale przecież za pracę należy płacić (pracodawca sam może przecież zdbać o bezpieczeństwo i papierkologię). Nie mogę natomiast zgodzić się, że jest to zbędny kłopot.
Dlaczego?
Proponuję zamienić się rolami i przyjąć rolę osoby, której to dane są przetwarzane. W sumie nie jest to takie trudne, bo przecież pracodawcy lub właściciele firm są też klientami, których dane są przetwarzane w różnych celach.
Pytanie: Czy właścicel/pracodawca chciałby, żeby jego dane przetwarzane były poza wszelkimi regulacjami? Przecież każdemu przysługuje ochrona danych i prywatności.
Bardzo dobzym przykładem jest bank PEKAO S.A. (bank ten zasłużył sobie na miano dożywotniego przykładu ignorancji i indolencji w zakresie chrony danych). Nie zostało tu dopilnowane bezpieczeństwo danych i dane wielu osoby wypłynęły do sieci.
Dla przypomnienia - dane chronione są podczas całego procesu przetwarzania - od momentu pozyskania do zniszczenia (http://nomadowyblog.blogspot.com/2008/06/przetwarzanie-danych.html).
Dlaczego ważny jest moment niszczenia? Nie wiem, czy panowie Kaczyńscy są zadowoleni z tego, że dokumenty PC (przeiceż ta partia już nie istnieje) wylądowały na śmietniku? Link Dość często zapomina się o wartości dokumentów w momencie zniszczenia - wydają sięwtedy przecież bezużyteczne.
Wpis ten dedykuję mojemu dzisiejszemu rozmówcy - właścicielowi firmy, który stwierdził, że na głupoty pieniędzy nie wyda, a uodo to kłody rzucone przedsiębiorczości.
poniedziałek, 4 sierpnia 2008
GIODO zakończył inspekcję w PEKAO S.A.
Przedstawiciele GIODO zakończyli kontrolę w PEKAO S.A. Komunikat: link
Według GIODO incydent ujawnienia danych osobowych nie był związany z podstawową działalnością Banku, w związku tym dane klientów banku nie były zagrożone. Ale to wiedzieli wszyscy, którzy choć trochę zadali sobie trudu śledzenia sytuacji.
Natomiast wyniki kontroli wskazują na naruszenia przepisów ustawy o ochronie danych osobowych, o czym zostały zawiadomione organy ścigania, które prowadzą postępowanie wyjaśniające w tej sprawie.
Czyli wbrew zapowiedziom i opiniom przedstawicieli banku PEKAO S.A. (np. link) nie wszystko było w porządku - czyli nie dopełnili obowiązku zapewnienia bezpieczeństwa danych osobowych osób, które starały się o pracę w banku.
W związku z tym, GIODO, realizując obowiązki nałożone ustawą o ochronie danych osobowych, skierował wniosek o wszczęcie postępowania dyscyplinarnego wobec osób winnych naruszenia wewnętrznych procedur obowiązujących w Banku, gwarantujących poszanowanie zasad ochrony danych osobowych, w tym polityki bezpieczeństwa.
Mam nadzieję, że dalej pójdzie już gładko i winni dostaną po plecach. :)
Jednocześnie, stwierdzenie zaniedbań, otwiera przed poszkodowanymi możliwość dochodzenia odszkodowania. :)
A jak to było?Bank prowadził rektrutację przez firmę zewnętrzną i olał całośc zabezpieczeń. Haker się włamał i wypuścił w świat. Blooger znalazł, blogger nagłośnił i nie pozwolił zamieść pod dywan. Bank starał się zwalić winę z siebie mówiąc, że wsztsko było u nich w porządku. Jak widć nie było. :)
Miły początek tygodnia.
Według GIODO incydent ujawnienia danych osobowych nie był związany z podstawową działalnością Banku, w związku tym dane klientów banku nie były zagrożone. Ale to wiedzieli wszyscy, którzy choć trochę zadali sobie trudu śledzenia sytuacji.
Natomiast wyniki kontroli wskazują na naruszenia przepisów ustawy o ochronie danych osobowych, o czym zostały zawiadomione organy ścigania, które prowadzą postępowanie wyjaśniające w tej sprawie.
Czyli wbrew zapowiedziom i opiniom przedstawicieli banku PEKAO S.A. (np. link) nie wszystko było w porządku - czyli nie dopełnili obowiązku zapewnienia bezpieczeństwa danych osobowych osób, które starały się o pracę w banku.
W związku z tym, GIODO, realizując obowiązki nałożone ustawą o ochronie danych osobowych, skierował wniosek o wszczęcie postępowania dyscyplinarnego wobec osób winnych naruszenia wewnętrznych procedur obowiązujących w Banku, gwarantujących poszanowanie zasad ochrony danych osobowych, w tym polityki bezpieczeństwa.
Mam nadzieję, że dalej pójdzie już gładko i winni dostaną po plecach. :)
Jednocześnie, stwierdzenie zaniedbań, otwiera przed poszkodowanymi możliwość dochodzenia odszkodowania. :)
A jak to było?Bank prowadził rektrutację przez firmę zewnętrzną i olał całośc zabezpieczeń. Haker się włamał i wypuścił w świat. Blooger znalazł, blogger nagłośnił i nie pozwolił zamieść pod dywan. Bank starał się zwalić winę z siebie mówiąc, że wsztsko było u nich w porządku. Jak widć nie było. :)
Miły początek tygodnia.
Ustawa o ochronie danych osobowych w małej firmie
Mało kto wie, ale mały przesiębiorca, który zatrudnia pracowników (a więc przetwarza dane osobowe na potrzeby kadrowe) podlega ustawie o ochronie danych osobowych. Nawet, jeżeli wszelki sprawy kadrowo-finansowe załatwiane są przez opłaconą firmę księgową.
Zgodnie z:
Art. 2.
1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
2. Ustawę stosuje się do przetwarzania danych osobowych:
1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,
2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.
3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
Art. 3.
1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego
oraz do państwowych i komunalnych jednostek organizacyjnych.
2. Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących
osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z
działalnością zarobkową, zawodową lub dla realizacji celów statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej
Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu
środków technicznych znajdujących się na terytorium Rzeczypospolitej
Polskiej.
Art. 3a.
1. Ustawy nie stosuje się do:
1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.
2. Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz.U Nr 5, poz. 24, z późn. zm.2)) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
Jak widać przedsiębiorca łapie się na obowiązek ustawowy i nie łapie się na żaden wyjątek.
Tak więc przedsiębiorca staje się automatycznie ADO (administratorem danych osobowych) i to na jego barkach spoczywają wszelkie obowiązki nakładane przez uodo, a więc:
Art. 36.
1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.
Art. 37.
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Art. 38.
Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Art. 39.
1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Dzięki jednak art. 43 ust. 4 od przedsiębiorcy nie wymaga się rejestracji zbioru:
Art. 43.
1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
[...]
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
[...]
No dobrze, to skoro już potraktowaliśmy przedsiębiorcę jako ADO, to do czego jest on zobligowany? Wiemy już, że ma zapewnić bezpieczeństwo zbiorów danych, prowadzić dokumentację, rejestrować osoby upoważnione do przetwarzania danych.
O dokumentacji mówi rozporządzenie ministraw spraw wewętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danychosobowych. Par. 1 pkt 1 mówi:
§ 1. Rozporządzenie określa:
1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych
oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
[...]
Można przyjąć, że w przypadku małych przedsiębiorstw można zastosować minimalne środki ochrony o jakich wspomina rozporządzenie (co innnego duże firmy lub np. banki), a więc także mimum dokumentacji.
Zgodnie z par. 3 rozporządzenia w brzmieniu:
§ 3.
1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służcym do przetwarzania danych osobowych, zwana dalej „instrukcją”.
2. Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej.
3. Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych.
ADO musi wdrożyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służcym do przetwarzania danych osobowych.
O zawartości tych dokumentów dokładnie mówi rozporządzenie, na które powołałem się wcześniej w par 4 i 5:
§ 4. Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujàcy zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
§ 5. Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, októrym mowa w pkt III ppkt 1 załcznika do rozporządzenia;
W przypadku gdy sprawy kadrowe załatwiane są poza systemem informatycznym, oczywiście nie musimy pisać instrukcji dla systemów informatycznych, ale kto dzisiaj prowadzi ksiegowość bez komputera? Nawet dane do ZUS wysyłane są przy użyciu telefransmisji w programie Płatnik.
Dodatkowo, ponieważ dane osobowe pracowników przetarzane są przez firmę zewnętrzną, należy zawrzeć umowę powierzenia przetwarzania danych osobowych. O powierzeniu danych mówi art. 31.
Art. 31.
1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.
Co ważne - powierzenie nie zdejmuje z pracodawcy obowiązku ochrony danych, ponieważ to on jest ciągle ADO. Więc to on odpowiada za powierzone mu przez pracowników dane.
To tak na dzisiaj koniec. Jutro postaram się napisać cośo zawartości minimum umowy na powierzenie i o możliwościach, jakie ma ADO w stosunku do kontroli w podmiocie przetwarzającym dane na podstawie umowy.
Odnośniki do aktów prawnych są po prawej stronie w sekcji Podręcznik ustawowo/rozporządzeniowy
Zgodnie z:
Art. 2.
1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
2. Ustawę stosuje się do przetwarzania danych osobowych:
1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,
2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.
3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
Art. 3.
1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego
oraz do państwowych i komunalnych jednostek organizacyjnych.
2. Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących
osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z
działalnością zarobkową, zawodową lub dla realizacji celów statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej
Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu
środków technicznych znajdujących się na terytorium Rzeczypospolitej
Polskiej.
Art. 3a.
1. Ustawy nie stosuje się do:
1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.
2. Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz.U Nr 5, poz. 24, z późn. zm.2)) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
Jak widać przedsiębiorca łapie się na obowiązek ustawowy i nie łapie się na żaden wyjątek.
Tak więc przedsiębiorca staje się automatycznie ADO (administratorem danych osobowych) i to na jego barkach spoczywają wszelkie obowiązki nakładane przez uodo, a więc:
Art. 36.
1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.
Art. 37.
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Art. 38.
Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Art. 39.
1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Dzięki jednak art. 43 ust. 4 od przedsiębiorcy nie wymaga się rejestracji zbioru:
Art. 43.
1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
[...]
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
[...]
No dobrze, to skoro już potraktowaliśmy przedsiębiorcę jako ADO, to do czego jest on zobligowany? Wiemy już, że ma zapewnić bezpieczeństwo zbiorów danych, prowadzić dokumentację, rejestrować osoby upoważnione do przetwarzania danych.
O dokumentacji mówi rozporządzenie ministraw spraw wewętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danychosobowych. Par. 1 pkt 1 mówi:
§ 1. Rozporządzenie określa:
1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych
oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
[...]
Można przyjąć, że w przypadku małych przedsiębiorstw można zastosować minimalne środki ochrony o jakich wspomina rozporządzenie (co innnego duże firmy lub np. banki), a więc także mimum dokumentacji.
Zgodnie z par. 3 rozporządzenia w brzmieniu:
§ 3.
1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służcym do przetwarzania danych osobowych, zwana dalej „instrukcją”.
2. Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej.
3. Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych.
ADO musi wdrożyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służcym do przetwarzania danych osobowych.
O zawartości tych dokumentów dokładnie mówi rozporządzenie, na które powołałem się wcześniej w par 4 i 5:
§ 4. Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujàcy zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
§ 5. Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, októrym mowa w pkt III ppkt 1 załcznika do rozporządzenia;
W przypadku gdy sprawy kadrowe załatwiane są poza systemem informatycznym, oczywiście nie musimy pisać instrukcji dla systemów informatycznych, ale kto dzisiaj prowadzi ksiegowość bez komputera? Nawet dane do ZUS wysyłane są przy użyciu telefransmisji w programie Płatnik.
Dodatkowo, ponieważ dane osobowe pracowników przetarzane są przez firmę zewnętrzną, należy zawrzeć umowę powierzenia przetwarzania danych osobowych. O powierzeniu danych mówi art. 31.
Art. 31.
1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.
Co ważne - powierzenie nie zdejmuje z pracodawcy obowiązku ochrony danych, ponieważ to on jest ciągle ADO. Więc to on odpowiada za powierzone mu przez pracowników dane.
To tak na dzisiaj koniec. Jutro postaram się napisać cośo zawartości minimum umowy na powierzenie i o możliwościach, jakie ma ADO w stosunku do kontroli w podmiocie przetwarzającym dane na podstawie umowy.
Odnośniki do aktów prawnych są po prawej stronie w sekcji Podręcznik ustawowo/rozporządzeniowy
sobota, 2 sierpnia 2008
Coś kiełkuje
Przeszukuję sieć w poszukiwaniu stron poświęconych tematyce ochrony danych osobowych. No i kicha :(
Niestety nie ma strony na której można znaleźć wiadomości w jednym miejscu.
Skoro nie ma, to trzeba samemu stworzyć.
Projekt już jest.
Wymyślona domeny też (w niedziele pójdzie przelew).
Hoster jest.
Silnik - joomla! 1.5
Templatka będzie kupiona - Brenata z http://www.atjoomla.com/ (małe pieniądze, ale jest ładna)
Target:
- "normalni ludzie" szukający informacji o UODO
- klienci szukający firm specjalizujących się w działaniu związanym z UODO (ABI do wynajęcia, tworzenie i uaktulanie polityk)
- klienci szukający szloleń z zakresu UODO
Mam nadzieję, że do końca miesiąca projekt wstanie. :)
Niestety nie ma strony na której można znaleźć wiadomości w jednym miejscu.
Skoro nie ma, to trzeba samemu stworzyć.
Projekt już jest.
Wymyślona domeny też (w niedziele pójdzie przelew).
Hoster jest.
Silnik - joomla! 1.5
Templatka będzie kupiona - Brenata z http://www.atjoomla.com/ (małe pieniądze, ale jest ładna)
Target:
- "normalni ludzie" szukający informacji o UODO
- klienci szukający firm specjalizujących się w działaniu związanym z UODO (ABI do wynajęcia, tworzenie i uaktulanie polityk)
- klienci szukający szloleń z zakresu UODO
Mam nadzieję, że do końca miesiąca projekt wstanie. :)
piątek, 1 sierpnia 2008
Rozmowa o bezpieczeństwie e-banków
Znowu GazetaPrawna.pl (chyba zaprenumeruję wydanie papierowe :)) i artykuł, który w jakiś sposób ociera się się o tematykę bloga: link.
Ostatnia wpadka Visy, o której wspominałem kilka dni temu (link) sprowokowała dyskusję o bezpieczństwie finansowych transakcji realizowanych przez internet. Spotkało się grono w składzie:
- KRZYSZTOF KOWALSKI- dyrektor departamentu alternatywnych kanałów dystrybucji w Getin Bank
- ROBERT KĘPCZYŃSKI - starszy konsultant IBM Polska
- REMIGIUSZ KASZUBSKI - dyrektor Związku Banków Polskich
- ANDRZEJ KAWIŃSKI - prezes zarządu Wincor-Nixdorf
- SEBASTIAN PTAK - dyrektor zarządzający Blue Media
- JERZY CICHOWICZ - prezes zarządu Elkart
i podyskutowało. O czym? O wszytskim i o niczym.
O tym, że wszystkiemu winny jest człowiek (p. Kaszubski stwierdził, że w przypadku wpadki PEKAO S.A. także człowiek - mam nadzieję, że nie miał na myśli hakera ;)), że klienta trzeba edukować, że klient się nudzi, jak mu się tłumaczy bełkotliwym językiem informatyka, że klient jest w dużym stopniu odpowiedzialny za bezpieczeństwo transakcji, że biometria zwiększy bezpieczeństwo (oj, żeby się panowie nie zdziwili).
Wszystko to oczywista oczywistość. Ale nic więcej.
Ciekawi mnie, jakie działania podejmują banki prowadzące działalność w internecie, aby podnieść poziom wiedzy klientów, w jaki sposób edukują tego znudzonego ciułacza, co banki faktycznie robią, żeby podnieść bezpieczeństwo oferowanych produktów.
Mam konto w KredytBanku (http://www.kb24.pl/). Ponad półtora roku temu (jak nie więcej), zgłosiłem do banku informację, że po wpisaniu wwwkb24.pl (brak kropki po www) pokazuje się strona jednego z serwerów www i że istnieje prawdopodobieństwo, że w niedługim czasie może tam stanąc coś łudząco podobnego do strony banku. I co? I nic. Do dnia dzisiejszego domena wwwkb24.pl jest na sprzedaż. Zmieniło się to, że zamiast zestawu katalogów apacha, mamy parking reklamowy. Bank nie zrobił skutecznie nic, żeby przejąc domenę!! Szkoda kasy na bezpieczeństwo klientów?
To o jakim bezpieczeństwie mówimy?
Jak wygląda przekazanie dostępu do banku elektronicznego (jeżeli mamy na myśli edukację)? Ano, jest to podpisanie umowy, przekazanie kart haseł jednorazowych i pani z okienka jest szczęśliwa, że następny klient jest z głowy i że istnieje małe prawdopodobieństwo, że będzie przyłaził do oddziału. A rozmowa o bezpieczeństwie? A zwrócenie uwagi na szyfrowanie łącza? A zapytanie o program antywirusowy na komputerze klienta? A zwrócenie uwagi na transakcje wykonywane z internet-cafe?
Smiech i żal jednocześnie. Nie chce mi się wierzyć, że banki, które obracają milionami euro, nie maja kasy na stworzenie programu edukacyjnego dla swoich klientów.
Ale pogadać to dobra rzecz. Tylko czy za tym gadaniem przyjdą jakieś zmiany?
I tak wszystkiemu winny jest klient (albo haker).
Ostatnia wpadka Visy, o której wspominałem kilka dni temu (link) sprowokowała dyskusję o bezpieczństwie finansowych transakcji realizowanych przez internet. Spotkało się grono w składzie:
- KRZYSZTOF KOWALSKI- dyrektor departamentu alternatywnych kanałów dystrybucji w Getin Bank
- ROBERT KĘPCZYŃSKI - starszy konsultant IBM Polska
- REMIGIUSZ KASZUBSKI - dyrektor Związku Banków Polskich
- ANDRZEJ KAWIŃSKI - prezes zarządu Wincor-Nixdorf
- SEBASTIAN PTAK - dyrektor zarządzający Blue Media
- JERZY CICHOWICZ - prezes zarządu Elkart
i podyskutowało. O czym? O wszytskim i o niczym.
O tym, że wszystkiemu winny jest człowiek (p. Kaszubski stwierdził, że w przypadku wpadki PEKAO S.A. także człowiek - mam nadzieję, że nie miał na myśli hakera ;)), że klienta trzeba edukować, że klient się nudzi, jak mu się tłumaczy bełkotliwym językiem informatyka, że klient jest w dużym stopniu odpowiedzialny za bezpieczeństwo transakcji, że biometria zwiększy bezpieczeństwo (oj, żeby się panowie nie zdziwili).
Wszystko to oczywista oczywistość. Ale nic więcej.
Ciekawi mnie, jakie działania podejmują banki prowadzące działalność w internecie, aby podnieść poziom wiedzy klientów, w jaki sposób edukują tego znudzonego ciułacza, co banki faktycznie robią, żeby podnieść bezpieczeństwo oferowanych produktów.
Mam konto w KredytBanku (http://www.kb24.pl/). Ponad półtora roku temu (jak nie więcej), zgłosiłem do banku informację, że po wpisaniu wwwkb24.pl (brak kropki po www) pokazuje się strona jednego z serwerów www i że istnieje prawdopodobieństwo, że w niedługim czasie może tam stanąc coś łudząco podobnego do strony banku. I co? I nic. Do dnia dzisiejszego domena wwwkb24.pl jest na sprzedaż. Zmieniło się to, że zamiast zestawu katalogów apacha, mamy parking reklamowy. Bank nie zrobił skutecznie nic, żeby przejąc domenę!! Szkoda kasy na bezpieczeństwo klientów?
To o jakim bezpieczeństwie mówimy?
Jak wygląda przekazanie dostępu do banku elektronicznego (jeżeli mamy na myśli edukację)? Ano, jest to podpisanie umowy, przekazanie kart haseł jednorazowych i pani z okienka jest szczęśliwa, że następny klient jest z głowy i że istnieje małe prawdopodobieństwo, że będzie przyłaził do oddziału. A rozmowa o bezpieczeństwie? A zwrócenie uwagi na szyfrowanie łącza? A zapytanie o program antywirusowy na komputerze klienta? A zwrócenie uwagi na transakcje wykonywane z internet-cafe?
Smiech i żal jednocześnie. Nie chce mi się wierzyć, że banki, które obracają milionami euro, nie maja kasy na stworzenie programu edukacyjnego dla swoich klientów.
Ale pogadać to dobra rzecz. Tylko czy za tym gadaniem przyjdą jakieś zmiany?
I tak wszystkiemu winny jest klient (albo haker).
Przyjmowanie pracownika, a dane osobowe.
Nie jestem prawnikiem, więc nie będę udawał, że są to moje przemyślenia. :)
Podczas dokształcania się w dziedzinie ochrony danych osobowych podczas rekrutacji natknąłem się na dwa artykuły:
- w Gazecie Prawnej artykuł p. Agnieszki Lechman-Filipiak o podstawach prawnych zakresu przetwarzania danych: link
- i na blogu Olgierda Rudaka o nieszczęsnej klauzuli na przetwarzanie danych osobowych: link
O ile w przypadku artykułu w GP, to zgadzam się w pełni :), to o tyle w przypadku art. Olgierda, brakuje mi informacji, że klauzula nie jest zawsze wymagana.Przykłda?
Firma prowadzi rekrutację, tylko przy pomocy swoich pracowników (kadrowy, przyszły szef) i tylko na podstawie informacji dopuszczonych w art. 22(1) par. 1 Kodeksu Pracy. Według tego zapisu przyszły pracowadca ma prawo żądać: imię,nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania, wykształcenie oraz przebieg dotychczasowego zatrudnienia.
Mam nadzieję, że ten wpis pomoże szukającym pracy, bo jak podają moje statystyki, sporo osób tu trafia szukając przez google informacji na temat klauzuli przetwarzania danych opsobowych podczas rekrutacji.
Podczas dokształcania się w dziedzinie ochrony danych osobowych podczas rekrutacji natknąłem się na dwa artykuły:
- w Gazecie Prawnej artykuł p. Agnieszki Lechman-Filipiak o podstawach prawnych zakresu przetwarzania danych: link
- i na blogu Olgierda Rudaka o nieszczęsnej klauzuli na przetwarzanie danych osobowych: link
O ile w przypadku artykułu w GP, to zgadzam się w pełni :), to o tyle w przypadku art. Olgierda, brakuje mi informacji, że klauzula nie jest zawsze wymagana.Przykłda?
Firma prowadzi rekrutację, tylko przy pomocy swoich pracowników (kadrowy, przyszły szef) i tylko na podstawie informacji dopuszczonych w art. 22(1) par. 1 Kodeksu Pracy. Według tego zapisu przyszły pracowadca ma prawo żądać: imię,nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania, wykształcenie oraz przebieg dotychczasowego zatrudnienia.
Mam nadzieję, że ten wpis pomoże szukającym pracy, bo jak podają moje statystyki, sporo osób tu trafia szukając przez google informacji na temat klauzuli przetwarzania danych opsobowych podczas rekrutacji.
Grunt to mieć dobry humor
Trafiłem na artykuł w Gazecie Prawne (gazetaprawna.pl) o tym, jak to dobrze jest ze świadomością dot. ochrony danych osobowych wśród obywateli RP: link
No i co? Jakie odczucia? ;)
Ja myślałem, że skręce się ze śmiechu. Już pierwsze zdanie:
Zdaniem Generalnego Inspektora Ochrony Danych Osobowych Michała Serzyckiego, fakt, iż Polska znalazła się na pierwszym miejscu - z wynikiem 43 proc. - wśród państw członkowskich UE, deklarując najwyższą świadomość praw związanych z danymi osobowymi, jest efektem edukacji społeczeństwa.
spowdowało u mnie napad chichotu. Jaka świadomość. A może jest tak, jak w przypadku pewnego piwa, które to podobno pije 50 procet społeczeństwa? Tylko, że ja nie znam nikogo, kto pije to piwo. Tak samo - 43% obywateli ma świadomość zagadnień związanych z ochroną swoich danych, ale nie znam nikogo (niezwiązanego z branżą), kto wie "o co biega". W momencie, kiedy zaczynam rozmowę na temat danych osobowych, to widzę oczy jak pięciozłotówki :)
Następny tekst:
Badanie wykazało, że 55 proc. Polaków wykazuje troskę o dane osobowe ujawniane w internecie, co plasuje nasz kraj na jednym z ostatnich miejsc wśród państw członkowskich UE.
Ja bym te procenty ostro zaniżył - dobry przykład: nasza-klasa. Dalej wystarczy popatrzeć na niektóre strony internetowe, na których właściciele podają swoje adresy domowe i pesel. Być może nie mam szczęścia i obracam się w tych 45 %, która nie dba. :) A już rozróżnienie połączenia szyfrowanego od nieszyfrowanego... cuda na kiju. ;)
W ocenie GIODO, powód do satysfakcji daje 74 proc. badanych Polaków, którzy są świadomi, że organizacje zbierające dane osobowe mają obowiązek informowania osoby, których dane dotyczą, o celu zbierania danych osobowych oraz ich ewentualnym, dalszym wykorzystaniu. Rezultat ten stawia Polskę na trzecim miejscu, tuż po Rumunii i Słowenii.
Buhahahaha - jakie 74%? Albo ponownie nie mam szczęścia. :) A może do tych 74% zostały zliczone też osoby, które twierdzą, że firma zbierająca dane zawsze musi poprosić o zgodę. A przecież nie zawsze musi. :)
Oj i na koniec:
To, że aż 43 proc. polskiego społeczeństwa deklaruje świadomość zasad ochrony danych osobowych, to bardzo dobry rezultat" - ocenił w czwartek w rozmowie z PAP Serzycki. Jego zdaniem, to zasługa konsekwentnie realizowanej polityki, że "trzeba maksymalnie dużo czasu i wysiłku poświęcić edukacji" m.in. na temat możliwych zagrożeń.
No tu już p. Serzyckiego chyba poniosły te procenty. Nie wiem, czy należy cieszyć się i czy należy obwieścić triumf i powoływać się na konsekwentne realizowanie polityki. Proponuję zrobić ankietę wśród średnich i dużych przedsiębiorstw a także instytucji państwowych w zakresie stosowania ustawy i świadomości zagrożeń - wyniki zmienią nam humory. Gwarantuję.
No i co? Jakie odczucia? ;)
Ja myślałem, że skręce się ze śmiechu. Już pierwsze zdanie:
Zdaniem Generalnego Inspektora Ochrony Danych Osobowych Michała Serzyckiego, fakt, iż Polska znalazła się na pierwszym miejscu - z wynikiem 43 proc. - wśród państw członkowskich UE, deklarując najwyższą świadomość praw związanych z danymi osobowymi, jest efektem edukacji społeczeństwa.
spowdowało u mnie napad chichotu. Jaka świadomość. A może jest tak, jak w przypadku pewnego piwa, które to podobno pije 50 procet społeczeństwa? Tylko, że ja nie znam nikogo, kto pije to piwo. Tak samo - 43% obywateli ma świadomość zagadnień związanych z ochroną swoich danych, ale nie znam nikogo (niezwiązanego z branżą), kto wie "o co biega". W momencie, kiedy zaczynam rozmowę na temat danych osobowych, to widzę oczy jak pięciozłotówki :)
Następny tekst:
Badanie wykazało, że 55 proc. Polaków wykazuje troskę o dane osobowe ujawniane w internecie, co plasuje nasz kraj na jednym z ostatnich miejsc wśród państw członkowskich UE.
Ja bym te procenty ostro zaniżył - dobry przykład: nasza-klasa. Dalej wystarczy popatrzeć na niektóre strony internetowe, na których właściciele podają swoje adresy domowe i pesel. Być może nie mam szczęścia i obracam się w tych 45 %, która nie dba. :) A już rozróżnienie połączenia szyfrowanego od nieszyfrowanego... cuda na kiju. ;)
W ocenie GIODO, powód do satysfakcji daje 74 proc. badanych Polaków, którzy są świadomi, że organizacje zbierające dane osobowe mają obowiązek informowania osoby, których dane dotyczą, o celu zbierania danych osobowych oraz ich ewentualnym, dalszym wykorzystaniu. Rezultat ten stawia Polskę na trzecim miejscu, tuż po Rumunii i Słowenii.
Buhahahaha - jakie 74%? Albo ponownie nie mam szczęścia. :) A może do tych 74% zostały zliczone też osoby, które twierdzą, że firma zbierająca dane zawsze musi poprosić o zgodę. A przecież nie zawsze musi. :)
Oj i na koniec:
To, że aż 43 proc. polskiego społeczeństwa deklaruje świadomość zasad ochrony danych osobowych, to bardzo dobry rezultat" - ocenił w czwartek w rozmowie z PAP Serzycki. Jego zdaniem, to zasługa konsekwentnie realizowanej polityki, że "trzeba maksymalnie dużo czasu i wysiłku poświęcić edukacji" m.in. na temat możliwych zagrożeń.
No tu już p. Serzyckiego chyba poniosły te procenty. Nie wiem, czy należy cieszyć się i czy należy obwieścić triumf i powoływać się na konsekwentne realizowanie polityki. Proponuję zrobić ankietę wśród średnich i dużych przedsiębiorstw a także instytucji państwowych w zakresie stosowania ustawy i świadomości zagrożeń - wyniki zmienią nam humory. Gwarantuję.
Rocznica Powstania Warszawskiego
W sumie dużo już napisano i powiedziano o powstaniu. Temat ten przewałkowano już na wszystkie możliwe sposoby - począwszy od rozważań nad brakiem pomocy ze strony stojącej Armii Czerwonej, poprzez bezsens walki, do co by było gdyby powstanie się utrzymało.Warto jednak odnotować, że dziś 64 rocznica wybuchu i o 17.00 pomyśleć chwile o tych co zginęli.
Zapraszam do Wirtualnego Muzeum Powstania Warszawskiego: link
czwartek, 31 lipca 2008
Przyjazny kodeks karny ;) - podpora ABIego
Na GL w jednej z dyskusji na temat tajności zarobków przytoczony został bardzo ciekawy artykuł z Kodeksu Karnego.
Zerknąłem do źródła: link
Prócz przejrzenia art. 266, zainteresowałem się całym rozdziałem XXXIII
Przestępstwa przeciwko ochronie informacji
Art. 265.
§ 1. Kto ujawnia lub wbrew przepisom ustawy wykorzystuje informacje stanowiące tajemnicę państwową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 2. Jeżeli informację określoną w § 1 ujawniono osobie działającej w imieniu lub na rzecz podmiotu zagranicznego, sprawca podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 3. Kto nieumyślnie ujawnia informację określoną w § 1, z którą zapoznał się w związku z pełnieniem funkcji publicznej lub otrzymanym upoważnieniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
§ 1. Kto ujawnia lub wbrew przepisom ustawy wykorzystuje informacje stanowiące tajemnicę państwową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 2. Jeżeli informację określoną w § 1 ujawniono osobie działającej w imieniu lub na rzecz podmiotu zagranicznego, sprawca podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 3. Kto nieumyślnie ujawnia informację określoną w § 1, z którą zapoznał się w związku z pełnieniem funkcji publicznej lub otrzymanym upoważnieniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 266.
§ 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację stanowiącą tajemnicę służbową lub informację, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes,
podlega karze pozbawienia wolności do lat 3.
§ 3. Ściganie przestępstwa określonego w § 1 następuje na wniosek pokrzywdzonego.
§ 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację stanowiącą tajemnicę służbową lub informację, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes,
podlega karze pozbawienia wolności do lat 3.
§ 3. Ściganie przestępstwa określonego w § 1 następuje na wniosek pokrzywdzonego.
Art. 267.
§ 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.
§ 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.
§ 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
Art. 268.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat 3.
§ 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat 3.
§ 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
Art. 268a.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.
§ 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.
§ 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.
Art. 269.
§ 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej
albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych.
§ 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej
albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych.
Art. 269a.
Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Art. 269b.
§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.
§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.
§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.
§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.
Miłych wniosków. Miłych... dość dziwne określenie w tym kontekście :)
Dawno nie było ciekawych stron. Dzisiaj są za to dwie:
Proponuje zajrzeć - jest co poczytać :)
Zaproszenia na badania cytologiczne w Wiśle
Jakj podał przed chwilą 1 program radiowy, w parku przy brzegu Wisły znaleziono ok. 30 zaproszeń na badania cytologiczne wystosowane przez Warszawski Instytut Onkologiczny. Zaproszenia wystawały sobie z wody i można było wyczytać z nich imię, nazwisko i adres.
Według informacji od przedstawiciela firmy ForPrint (??Four Print??)), która wygrała przetarg na wydrukowanie i dostarczenie tych zaproszeń, nieznany sprawca ukradł kurierowi paczkę z 50 zaproszeniami. Było to na początku lipca.
Kurierowi nie chciało się pracować?
Pomijajać fakt zwykłego świństwa, doszło do naruszenia UODO. Kurier jest przesłuchiwany przez policję.
Zastanawia mnie liczba niedostarczonych przesyłek w kontekście artykułu, jaki opublikowało Życie Warszawy: link
Chyba jednak "złodziej" ukradł większą paczkę.
Według informacji od przedstawiciela firmy ForPrint (??Four Print??)), która wygrała przetarg na wydrukowanie i dostarczenie tych zaproszeń, nieznany sprawca ukradł kurierowi paczkę z 50 zaproszeniami. Było to na początku lipca.
Kurierowi nie chciało się pracować?
Pomijajać fakt zwykłego świństwa, doszło do naruszenia UODO. Kurier jest przesłuchiwany przez policję.
Zastanawia mnie liczba niedostarczonych przesyłek w kontekście artykułu, jaki opublikowało Życie Warszawy: link
Chyba jednak "złodziej" ukradł większą paczkę.
Listonosz nie jest Bogiem
Szanowni listonosze nauczyli sie, że można bardzo dobrze żyć z dostarczania przesyłek. I to nie chodzi o pensję, jaką otrzymują, ale o możliwości dorobienia. Znane są końcówki od dostarczonych emerytur, które to (te końcówki) sięgają nawet kiluset złotych za rejon dostarczania emertytur (bo przecież taki listonosz biedny i tyle musi się nachodzić). A ponieważ coraz więcej emerytów otrzymuje swoje wypłaty na konta, to trzeba było znaleźć nowy sposób dorabiania do pensji.
Listonosze posiadająbardzo dobry i drogi towar, jakim jest informacja.
Informacja o tym, kto ma rodzine za granicą (listy z zagranicy), kto ma kłopoty finansowe (listy z ponagleniami), kto ma kłopoty z prawem (wezwania do sądu).
Listonosze wiedzą takaże, kto podpadnie pod losowanie funduszu emerytalnego. Ponieważ dzisiaj Poczta Polska, to także OFE Pocztylion, a często wśród przedstawicieli Pocztyliona są znajomi listonoszy (lub dobrzy płatnicy), to czemu nie zarobić?
Okazało się, że listonosze przekazywali dane osób, do których ZUS wystosował listy z przypomnieniem o OFE dla znajomych przedstawicieli OFE Pocztylion, dzięki temu ci wiedzieli gdzie "uderzyć" :)
Jest to jawne złamanie ustawy o ochronie danych osobowych, ponieważ mamy tu doczynienia z danymi (imię, nazwisko, adres) a także powiązanie z marketingiem.
Oficjalnie, jak podaje rp.pl w artykule Listonosze nie mogą werbować do funduszu listonosze nie mogą już tego robić. Oficjalnie nie mogą... ale nieoficjalnie?
Listonosze posiadająbardzo dobry i drogi towar, jakim jest informacja.
Informacja o tym, kto ma rodzine za granicą (listy z zagranicy), kto ma kłopoty finansowe (listy z ponagleniami), kto ma kłopoty z prawem (wezwania do sądu).
Listonosze wiedzą takaże, kto podpadnie pod losowanie funduszu emerytalnego. Ponieważ dzisiaj Poczta Polska, to także OFE Pocztylion, a często wśród przedstawicieli Pocztyliona są znajomi listonoszy (lub dobrzy płatnicy), to czemu nie zarobić?
Okazało się, że listonosze przekazywali dane osób, do których ZUS wystosował listy z przypomnieniem o OFE dla znajomych przedstawicieli OFE Pocztylion, dzięki temu ci wiedzieli gdzie "uderzyć" :)
Jest to jawne złamanie ustawy o ochronie danych osobowych, ponieważ mamy tu doczynienia z danymi (imię, nazwisko, adres) a także powiązanie z marketingiem.
Oficjalnie, jak podaje rp.pl w artykule Listonosze nie mogą werbować do funduszu listonosze nie mogą już tego robić. Oficjalnie nie mogą... ale nieoficjalnie?
środa, 30 lipca 2008
Szkolenie...
Znalazłem kolejne szkolenie z UODO z cyklu niskobudzetowego (co jest ważne w momencie kiedy płacimy z własnej kieszeni).
Szkolenie organizuje EagleAuditors w dniach 8-9 września 2008. Koszt to tylko 1200PLN (max - możliwe są zniżki) za 2 dni z zakwaterowaniem i wyżywieniem.
Wiecej informacji na stronie: link
Na pierwszy rzut oka warto.
Szkolenie organizuje EagleAuditors w dniach 8-9 września 2008. Koszt to tylko 1200PLN (max - możliwe są zniżki) za 2 dni z zakwaterowaniem i wyżywieniem.
Wiecej informacji na stronie: link
Na pierwszy rzut oka warto.
Adkontekst
Na blogu pojawił sie blok reklamowy adkontekstu. Nie znaczy to, że zaczynam zarabiać kasę na blogu - całość tematu traktuję niekomercyjnie. Blok ten pojawił się dlatego, że jedyną wyszukiwarką z której trafiaja tu czytelnicy jest google. Trzeba sie więc jakoś pokazać w wyszukiwarce Wirtualnej Polski (netsprint) - więc środki uzyskane z adkontekstu będą przeznaczane na reklamę w wyszukiwarce wp.
To tak gwoli wyjaśnienia.
To tak gwoli wyjaśnienia.
Wyższe kary, wyższa skuteczność?
W dniu dzisiejszym GazetaPrawna.pl opublikowała wywiad z GIODO p. Michałem Serzyckim. Link
Tematem była nowelizacja UODO, która ma zaostrzyć kary za nieprzestrzeganie ustawy, głównie w zakresie kontroli.
Jak to jest z tym egzekwowaniem UODO? Niby jest rodział 8 z przepisami karnymi, ale ustawa nie przewiduje kar za nieudostępnienie kontrolerom zbiorów danych do kontroli. Więc jak tu karać za niedotrzymaniu ustawy, jeżeli nie ma możliwości sprawdzenia?
Stan prawny można zobaczyć tu: link w pozycji 144 (nie wiem czy cały czas będzie w tej pozycji - ale wystarczy wyszukać na stronie).
Co przewiduje omawiana nowelizacja?
Ano zaostrzenie kar:
- kara od 1000 do 100000 eura za niewykonanie decyzji GIODO
- kara do 300% miesięcznego wynagrodzenia dla przedstawiciela firmy za uniemożliwienie lub utrudnianie kontroli, lub w przpadku niedostarczenia w terminie 14 dni informajcji pozwalających na ustalenie wymiaru kary, ryczałtowej kary w wysokości nie mniej niż 10000 euro
Dodatkowo z nowelizacja usuwa jeszcze jeden problem, a mianowicie cofnięcie zgody na przetwarzanie danych osobowych. W obecnym brzmieniu, nie ma ani słowa na ten temat, więc cofnięcie wydanej zgody jest problematyczne.
Najciekawsza wydaje się reakcja firm przetwarzających dane osobowe. Oczywiście podniosła się wrzawa. Protestował Związek Banków Polskich, co wydaję się dość komiczne w odniesieniu do ostatnich wydarzeń z PEKAO S.A. Argumentacja, że banki nie będą w stanie ponieść kosztów na zabezpieczenie danych osobowych... jest śmieszna.
wtorek, 29 lipca 2008
Nieudolność pracowników iPKO :)
No i mamy dzień bankowy (tak się nudzę na urlopie :)).
No i znalazłem dość ciekawą informację na portalu tvn24.pl. Link
W skrócie:
W sieci pojawiła się strona informacyjna z ustawieniami serwera php, na którym działa system bankowości elektronicznej PKO BP S.A.
No i znalazłem dość ciekawą informację na portalu tvn24.pl. Link
W skrócie:
W sieci pojawiła się strona informacyjna z ustawieniami serwera php, na którym działa system bankowości elektronicznej PKO BP S.A.
Na stronie tej pokazane są wszystkie informacje dotyczące konfiguracji php.
No i co? Według rzecznika banku, który o informacje poprosił speców od bezpieczeństwa w swojej instytucji, to nie są żadne niebezpieczne dla banku informacje. Sorki, ale następny rzecznik prasowy banku chyba nie wie o czym mówi. Przecież tak często przytaczany przez odpowiednika z PEKAO S.A. "haker" dokonuje najpierw rozpoznania i zbiera informacje na temat zabezpieczeń stosowanych w systemie. Szuka słabych punktów systemu.
Strona ta, to nic więcej jak naklejka na szybie samochodu w stylu używam zabezpieczeń firmy XXX. A co się dziwić fachowcom banku, że powiedzieli że nie jest to groźna informacja? Przecież za takie coś powinno się polecieć z pracy.
Zgryźliwie zapytam: a może należałoby zapytać zewnętrznego audytora? ;)
Gwoli przypomnienia:
Art. 52.
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Druga wpadka Visy
Znowu niepokojące informacje na temat elektronicznego pieniądza pojawiły się w sieci. I znowu w powiązaniu ze znanymi kartami kredytowymi VISA.
Na stronach www.rp.pl (link)znalazłem artykuł o wielokrotnym księgowaniu wyplat z kart Visy. Tak jak w styczniu, środki z konta użytkowników ściągane są kilkakrotnie podczas jednej transakcji.
Zaczynam się bać elektronicznego pieniądza. Czas wrócić do czasów skarpety?
Na stronach www.rp.pl (link)znalazłem artykuł o wielokrotnym księgowaniu wyplat z kart Visy. Tak jak w styczniu, środki z konta użytkowników ściągane są kilkakrotnie podczas jednej transakcji.
Zaczynam się bać elektronicznego pieniądza. Czas wrócić do czasów skarpety?
Komentarza PEKAO S.A. odnośnie wycieku informacji
Serwis proto.pl opublikował rozmowę z Magdaleną Załubską-Król, zastępcą rzecznika prasowego ds. produktów bankowych. Link
Nie wytrzymałem i skomentowałem. Ma nadzieję, że komentarz pokaże się na stronie, po akceptacji moderatora serwisu.
Moje odczucia
Mimo zmiany osoby wypowiadającej się i zmiany formy wypowiedzi (brak oskarżeń), ton jest ten sam: to nie my, to wina hakera, ktory włamał się na serwer firmy zewnętrznej. Myśmy zrobili audyt i jesteśmy czyści.
Nie jest to tak fajnie. Mimo, że bank zlecił komuś coś, to w dalszym ciągu jest ADO i odpowiada za bezpieczeństwo danych.
Pani rzecznik powołuje się na opinię zewnętrznego audytora i jego opinię, że aplikacja miała niezbędne zabezpieczenia i że gdyby brak było zabezpieczeń, to dane wyciekłby już 8 kwietnia, kiedy rozpoczął on swoja działalność (serwis), a nie w połowie lipca. Oj, szczerze mówiąc bałbym się takiego audytora i jego opinii. Oczywiście dane te mogły być zabezpieczone dostatecznie w kontekście zabezpieczeń dla małej firmy, której serwer nie jest tak łakomym kąskiem dla włamywaczy, a nie największego w regionie banku. Szanowna Pani: zabezpieczenie to ciągły proces, a jego złożoność zależy od kontekstu (od firmy i serwera). Nie wystarczy stwierdzić, że audytor pozwolił i koniec. A gdzie nadzór, kontrola nad działającym już systemem?
No dobra - wystarczy ględzenia o systemach, serwerach i zabezpieczeniach.
A co mógł zrobić PIAR bankowy? Zamiast trzymać się wersji "to nie my", wystarczyło przeprosić, walnąć się w piersi, zadość uczynik poszkodowanym (jakis bonusik odszkodowanie) i transparentnie (fajne slowo) poddać się kontroli. Wyglądałoby to lepiej, niż zamiatanie pod dywan.
Poczekamy, co na to GIODO.
A jednak mój sen się spełnia...
... ale tylko w Niemczech.
Jak podaje money.pl (link) w Niemczech prowadzone sa prace nad nowymi, biometrycznymi dowodami osobistymi. Na życzenie dowód ten może zostać wyposażony w podpis elektroniczny. Oczywiście za dodatkową opłatą.
A jednak można wykonać dystrybucję kwalifikowanego podpisu za pomocą MSWiA, a nie zatrudniać do tego komercyjne firmy.
Jak podaje money.pl (link) w Niemczech prowadzone sa prace nad nowymi, biometrycznymi dowodami osobistymi. Na życzenie dowód ten może zostać wyposażony w podpis elektroniczny. Oczywiście za dodatkową opłatą.
A jednak można wykonać dystrybucję kwalifikowanego podpisu za pomocą MSWiA, a nie zatrudniać do tego komercyjne firmy.
Bohater największy
Jak podaje gazeta.pl w artykule Pekao SA pokonał PKO BP i jest największym bankiem w regionie bohater ostatniej afery z wypływem danych został największym bankiem w regionie.
Czy to dobrze? Myślę, że troche strasznie. ;)
Bo jak wyglądają zabezpieczenia danych w instytucji, która obraca aktywami w wysokości prawie 33mld euro? :)
Super.
Czy to dobrze? Myślę, że troche strasznie. ;)
Bo jak wyglądają zabezpieczenia danych w instytucji, która obraca aktywami w wysokości prawie 33mld euro? :)
Super.
poniedziałek, 28 lipca 2008
Jak otrzymać certyfikat Prince2 Foundation?
Brak papierka=brak lepszej pracy=brak większej kasy=brak papierka ;)
Tak skrótowo wygląda dzisiejsze życie pracownika. Nic w tym dziwnego - wiedza kosztuje (i to dużo). Pół biedy, gdy szkolenia i kolejne papierki finansuje sponsor w postaci bogatej cioci lub firmy, gorzej gdy trzeba wyskoczyć w własnej kasy.
Ponieważ papierki decyduja o bycie, trzeba wspinać się i zdobywać kolejne, żeby udowododnić... A ponieważ trzeba cały czas udowadniać, padło teraz na P2F :).
Najprościej Prince2 Foundation uzyskać po autoryzowanym szkoleniu w jednej z dwóch autoryzowanych firm:
- CRM S.A. - www.crm.com.pl
- Infovide-Matrix S.A. - www.infovidematrix.pl
Tia... najprościej, ale nie najtaniej.
Szkolenie w CRM kosztuje 4500PLN brutto (w cenie podręcznik Skuteczne Zarzadzanie Projektami PRINCE2 (normalnie 290PLN brutto). Do tego egzamin za 900PLN brutto.
Jeżeli wybierzemy Infovide, to wyniesie nas to 3500PLN brutto za szkolenie i 900PLN brutto za egzamin.
Jedynie te 2 firmy mają status ATO (autoryzowanych ośrodków treningowych).
Inną drogą jest uczestnictwo w nieautoryzowanym kursie, książki, wyszukiwanie wiedzy w necie i zdanie egzaminu w British Council (polski lub angielski).
Nieautoryzowane kursy (kursy autorskie):
- Project Manager Consulting - www.pmc.edu.pl
- ...
Książki (potrzebne do zdania egzaminu):
- Podstawy Metodyki PRINCE2, Ken Bradley
- Skuteczne zarządzanie projektami PRINCE2 - oficjalny podręcznik - 290PLN brutto
Z tego co się orientuje z opinii w necie, o obie książki należy pytać w CRM S.A. i Skuteczne... jest lepsze.
Wiedza w necie:
- cykl ciekawych artykułów na www.pmanager.pl
- ...
Egzamin w BC:
Jak zwykle w niestandardowej (nieoficjalnej) ścieżce trzeba trochę się namęczyć :).
A ponieważ właśnie pies domaga się spaceru, to odsyłam na stronę pmanagera.
Jestem na etapie przygotowań do P2F, więc jeżeli czytelniku znasz jakieś źródła do nauki - daj znać :)
Tak skrótowo wygląda dzisiejsze życie pracownika. Nic w tym dziwnego - wiedza kosztuje (i to dużo). Pół biedy, gdy szkolenia i kolejne papierki finansuje sponsor w postaci bogatej cioci lub firmy, gorzej gdy trzeba wyskoczyć w własnej kasy.
Ponieważ papierki decyduja o bycie, trzeba wspinać się i zdobywać kolejne, żeby udowododnić... A ponieważ trzeba cały czas udowadniać, padło teraz na P2F :).
Najprościej Prince2 Foundation uzyskać po autoryzowanym szkoleniu w jednej z dwóch autoryzowanych firm:
- CRM S.A. - www.crm.com.pl
- Infovide-Matrix S.A. - www.infovidematrix.pl
Tia... najprościej, ale nie najtaniej.
Szkolenie w CRM kosztuje 4500PLN brutto (w cenie podręcznik Skuteczne Zarzadzanie Projektami PRINCE2 (normalnie 290PLN brutto). Do tego egzamin za 900PLN brutto.
Jeżeli wybierzemy Infovide, to wyniesie nas to 3500PLN brutto za szkolenie i 900PLN brutto za egzamin.
Jedynie te 2 firmy mają status ATO (autoryzowanych ośrodków treningowych).
Inną drogą jest uczestnictwo w nieautoryzowanym kursie, książki, wyszukiwanie wiedzy w necie i zdanie egzaminu w British Council (polski lub angielski).
Nieautoryzowane kursy (kursy autorskie):
- Project Manager Consulting - www.pmc.edu.pl
- ...
Książki (potrzebne do zdania egzaminu):
- Podstawy Metodyki PRINCE2, Ken Bradley
- Skuteczne zarządzanie projektami PRINCE2 - oficjalny podręcznik - 290PLN brutto
Z tego co się orientuje z opinii w necie, o obie książki należy pytać w CRM S.A. i Skuteczne... jest lepsze.
Wiedza w necie:
- cykl ciekawych artykułów na www.pmanager.pl
- ...
Egzamin w BC:
Jak zwykle w niestandardowej (nieoficjalnej) ścieżce trzeba trochę się namęczyć :).
A ponieważ właśnie pies domaga się spaceru, to odsyłam na stronę pmanagera.
Jestem na etapie przygotowań do P2F, więc jeżeli czytelniku znasz jakieś źródła do nauki - daj znać :)
piątek, 25 lipca 2008
Czy ABI musi być pracownikiem firmy?
Swego czasu wspomniałem, że w przypadku mniejszych firm, można zatrudnić ABIego na podstawie umowy zlecenia lub na podstawie umowy pomiędzy dwoma firmami (ABI prowadzi działalność gospodarczą i wystawia ADO fakturę za swoje usługi). Czasem nawet lepiej (dla tzw. zdrowego współżycia międzyludzkiego) powołać ABIego z zewnątrz.
Nie wszyscy się ze mną zgadzali w tym zakresie. Jednak podczas dzisiejszego bezmyślnego przeglądu on-linowych wersji dzienników natknąłem się w rp.pl na artykuł: link.
Jest to analiza odpowiedzi GIODO na problem, kim może być ABI.
Konkluzja: ABI musi być osobą fizyczną lecz niekoniecznie pracownikiem (etatowym) firmy, w której pełni obowiązki.
Cieszę się z takiego wyjaśnienia, ponieważ otwiera ono szerokie możliwości pracy dla wielu ABI :). Mam nadzieję, że w niedługim czasie stanowisko ABI, będzie tak popularne jak inspektor BHP. :)
Nie wszyscy się ze mną zgadzali w tym zakresie. Jednak podczas dzisiejszego bezmyślnego przeglądu on-linowych wersji dzienników natknąłem się w rp.pl na artykuł: link.
Jest to analiza odpowiedzi GIODO na problem, kim może być ABI.
Konkluzja: ABI musi być osobą fizyczną lecz niekoniecznie pracownikiem (etatowym) firmy, w której pełni obowiązki.
Cieszę się z takiego wyjaśnienia, ponieważ otwiera ono szerokie możliwości pracy dla wielu ABI :). Mam nadzieję, że w niedługim czasie stanowisko ABI, będzie tak popularne jak inspektor BHP. :)
Trochę reklamy
Ponieważ marketing szeptany (buzz marketing) jest podobno najbardziej skuteczny, to czemu nie mówić o rzeczach ciekawych i fajnych. A że pogoda nie pozwala na myślenie...
Rzecz numero uno: znalazłem księgarnię internetową, w której książki kosztują średnio 10% mniej, niż w księgarniach standardowych (sugerowana cena z okładki). Przy zamówieniu ponad 190PLN wysyłka jest gratis. A na dodatek ksiegarnia jest w Białymstoku ;) http://www.taniaksiazka.pl/
Rzecz numero duo: rozmawiałem wczoraj z człowiekiem z Omni Modo. Od września/października mają wzbogacić swoją ofertę o kurs dot. zabezpieczeń stricte informatycznych i o kurs dot. pisania dokumentacji i procedur związanych z UODO. http://www.omnimodo.com.pl/. Ponieważ kursy w Omni Modo wspominam miło, to najprawdopodobniej wyląduję na pierwszej edycji.
Rzecz numer trzy (bo po włosku już nie znam ;)): pojawiły się nowe terminy szkoleń on-line: PRICE2 - wprowadzenie (21.08.2008) i Podstawy Zarządzania Projektami (2.08.2008). Mam nadzieję, że w końcu znajdę czas i zabezpieczę logistycznie odizolowane pomieszczenie (żeby nikt nie przeszkadzał). http://www.pmc.edu.pl/, a dokładniej link. Trzeba się śpieszyć, ponieważ są to początki kursów on-line w PMC - jest zniżka (128PLN z kurs).
Z żadnej z powyższych firm, nie uzyskałem żadnej kasy ani zniżki, za wzmianki powyżej.
Rzecz numero uno: znalazłem księgarnię internetową, w której książki kosztują średnio 10% mniej, niż w księgarniach standardowych (sugerowana cena z okładki). Przy zamówieniu ponad 190PLN wysyłka jest gratis. A na dodatek ksiegarnia jest w Białymstoku ;) http://www.taniaksiazka.pl/
Rzecz numero duo: rozmawiałem wczoraj z człowiekiem z Omni Modo. Od września/października mają wzbogacić swoją ofertę o kurs dot. zabezpieczeń stricte informatycznych i o kurs dot. pisania dokumentacji i procedur związanych z UODO. http://www.omnimodo.com.pl/. Ponieważ kursy w Omni Modo wspominam miło, to najprawdopodobniej wyląduję na pierwszej edycji.
Rzecz numer trzy (bo po włosku już nie znam ;)): pojawiły się nowe terminy szkoleń on-line: PRICE2 - wprowadzenie (21.08.2008) i Podstawy Zarządzania Projektami (2.08.2008). Mam nadzieję, że w końcu znajdę czas i zabezpieczę logistycznie odizolowane pomieszczenie (żeby nikt nie przeszkadzał). http://www.pmc.edu.pl/, a dokładniej link. Trzeba się śpieszyć, ponieważ są to początki kursów on-line w PMC - jest zniżka (128PLN z kurs).
Z żadnej z powyższych firm, nie uzyskałem żadnej kasy ani zniżki, za wzmianki powyżej.
9th SysAdminDay
Czy to przypadek, że po chłodnych i deszczowych dniach, dzisiaj raptem zaświeciło słonko i temeratura obija się w okolicach 30 Celcjuszy?
Wcale nie, bo jak co roku na 1 maja jest ciepło, tak samo zawsze w ostatni piątek lipca musi być ciepło. Dlaczego?
Bo dzisiaj przypada 9th Annual System Administrator Appreciation Day, czyli DziewiątyDorocznyDzieńUznaniaAdministratorówSystemowych. Wow - tłumaczenie dość karkołomne, ale to znaczy, że dzisiaj administrator systemów informatycznych ma prawo do świętego spokoju. ;)
A jaki prezent zrobiłeś dzisiaj ty - użytkowniku - swojemu adminowi?
Wszystkim kolegom po fachu - wszystkiego spokojnego.
A kto chce poczytać więcej: link
Wcale nie, bo jak co roku na 1 maja jest ciepło, tak samo zawsze w ostatni piątek lipca musi być ciepło. Dlaczego?
Bo dzisiaj przypada 9th Annual System Administrator Appreciation Day, czyli DziewiątyDorocznyDzieńUznaniaAdministratorówSystemowych. Wow - tłumaczenie dość karkołomne, ale to znaczy, że dzisiaj administrator systemów informatycznych ma prawo do świętego spokoju. ;)A jaki prezent zrobiłeś dzisiaj ty - użytkowniku - swojemu adminowi?
Wszystkim kolegom po fachu - wszystkiego spokojnego.
A kto chce poczytać więcej: link
czwartek, 24 lipca 2008
Gdzie krzyczeć o nieuczciwej firmie
Nie opadł jeszcze kurz po wycieku danych z PEKAO S.A., a pojawia się coraz więcej informacji o dostepie do danych osobowych przechowywanych na serwerach. Wystarczy wrzucić do googla odpowiednią frazę, a potem sprawdzić wyniki.
Co w takim wypadku robić?
Po pierwsze: zawiadomić GIODO w naruszeniu ustawy (brak zabezpieczenia), podając sposób znalezienia danych, adres internetowy danych, ew. zrzut ekranu. Zawiadomienia można zrobić to listownie (poczta analogowa!) na adres:
Biuro Generalnego Inspektora Ochrony Danych Osobowych
ul. Stawki 2
00-193 Warszawa
lub mailowo:
kancelaria@giodo.gov.pl Uwaga: Należy podać swoje pełne dane (imię, nazwisko, adres analogowy).
Po drugie: czekać na rozpoczęcie awantury.
Po trzecie: jak już będzie po wszystkim, opublikować informacje na blogu :)
Co w takim wypadku robić?
Po pierwsze: zawiadomić GIODO w naruszeniu ustawy (brak zabezpieczenia), podając sposób znalezienia danych, adres internetowy danych, ew. zrzut ekranu. Zawiadomienia można zrobić to listownie (poczta analogowa!) na adres:
Biuro Generalnego Inspektora Ochrony Danych Osobowych
ul. Stawki 2
00-193 Warszawa
lub mailowo:
kancelaria@giodo.gov.pl Uwaga: Należy podać swoje pełne dane (imię, nazwisko, adres analogowy).
Po drugie: czekać na rozpoczęcie awantury.
Po trzecie: jak już będzie po wszystkim, opublikować informacje na blogu :)
środa, 23 lipca 2008
I jak to w końcu z tymi niekwalifikowanymi podpisami
No jak to prawie wszyscy wiedzą, prezydent zdążył i podpisał. :)
No i jest dobrze...
... podpisy zachowują ważność do swego końca, a dopiero nowy podpis musi być kwalifikowany.
A co z certyfikatami, które są ważne, ale uległy zniszczeniu, kompromitacji?
http://nomadowyblog.blogspot.com/2008/06/certyfikat-z-zus-na-jak-dugo.html
Więc jeszcze 30 czerwca, rzecznik ZUS twierdził, że w takim wypadku wystawiony zostanie nowy, o okresie ważności starego certyfikatu. Natomiast pracownik infolinii twierdził, że będzie wystawiony nowy klucz o rocznym okresie ważności.
No innego widnieje jednak na stronach ZUS. Link
Po 20 lipca 2008 r. w dedykowanym centrum certyfikacji zostaną wyłączone usługi wystawiania nowych i odnawiania unieważnionych lub uszkodzonych certyfikatów. Po tym terminie Zakład Ubezpieczeń Społecznych nie będzie prowadził dystrybucji bezpłatnych certyfikatów niekwalifikowanych.
Kto powie na 100%, jak jest?
No i jest dobrze...
... podpisy zachowują ważność do swego końca, a dopiero nowy podpis musi być kwalifikowany.
A co z certyfikatami, które są ważne, ale uległy zniszczeniu, kompromitacji?
http://nomadowyblog.blogspot.com/2008/06/certyfikat-z-zus-na-jak-dugo.html
Więc jeszcze 30 czerwca, rzecznik ZUS twierdził, że w takim wypadku wystawiony zostanie nowy, o okresie ważności starego certyfikatu. Natomiast pracownik infolinii twierdził, że będzie wystawiony nowy klucz o rocznym okresie ważności.
No innego widnieje jednak na stronach ZUS. Link
Po 20 lipca 2008 r. w dedykowanym centrum certyfikacji zostaną wyłączone usługi wystawiania nowych i odnawiania unieważnionych lub uszkodzonych certyfikatów. Po tym terminie Zakład Ubezpieczeń Społecznych nie będzie prowadził dystrybucji bezpłatnych certyfikatów niekwalifikowanych.
Kto powie na 100%, jak jest?
Jak wytłumaczyć, po co są procedury :)
Dość często spotykam sięz pytaniami o zasadność procedur. U większości pracowników słowo procedra wywołuje odruch wymiotny lub gęsią skórkę. Przecież procedury ograniczają kreatywność pracowników i sprowadzają do roli maszynek.
A gdzie jest napisane, że każdy pracownik ma być kreatywny?
Czytałem ostatnio rozpiskę obowiązków pracowników.
W przypadku referenta, ma on obowiązek wykonywania poleceń przełożonych i wykonywać obowiązki według ustalonych zasad. Dopiero pracownik na stanowisku specjalisty ma obowiązek działać w sytuacjach niestandardowych - dlatego zarabia więcej :). To takie informacje z pamięci.
Co ciekawsze, te opisy wzięte są z firmy, w której prawie nie istnieją procedury, a informacje o sposobie pracy przekazywane są dla nowych pracowników, jak u Indian - z ust do ust :), jako przekazy pokoleniowe. Powoduje to, że czasem ktoś o czymś zapomni, coś źle przekaże, a czasem coś od siebie doda. :) Suma sumarum, każdy pracuje jak chce, a te same czynność w różnych oddziałach wykonywane są na różne sposoby. :)
Ha... więc jak przekonać kadrę pracującą do konieczności procedur. Po głowie kołacze mi się jeden bardzo dobry przykład i nie pamiętam skąd go znam (przecież sam nie wymyśliłem). :)
No dobra, przykład:
Wyobraź sobie, że jesteś szefem serwisu sprzątającego w eleganckim hotelu. Zarządzasz podległym personelem sprzątającym i właśnie zatrudniłeś dwie nowe pracownice.
Wiec, co? Wydajesz im polecenie: prosze posprzątać pokoje 201 i 502.
Wynik: otrzymujesz 2 posprzątane pokoje. Tylko, że każdy posprzątany jest w inny sposób. Jeden ma umyte okna i wymienioną pościel, a drugi pokój ma napełniony barek i umytą podłogę. I o co chodzi? Przecież oba pokoje są posprzątane, ale stali goście nie są zadowoleni, bo pokoje wyglądają zupełnie inaczej niż zawsze. Trzeba poprawić, przeprosić klienta... wzrastają koszty obsługi...
No właśnie - brak jest procedury.
A gdybyś każdej z nowozatrudnionej pracownicy wręczył na kartce dokładne wytyczne, w jaki sposób ma posprzątać pokój?
Łatwiej dla pracownicy, taniej dla pracodawcy, lepiej dla klienta. :)
----
Maluję własnie sypialnię... i troche się przeraziłem. Do malowania podszedłem jak do realizacji projektu. :)
Czy to normalne?
A gdzie jest napisane, że każdy pracownik ma być kreatywny?
Czytałem ostatnio rozpiskę obowiązków pracowników.
W przypadku referenta, ma on obowiązek wykonywania poleceń przełożonych i wykonywać obowiązki według ustalonych zasad. Dopiero pracownik na stanowisku specjalisty ma obowiązek działać w sytuacjach niestandardowych - dlatego zarabia więcej :). To takie informacje z pamięci.
Co ciekawsze, te opisy wzięte są z firmy, w której prawie nie istnieją procedury, a informacje o sposobie pracy przekazywane są dla nowych pracowników, jak u Indian - z ust do ust :), jako przekazy pokoleniowe. Powoduje to, że czasem ktoś o czymś zapomni, coś źle przekaże, a czasem coś od siebie doda. :) Suma sumarum, każdy pracuje jak chce, a te same czynność w różnych oddziałach wykonywane są na różne sposoby. :)
Ha... więc jak przekonać kadrę pracującą do konieczności procedur. Po głowie kołacze mi się jeden bardzo dobry przykład i nie pamiętam skąd go znam (przecież sam nie wymyśliłem). :)
No dobra, przykład:
Wyobraź sobie, że jesteś szefem serwisu sprzątającego w eleganckim hotelu. Zarządzasz podległym personelem sprzątającym i właśnie zatrudniłeś dwie nowe pracownice.
Wiec, co? Wydajesz im polecenie: prosze posprzątać pokoje 201 i 502.
Wynik: otrzymujesz 2 posprzątane pokoje. Tylko, że każdy posprzątany jest w inny sposób. Jeden ma umyte okna i wymienioną pościel, a drugi pokój ma napełniony barek i umytą podłogę. I o co chodzi? Przecież oba pokoje są posprzątane, ale stali goście nie są zadowoleni, bo pokoje wyglądają zupełnie inaczej niż zawsze. Trzeba poprawić, przeprosić klienta... wzrastają koszty obsługi...
No właśnie - brak jest procedury.
A gdybyś każdej z nowozatrudnionej pracownicy wręczył na kartce dokładne wytyczne, w jaki sposób ma posprzątać pokój?
Łatwiej dla pracownicy, taniej dla pracodawcy, lepiej dla klienta. :)
----
Maluję własnie sypialnię... i troche się przeraziłem. Do malowania podszedłem jak do realizacji projektu. :)
Czy to normalne?
wtorek, 22 lipca 2008
Dane pracowników
Padło pytanie od znajomego: czy szef firmy ma prawo podać na stronie internetowej jest imię, nazwisko, służbowy adres mailowy, służbowy telefon i zdjęcie? Ostatnio firma, w której pracuje mój znajomy zmieniała swoja witrynę i fotograf porobił wszystkim portretówki :)
No i niestety, szef może.
Zgodnie z informacjami zawartymi w sprawozdaniu GIODO za rok 2003:
Znaczną grupę spraw stanowiły pytania o konieczność rejestracji zbiorów danych przetwarzanych w związku z zatrudnieniem, w tym m.in. zbiorów danych „ osób kontaktowych”. Zbiory dotyczące tzw. „osób kontaktowych” podlegają zwolnieniu z obowiązku rejestracji na postawie art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych. Przesłanka ta ma zastosowanie wobec zbiorów danych „przetwarzanych w zakresie drobnych bieżących spraw życia codziennego”. Przetwarzanie danych w celu utrzymywania kontaktów z kontrahentami, partnerami przedsiębiorcy przez wyznaczonych do tego pracowników oraz w zakresie niezbędnym do realizacji tego celu służy usprawnieniu działalności administratora. Zbiór tego rodzaju danych ma charakter pomocniczy, a co za tym idzie dane w nim zawarte traktować należy jako przetwarzane w zakresie drobnych, bieżących spraw życia codziennego. Rozważać można również zwolnienie administratora z obowiązku zgłoszenia przedmiotowego zbioru do rejestracji na podstawie przesłanki wskazanej w art. 43 ust. 1 pkt 9, albowiem informacje o pracowniku reprezentującym pracodawcę (takie, jak: imię, nazwisko, służbowy numer telefonu, czy adres poczty elektronicznej) mogą być bez zgody pracownika ujawnione w publikacjach w internecie lub w ogłoszeniu prasowym i łatwość ich uzyskania z takich źródeł powoduje, iż mają charakter danych powszechnie dostępnych.
Jest to odpowiedź na pytanie z drugiej strony (kontekst zbierania a nie ujawniania danych), ale widać tu, że pracodawca m prawo na ujawniania takich danych.
Znalazłem też orzeczenie Sądu Najwyższego z dnia 19 listopada 2003 r. o sygn. I PK 590/02. W orzeczeniu tym sąd stwierdza, że pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika.
Tak więc bezspornie widać, że pracodawca może. :)
No i niestety, szef może.
Zgodnie z informacjami zawartymi w sprawozdaniu GIODO za rok 2003:
Znaczną grupę spraw stanowiły pytania o konieczność rejestracji zbiorów danych przetwarzanych w związku z zatrudnieniem, w tym m.in. zbiorów danych „ osób kontaktowych”. Zbiory dotyczące tzw. „osób kontaktowych” podlegają zwolnieniu z obowiązku rejestracji na postawie art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych. Przesłanka ta ma zastosowanie wobec zbiorów danych „przetwarzanych w zakresie drobnych bieżących spraw życia codziennego”. Przetwarzanie danych w celu utrzymywania kontaktów z kontrahentami, partnerami przedsiębiorcy przez wyznaczonych do tego pracowników oraz w zakresie niezbędnym do realizacji tego celu służy usprawnieniu działalności administratora. Zbiór tego rodzaju danych ma charakter pomocniczy, a co za tym idzie dane w nim zawarte traktować należy jako przetwarzane w zakresie drobnych, bieżących spraw życia codziennego. Rozważać można również zwolnienie administratora z obowiązku zgłoszenia przedmiotowego zbioru do rejestracji na podstawie przesłanki wskazanej w art. 43 ust. 1 pkt 9, albowiem informacje o pracowniku reprezentującym pracodawcę (takie, jak: imię, nazwisko, służbowy numer telefonu, czy adres poczty elektronicznej) mogą być bez zgody pracownika ujawnione w publikacjach w internecie lub w ogłoszeniu prasowym i łatwość ich uzyskania z takich źródeł powoduje, iż mają charakter danych powszechnie dostępnych.
Jest to odpowiedź na pytanie z drugiej strony (kontekst zbierania a nie ujawniania danych), ale widać tu, że pracodawca m prawo na ujawniania takich danych.
Znalazłem też orzeczenie Sądu Najwyższego z dnia 19 listopada 2003 r. o sygn. I PK 590/02. W orzeczeniu tym sąd stwierdza, że pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika.
Tak więc bezspornie widać, że pracodawca może. :)
poniedziałek, 21 lipca 2008
Rzecznik Praw Obywatelskich a PEKAO S.A.
Sprawa wycieku danych zatacza coraz szersze kręgi. Problemem zainteresował się Rzecznik Praw Obywatelskich, p. Janusz Kochanowski.
Treść listu do GIODO została opublikowana na stronach http://www.giodo.pl/. Link
W dniu dzisiejszym p. Michał Serzycki odpisał. Link
Mam nadzieję, że to spowoduje większe zainteresownaie tematem.
Treść listu do GIODO została opublikowana na stronach http://www.giodo.pl/. Link
W dniu dzisiejszym p. Michał Serzycki odpisał. Link
Mam nadzieję, że to spowoduje większe zainteresownaie tematem.
niedziela, 20 lipca 2008
HotSpot a sprawa danych osobowych
Przykład tego, jak młodzi dziennkarze podchodzą do tematu:
W sumie p. Dzienis dłuższy czas pracuje w białostockej Wyborczej, ale chyba nie nauczyła się, że temat nie zawsze wygląda, tak jak wygląda (czyli prosto) :)
W skrócie:
Urząd Miasta zafundował darmowe hotspoty (czy hotspoty moga być płatne?). Jednak, żeby skorzystać z internetu, należy się zalogować, podając imię, nazwisko, adres mailowy i numer telefonu. Dane te nie są sprawdzane.
Oczywiście biedni internauci, którzy chcą za darmo skorzystać z internetu podnieśli larum i w ich obronie stanęłą dzielna p. Aneta Dzienis. :) Żeby dowieść o bezprawności pobierania danych przez UM, skontaktowała się z szefem informatyków w krakowskim Urzędzie Miejskim, który nie widzi potrzeby zbierania danych. Przecież w innych miastach podobne praktyki są niespotykane. Pytanie: czy p. Piotr Malcharek (dyrektor informatyki w UM w Krakowie) ma obowiązek znać ustawę o świadczeniu usług drogą elektroniczną i UODO? Może lepiej byłoby zapytać prawnika, który zajmuje się bezpieczeństwem danych osobowych?
No tak, ale czy takie praktyki są zabronione. Poczekamy na opinię GIODO, ale czy w tym wypadku nie należy powołać się na ustawę o świadczeniu usług drogą elektroniczną, a dokładniej art. 18?
Art. 18.
1. Usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne
do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi:
1) nazwisko i imiona usługobiorcy,
2) numer ewidencyjny PESEL lub - gdy ten numer nie został nadany - numer
paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość,
3) adres zameldowania na pobyt stały,
4) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3,
5) dane służące do weryfikacji podpisu elektronicznego usługobiorcy,
6) adresy elektroniczne usługobiorcy.
2. W celu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą, usługodawca może przetwarzać inne dane niezbędne ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia.
3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną zgodnie z art. 22 ust. 1.
4. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów określonych w art. 19 ust. 2 pkt 2, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.
5. Usługodawca może przetwarzać następujące dane charakteryzujące sposób korzystania
przez usługobiorcę z usługi świadczonej drogą elektroniczną (dane eksploatacyjne):
1) oznaczenia identyfikujące usługobiorcę nadawane na podstawie danych, o których mowa w ust. 1,
2) oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca,
3) informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną,
4) informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną.
6. Usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań.
1. Usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne
do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi:
1) nazwisko i imiona usługobiorcy,
2) numer ewidencyjny PESEL lub - gdy ten numer nie został nadany - numer
paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość,
3) adres zameldowania na pobyt stały,
4) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3,
5) dane służące do weryfikacji podpisu elektronicznego usługobiorcy,
6) adresy elektroniczne usługobiorcy.
2. W celu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą, usługodawca może przetwarzać inne dane niezbędne ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia.
3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną zgodnie z art. 22 ust. 1.
4. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów określonych w art. 19 ust. 2 pkt 2, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.
5. Usługodawca może przetwarzać następujące dane charakteryzujące sposób korzystania
przez usługobiorcę z usługi świadczonej drogą elektroniczną (dane eksploatacyjne):
1) oznaczenia identyfikujące usługobiorcę nadawane na podstawie danych, o których mowa w ust. 1,
2) oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca,
3) informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną,
4) informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną.
6. Usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań.
A co to jest ten stosunek prawny?
Dzieki Ani i jej odpowiedzi na GoldenLine i skierowaniu do źródła możemy dowiedzieć się, że stosunek prawny (link)to więź społeczna jaka powstaje między dwiemalub więcej osobami w następstwie stworzonej przez nie - lub innezdarzenia- sytuacji określonej w obowiązującej normie prawnej. Jestto stosunek powstający między podmiotami prawa gdy zaistnieje fakt zktórym norma prawna wiąże dla tych podmiotów określone konsekwencje.W każdym stosunku prawnym wyróżnić można cztery następujące elementy:- podmioty między którymi stosunek prawny zachodzi ( mogą być-nimi ludzie, pewne organy, instytucje lub osoby prawne)- przedmiot stosunku prawnego którym jest określone zachowanieuczestników tego stosunku- prawo (uprawnienie)- polegające na możliwości domagania sięprzez podmiot uprawniony określonego zachowania się do drugiej stronystosunku prawnego- obowiązek, będący odpowiednikiem (korelatem) tego prawa.Nie są stosunkami prawnymi takie stosunki społeczne, z którychistnieniem i ustaniem prawo nie łączy żadnych skutków prawnych (stosunki przygodnej znajomości, koleżeństwa itp.)Można rozróżnić; stosunek typu zobowiązaniowego (zachodzirównorzędność praw i racji obydwu podmiotów) oraz stosunekpodległości kompetencji ( podległość racji jednego z podmiotówdrugiemu).
Stosunek prawny, każdy stosunek społeczny, który podlega regulacji za pomocą norm prawnych, inaczej - stosunek społeczny, z którym hipotezy norm prawnych wiążą określone skutki prawne. Wyróżnia się następujące elementy stosunku prawnego: podmioty stosunku prawnego (co najmniej dwa), treść stosunku prawnego (uprawnienia i odpowiadające im obowiązki) oraz przedmiot stosunku prawnego (cel, dla którego podmioty stosunku prawnego wchodzą w stosunek prawny).
To przytoczę jeszcze źródło do wikipedia.pl. Link
Więc wobec podanych definicji, akceptacja regulaminu jest podstawą do zbierania danych osobowych. Co więcej, ustawa ta nakłada obowiązek współpracy z organami ścigania.
No dobrze, ale w wypowiedzi p. rzecznik GIODO Małgorzaty Kałużyńskiej-Jasak, pada stwierdzenie, że stosunek prawny można nawiązać w ramach umowy, a nie akceptacji regulaminu. Niestety (a może stety) - nigdzie nie znalazłem zapisu, że konieczne jest podpisanie umowy. Jak to często bywa, rzecznicy prasowi mówią dużo i nie zawsze z sensem (p. rzecznik PEKAO S.A.).
Pewną wątpliwość może budzić zapis z art. 22 ust. 1
Odmowa świadczenia usługi drogą elektroniczną z powodu nieudostępnienia przez usługobiorcę danych, o których mowa w art. 18 ust. 1 i 2, jest dopuszczalna tylko wtedy, gdy przetwarzanie tych danych jest niezbędne ze względu na sposób funkcjonowania systemu teleinformatycznego zapewniającego świadczenie usługi drogą elektroniczną lub właściwość usługi albo wynika z odrębnych ustaw.
Dane z art. 18 ust. 1 i 2 to imię, nazwisko i PESEL. Można oczywiście dyskutować, czy imię i nazwisko są niezbędne, ale przyjmując zasadę zachowania bezpieczeństwa myślę, że tak. Podanie danych troche pionizuje zachowanie się użytkownika, a podając fałszywe dane, należy liczyć się z kosekwencjami (blokada konta).
W tym wpadku bardzo mądrze zachował się rzecznik UM p. Tomasz Ćwikowski, podając przesłanki do logowania danych. No ale oczywiście jak zawsze trafi sie "cwany gościu", niejaki p. Wojtek, który szczyci się, że leci na lewych danych już od kilku miesięcy :)
No dobrze, czas na niedizelne sprawunki :)
Mam nadzieję, że UM nie zniechęci się i nie zaniecha projektu hotspotow w centrum.
sobota, 19 lipca 2008
Ustawa o ochronie baz danych
Z cyklu kolejny akt prawny, do zapoznania się przez ABIego:
ustawa o ochronie baz danych z dnia 27 lipca 2001r. (Dz. U. 2001 nr 128 poz. 1402). Link
Tekst jednolity: link
Swoja drogą bardzo się zadziwłem, że jest taka ustawa :)
Ustawa nie jest długa - jedynie 17 artykułów.
O co chodzi?
Otóż art. 2 ust. 1 definiuje nam bazę danych jako taką, czyli że jest to zbiór danych lub jakichkolwiek innych materiałów i elementów zgromadzonych według określonej systematyki lub metody, indywidualnie dostępnych w jakikolwiek sposób, w tym środkami elektronicznymi, wymagający istotnego, co do jakości lub ilości, nakładu inwestycyjnego w celu sporządzenia, weryfikacji lub prezentacji jego zawartości.
Jednocześnie art. 4 mówi, że ochrona przyznana bazom danych nie obejmuje programów komputerowych użytych do sporządzenia baz danych lub korzystania z nich.
Więc co tak na prawdę chroni ustawa?
Ustawa wzięła pod ochronę osoby, które zajmują się zbieraniem i przetwarzaniem danych, głównie pod postacią spisów, wykazów, analiz.
Artykuły z którymi (według mnie) dobrze jest się zapoznać:
http://www.serwisprawniczy.pl/index.php?option=com_content&task=view&id=461
http://www.uwm.edu.pl/unesco/ELEARNING/MATERIALY/fordonski/ochrona_bazdanych.doc
http://archiwum.gazeta-it.pl/2,10,706,index.html
Życzę miłego czytania :)
ustawa o ochronie baz danych z dnia 27 lipca 2001r. (Dz. U. 2001 nr 128 poz. 1402). Link
Tekst jednolity: link
Swoja drogą bardzo się zadziwłem, że jest taka ustawa :)
Ustawa nie jest długa - jedynie 17 artykułów.
O co chodzi?
Otóż art. 2 ust. 1 definiuje nam bazę danych jako taką, czyli że jest to zbiór danych lub jakichkolwiek innych materiałów i elementów zgromadzonych według określonej systematyki lub metody, indywidualnie dostępnych w jakikolwiek sposób, w tym środkami elektronicznymi, wymagający istotnego, co do jakości lub ilości, nakładu inwestycyjnego w celu sporządzenia, weryfikacji lub prezentacji jego zawartości.
Jednocześnie art. 4 mówi, że ochrona przyznana bazom danych nie obejmuje programów komputerowych użytych do sporządzenia baz danych lub korzystania z nich.
Więc co tak na prawdę chroni ustawa?
Ustawa wzięła pod ochronę osoby, które zajmują się zbieraniem i przetwarzaniem danych, głównie pod postacią spisów, wykazów, analiz.
Artykuły z którymi (według mnie) dobrze jest się zapoznać:
http://www.serwisprawniczy.pl/index.php?option=com_content&task=view&id=461
http://www.uwm.edu.pl/unesco/ELEARNING/MATERIALY/fordonski/ochrona_bazdanych.doc
http://archiwum.gazeta-it.pl/2,10,706,index.html
Życzę miłego czytania :)
Subskrybuj:
Posty (Atom)
