środa, 10 września 2008

No to zamykamy

No i zamklimy.
Zapraszam na:
- uodoBlog.pl
- NomadowyBlog.pl

a w międzyczasie na uodo.pl

poniedziałek, 8 września 2008

Zamykamy?

No to zamykamy :)
Czas zamknąć, bo się mały bałagan zaczął robić.
Jak wystartowałem z blogiem, to miał być poświęcony uodo, potem doszedł e-podpis, potem jakieś poboczne tematy i zrobił się bałagan.
Dodatkowo znudziło mi się dyktowanie adresu bloga przez telefon (ile można literować) i pojawiły sie z bloggerem problemy, których nie mogłem przeskoczyć.

W niedzielę poszły zamówienia na 2 nowe domeny:
- NomadowyBlog.pl - tam będzie blog poświęcony wszystkiemu (mój prywatny),
- uodoBlog.pl - a tu blog poświęcony ochronie danych osobowych.

Mam nadzieję, że od środy obie domeny będą dostępne.

wtorek, 19 sierpnia 2008

Dostarczanie wyciągów - ciąg dalszy.

Jakiś czas temu napisałem o cudym wyciągu znalezionym w mojej skrzynce pocztowej (link). A dzisiaj znalazlem na alert24.pl tekst o tym jak pewien obywatel znalazl całą paczkęz listami (listy z banków, TP S.A.). Na szczęście obywatel był porządnym obywatelem i zechciało mu się oddać te listy na poczcie (mimo oporów pracowników poczty) i nawet czapeczkę dostał :) Link
Ale nie o tym.
Na końcu swojego poprzedniego artykułu napisałem, że za cienki jestem, żeby podjąć dyskusję dotyczącą luki w procedurach instytucji, które przetwarzają dane osobowe i dostarczają nam rachunki/wyciągi za pomocą poczty (nie tylo PP, ale też innych firm dostarczających przesyłki).
Ale po tym wypadku coraz bardziej zaczynam zastanawiać się nad tym problemem.
Chyba trzeba zadać pytanie pracownikom biura GIODO, bo przecież zgodnie z art. 36 ust. 1:
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Czas chyba zapoznać się z regulacjami dot. dostarczania przesyłek przez PP.

niedziela, 17 sierpnia 2008

Szkolenie on-line z ochrony danych osobowych

Znalazłem ostatnio szkolenie z ochrony danych osobowych, na które nie trzeba jechać. Siadasz wygodnie do komputera i lecisz on-linowo.
Szkolenie jest w stałej ofercie firmy 4systems pod adresem: link. Koszt: 290PLN.
Do kogo skierowane jest szkolenie? Ze wzgledu na sposób przeprowadzenia (brak instruktora, szkolenie według zaprogramowanej ściezki), szkolenie to skierowane jest do osób, które dopiero co rozpoczynają przygodę z ochroną danych osobowych. Zakres kursu jest szeroki, a sama ustawa jest dość pogmatwana, żeby opracować ten temat bez serii wyjaśnień. Dlatego można wykupić dodatkowo za 250PLN, 10 godzin warsztatów.
Czy kurs jest wart polecenia? Cieżko wyrokować, jeżeli nie było się uczestnikiem (sorki ale szkoda mi kasy żeby płacić za to co już wiem), ale może lepiej dołożyć do 540PLN (szkolenie i warsztaty) pare groszy i zaliczyć kurs z instruktorem. No chyba, że potrzebuje się papierka lub są problemy z wolnym dniem.

czwartek, 14 sierpnia 2008

Czy na pewno pracodawcy nie mogą tworzyć baz CV?

W dzisiejszej Gazecie Prawnej ukazał się artykuł pod tytułem Firmy nie mogą tworzyć baz danych kandydatów do pracy: link
W artykule poruszony został temat zbierania do celów rekrutacji danych o przyszłych pracownikach. Pisałem już o wcześniej (np. Przyjmowanie pracownika, a dane osobowe., ).

Hmm... Zaczynam wątpić w rzetelność dziennikarzy w zakresie formułowania tytułów. Wiem, że im większy, głośniejszy i bardziej sensacyjny artykuł, tym większe zainteresowanie tematem. Ale to jest przecież Gazeta Prawna, która opisuje prawo a nie Super Expres, czy inny Fakt.
Co mi się nie podoba? Pobieżne potraktowanie tematu i tytuł, który powinien brzmieć:
Firmy najczęściej nie mogą tworzyć baz danych kandydatów do pracy, lub Firmy muszą zabezpieczać bazy danych kandydatów do pracy. Wtedy bym się zgodził.
Dlaczego najczęściej?
Rozpatrywany był przypadek, kiedy rekrutacja prowadzona jest przez firmę właściwą i przyszły pracownik nie zamieścił w CV klauzulki z pozwoleniem na przetwarznie danych (tej nieszczęsnej), lub zamieścił ją nieprecyzyjną (czyli złą). Wtedy faktycznie. Po zakończonej rekrutacji należy niezwłocznie zniszczyć dokumenty osób, które nie zostały przyjęte.
No dobra, a co się dzieje w przypadku, gdy przyszły pracownik wyraźnie wyjawił swoją wolę przechowywania jego danych przez przyszłego pracodawcę?
Wtedy na podstawie art. 23 ust. 1 pracodawca ma prawo przetwarzać dane przyszłego/niedoszłego pracownika w celu ujawnionym w akcie woli (no dobra - głupie sformułowanie ;)).
1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie
dotyczących jej danych,

O tym, że pracodawca może przetwarzać dane pracownika w przyszłowści mówi art. 23 ust. 2
Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.
No to jednak niedoszły/przyszły pracodawca ma prawo zostawić sobie CV osób, które nie zostały przyjęte :)
A pokomplikumy jeszcze sprawę i zadajmy pytanie, co w przyadku, gdy rekrutację robi firma zewnętrzna? A to już lekcje do odrobienia dla Pana Dziennikarza.

No i dochodzimy do problemu nr 2. W artykule przewija się problem niezabezpieczonego przetwarzania danych osobowych (dla niezorientowanych przetwarzanie zaczyna się już w momencie zbierania danych, a kończy na procesie utylizacji) link
I u dobry byłby tytuł nr 2 :)
Każda baza danych osobowych musi być zabezpieczona. Mówi o tym rozdział 5 UODO. Obojętnie czy jest to przechowywanie danych kandydatów do pracy, czy niszczenie dokumentów kandydatów odrzuconych, czy zbieranie CV. W ciągu całego procesu przetwarzania danych osobowych, te dane muszą być zabezpieczone.

A poza tym, to dobrze, że taki artykuł sie pojawił. Mała poprawka (np. drugi artykuł po przebadaniu sprawy dokładniej) i byłoby super :)

środa, 13 sierpnia 2008

Piramidalna bzdura... dane osobowe firmy

Jak tu wymagać znajomości ustawy o ochronie danych osobowych od właścicieli małych firm i osób prywatnych , jeżeli ABI w dużych instytucjach nie mają zielonego pojęcia na ten temat.
Do jednej ze znajomych firm, Makro Cash & Carry przysłało bardzo ładny liścik, z informacją że na podstawie UODO prztwarzaja dane osobowe i że bardzo informują, że są to takie a takie dane, przetwrzane w takim i takim celu. Dodatkowo powołują się na art. 25 UODO.

He... pięknie i ładnie, tylko po co?
Czym zajmuje się Makro? Makro z założenia zajmuje sie obsługą osób, które prowadzą działalność gospodarczą (placówki handlowe i usługowe, przedsiębiorstwa produkcyjne, lokale gastronomiczne, hotele itp.) lub dokonują zakupów na rzecz instytucji, biur, urzędów (informacja ze strony makro.pl). W tym drugim przypadku osoby dokonujące zakupów dla instytucji i tak podają dane adresowe instytucji. Imię i nazwisko pracownika można potraktować jako dane kontaktowe, a nie dane osbowe.
Więc powołanie się w kontaktach z klientem instytucjonalnym na UODO jest bzdurą. UODO dotczy przetwarzania danych osób fizycznych, a już sam profil klienta uniemożliwia przetwarzanie tych danych (bo przecież klientem nie może być osoba prywatna).

Dalej... w liście tym p. Joanna Młynarczyk (ta pani podpisała sie jako ABI) powołuje sie na art. 25, jako sposób pozyskania (tak sądzę - tak na prawdę to nie rozumiem całego zdania). Już wiem, chodzi na pewno o to, że według tej pani, art. 25 nakłada na Makro obowiązek wysłania tego listu. BINGO :)

Otóż art. 25 nakłada na administratorze danych powiadomienie osoby, której dane są przetwarzane w przypadku uzyskani informacji od osoby, której te dane nie dotyczą (firma dostała dane np. z innej firmy). No dobra, ale te dane zostały uzyskane w celu otrzymania karty, a więc musiały zostać przekazane przez samego zainteresowanego. Więc nie szafowałbym tak tymi artykułami, w nadziei, że list będzie wyglądał poważnie.

Pomijam już, że nazwa firmy została wydrukowana bez polskich znaków, a adres już z polskimi znakami (niebalstwo), co jak już opieramu sie na UODO powoduje złamanie art. 26, który nakazuje dołożenie szczególnej staranności - ale przecież i tak to nie są dane osbowe. :)

Taki krótki i ładny liścik. :)
Jak to mawia pewien mądry znajomy odpoczywając w pracy: Nadgorliwość jest gorsza od faszyzmu. ;)

wtorek, 12 sierpnia 2008

Dlaczego nie dostaję wyciągów z banku?

Jakiś czas temu podziękowałem swojemu bankowi za wyciągi przesyłane papierkowo za pomocą poczty. Zrobiłem to w sumie z powodu lasów i bałaganu (za dużo papierów w domu).
Ale troche się zdziwiłem, kiedy dostałem wyciąg z banku. Ale...
... kurcze, nie ten bank, nie to nazwisko, nie to miasto, nie ten kod pocztowy, tylko ta sama ulica i numer bloku i mieszkania. Czyli dostałem cudzy wyciąg, tylko dlatego że mieszkamy na tej samej ulicy ale w różnych miastach... No i co z tym fantem zrobić?
1. Wrzucić do zwrotów, ale euro skrzynka nie posiada miejsca na zwroty.
2. Położyć na skrzynce, ale może ktoś sobie gwizdnąć.
3. Oddać listonoszowi, ale nie widuję człowieka.
4. Zadzwonić do człowieka, ale nie dostałem numeru telefonu, bo pani z informacji powiedziała, że telefon zarejestrowany jest na innego abonenta i uodo zakazuje podania numeru. ;)
5. Zanieść do banku, ale jaką mam pewność, że pani z okienka przekaże komuś faktycznie a nie sama otworzy.
6. Zanieść na pocztę, ale patrz pkt. 5.
Więc? Do niszczarki :) List poszedł na trociny. Problem z głowy.
No dobra, ale wcale nie problem z głowy, bo przecież to tylko z głowy ten konkretny przypadek. A co w resztą listów i wyciągów, które dostarcza nasz ukochana monopolistyczna instytucja.
Przecież w tym momecie zawiniły co najmniej trzy osoby kilka osób:
1. Listonosz, bo podczas wrzucania nie zwrócił uwagi na miasto.
2. Osoba dzieląca listy dla listonosza, bi nie zwróciła uagi na miasto.
3. Osoba sortująca na sortowni, bo nie zwróciła uwagi na miasto.
Co zawiera wyciąg?
1. Kompletne dane osobowe - imię, nazwisko, adres.
2. Stan konta, wydatki, przychody.
3. Ewentualne linie kredytowe.
Dość dużo danych, których nie miałbym ochoty udostępniać.
Za cienki jestem, żeby rozpocząć dyskusję z samym sobą o aspetkach prawnych, ale zastawiam się:
1. Czy banki nie powinny podpisywać umowy na przetwarzanie danych - wysyłanie wyciągów jest na podstawie umowy między bankiem i pocztą.
2. Czy poczty nie można pociągnąć do odpowiedzialności za taką niedbałość.

uodo.pl

Zamiklem na weekend i początek tygodnia, bo jakoś weekend miałem odpoczynkowy strasznie, a teraz zająłem sie kleceniem uodo.pl.
Nie mogę dojść do porozumienia z templatkami. Jak któraś fajna, to za nie jest darmowa. Jak darmowa i fajna, to okazuje się, że to nie jest to o co mi chodzi (brak elemntów, które powinny być)... i tak straciłem sporo czasu na przeszukiwanie sieci.
Ale mam nadzieję, że już ruszyło - trona ma być funkcjonalna i zawierać informacje, a nie być ładna (no dobra - powinna być ładna, ale jeszcze nie mam na tyle umiejętności).

niedziela, 10 sierpnia 2008

Wyciek danych z bułgarskiej kasy chorych


Jak wczoraj podał na swojej stronie Puls Biznesu w bułgarskiej kasy chorych wyciekły dane osobowe niustalonej liczby ubezpieczonych. Link
Według informacji, dane osób (zawierające także dane dotyczące zdrowia i przepisywane leki ) od jakiegoś czasu funduszom zdrowia i koncernom farmaceutycznym sprzedawał informatyk.






W tej informacji należy zwrócić uwagę na dwa problemy:
1. jakie skutki może mieć taki wyciek danych
2. kim jest informatyk w firmie i jaki powinien mieć nadzór.
ad. 1)
Z informacji wynika, ze wyciekły dane adresowy pacjentów, informacje dotyczące chorób i stosowanych leków.
Autor zwrócił uwagę na możliwość szantarzu ludzi (ze względu na ich choroby i dolegliwości). Jakie skutki może mieć szantarz osoby, która ma istotny wpływ na losy kraju lub wydawanie publicznych pieniędzy? Jakie skutki może mieć szantarz każdego z nas?
A spróbujmy zawrzeć ubezpieczenie, kiedy ubezpiczający ma wszytskie informacje dotyczące naszego stanu zdrowia? W najlepszym wypadku skończy się wysoką składką.
Spróbujmy żyć w momencie, kiedy ktoś publicznie wyjawi dane dotyczące naszego zdrowia?
Pomijam ataki marketingowe, które swojej uciążliwości nie stanowią zagrożenia.
Ale na problem należy spojrzeć też z "lotu ptaka". Ta masa danych (dane setek tysięcy osób) stanowi bardzo ciekawy materiał dla firma farmacetycznych, które mają bardzo dobre narzędzie nacisku na kasę chorych przy zawieraniu kontraktów. Koszty społeczne są nie do oszacowania.
ad. 2)
Infomatyk... szara eminencja w firmie. Z doświadczenia wiem, że mało kto wie czym zajmuje się informatyk (administrator sieci i serwerów), a tym bardziej mało kto potrafi kontrolować poczynania informatyka.
Dlatego ABI nie powinien być ani informatykiem, ani szefem działu informatyki. Jednocześnie ABI powinien mieć umiejętności pozwalalające na kontrolę zabezpieczeń i egzekwowanie wykonywania procedur przez dział informatyki.
Jeżeli w bułgarksiej kasie chorych wdrożone i wykonywane byłyby procedury kontrolne nad działaniem informatyków, sytuacja taka nie miałaby miejsca lub zostałaby szybko wykryta podczas rutynowej kontroli bepieczeństwa.

sobota, 9 sierpnia 2008

So, stop apologizing. Your English is great.

To cytat z blogu prowadzonego przez osobę o nicku Trika (dość pokrętne zdanie, ale nie wiedziałem jak odmienić Trika ;))
Odwiedzam to miejsce regularnie (ze wzgledu na tematy związane z egzaminami MS).

Wpis: link
Stop apologizing, seriously. Even if your English is not great, it is way better than my Farsi, Schwyzerduetsch, Amharic, Portuguese, or Mandarin. In fact, the less-great your English is, the more-charming I find your question.
While we're on the topic, I will remind you that having customers and co-workers around the world is my favorite part of my job. I like being called Trika-san occasionally, and I like reviewing Saudi Arabian marketing materials for use "all around the Kingdom" (exotic sounding to those of us not in kingdoms) and, frankly, I am much more glamorous in other languages, e.g. "Le Blog de Trika."I think it is interesting, and cool, that you who get certified in Germany have essentially the same experience as someone who gets certified in Mexico--where the only thing different might be the language the exam is in.
Sometimes for the MCP Live Meetings we make a map of who has registered. Like this, from one of last week's meetings on Microsoft Certified Master, where we had people calling in from all over the place. Like Mats in Sweden, for example.

I just think that's nice, is all. And I appreciate that you write to me in my language; I regret that I don't respond in yours. So, stop apologizing. Your English is great.

No właśnie... możemy czuć się pewnie - przecież to my rozmawiamy w języku dla nas obcym (a dla angielskojęzycznych naturalnym), a oni zapewne po polsku potrafią powiedzieć Vodka. ;)
Nie bójmy się mówić po angielsku - nasz angielski jest zawsze lepszy niż ich polski :) Dogadamy się zawsze... najwyżej zabolą nas ręce ;)

ABI jako wrzut na dupie

Sorki za tytuł, ale nie mogłem inaczej :)
Na forum strony e-ochronadanych.pl pojawił się post "szczęśliwca", któremu dopisano do zakresu obowiązków stanowisko ABIego: link

Cytat:
mam mały problem, od roku doszedł mi któryś z kolei aneks do umowy o pracę. zostałam ABI w swojej firmie. Nikt poważnie nie podchodzi do funkcji jaką wykonuję. dosłownie ze wszystkim mam ,,pod górkę''.dla pracowników i kierowników jestem osobą, która wymyśla ,,jakies bzdury'', wymądrza sie itp. Pracuję w miejscu gdzie wszyscy mają wgląd w mój monitor, jest hałas, cały czas dzwonią telefony, które muszę odbierać ( recepcja). Nie jestem w stanie w takich warunkach pracować. Oczywiście zgłosiłam ten problem kierownictwu i dowiedziałm się, że ABI nie ma tak dużo pracy a ja sobie wymyslam ,,robotę''. Nadmieniam, że wczesniej nie było takiego stanowiska jak ABI i jest bardzo dużo do zrobienia. Moim kierownikiem jest osoba, która zajmuje się Administracją, Marketingiem i Reklamą. Wszystkie sprawy związane z ochroną danych muszą z nią konsultować tylko, że ona nie ma o tym wiedzy więc proszę sobie wyobrazić jakie dostaję odpowiedzi. Boje się iść do prezesa bo pojawi się konflikt z kierownictwem. Zastanawiałam się czy z tego wszystkiego nie zrezygnować. Jednak bardzo wciągnęła mnie ochrona danych osobowych, Jestem po kliku szkoleniach, zgłębiam cały czas tą wiedzę.Jak to wszystko uporządkować aby dalej zajmować się tym co naprawdę lubię robić i nie narobić sobie wrogów?Może ktoś z was miał podobny problem, proszę o dobrą radę.w trakcie pisania nasunęły mi się jeszcze dwa pytania:jakie jest usytułowanie ABI w strukturze jednostki organizacyjnej?jakie kompetencje powinien posiadać ABI wobec pozostałych pracowników?z góry dziękuję za odpowiedź

Typowe podejście do obowiązków ABIego w wielu firmach - znaleźć ofiarę, do i tak rozrośnietych obowiązków dorzucić nowe, uznać, że wszystko jest w porządku i jakoś to będzie.

Drodzy szefowie (a więc często ADO) - nie traktujcie ABIego jak wrzut na swojej dupie, bo to on odpowiada za ochronę Waszej dupy. Jednocześnie ABI nie przejmuje na swoje barki odpowiedzialności karnej, więc nie myślcie, że naleźliście łosia na którego będzie można zrzucić odpowiedzialność w razie kontroli.
Jeżeli chcecie być dobrze chronieni, w Waszym interesie zaintersujcie sie losem ABIego - przeskszolcie go, otwórzcie mu drzwi do swojego gabinetu (powienien podlegać bezpośrednio WAM), zadbajcie o to, by miał czas na dobre wykonywanie swoich obowiązków.
Wbrew pozorom dobre wykonywanie obowiązków wymaga od ABIego znajomości wielu dziedzin:
- prawa (nie tylko ustawa, ale wiele opinii, wyroków...)
- informatyki i zabezpieczeń informatycznych
- psychologii
Bez Waszego poparcia, ABI nic nie zdziała.
A wszystko będzie "dobrze" do wycieku danych lub kontroli GIODO.

piątek, 8 sierpnia 2008

Czas i pora sięchyba przedstawić

Dostałem po uszach, że komentuję wypowiedzi osób, które podpisują się imieniem i nazwiskiem a sam chowam się za nickiem Nomad. Faktycznie. Powinieniem sie przedstawić. Nie sądziłem, że artykuł pójdzie tak mocno w świat ;)


Nazywam się Rafał Skarżyński. Mieszkam w Białymstoku.
Pracuję w jednej z dużych firm, jako specjalista w DI i na codzień zajmuję się administracją jednego z większych systemów w firmie oraz zapwnieniem ciągłości pracy jednej z lokalizacji w Polsce. Pracuję na styku IT i biznesu.
W drugim miejscu jestem administratorem bezpieczeństwa informacji i zajmuję się zabezpieczeniem instytucji przed GIODO ;)
Taki ASI i ABI w jednym. :)
Nie jestem prawnikiem - prawo wykorzystuję instrumentalnie w swojej drugiej pracy z zakresie koniecznym do zabezpieczenia danych osobowych zgodnie z uodo i całą resztą przepisów.

Pies nie zawsze jest taki brudny ;)

Nie spodziewałem się tego

Rezultat wykopu:


Prawdę mówiąc nie spodziewałem się takiego wyniku:
- 1665 wyświetleń
- 1535 wejść, w tym:
- 1490 unikalnych wejść

Tekst pojawił się na wykop.pl ok. 12.00, a ok. 21 wskoczył na pierwszą stronę.
O godzinie 0.00 było kopnięty zostałem 82 razy.

Mam nadzieję, że przynajmniej 10% zostanie czytelnikami.

Pozdrawiam.

czwartek, 7 sierpnia 2008

Wojny medialnej ciąg dalszy...

... czyli nikt nam nie wmówi, że białe jest białe, a czarne jest czarne. :)
Po przeczytaniu wypowiedzi Pawła na vBeta.pl (czytaj tekst wcześniej) zainteresowałem się, co piszą na ten temat inne media internetowe. No i wygląda to ciekawie.
1. Najpierw GIODO na swojej stronie umieścił informację o zakończonej kontroli w PEKAO S.A.
2. Potem na stronie alert24.pl poszedł dość osobliwy artykuł: link
Co możemy w nim wyczytać?
No to, że wydawca portalu zna już wyniki kontroli GIODO (jakim cudem, skoro p. rzecznik GIODO Małgorzata Kałużyńska - Jasak w rozmowie telefonicznej zaprzeczyła, że przekazała prasie jakiekolwiek wyniki pokontrolne) i że z raportu wynika, że winą za wyciek danych należy obciążyć głównie firmy zewnętrzne, które przygotowywały stronę rekrutacyjną i niewystarczająco je zabezpieczyły przez atakiem hakerów. A mimo tego, ten niedobry GIODO spowodował, że biedny bank został zobligowany do wewnętrznych "działań dyscyplinarnych". Czyli według p. Doroty Żuberek z GW, winni są wszyscy, tylko nie bank, a i tak GIODO czepia się niewiadomo czego. I w dodatku przedstawiciele GIODO zasłaniają sie prokuraturą i nic nie mówią. (GIODO broni się, że nie może wypowiadać się w sprawie, która trafiła do prokuratury).
Dalej wypowiada się p. Mierzwa (kurcze, znowu dostał mikrofon do ręki) i bardzo ładnie wybiela swój bank.
2. Dalej temat trafia do Dziennika Internautów (link), gdzie Przemysław Mugeński już na samym początku i to grubymi literkami pisze:
To nie Pekao S.A. tylko firmy współpracujące z bankiem przy serwisie zainwestujprzyszlosc.pl naruszyły przepisy ustawy o ochronie danych osobowych, co doprowadziło do wycieku danych prawie 1,5 tys. osób - wykazała kontrola GIODO. Na wniosek Pekao S.A. sprawą tą zajęła się teraz prokuratura. Śledztwo prowadzone będzie w firmie home.pl, na której serwerach stał wspomniany serwis - donosi alert24.pl
O matko, jak można być takim ignorantem i nie umieć czytać ze rozumieniem tekstu, na który sie powołuje? Jak można nie sprawdzić źródła?
Wynika z tego, że bank jest cacy, a winne są home.pl i Possum. :) Cudnie. Już przy drugim przedruku całkowicie zmieniony został sens.
Potem już całość kręci się wokół tej tezy. Gratulacje.
3. Potem temat trafia na vBEta.pl: link z tytułem GIODO uznało, że Pekao SA nie jest winne ws. wycieków CV.
A tam już poleciało:
GIODO uznało, że nie było zagrożenia dla danych klientów banku - a zatem nie ma problemu (bo bank jest zobowiązany przede wszystkim do chronienia danych klientów). Aktualnie na wniosek banku sprawa została skierowana do prokuratury, która ma się dokładniej przyjrzeć firmie hostingowej home.pl (na serwerach tej firmy znajdowała się strona zainwestujwprzyszlosc.pl).
Ani słowa o źródle informacji, czyli stronie GIODO.
4. Wpis trafia do wkop.pl (link), gdzie biedni pracownicy GIODO dostają po głowie.

Super:) Bank się wybielił, urzędasy są durni, internauci wkurzeni. Sensacja.

Jaka jest prawda:
- GIODO nie przekazało do mediów żadnych informcji dot. wyników po kontroli. Jedynie opublikowana została oficjalna informacja na stronie.
- Winny był bank i to z jego winy wyciekły dane. Nawet, jeżeli dotyczyło to tylko spraw proceduralnych.

Wnioski:
1. Gazeta Wyborcza straciła już swój status niezależnego dziennika. Wiem, że wiele osób twierdziło to już dawno, ale dla mnie ten artykuł na alert24.pl był na prawdę gorzką pigułką.
2. Dziennikarze nie są już wyrocznią, bo sami nie potrafią czytać. Nie mówiąc już o pisaniu.
3. WEB 2.0 to potęga. Ale też duże niebezpieczeństwo.
4. Niezbadane sa wyroki wykop.pl
5. Kłamstwo powtarzane, z czasem staje się prawdą.
6. Podobno p. rzecznik GIODO, to miła osoba :)

Czytanie ze zrozumieniem, czyli jak z jednej informacji...

... można wysnuć różne wnioski.
Podstawowym dokumentem do interpretacji będzie oficjalna informacja GIODO dot. zakończonej ostatnio kontroli w PEKAO S.A. w związku z wyciekiem danych osobowych. Trochę długie zdanie, ale niech tam... :) Link
Informacja brzmiała tak:
Zakończona kontrola GIODO w Banku Pekao S.A. i współpracujących z Bankiem instytucjach potwierdziła doniesienia prasowe, zgodnie z którymi wyciek danych osobowych nie był związany z podstawową działalnością Banku, w związku tym dane klientów banku nie były zagrożone.
Wyciek dotyczył bowiem danych osobowych osób, które starały się o pracę w Banku. Oprócz Banku Pekao S.A. kontroli poddane zostały również firmy, które z nim współpracowały. Jej wyniki wskazują na naruszenia przepisów ustawy o ochronie danych osobowych, o czym zostały zawiadomione organy ścigania, które prowadzą postępowanie wyjaśniające w tej sprawie. Wobec powyższego GIODO, realizując obowiązki nałożone ustawą o ochronie danych osobowych, skierował wniosek o wszczęcie postępowania dyscyplinarnego wobec osób winnych naruszenia wewnętrznych procedur obowiązujących w Banku, gwarantujących poszanowanie zasad ochrony danych osobowych, w tym polityki bezpieczeństwa.


Tego samego dnia wrzuciłem informację na ten temat na swoim blogu. Link

Dzisiaj, dzięki wykop.pl dotarłem do informacji umieszczonej na vBeta.pl przez Pawła Cebulę. Link
Brzmi ona tak:
Po ujawnieniu przez jednego z polskich blogerów jak kiepsko chronionego są CV i listy motywacyjne kierowanego do Pekao SA (jak Pekao chroni dane osobowe) pojawiła się od razu deklaracja, że całą tę sprawę zbada GIODO. Można powiedzieć, że już znamy efekty tej pracy.
GIODO uznało, że nie było zagrożenia dla danych klientów banku - a zatem nie ma problemu (bo bank jest zobowiązany przede wszystkim do chronienia danych klientów). Aktualnie na wniosek banku sprawa została skierowana do prokuratury, która ma się dokładniej przyjrzeć firmie hostingowej
home.pl (na serwerach tej firmy znajdowała się strona zainwestujwprzyszlosc.pl).
Dla mnie jest to chora sytuacja - to tak jakby osoba, która się postrzeliła, miała pretensje o to do producenta broni. Generalnie winni są wszyscy dookoła (hakerzy, osoby wykonujące serwis, firma hostingowa), ale nie sam bank do którego kierowane były CV czy listy motywacyjne.


Kurcze, zastanawiam się czemu szanowny Paweł tak skopał swoją informację. Czy chodziło o sensację i zjednoczenie się braci internetowej przeciw durnym urzędasom, czy po prostu człowiek nie rozumie tego co czyta.
Tak rodzi się sensacja i plotka.

Co ciekawsze - link dotyczący mojego wpisu uzyskał na wykop.pl 0 wykopów, natomiast na obecną chwilę artykuł Pawła mial 116 wykopów. ;) Niezbadane są wyroki użytkowników.