Jakiś czas temu napisałem o cudym wyciągu znalezionym w mojej skrzynce pocztowej (link). A dzisiaj znalazlem na alert24.pl tekst o tym jak pewien obywatel znalazl całą paczkęz listami (listy z banków, TP S.A.). Na szczęście obywatel był porządnym obywatelem i zechciało mu się oddać te listy na poczcie (mimo oporów pracowników poczty) i nawet czapeczkę dostał :) Link
Ale nie o tym.
Na końcu swojego poprzedniego artykułu napisałem, że za cienki jestem, żeby podjąć dyskusję dotyczącą luki w procedurach instytucji, które przetwarzają dane osobowe i dostarczają nam rachunki/wyciągi za pomocą poczty (nie tylo PP, ale też innych firm dostarczających przesyłki).
Ale po tym wypadku coraz bardziej zaczynam zastanawiać się nad tym problemem.
Chyba trzeba zadać pytanie pracownikom biura GIODO, bo przecież zgodnie z art. 36 ust. 1:
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Czas chyba zapoznać się z regulacjami dot. dostarczania przesyłek przez PP.
Pokazywanie postów oznaczonych etykietą ADO i ABI. Pokaż wszystkie posty
Pokazywanie postów oznaczonych etykietą ADO i ABI. Pokaż wszystkie posty
wtorek, 19 sierpnia 2008
niedziela, 17 sierpnia 2008
Szkolenie on-line z ochrony danych osobowych
Znalazłem ostatnio szkolenie z ochrony danych osobowych, na które nie trzeba jechać. Siadasz wygodnie do komputera i lecisz on-linowo.
Szkolenie jest w stałej ofercie firmy 4systems pod adresem: link. Koszt: 290PLN.
Do kogo skierowane jest szkolenie? Ze wzgledu na sposób przeprowadzenia (brak instruktora, szkolenie według zaprogramowanej ściezki), szkolenie to skierowane jest do osób, które dopiero co rozpoczynają przygodę z ochroną danych osobowych. Zakres kursu jest szeroki, a sama ustawa jest dość pogmatwana, żeby opracować ten temat bez serii wyjaśnień. Dlatego można wykupić dodatkowo za 250PLN, 10 godzin warsztatów.
Czy kurs jest wart polecenia? Cieżko wyrokować, jeżeli nie było się uczestnikiem (sorki ale szkoda mi kasy żeby płacić za to co już wiem), ale może lepiej dołożyć do 540PLN (szkolenie i warsztaty) pare groszy i zaliczyć kurs z instruktorem. No chyba, że potrzebuje się papierka lub są problemy z wolnym dniem.
Szkolenie jest w stałej ofercie firmy 4systems pod adresem: link. Koszt: 290PLN.
Do kogo skierowane jest szkolenie? Ze wzgledu na sposób przeprowadzenia (brak instruktora, szkolenie według zaprogramowanej ściezki), szkolenie to skierowane jest do osób, które dopiero co rozpoczynają przygodę z ochroną danych osobowych. Zakres kursu jest szeroki, a sama ustawa jest dość pogmatwana, żeby opracować ten temat bez serii wyjaśnień. Dlatego można wykupić dodatkowo za 250PLN, 10 godzin warsztatów.
Czy kurs jest wart polecenia? Cieżko wyrokować, jeżeli nie było się uczestnikiem (sorki ale szkoda mi kasy żeby płacić za to co już wiem), ale może lepiej dołożyć do 540PLN (szkolenie i warsztaty) pare groszy i zaliczyć kurs z instruktorem. No chyba, że potrzebuje się papierka lub są problemy z wolnym dniem.
czwartek, 14 sierpnia 2008
Czy na pewno pracodawcy nie mogą tworzyć baz CV?
W dzisiejszej Gazecie Prawnej ukazał się artykuł pod tytułem Firmy nie mogą tworzyć baz danych kandydatów do pracy: link
W artykule poruszony został temat zbierania do celów rekrutacji danych o przyszłych pracownikach. Pisałem już o wcześniej (np. Przyjmowanie pracownika, a dane osobowe., ).
Hmm... Zaczynam wątpić w rzetelność dziennikarzy w zakresie formułowania tytułów. Wiem, że im większy, głośniejszy i bardziej sensacyjny artykuł, tym większe zainteresowanie tematem. Ale to jest przecież Gazeta Prawna, która opisuje prawo a nie Super Expres, czy inny Fakt.
Co mi się nie podoba? Pobieżne potraktowanie tematu i tytuł, który powinien brzmieć:
Firmy najczęściej nie mogą tworzyć baz danych kandydatów do pracy, lub Firmy muszą zabezpieczać bazy danych kandydatów do pracy. Wtedy bym się zgodził.
Dlaczego najczęściej?
Rozpatrywany był przypadek, kiedy rekrutacja prowadzona jest przez firmę właściwą i przyszły pracownik nie zamieścił w CV klauzulki z pozwoleniem na przetwarznie danych (tej nieszczęsnej), lub zamieścił ją nieprecyzyjną (czyli złą). Wtedy faktycznie. Po zakończonej rekrutacji należy niezwłocznie zniszczyć dokumenty osób, które nie zostały przyjęte.
No dobra, a co się dzieje w przypadku, gdy przyszły pracownik wyraźnie wyjawił swoją wolę przechowywania jego danych przez przyszłego pracodawcę?
Wtedy na podstawie art. 23 ust. 1 pracodawca ma prawo przetwarzać dane przyszłego/niedoszłego pracownika w celu ujawnionym w akcie woli (no dobra - głupie sformułowanie ;)).
1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie
dotyczących jej danych,
O tym, że pracodawca może przetwarzać dane pracownika w przyszłowści mówi art. 23 ust. 2
Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.
No to jednak niedoszły/przyszły pracodawca ma prawo zostawić sobie CV osób, które nie zostały przyjęte :)
A pokomplikumy jeszcze sprawę i zadajmy pytanie, co w przyadku, gdy rekrutację robi firma zewnętrzna? A to już lekcje do odrobienia dla Pana Dziennikarza.
No i dochodzimy do problemu nr 2. W artykule przewija się problem niezabezpieczonego przetwarzania danych osobowych (dla niezorientowanych przetwarzanie zaczyna się już w momencie zbierania danych, a kończy na procesie utylizacji) link
I u dobry byłby tytuł nr 2 :)
Każda baza danych osobowych musi być zabezpieczona. Mówi o tym rozdział 5 UODO. Obojętnie czy jest to przechowywanie danych kandydatów do pracy, czy niszczenie dokumentów kandydatów odrzuconych, czy zbieranie CV. W ciągu całego procesu przetwarzania danych osobowych, te dane muszą być zabezpieczone.
A poza tym, to dobrze, że taki artykuł sie pojawił. Mała poprawka (np. drugi artykuł po przebadaniu sprawy dokładniej) i byłoby super :)
W artykule poruszony został temat zbierania do celów rekrutacji danych o przyszłych pracownikach. Pisałem już o wcześniej (np. Przyjmowanie pracownika, a dane osobowe., ).
Hmm... Zaczynam wątpić w rzetelność dziennikarzy w zakresie formułowania tytułów. Wiem, że im większy, głośniejszy i bardziej sensacyjny artykuł, tym większe zainteresowanie tematem. Ale to jest przecież Gazeta Prawna, która opisuje prawo a nie Super Expres, czy inny Fakt.
Co mi się nie podoba? Pobieżne potraktowanie tematu i tytuł, który powinien brzmieć:
Firmy najczęściej nie mogą tworzyć baz danych kandydatów do pracy, lub Firmy muszą zabezpieczać bazy danych kandydatów do pracy. Wtedy bym się zgodził.
Dlaczego najczęściej?
Rozpatrywany był przypadek, kiedy rekrutacja prowadzona jest przez firmę właściwą i przyszły pracownik nie zamieścił w CV klauzulki z pozwoleniem na przetwarznie danych (tej nieszczęsnej), lub zamieścił ją nieprecyzyjną (czyli złą). Wtedy faktycznie. Po zakończonej rekrutacji należy niezwłocznie zniszczyć dokumenty osób, które nie zostały przyjęte.
No dobra, a co się dzieje w przypadku, gdy przyszły pracownik wyraźnie wyjawił swoją wolę przechowywania jego danych przez przyszłego pracodawcę?
Wtedy na podstawie art. 23 ust. 1 pracodawca ma prawo przetwarzać dane przyszłego/niedoszłego pracownika w celu ujawnionym w akcie woli (no dobra - głupie sformułowanie ;)).
1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie
dotyczących jej danych,
O tym, że pracodawca może przetwarzać dane pracownika w przyszłowści mówi art. 23 ust. 2
Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.
No to jednak niedoszły/przyszły pracodawca ma prawo zostawić sobie CV osób, które nie zostały przyjęte :)
A pokomplikumy jeszcze sprawę i zadajmy pytanie, co w przyadku, gdy rekrutację robi firma zewnętrzna? A to już lekcje do odrobienia dla Pana Dziennikarza.
No i dochodzimy do problemu nr 2. W artykule przewija się problem niezabezpieczonego przetwarzania danych osobowych (dla niezorientowanych przetwarzanie zaczyna się już w momencie zbierania danych, a kończy na procesie utylizacji) link
I u dobry byłby tytuł nr 2 :)
Każda baza danych osobowych musi być zabezpieczona. Mówi o tym rozdział 5 UODO. Obojętnie czy jest to przechowywanie danych kandydatów do pracy, czy niszczenie dokumentów kandydatów odrzuconych, czy zbieranie CV. W ciągu całego procesu przetwarzania danych osobowych, te dane muszą być zabezpieczone.
A poza tym, to dobrze, że taki artykuł sie pojawił. Mała poprawka (np. drugi artykuł po przebadaniu sprawy dokładniej) i byłoby super :)
środa, 13 sierpnia 2008
Piramidalna bzdura... dane osobowe firmy
Jak tu wymagać znajomości ustawy o ochronie danych osobowych od właścicieli małych firm i osób prywatnych , jeżeli ABI w dużych instytucjach nie mają zielonego pojęcia na ten temat.Do jednej ze znajomych firm, Makro Cash & Carry przysłało bardzo ładny liścik, z informacją że na podstawie UODO prztwarzaja dane osobowe i że bardzo informują, że są to takie a takie dane, przetwrzane w takim i takim celu. Dodatkowo powołują się na art. 25 UODO.
He... pięknie i ładnie, tylko po co?
Czym zajmuje się Makro? Makro z założenia zajmuje sie obsługą osób, które prowadzą działalność gospodarczą (placówki handlowe i usługowe, przedsiębiorstwa produkcyjne, lokale gastronomiczne, hotele itp.) lub dokonują zakupów na rzecz instytucji, biur, urzędów (informacja ze strony makro.pl). W tym drugim przypadku osoby dokonujące zakupów dla instytucji i tak podają dane adresowe instytucji. Imię i nazwisko pracownika można potraktować jako dane kontaktowe, a nie dane osbowe.
Więc powołanie się w kontaktach z klientem instytucjonalnym na UODO jest bzdurą. UODO dotczy przetwarzania danych osób fizycznych, a już sam profil klienta uniemożliwia przetwarzanie tych danych (bo przecież klientem nie może być osoba prywatna).
Dalej... w liście tym p. Joanna Młynarczyk (ta pani podpisała sie jako ABI) powołuje sie na art. 25, jako sposób pozyskania (tak sądzę - tak na prawdę to nie rozumiem całego zdania). Już wiem, chodzi na pewno o to, że według tej pani, art. 25 nakłada na Makro obowiązek wysłania tego listu. BINGO :)
Otóż art. 25 nakłada na administratorze danych powiadomienie osoby, której dane są przetwarzane w przypadku uzyskani informacji od osoby, której te dane nie dotyczą (firma dostała dane np. z innej firmy). No dobra, ale te dane zostały uzyskane w celu otrzymania karty, a więc musiały zostać przekazane przez samego zainteresowanego. Więc nie szafowałbym tak tymi artykułami, w nadziei, że list będzie wyglądał poważnie.
Pomijam już, że nazwa firmy została wydrukowana bez polskich znaków, a adres już z polskimi znakami (niebalstwo), co jak już opieramu sie na UODO powoduje złamanie art. 26, który nakazuje dołożenie szczególnej staranności - ale przecież i tak to nie są dane osbowe. :)
Taki krótki i ładny liścik. :)
Jak to mawia pewien mądry znajomy odpoczywając w pracy: Nadgorliwość jest gorsza od faszyzmu. ;)
wtorek, 12 sierpnia 2008
Dlaczego nie dostaję wyciągów z banku?
Jakiś czas temu podziękowałem swojemu bankowi za wyciągi przesyłane papierkowo za pomocą poczty. Zrobiłem to w sumie z powodu lasów i bałaganu (za dużo papierów w domu).Ale troche się zdziwiłem, kiedy dostałem wyciąg z banku. Ale...
... kurcze, nie ten bank, nie to nazwisko, nie to miasto, nie ten kod pocztowy, tylko ta sama ulica i numer bloku i mieszkania. Czyli dostałem cudzy wyciąg, tylko dlatego że mieszkamy na tej samej ulicy ale w różnych miastach... No i co z tym fantem zrobić?
1. Wrzucić do zwrotów, ale euro skrzynka nie posiada miejsca na zwroty.
2. Położyć na skrzynce, ale może ktoś sobie gwizdnąć.
3. Oddać listonoszowi, ale nie widuję człowieka.
4. Zadzwonić do człowieka, ale nie dostałem numeru telefonu, bo pani z informacji powiedziała, że telefon zarejestrowany jest na innego abonenta i uodo zakazuje podania numeru. ;)
5. Zanieść do banku, ale jaką mam pewność, że pani z okienka przekaże komuś faktycznie a nie sama otworzy.
6. Zanieść na pocztę, ale patrz pkt. 5.
Więc? Do niszczarki :) List poszedł na trociny. Problem z głowy.
No dobra, ale wcale nie problem z głowy, bo przecież to tylko z głowy ten konkretny przypadek. A co w resztą listów i wyciągów, które dostarcza nasz ukochana monopolistyczna instytucja.
Przecież w tym momecie zawiniły co najmniej trzy osoby kilka osób:
1. Listonosz, bo podczas wrzucania nie zwrócił uwagi na miasto.
2. Osoba dzieląca listy dla listonosza, bi nie zwróciła uagi na miasto.
3. Osoba sortująca na sortowni, bo nie zwróciła uwagi na miasto.
Co zawiera wyciąg?
1. Kompletne dane osobowe - imię, nazwisko, adres.
2. Stan konta, wydatki, przychody.
3. Ewentualne linie kredytowe.
Dość dużo danych, których nie miałbym ochoty udostępniać.
Za cienki jestem, żeby rozpocząć dyskusję z samym sobą o aspetkach prawnych, ale zastawiam się:
1. Czy banki nie powinny podpisywać umowy na przetwarzanie danych - wysyłanie wyciągów jest na podstawie umowy między bankiem i pocztą.
2. Czy poczty nie można pociągnąć do odpowiedzialności za taką niedbałość.
niedziela, 10 sierpnia 2008
Wyciek danych z bułgarskiej kasy chorych
Jak wczoraj podał na swojej stronie Puls Biznesu w bułgarskiej kasy chorych wyciekły dane osobowe niustalonej liczby ubezpieczonych. Link
Według informacji, dane osób (zawierające także dane dotyczące zdrowia i przepisywane leki ) od jakiegoś czasu funduszom zdrowia i koncernom farmaceutycznym sprzedawał informatyk.
W tej informacji należy zwrócić uwagę na dwa problemy:
1. jakie skutki może mieć taki wyciek danych
2. kim jest informatyk w firmie i jaki powinien mieć nadzór.
ad. 1)
Z informacji wynika, ze wyciekły dane adresowy pacjentów, informacje dotyczące chorób i stosowanych leków.
Autor zwrócił uwagę na możliwość szantarzu ludzi (ze względu na ich choroby i dolegliwości). Jakie skutki może mieć szantarz osoby, która ma istotny wpływ na losy kraju lub wydawanie publicznych pieniędzy? Jakie skutki może mieć szantarz każdego z nas?
A spróbujmy zawrzeć ubezpieczenie, kiedy ubezpiczający ma wszytskie informacje dotyczące naszego stanu zdrowia? W najlepszym wypadku skończy się wysoką składką.
Spróbujmy żyć w momencie, kiedy ktoś publicznie wyjawi dane dotyczące naszego zdrowia?
Pomijam ataki marketingowe, które swojej uciążliwości nie stanowią zagrożenia.
Ale na problem należy spojrzeć też z "lotu ptaka". Ta masa danych (dane setek tysięcy osób) stanowi bardzo ciekawy materiał dla firma farmacetycznych, które mają bardzo dobre narzędzie nacisku na kasę chorych przy zawieraniu kontraktów. Koszty społeczne są nie do oszacowania.
ad. 2)
Infomatyk... szara eminencja w firmie. Z doświadczenia wiem, że mało kto wie czym zajmuje się informatyk (administrator sieci i serwerów), a tym bardziej mało kto potrafi kontrolować poczynania informatyka.
Dlatego ABI nie powinien być ani informatykiem, ani szefem działu informatyki. Jednocześnie ABI powinien mieć umiejętności pozwalalające na kontrolę zabezpieczeń i egzekwowanie wykonywania procedur przez dział informatyki.
Jeżeli w bułgarksiej kasie chorych wdrożone i wykonywane byłyby procedury kontrolne nad działaniem informatyków, sytuacja taka nie miałaby miejsca lub zostałaby szybko wykryta podczas rutynowej kontroli bepieczeństwa.
Według informacji, dane osób (zawierające także dane dotyczące zdrowia i przepisywane leki ) od jakiegoś czasu funduszom zdrowia i koncernom farmaceutycznym sprzedawał informatyk.
W tej informacji należy zwrócić uwagę na dwa problemy:
1. jakie skutki może mieć taki wyciek danych
2. kim jest informatyk w firmie i jaki powinien mieć nadzór.
ad. 1)
Z informacji wynika, ze wyciekły dane adresowy pacjentów, informacje dotyczące chorób i stosowanych leków.
Autor zwrócił uwagę na możliwość szantarzu ludzi (ze względu na ich choroby i dolegliwości). Jakie skutki może mieć szantarz osoby, która ma istotny wpływ na losy kraju lub wydawanie publicznych pieniędzy? Jakie skutki może mieć szantarz każdego z nas?
A spróbujmy zawrzeć ubezpieczenie, kiedy ubezpiczający ma wszytskie informacje dotyczące naszego stanu zdrowia? W najlepszym wypadku skończy się wysoką składką.
Spróbujmy żyć w momencie, kiedy ktoś publicznie wyjawi dane dotyczące naszego zdrowia?
Pomijam ataki marketingowe, które swojej uciążliwości nie stanowią zagrożenia.
Ale na problem należy spojrzeć też z "lotu ptaka". Ta masa danych (dane setek tysięcy osób) stanowi bardzo ciekawy materiał dla firma farmacetycznych, które mają bardzo dobre narzędzie nacisku na kasę chorych przy zawieraniu kontraktów. Koszty społeczne są nie do oszacowania.
ad. 2)
Infomatyk... szara eminencja w firmie. Z doświadczenia wiem, że mało kto wie czym zajmuje się informatyk (administrator sieci i serwerów), a tym bardziej mało kto potrafi kontrolować poczynania informatyka.
Dlatego ABI nie powinien być ani informatykiem, ani szefem działu informatyki. Jednocześnie ABI powinien mieć umiejętności pozwalalające na kontrolę zabezpieczeń i egzekwowanie wykonywania procedur przez dział informatyki.
Jeżeli w bułgarksiej kasie chorych wdrożone i wykonywane byłyby procedury kontrolne nad działaniem informatyków, sytuacja taka nie miałaby miejsca lub zostałaby szybko wykryta podczas rutynowej kontroli bepieczeństwa.
sobota, 9 sierpnia 2008
ABI jako wrzut na dupie
Sorki za tytuł, ale nie mogłem inaczej :)
Na forum strony e-ochronadanych.pl pojawił się post "szczęśliwca", któremu dopisano do zakresu obowiązków stanowisko ABIego: link
Cytat:
mam mały problem, od roku doszedł mi któryś z kolei aneks do umowy o pracę. zostałam ABI w swojej firmie. Nikt poważnie nie podchodzi do funkcji jaką wykonuję. dosłownie ze wszystkim mam ,,pod górkę''.dla pracowników i kierowników jestem osobą, która wymyśla ,,jakies bzdury'', wymądrza sie itp. Pracuję w miejscu gdzie wszyscy mają wgląd w mój monitor, jest hałas, cały czas dzwonią telefony, które muszę odbierać ( recepcja). Nie jestem w stanie w takich warunkach pracować. Oczywiście zgłosiłam ten problem kierownictwu i dowiedziałm się, że ABI nie ma tak dużo pracy a ja sobie wymyslam ,,robotę''. Nadmieniam, że wczesniej nie było takiego stanowiska jak ABI i jest bardzo dużo do zrobienia. Moim kierownikiem jest osoba, która zajmuje się Administracją, Marketingiem i Reklamą. Wszystkie sprawy związane z ochroną danych muszą z nią konsultować tylko, że ona nie ma o tym wiedzy więc proszę sobie wyobrazić jakie dostaję odpowiedzi. Boje się iść do prezesa bo pojawi się konflikt z kierownictwem. Zastanawiałam się czy z tego wszystkiego nie zrezygnować. Jednak bardzo wciągnęła mnie ochrona danych osobowych, Jestem po kliku szkoleniach, zgłębiam cały czas tą wiedzę.Jak to wszystko uporządkować aby dalej zajmować się tym co naprawdę lubię robić i nie narobić sobie wrogów?Może ktoś z was miał podobny problem, proszę o dobrą radę.w trakcie pisania nasunęły mi się jeszcze dwa pytania:jakie jest usytułowanie ABI w strukturze jednostki organizacyjnej?jakie kompetencje powinien posiadać ABI wobec pozostałych pracowników?z góry dziękuję za odpowiedź
Typowe podejście do obowiązków ABIego w wielu firmach - znaleźć ofiarę, do i tak rozrośnietych obowiązków dorzucić nowe, uznać, że wszystko jest w porządku i jakoś to będzie.
Drodzy szefowie (a więc często ADO) - nie traktujcie ABIego jak wrzut na swojej dupie, bo to on odpowiada za ochronę Waszej dupy. Jednocześnie ABI nie przejmuje na swoje barki odpowiedzialności karnej, więc nie myślcie, że naleźliście łosia na którego będzie można zrzucić odpowiedzialność w razie kontroli.
Jeżeli chcecie być dobrze chronieni, w Waszym interesie zaintersujcie sie losem ABIego - przeskszolcie go, otwórzcie mu drzwi do swojego gabinetu (powienien podlegać bezpośrednio WAM), zadbajcie o to, by miał czas na dobre wykonywanie swoich obowiązków.
Wbrew pozorom dobre wykonywanie obowiązków wymaga od ABIego znajomości wielu dziedzin:
- prawa (nie tylko ustawa, ale wiele opinii, wyroków...)
- informatyki i zabezpieczeń informatycznych
- psychologii
Bez Waszego poparcia, ABI nic nie zdziała.
A wszystko będzie "dobrze" do wycieku danych lub kontroli GIODO.
Na forum strony e-ochronadanych.pl pojawił się post "szczęśliwca", któremu dopisano do zakresu obowiązków stanowisko ABIego: link
Cytat:
mam mały problem, od roku doszedł mi któryś z kolei aneks do umowy o pracę. zostałam ABI w swojej firmie. Nikt poważnie nie podchodzi do funkcji jaką wykonuję. dosłownie ze wszystkim mam ,,pod górkę''.dla pracowników i kierowników jestem osobą, która wymyśla ,,jakies bzdury'', wymądrza sie itp. Pracuję w miejscu gdzie wszyscy mają wgląd w mój monitor, jest hałas, cały czas dzwonią telefony, które muszę odbierać ( recepcja). Nie jestem w stanie w takich warunkach pracować. Oczywiście zgłosiłam ten problem kierownictwu i dowiedziałm się, że ABI nie ma tak dużo pracy a ja sobie wymyslam ,,robotę''. Nadmieniam, że wczesniej nie było takiego stanowiska jak ABI i jest bardzo dużo do zrobienia. Moim kierownikiem jest osoba, która zajmuje się Administracją, Marketingiem i Reklamą. Wszystkie sprawy związane z ochroną danych muszą z nią konsultować tylko, że ona nie ma o tym wiedzy więc proszę sobie wyobrazić jakie dostaję odpowiedzi. Boje się iść do prezesa bo pojawi się konflikt z kierownictwem. Zastanawiałam się czy z tego wszystkiego nie zrezygnować. Jednak bardzo wciągnęła mnie ochrona danych osobowych, Jestem po kliku szkoleniach, zgłębiam cały czas tą wiedzę.Jak to wszystko uporządkować aby dalej zajmować się tym co naprawdę lubię robić i nie narobić sobie wrogów?Może ktoś z was miał podobny problem, proszę o dobrą radę.w trakcie pisania nasunęły mi się jeszcze dwa pytania:jakie jest usytułowanie ABI w strukturze jednostki organizacyjnej?jakie kompetencje powinien posiadać ABI wobec pozostałych pracowników?z góry dziękuję za odpowiedź
Typowe podejście do obowiązków ABIego w wielu firmach - znaleźć ofiarę, do i tak rozrośnietych obowiązków dorzucić nowe, uznać, że wszystko jest w porządku i jakoś to będzie.
Drodzy szefowie (a więc często ADO) - nie traktujcie ABIego jak wrzut na swojej dupie, bo to on odpowiada za ochronę Waszej dupy. Jednocześnie ABI nie przejmuje na swoje barki odpowiedzialności karnej, więc nie myślcie, że naleźliście łosia na którego będzie można zrzucić odpowiedzialność w razie kontroli.
Jeżeli chcecie być dobrze chronieni, w Waszym interesie zaintersujcie sie losem ABIego - przeskszolcie go, otwórzcie mu drzwi do swojego gabinetu (powienien podlegać bezpośrednio WAM), zadbajcie o to, by miał czas na dobre wykonywanie swoich obowiązków.
Wbrew pozorom dobre wykonywanie obowiązków wymaga od ABIego znajomości wielu dziedzin:
- prawa (nie tylko ustawa, ale wiele opinii, wyroków...)
- informatyki i zabezpieczeń informatycznych
- psychologii
Bez Waszego poparcia, ABI nic nie zdziała.
A wszystko będzie "dobrze" do wycieku danych lub kontroli GIODO.
środa, 6 sierpnia 2008
Uważaj co i gdzie podajesz
Ciekawy wpis, dotyczący udostepniania danych o zarobkach pojawił się na antyweb.pl: link.
Nic dodać, nic ująć.
Ludzie - uważajcie co i komu podajecie. Trochę rozwagi i myślenia abstrakcyjnego!!
Nic dodać, nic ująć.
Ludzie - uważajcie co i komu podajecie. Trochę rozwagi i myślenia abstrakcyjnego!!
wtorek, 5 sierpnia 2008
Punkt widzenia zależy od punktu siedzenia
Tia...
Rozmawiam często w ludźmi na temat ochrony danych osobowych (bo taki gadatliwy jestem) i dość często słyszę zdanie, że jest to zbędny kłopot dla przedsiębiorców, że to dodatkowe wydatki, że to kłopoty w codziennej pracy.
Ha...
No tak, że to dodatkowy kłopot, to się zgodzę. Oczywiście trzeba zmienić przyzwyczajenia i np. pilnować zmiany haseł i nie pracować na koncie administratora. No, że dodatkowe wydatki, też się zgodzę, ale przecież za pracę należy płacić (pracodawca sam może przecież zdbać o bezpieczeństwo i papierkologię). Nie mogę natomiast zgodzić się, że jest to zbędny kłopot.
Dlaczego?
Proponuję zamienić się rolami i przyjąć rolę osoby, której to dane są przetwarzane. W sumie nie jest to takie trudne, bo przecież pracodawcy lub właściciele firm są też klientami, których dane są przetwarzane w różnych celach.
Pytanie: Czy właścicel/pracodawca chciałby, żeby jego dane przetwarzane były poza wszelkimi regulacjami? Przecież każdemu przysługuje ochrona danych i prywatności.
Bardzo dobzym przykładem jest bank PEKAO S.A. (bank ten zasłużył sobie na miano dożywotniego przykładu ignorancji i indolencji w zakresie chrony danych). Nie zostało tu dopilnowane bezpieczeństwo danych i dane wielu osoby wypłynęły do sieci.
Dla przypomnienia - dane chronione są podczas całego procesu przetwarzania - od momentu pozyskania do zniszczenia (http://nomadowyblog.blogspot.com/2008/06/przetwarzanie-danych.html).
Dlaczego ważny jest moment niszczenia? Nie wiem, czy panowie Kaczyńscy są zadowoleni z tego, że dokumenty PC (przeiceż ta partia już nie istnieje) wylądowały na śmietniku? Link Dość często zapomina się o wartości dokumentów w momencie zniszczenia - wydają sięwtedy przecież bezużyteczne.
Wpis ten dedykuję mojemu dzisiejszemu rozmówcy - właścicielowi firmy, który stwierdził, że na głupoty pieniędzy nie wyda, a uodo to kłody rzucone przedsiębiorczości.
Rozmawiam często w ludźmi na temat ochrony danych osobowych (bo taki gadatliwy jestem) i dość często słyszę zdanie, że jest to zbędny kłopot dla przedsiębiorców, że to dodatkowe wydatki, że to kłopoty w codziennej pracy.
Ha...
No tak, że to dodatkowy kłopot, to się zgodzę. Oczywiście trzeba zmienić przyzwyczajenia i np. pilnować zmiany haseł i nie pracować na koncie administratora. No, że dodatkowe wydatki, też się zgodzę, ale przecież za pracę należy płacić (pracodawca sam może przecież zdbać o bezpieczeństwo i papierkologię). Nie mogę natomiast zgodzić się, że jest to zbędny kłopot.
Dlaczego?
Proponuję zamienić się rolami i przyjąć rolę osoby, której to dane są przetwarzane. W sumie nie jest to takie trudne, bo przecież pracodawcy lub właściciele firm są też klientami, których dane są przetwarzane w różnych celach.
Pytanie: Czy właścicel/pracodawca chciałby, żeby jego dane przetwarzane były poza wszelkimi regulacjami? Przecież każdemu przysługuje ochrona danych i prywatności.
Bardzo dobzym przykładem jest bank PEKAO S.A. (bank ten zasłużył sobie na miano dożywotniego przykładu ignorancji i indolencji w zakresie chrony danych). Nie zostało tu dopilnowane bezpieczeństwo danych i dane wielu osoby wypłynęły do sieci.
Dla przypomnienia - dane chronione są podczas całego procesu przetwarzania - od momentu pozyskania do zniszczenia (http://nomadowyblog.blogspot.com/2008/06/przetwarzanie-danych.html).
Dlaczego ważny jest moment niszczenia? Nie wiem, czy panowie Kaczyńscy są zadowoleni z tego, że dokumenty PC (przeiceż ta partia już nie istnieje) wylądowały na śmietniku? Link Dość często zapomina się o wartości dokumentów w momencie zniszczenia - wydają sięwtedy przecież bezużyteczne.
Wpis ten dedykuję mojemu dzisiejszemu rozmówcy - właścicielowi firmy, który stwierdził, że na głupoty pieniędzy nie wyda, a uodo to kłody rzucone przedsiębiorczości.
poniedziałek, 4 sierpnia 2008
GIODO zakończył inspekcję w PEKAO S.A.
Przedstawiciele GIODO zakończyli kontrolę w PEKAO S.A. Komunikat: link
Według GIODO incydent ujawnienia danych osobowych nie był związany z podstawową działalnością Banku, w związku tym dane klientów banku nie były zagrożone. Ale to wiedzieli wszyscy, którzy choć trochę zadali sobie trudu śledzenia sytuacji.
Natomiast wyniki kontroli wskazują na naruszenia przepisów ustawy o ochronie danych osobowych, o czym zostały zawiadomione organy ścigania, które prowadzą postępowanie wyjaśniające w tej sprawie.
Czyli wbrew zapowiedziom i opiniom przedstawicieli banku PEKAO S.A. (np. link) nie wszystko było w porządku - czyli nie dopełnili obowiązku zapewnienia bezpieczeństwa danych osobowych osób, które starały się o pracę w banku.
W związku z tym, GIODO, realizując obowiązki nałożone ustawą o ochronie danych osobowych, skierował wniosek o wszczęcie postępowania dyscyplinarnego wobec osób winnych naruszenia wewnętrznych procedur obowiązujących w Banku, gwarantujących poszanowanie zasad ochrony danych osobowych, w tym polityki bezpieczeństwa.
Mam nadzieję, że dalej pójdzie już gładko i winni dostaną po plecach. :)
Jednocześnie, stwierdzenie zaniedbań, otwiera przed poszkodowanymi możliwość dochodzenia odszkodowania. :)
A jak to było?Bank prowadził rektrutację przez firmę zewnętrzną i olał całośc zabezpieczeń. Haker się włamał i wypuścił w świat. Blooger znalazł, blogger nagłośnił i nie pozwolił zamieść pod dywan. Bank starał się zwalić winę z siebie mówiąc, że wsztsko było u nich w porządku. Jak widć nie było. :)
Miły początek tygodnia.
Według GIODO incydent ujawnienia danych osobowych nie był związany z podstawową działalnością Banku, w związku tym dane klientów banku nie były zagrożone. Ale to wiedzieli wszyscy, którzy choć trochę zadali sobie trudu śledzenia sytuacji.
Natomiast wyniki kontroli wskazują na naruszenia przepisów ustawy o ochronie danych osobowych, o czym zostały zawiadomione organy ścigania, które prowadzą postępowanie wyjaśniające w tej sprawie.
Czyli wbrew zapowiedziom i opiniom przedstawicieli banku PEKAO S.A. (np. link) nie wszystko było w porządku - czyli nie dopełnili obowiązku zapewnienia bezpieczeństwa danych osobowych osób, które starały się o pracę w banku.
W związku z tym, GIODO, realizując obowiązki nałożone ustawą o ochronie danych osobowych, skierował wniosek o wszczęcie postępowania dyscyplinarnego wobec osób winnych naruszenia wewnętrznych procedur obowiązujących w Banku, gwarantujących poszanowanie zasad ochrony danych osobowych, w tym polityki bezpieczeństwa.
Mam nadzieję, że dalej pójdzie już gładko i winni dostaną po plecach. :)
Jednocześnie, stwierdzenie zaniedbań, otwiera przed poszkodowanymi możliwość dochodzenia odszkodowania. :)
A jak to było?Bank prowadził rektrutację przez firmę zewnętrzną i olał całośc zabezpieczeń. Haker się włamał i wypuścił w świat. Blooger znalazł, blogger nagłośnił i nie pozwolił zamieść pod dywan. Bank starał się zwalić winę z siebie mówiąc, że wsztsko było u nich w porządku. Jak widć nie było. :)
Miły początek tygodnia.
Ustawa o ochronie danych osobowych w małej firmie
Mało kto wie, ale mały przesiębiorca, który zatrudnia pracowników (a więc przetwarza dane osobowe na potrzeby kadrowe) podlega ustawie o ochronie danych osobowych. Nawet, jeżeli wszelki sprawy kadrowo-finansowe załatwiane są przez opłaconą firmę księgową.
Zgodnie z:
Art. 2.
1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
2. Ustawę stosuje się do przetwarzania danych osobowych:
1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,
2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.
3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
Art. 3.
1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego
oraz do państwowych i komunalnych jednostek organizacyjnych.
2. Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących
osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z
działalnością zarobkową, zawodową lub dla realizacji celów statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej
Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu
środków technicznych znajdujących się na terytorium Rzeczypospolitej
Polskiej.
Art. 3a.
1. Ustawy nie stosuje się do:
1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.
2. Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz.U Nr 5, poz. 24, z późn. zm.2)) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
Jak widać przedsiębiorca łapie się na obowiązek ustawowy i nie łapie się na żaden wyjątek.
Tak więc przedsiębiorca staje się automatycznie ADO (administratorem danych osobowych) i to na jego barkach spoczywają wszelkie obowiązki nakładane przez uodo, a więc:
Art. 36.
1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.
Art. 37.
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Art. 38.
Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Art. 39.
1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Dzięki jednak art. 43 ust. 4 od przedsiębiorcy nie wymaga się rejestracji zbioru:
Art. 43.
1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
[...]
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
[...]
No dobrze, to skoro już potraktowaliśmy przedsiębiorcę jako ADO, to do czego jest on zobligowany? Wiemy już, że ma zapewnić bezpieczeństwo zbiorów danych, prowadzić dokumentację, rejestrować osoby upoważnione do przetwarzania danych.
O dokumentacji mówi rozporządzenie ministraw spraw wewętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danychosobowych. Par. 1 pkt 1 mówi:
§ 1. Rozporządzenie określa:
1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych
oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
[...]
Można przyjąć, że w przypadku małych przedsiębiorstw można zastosować minimalne środki ochrony o jakich wspomina rozporządzenie (co innnego duże firmy lub np. banki), a więc także mimum dokumentacji.
Zgodnie z par. 3 rozporządzenia w brzmieniu:
§ 3.
1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służcym do przetwarzania danych osobowych, zwana dalej „instrukcją”.
2. Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej.
3. Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych.
ADO musi wdrożyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służcym do przetwarzania danych osobowych.
O zawartości tych dokumentów dokładnie mówi rozporządzenie, na które powołałem się wcześniej w par 4 i 5:
§ 4. Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujàcy zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
§ 5. Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, októrym mowa w pkt III ppkt 1 załcznika do rozporządzenia;
W przypadku gdy sprawy kadrowe załatwiane są poza systemem informatycznym, oczywiście nie musimy pisać instrukcji dla systemów informatycznych, ale kto dzisiaj prowadzi ksiegowość bez komputera? Nawet dane do ZUS wysyłane są przy użyciu telefransmisji w programie Płatnik.
Dodatkowo, ponieważ dane osobowe pracowników przetarzane są przez firmę zewnętrzną, należy zawrzeć umowę powierzenia przetwarzania danych osobowych. O powierzeniu danych mówi art. 31.
Art. 31.
1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.
Co ważne - powierzenie nie zdejmuje z pracodawcy obowiązku ochrony danych, ponieważ to on jest ciągle ADO. Więc to on odpowiada za powierzone mu przez pracowników dane.
To tak na dzisiaj koniec. Jutro postaram się napisać cośo zawartości minimum umowy na powierzenie i o możliwościach, jakie ma ADO w stosunku do kontroli w podmiocie przetwarzającym dane na podstawie umowy.
Odnośniki do aktów prawnych są po prawej stronie w sekcji Podręcznik ustawowo/rozporządzeniowy
Zgodnie z:
Art. 2.
1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
2. Ustawę stosuje się do przetwarzania danych osobowych:
1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,
2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.
3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
Art. 3.
1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego
oraz do państwowych i komunalnych jednostek organizacyjnych.
2. Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących
osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z
działalnością zarobkową, zawodową lub dla realizacji celów statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej
Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu
środków technicznych znajdujących się na terytorium Rzeczypospolitej
Polskiej.
Art. 3a.
1. Ustawy nie stosuje się do:
1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.
2. Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz.U Nr 5, poz. 24, z późn. zm.2)) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
Jak widać przedsiębiorca łapie się na obowiązek ustawowy i nie łapie się na żaden wyjątek.
Tak więc przedsiębiorca staje się automatycznie ADO (administratorem danych osobowych) i to na jego barkach spoczywają wszelkie obowiązki nakładane przez uodo, a więc:
Art. 36.
1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.
Art. 37.
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Art. 38.
Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Art. 39.
1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Dzięki jednak art. 43 ust. 4 od przedsiębiorcy nie wymaga się rejestracji zbioru:
Art. 43.
1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
[...]
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
[...]
No dobrze, to skoro już potraktowaliśmy przedsiębiorcę jako ADO, to do czego jest on zobligowany? Wiemy już, że ma zapewnić bezpieczeństwo zbiorów danych, prowadzić dokumentację, rejestrować osoby upoważnione do przetwarzania danych.
O dokumentacji mówi rozporządzenie ministraw spraw wewętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danychosobowych. Par. 1 pkt 1 mówi:
§ 1. Rozporządzenie określa:
1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych
oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
[...]
Można przyjąć, że w przypadku małych przedsiębiorstw można zastosować minimalne środki ochrony o jakich wspomina rozporządzenie (co innnego duże firmy lub np. banki), a więc także mimum dokumentacji.
Zgodnie z par. 3 rozporządzenia w brzmieniu:
§ 3.
1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służcym do przetwarzania danych osobowych, zwana dalej „instrukcją”.
2. Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej.
3. Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych.
ADO musi wdrożyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służcym do przetwarzania danych osobowych.
O zawartości tych dokumentów dokładnie mówi rozporządzenie, na które powołałem się wcześniej w par 4 i 5:
§ 4. Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujàcy zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
§ 5. Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, októrym mowa w pkt III ppkt 1 załcznika do rozporządzenia;
W przypadku gdy sprawy kadrowe załatwiane są poza systemem informatycznym, oczywiście nie musimy pisać instrukcji dla systemów informatycznych, ale kto dzisiaj prowadzi ksiegowość bez komputera? Nawet dane do ZUS wysyłane są przy użyciu telefransmisji w programie Płatnik.
Dodatkowo, ponieważ dane osobowe pracowników przetarzane są przez firmę zewnętrzną, należy zawrzeć umowę powierzenia przetwarzania danych osobowych. O powierzeniu danych mówi art. 31.
Art. 31.
1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.
Co ważne - powierzenie nie zdejmuje z pracodawcy obowiązku ochrony danych, ponieważ to on jest ciągle ADO. Więc to on odpowiada za powierzone mu przez pracowników dane.
To tak na dzisiaj koniec. Jutro postaram się napisać cośo zawartości minimum umowy na powierzenie i o możliwościach, jakie ma ADO w stosunku do kontroli w podmiocie przetwarzającym dane na podstawie umowy.
Odnośniki do aktów prawnych są po prawej stronie w sekcji Podręcznik ustawowo/rozporządzeniowy
piątek, 1 sierpnia 2008
Przyjmowanie pracownika, a dane osobowe.
Nie jestem prawnikiem, więc nie będę udawał, że są to moje przemyślenia. :)
Podczas dokształcania się w dziedzinie ochrony danych osobowych podczas rekrutacji natknąłem się na dwa artykuły:
- w Gazecie Prawnej artykuł p. Agnieszki Lechman-Filipiak o podstawach prawnych zakresu przetwarzania danych: link
- i na blogu Olgierda Rudaka o nieszczęsnej klauzuli na przetwarzanie danych osobowych: link
O ile w przypadku artykułu w GP, to zgadzam się w pełni :), to o tyle w przypadku art. Olgierda, brakuje mi informacji, że klauzula nie jest zawsze wymagana.Przykłda?
Firma prowadzi rekrutację, tylko przy pomocy swoich pracowników (kadrowy, przyszły szef) i tylko na podstawie informacji dopuszczonych w art. 22(1) par. 1 Kodeksu Pracy. Według tego zapisu przyszły pracowadca ma prawo żądać: imię,nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania, wykształcenie oraz przebieg dotychczasowego zatrudnienia.
Mam nadzieję, że ten wpis pomoże szukającym pracy, bo jak podają moje statystyki, sporo osób tu trafia szukając przez google informacji na temat klauzuli przetwarzania danych opsobowych podczas rekrutacji.
Podczas dokształcania się w dziedzinie ochrony danych osobowych podczas rekrutacji natknąłem się na dwa artykuły:
- w Gazecie Prawnej artykuł p. Agnieszki Lechman-Filipiak o podstawach prawnych zakresu przetwarzania danych: link
- i na blogu Olgierda Rudaka o nieszczęsnej klauzuli na przetwarzanie danych osobowych: link
O ile w przypadku artykułu w GP, to zgadzam się w pełni :), to o tyle w przypadku art. Olgierda, brakuje mi informacji, że klauzula nie jest zawsze wymagana.Przykłda?
Firma prowadzi rekrutację, tylko przy pomocy swoich pracowników (kadrowy, przyszły szef) i tylko na podstawie informacji dopuszczonych w art. 22(1) par. 1 Kodeksu Pracy. Według tego zapisu przyszły pracowadca ma prawo żądać: imię,nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania, wykształcenie oraz przebieg dotychczasowego zatrudnienia.
Mam nadzieję, że ten wpis pomoże szukającym pracy, bo jak podają moje statystyki, sporo osób tu trafia szukając przez google informacji na temat klauzuli przetwarzania danych opsobowych podczas rekrutacji.
Grunt to mieć dobry humor
Trafiłem na artykuł w Gazecie Prawne (gazetaprawna.pl) o tym, jak to dobrze jest ze świadomością dot. ochrony danych osobowych wśród obywateli RP: link
No i co? Jakie odczucia? ;)
Ja myślałem, że skręce się ze śmiechu. Już pierwsze zdanie:
Zdaniem Generalnego Inspektora Ochrony Danych Osobowych Michała Serzyckiego, fakt, iż Polska znalazła się na pierwszym miejscu - z wynikiem 43 proc. - wśród państw członkowskich UE, deklarując najwyższą świadomość praw związanych z danymi osobowymi, jest efektem edukacji społeczeństwa.
spowdowało u mnie napad chichotu. Jaka świadomość. A może jest tak, jak w przypadku pewnego piwa, które to podobno pije 50 procet społeczeństwa? Tylko, że ja nie znam nikogo, kto pije to piwo. Tak samo - 43% obywateli ma świadomość zagadnień związanych z ochroną swoich danych, ale nie znam nikogo (niezwiązanego z branżą), kto wie "o co biega". W momencie, kiedy zaczynam rozmowę na temat danych osobowych, to widzę oczy jak pięciozłotówki :)
Następny tekst:
Badanie wykazało, że 55 proc. Polaków wykazuje troskę o dane osobowe ujawniane w internecie, co plasuje nasz kraj na jednym z ostatnich miejsc wśród państw członkowskich UE.
Ja bym te procenty ostro zaniżył - dobry przykład: nasza-klasa. Dalej wystarczy popatrzeć na niektóre strony internetowe, na których właściciele podają swoje adresy domowe i pesel. Być może nie mam szczęścia i obracam się w tych 45 %, która nie dba. :) A już rozróżnienie połączenia szyfrowanego od nieszyfrowanego... cuda na kiju. ;)
W ocenie GIODO, powód do satysfakcji daje 74 proc. badanych Polaków, którzy są świadomi, że organizacje zbierające dane osobowe mają obowiązek informowania osoby, których dane dotyczą, o celu zbierania danych osobowych oraz ich ewentualnym, dalszym wykorzystaniu. Rezultat ten stawia Polskę na trzecim miejscu, tuż po Rumunii i Słowenii.
Buhahahaha - jakie 74%? Albo ponownie nie mam szczęścia. :) A może do tych 74% zostały zliczone też osoby, które twierdzą, że firma zbierająca dane zawsze musi poprosić o zgodę. A przecież nie zawsze musi. :)
Oj i na koniec:
To, że aż 43 proc. polskiego społeczeństwa deklaruje świadomość zasad ochrony danych osobowych, to bardzo dobry rezultat" - ocenił w czwartek w rozmowie z PAP Serzycki. Jego zdaniem, to zasługa konsekwentnie realizowanej polityki, że "trzeba maksymalnie dużo czasu i wysiłku poświęcić edukacji" m.in. na temat możliwych zagrożeń.
No tu już p. Serzyckiego chyba poniosły te procenty. Nie wiem, czy należy cieszyć się i czy należy obwieścić triumf i powoływać się na konsekwentne realizowanie polityki. Proponuję zrobić ankietę wśród średnich i dużych przedsiębiorstw a także instytucji państwowych w zakresie stosowania ustawy i świadomości zagrożeń - wyniki zmienią nam humory. Gwarantuję.
No i co? Jakie odczucia? ;)
Ja myślałem, że skręce się ze śmiechu. Już pierwsze zdanie:
Zdaniem Generalnego Inspektora Ochrony Danych Osobowych Michała Serzyckiego, fakt, iż Polska znalazła się na pierwszym miejscu - z wynikiem 43 proc. - wśród państw członkowskich UE, deklarując najwyższą świadomość praw związanych z danymi osobowymi, jest efektem edukacji społeczeństwa.
spowdowało u mnie napad chichotu. Jaka świadomość. A może jest tak, jak w przypadku pewnego piwa, które to podobno pije 50 procet społeczeństwa? Tylko, że ja nie znam nikogo, kto pije to piwo. Tak samo - 43% obywateli ma świadomość zagadnień związanych z ochroną swoich danych, ale nie znam nikogo (niezwiązanego z branżą), kto wie "o co biega". W momencie, kiedy zaczynam rozmowę na temat danych osobowych, to widzę oczy jak pięciozłotówki :)
Następny tekst:
Badanie wykazało, że 55 proc. Polaków wykazuje troskę o dane osobowe ujawniane w internecie, co plasuje nasz kraj na jednym z ostatnich miejsc wśród państw członkowskich UE.
Ja bym te procenty ostro zaniżył - dobry przykład: nasza-klasa. Dalej wystarczy popatrzeć na niektóre strony internetowe, na których właściciele podają swoje adresy domowe i pesel. Być może nie mam szczęścia i obracam się w tych 45 %, która nie dba. :) A już rozróżnienie połączenia szyfrowanego od nieszyfrowanego... cuda na kiju. ;)
W ocenie GIODO, powód do satysfakcji daje 74 proc. badanych Polaków, którzy są świadomi, że organizacje zbierające dane osobowe mają obowiązek informowania osoby, których dane dotyczą, o celu zbierania danych osobowych oraz ich ewentualnym, dalszym wykorzystaniu. Rezultat ten stawia Polskę na trzecim miejscu, tuż po Rumunii i Słowenii.
Buhahahaha - jakie 74%? Albo ponownie nie mam szczęścia. :) A może do tych 74% zostały zliczone też osoby, które twierdzą, że firma zbierająca dane zawsze musi poprosić o zgodę. A przecież nie zawsze musi. :)
Oj i na koniec:
To, że aż 43 proc. polskiego społeczeństwa deklaruje świadomość zasad ochrony danych osobowych, to bardzo dobry rezultat" - ocenił w czwartek w rozmowie z PAP Serzycki. Jego zdaniem, to zasługa konsekwentnie realizowanej polityki, że "trzeba maksymalnie dużo czasu i wysiłku poświęcić edukacji" m.in. na temat możliwych zagrożeń.
No tu już p. Serzyckiego chyba poniosły te procenty. Nie wiem, czy należy cieszyć się i czy należy obwieścić triumf i powoływać się na konsekwentne realizowanie polityki. Proponuję zrobić ankietę wśród średnich i dużych przedsiębiorstw a także instytucji państwowych w zakresie stosowania ustawy i świadomości zagrożeń - wyniki zmienią nam humory. Gwarantuję.
czwartek, 31 lipca 2008
Przyjazny kodeks karny ;) - podpora ABIego
Na GL w jednej z dyskusji na temat tajności zarobków przytoczony został bardzo ciekawy artykuł z Kodeksu Karnego.
Zerknąłem do źródła: link
Prócz przejrzenia art. 266, zainteresowałem się całym rozdziałem XXXIII
Przestępstwa przeciwko ochronie informacji
Art. 265.
§ 1. Kto ujawnia lub wbrew przepisom ustawy wykorzystuje informacje stanowiące tajemnicę państwową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 2. Jeżeli informację określoną w § 1 ujawniono osobie działającej w imieniu lub na rzecz podmiotu zagranicznego, sprawca podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 3. Kto nieumyślnie ujawnia informację określoną w § 1, z którą zapoznał się w związku z pełnieniem funkcji publicznej lub otrzymanym upoważnieniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
§ 1. Kto ujawnia lub wbrew przepisom ustawy wykorzystuje informacje stanowiące tajemnicę państwową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 2. Jeżeli informację określoną w § 1 ujawniono osobie działającej w imieniu lub na rzecz podmiotu zagranicznego, sprawca podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 3. Kto nieumyślnie ujawnia informację określoną w § 1, z którą zapoznał się w związku z pełnieniem funkcji publicznej lub otrzymanym upoważnieniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 266.
§ 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację stanowiącą tajemnicę służbową lub informację, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes,
podlega karze pozbawienia wolności do lat 3.
§ 3. Ściganie przestępstwa określonego w § 1 następuje na wniosek pokrzywdzonego.
§ 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację stanowiącą tajemnicę służbową lub informację, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes,
podlega karze pozbawienia wolności do lat 3.
§ 3. Ściganie przestępstwa określonego w § 1 następuje na wniosek pokrzywdzonego.
Art. 267.
§ 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.
§ 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.
§ 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
Art. 268.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat 3.
§ 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat 3.
§ 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
Art. 268a.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.
§ 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.
§ 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.
Art. 269.
§ 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej
albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych.
§ 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej
albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych.
Art. 269a.
Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Art. 269b.
§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.
§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.
§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.
§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.
Miłych wniosków. Miłych... dość dziwne określenie w tym kontekście :)
Dawno nie było ciekawych stron. Dzisiaj są za to dwie:
Proponuje zajrzeć - jest co poczytać :)
Zaproszenia na badania cytologiczne w Wiśle
Jakj podał przed chwilą 1 program radiowy, w parku przy brzegu Wisły znaleziono ok. 30 zaproszeń na badania cytologiczne wystosowane przez Warszawski Instytut Onkologiczny. Zaproszenia wystawały sobie z wody i można było wyczytać z nich imię, nazwisko i adres.
Według informacji od przedstawiciela firmy ForPrint (??Four Print??)), która wygrała przetarg na wydrukowanie i dostarczenie tych zaproszeń, nieznany sprawca ukradł kurierowi paczkę z 50 zaproszeniami. Było to na początku lipca.
Kurierowi nie chciało się pracować?
Pomijajać fakt zwykłego świństwa, doszło do naruszenia UODO. Kurier jest przesłuchiwany przez policję.
Zastanawia mnie liczba niedostarczonych przesyłek w kontekście artykułu, jaki opublikowało Życie Warszawy: link
Chyba jednak "złodziej" ukradł większą paczkę.
Według informacji od przedstawiciela firmy ForPrint (??Four Print??)), która wygrała przetarg na wydrukowanie i dostarczenie tych zaproszeń, nieznany sprawca ukradł kurierowi paczkę z 50 zaproszeniami. Było to na początku lipca.
Kurierowi nie chciało się pracować?
Pomijajać fakt zwykłego świństwa, doszło do naruszenia UODO. Kurier jest przesłuchiwany przez policję.
Zastanawia mnie liczba niedostarczonych przesyłek w kontekście artykułu, jaki opublikowało Życie Warszawy: link
Chyba jednak "złodziej" ukradł większą paczkę.
Listonosz nie jest Bogiem
Szanowni listonosze nauczyli sie, że można bardzo dobrze żyć z dostarczania przesyłek. I to nie chodzi o pensję, jaką otrzymują, ale o możliwości dorobienia. Znane są końcówki od dostarczonych emerytur, które to (te końcówki) sięgają nawet kiluset złotych za rejon dostarczania emertytur (bo przecież taki listonosz biedny i tyle musi się nachodzić). A ponieważ coraz więcej emerytów otrzymuje swoje wypłaty na konta, to trzeba było znaleźć nowy sposób dorabiania do pensji.
Listonosze posiadająbardzo dobry i drogi towar, jakim jest informacja.
Informacja o tym, kto ma rodzine za granicą (listy z zagranicy), kto ma kłopoty finansowe (listy z ponagleniami), kto ma kłopoty z prawem (wezwania do sądu).
Listonosze wiedzą takaże, kto podpadnie pod losowanie funduszu emerytalnego. Ponieważ dzisiaj Poczta Polska, to także OFE Pocztylion, a często wśród przedstawicieli Pocztyliona są znajomi listonoszy (lub dobrzy płatnicy), to czemu nie zarobić?
Okazało się, że listonosze przekazywali dane osób, do których ZUS wystosował listy z przypomnieniem o OFE dla znajomych przedstawicieli OFE Pocztylion, dzięki temu ci wiedzieli gdzie "uderzyć" :)
Jest to jawne złamanie ustawy o ochronie danych osobowych, ponieważ mamy tu doczynienia z danymi (imię, nazwisko, adres) a także powiązanie z marketingiem.
Oficjalnie, jak podaje rp.pl w artykule Listonosze nie mogą werbować do funduszu listonosze nie mogą już tego robić. Oficjalnie nie mogą... ale nieoficjalnie?
Listonosze posiadająbardzo dobry i drogi towar, jakim jest informacja.
Informacja o tym, kto ma rodzine za granicą (listy z zagranicy), kto ma kłopoty finansowe (listy z ponagleniami), kto ma kłopoty z prawem (wezwania do sądu).
Listonosze wiedzą takaże, kto podpadnie pod losowanie funduszu emerytalnego. Ponieważ dzisiaj Poczta Polska, to także OFE Pocztylion, a często wśród przedstawicieli Pocztyliona są znajomi listonoszy (lub dobrzy płatnicy), to czemu nie zarobić?
Okazało się, że listonosze przekazywali dane osób, do których ZUS wystosował listy z przypomnieniem o OFE dla znajomych przedstawicieli OFE Pocztylion, dzięki temu ci wiedzieli gdzie "uderzyć" :)
Jest to jawne złamanie ustawy o ochronie danych osobowych, ponieważ mamy tu doczynienia z danymi (imię, nazwisko, adres) a także powiązanie z marketingiem.
Oficjalnie, jak podaje rp.pl w artykule Listonosze nie mogą werbować do funduszu listonosze nie mogą już tego robić. Oficjalnie nie mogą... ale nieoficjalnie?
środa, 30 lipca 2008
Szkolenie...
Znalazłem kolejne szkolenie z UODO z cyklu niskobudzetowego (co jest ważne w momencie kiedy płacimy z własnej kieszeni).
Szkolenie organizuje EagleAuditors w dniach 8-9 września 2008. Koszt to tylko 1200PLN (max - możliwe są zniżki) za 2 dni z zakwaterowaniem i wyżywieniem.
Wiecej informacji na stronie: link
Na pierwszy rzut oka warto.
Szkolenie organizuje EagleAuditors w dniach 8-9 września 2008. Koszt to tylko 1200PLN (max - możliwe są zniżki) za 2 dni z zakwaterowaniem i wyżywieniem.
Wiecej informacji na stronie: link
Na pierwszy rzut oka warto.
Wyższe kary, wyższa skuteczność?
W dniu dzisiejszym GazetaPrawna.pl opublikowała wywiad z GIODO p. Michałem Serzyckim. Link
Tematem była nowelizacja UODO, która ma zaostrzyć kary za nieprzestrzeganie ustawy, głównie w zakresie kontroli.
Jak to jest z tym egzekwowaniem UODO? Niby jest rodział 8 z przepisami karnymi, ale ustawa nie przewiduje kar za nieudostępnienie kontrolerom zbiorów danych do kontroli. Więc jak tu karać za niedotrzymaniu ustawy, jeżeli nie ma możliwości sprawdzenia?
Stan prawny można zobaczyć tu: link w pozycji 144 (nie wiem czy cały czas będzie w tej pozycji - ale wystarczy wyszukać na stronie).
Co przewiduje omawiana nowelizacja?
Ano zaostrzenie kar:
- kara od 1000 do 100000 eura za niewykonanie decyzji GIODO
- kara do 300% miesięcznego wynagrodzenia dla przedstawiciela firmy za uniemożliwienie lub utrudnianie kontroli, lub w przpadku niedostarczenia w terminie 14 dni informajcji pozwalających na ustalenie wymiaru kary, ryczałtowej kary w wysokości nie mniej niż 10000 euro
Dodatkowo z nowelizacja usuwa jeszcze jeden problem, a mianowicie cofnięcie zgody na przetwarzanie danych osobowych. W obecnym brzmieniu, nie ma ani słowa na ten temat, więc cofnięcie wydanej zgody jest problematyczne.
Najciekawsza wydaje się reakcja firm przetwarzających dane osobowe. Oczywiście podniosła się wrzawa. Protestował Związek Banków Polskich, co wydaję się dość komiczne w odniesieniu do ostatnich wydarzeń z PEKAO S.A. Argumentacja, że banki nie będą w stanie ponieść kosztów na zabezpieczenie danych osobowych... jest śmieszna.
wtorek, 29 lipca 2008
Nieudolność pracowników iPKO :)
No i mamy dzień bankowy (tak się nudzę na urlopie :)).
No i znalazłem dość ciekawą informację na portalu tvn24.pl. Link
W skrócie:
W sieci pojawiła się strona informacyjna z ustawieniami serwera php, na którym działa system bankowości elektronicznej PKO BP S.A.
No i znalazłem dość ciekawą informację na portalu tvn24.pl. Link
W skrócie:
W sieci pojawiła się strona informacyjna z ustawieniami serwera php, na którym działa system bankowości elektronicznej PKO BP S.A.
Na stronie tej pokazane są wszystkie informacje dotyczące konfiguracji php.
No i co? Według rzecznika banku, który o informacje poprosił speców od bezpieczeństwa w swojej instytucji, to nie są żadne niebezpieczne dla banku informacje. Sorki, ale następny rzecznik prasowy banku chyba nie wie o czym mówi. Przecież tak często przytaczany przez odpowiednika z PEKAO S.A. "haker" dokonuje najpierw rozpoznania i zbiera informacje na temat zabezpieczeń stosowanych w systemie. Szuka słabych punktów systemu.
Strona ta, to nic więcej jak naklejka na szybie samochodu w stylu używam zabezpieczeń firmy XXX. A co się dziwić fachowcom banku, że powiedzieli że nie jest to groźna informacja? Przecież za takie coś powinno się polecieć z pracy.
Zgryźliwie zapytam: a może należałoby zapytać zewnętrznego audytora? ;)
Gwoli przypomnienia:
Art. 52.
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Komentarza PEKAO S.A. odnośnie wycieku informacji
Serwis proto.pl opublikował rozmowę z Magdaleną Załubską-Król, zastępcą rzecznika prasowego ds. produktów bankowych. Link
Nie wytrzymałem i skomentowałem. Ma nadzieję, że komentarz pokaże się na stronie, po akceptacji moderatora serwisu.
Moje odczucia
Mimo zmiany osoby wypowiadającej się i zmiany formy wypowiedzi (brak oskarżeń), ton jest ten sam: to nie my, to wina hakera, ktory włamał się na serwer firmy zewnętrznej. Myśmy zrobili audyt i jesteśmy czyści.
Nie jest to tak fajnie. Mimo, że bank zlecił komuś coś, to w dalszym ciągu jest ADO i odpowiada za bezpieczeństwo danych.
Pani rzecznik powołuje się na opinię zewnętrznego audytora i jego opinię, że aplikacja miała niezbędne zabezpieczenia i że gdyby brak było zabezpieczeń, to dane wyciekłby już 8 kwietnia, kiedy rozpoczął on swoja działalność (serwis), a nie w połowie lipca. Oj, szczerze mówiąc bałbym się takiego audytora i jego opinii. Oczywiście dane te mogły być zabezpieczone dostatecznie w kontekście zabezpieczeń dla małej firmy, której serwer nie jest tak łakomym kąskiem dla włamywaczy, a nie największego w regionie banku. Szanowna Pani: zabezpieczenie to ciągły proces, a jego złożoność zależy od kontekstu (od firmy i serwera). Nie wystarczy stwierdzić, że audytor pozwolił i koniec. A gdzie nadzór, kontrola nad działającym już systemem?
No dobra - wystarczy ględzenia o systemach, serwerach i zabezpieczeniach.
A co mógł zrobić PIAR bankowy? Zamiast trzymać się wersji "to nie my", wystarczyło przeprosić, walnąć się w piersi, zadość uczynik poszkodowanym (jakis bonusik odszkodowanie) i transparentnie (fajne slowo) poddać się kontroli. Wyglądałoby to lepiej, niż zamiatanie pod dywan.
Poczekamy, co na to GIODO.
Subskrybuj:
Komentarze (Atom)
