Administratorzy Bezpieczeństwa Informacji

Ostatnio dużo mówi się o rekordowej w kraju karze administracyjnej wynikającej z RODO (ogólnego rozporządzenia o ochronie danych osobowych. Artykuły które m.in.. warto poczytać to:

Pierwsza kara została (w końcu?) nałożona przez Prezesa Urzędu Ochrony Danych Osobowych - dowiadujemy się na https://uodo.gov.pl/pl/138/786. Czytamy tam, że:

Ostatni tydzień wszyscy żyjemy tym, że kara za jeden mail będący spamem może wynieść 50 EUR. Niech drżą spamerzy, bo RODO ich dopadnie. W Gazecie Prawnej znajdujemy artykuł zatytułowany "RODO: Za niechciane e-maile można domagać sie odszkodowania". Dowiadujemy się w nim, że powód otrzymał mailem pytanie, czy może zostać przedstawiona mu oferta handlowa i uznał, że naruszono ochronę jego danych osobowych i zażądał 500 euro odszkodowania, opierając swoje żądanie na art.

Urząd Ochrony Danych osobowych w dn. 21 września 2018 r. zorganizował konferencję "Ochrona danych w fazie projektowania. Wymogi RODO w tworzeniu oprogramowania". Niestety w tym czasie byłem w podróży, ale to nie powód do zmartwienia, bo konferencja była nadawana online, a później została opublikowana w serwisie YouTube pod adresem https://www.youtube.com/watch?v=6YT7Xjf9hnM.

Na Twitterze opublikowałem zdjęcie notesu, który kupiłem na Allegro. Napisałem o tym notesie tak:

#RODO organizer - fajny gadżet, na pewno dobrze będzie prezentował się na spotkaniach :-) Mam już pieczątkę anonimizującą, więc w sam raz do kolekcji :-D Dziękuję @lol_rodo za tak fajną propozycję gadżetu pod choinkę

Może jednak rzeczywiście warto podkreślić - że taki notes nie ochroni żadnych danych przez złodziejami.

Ostatnio dość często dziwiłem się, że Ministerstwo Cyfryzacji unika (a prznajmniej tak to wygląda) współpracy z UODO, ale kto wie, może w tym szaleństwie jest metoda?

Dzisiaj trafiłem na RODO - Poradnik dla Sektora FinTech i w odpowiedzi na pytanie 5 czytam, że:

Minęło 6 miesięcy od wejścia w życie RODO i dla wielu to doskonała okazja na podsumowanie. Wojciech Wiewiórowski - Zastępca Europejskiego Inspektora Ochrony Danych w krótkim nagraniu wideo (https://www.youtube.com/watch?v=eCwxhKfRGFI) mówi o pół roku stosowania RODO. 

Dawno nic nie napisałem... bo pisałem książkę... https://www.ksiegarnia.beck.pl/17417-ochrona-danych-osobowych-przewodnik... - już za kilka dni będzie dostępna. A że skończyłem, mam trochę czasu na ciekawostki...

Cieszy mnie , że jest taki poradnik, bo fotograf nie ma łatwego życia, a jeszcze dodajmy, że w związku z RODO powstała panika… ba, nawet pewna psychoza RODO - wszyscy zastanawiają się, czy ludzi można na weselu filmować, jak zebrać ich zgody, etc. Poradnik zaczyna się od tego:

RODO w dziedzinie fotografii narobiło sporo zamieszania. Stało się tak dlatego, że wizerunek został uznany za daną osobową.

Motyw 75 jest tak zakręcony i pokręcony, że chwilę mi zajęła jego interpretacja.

Dowiadujemy się z niego, że

• występuje tylko jeden rodzaj ryzyka - ryzyko naruszenia praw lub wolności osób
• ma ono różne prawdopodobieństwa i wagi (ang. severity)
• może ono wynikać z.... no i właśnie tutaj jest problem... bo resztę tego zdania trzeba rozbić na mniejsze kawałki...

Dlaczego nie można było napisać tak: "Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 10 000 złotych na państwowe i samorządowe instytucje kultury".

Tak oto wygląda zgoda pewnego portalu : "Drogi Użytkowniku, przypominamy podstawowe informacje z zakresu przetwarzania danych dostarczanych przez Ciebie podczas korzystania z naszych serwisów. Zamykając ten komunikat (kliknięcie w przycisk "Przejdź do serwisu" lub "X"), zgadzasz się na wskazane poniżej działania". 

Porównajmy sobie definicje danych osobowych  - jedną z dyrektywy 95/46/WE, drugą z rozporządzenia RODO i jeszcze z (obowiązującej jeszcze) polskiej ustawy o ochronie danych osobowych .

W ostatnich dniach ukazało się oficjalne sprostowanie tłumaczenia RODO. Przyjrzałem się zmianom w wersji EN aby upewnić się czy zmiany mają charakter fundamentalny. Na szczęście nie. Sprawdziłem też zmiany w wersji polskiej, wychodząc z założenia, że jeśli jest ich więcej, to pewnie popełniono omyłki na etapie tłumaczenia. No i nie myliłem się - jest ich więcej!

Taki tweet dzisiaj rzucił mi się w oczy:

na 23 dni przed RODO ukazuje się oficjalne sprostowanie tłumaczenia, a zmiany są fundamentalne (wersja pl od str. 259): np. motyw 75 - ryzyko, definicji danych osobowych, wypada pojęcie zagrożenia z art. 24... http://data.consilium.europa.eu/doc/document/ST-8088-2018-INIT/en/pdf

Wystarczyło 5 minut od opublikowania w internecie jego spersonalizowanej karty płatniczej i pieniądze zaczęły znikać z karty.  Taki jest wniosek z filmu Maćka Budzicha, znanego jako Mediafun. Tematyka, którą on porusza bardzo lubię, a w tym filmiku (i też w artykule na swoim blogu) porusza temat, który jest mi bardzo bliski - dbania o bezpieczeństwo własnych informacji.

Przyglądając się definicji ograniczenia przetwarzania w RODO trochę zgłupiałem... i uznałem, że jednak podzielę się swoimi przemyśleniami... "Na użytek niniejszego rozporządzenia: (...) „ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania". Czyżby według RODO ograniczenie przetwarzania to nie było "ograniczenie", ale jedynie "oznakowanie" informacji..?

Na stronie Infodent24 trafiłem na artykuł wobec którego obojętnie nie udało mi się przejść...

W artykule znajdujemy stwierdzenie dra Kaweckiego - Zastępcy Dyrektora Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji:

Nic ostatnie nie dzieje się wybitnie ciekawego. Tak więc ten artykuł to będzie taka zbieranka rozmaitych ciekawostek.

Na stronach Ministerstwa Cyfryzacji opublikowane zostały projekty ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych oraz projektu ustawy o ochronie danych osobowych. Jednocześnie Ministerstwo zaprosiło do konsultacji, których celem było zebranie możliwie najszerszego spektrum opinii dotyczących projektowanych rozwiązań. Przepisy dotyczące ochrony danych osobowych dotyczą bowiem bezpośrednio wszystkich Obywateli, ale mają także znaczący wpływ na działalność przedsiębiorców.

Dzisiaj wpadłem na artykuł autorstwa Nicoli Zięby (Wojewódka i Wspólnicy Kancelaria Prawa Pracy) z tzw. click baitowym (przyciągającym uwagę) tytułem "Zamieszczanie zdjęć pracowników na identyfikatorach narusza ochronę danych osobowych".

Analizuję paragraf po paragrafie treść Europejskiego Rozporządzenia 2016/679 "w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)" (...) Zauważyłem, że wersja polska brzmi inaczej w niektórych miejscach, podczas gdy w wersji angielskojęzycznej tekst jest identyczny. (...) W niektórych miejscach różnice są, ale wydają się mieć charakter celowy - dane bezpośrednio od osoby są "zebrane", ale z innych źródeł są raczej "pozyskane".

Ostatnio zgłaszałem szkodę z ubezpieczenia i - jak to bywa - musiałem wypełnić formularz zgłoszenia szkody. Na samym końcu formularza znalazły się moje oświadczenia