VII Spotkanie ABI Warszawa - 29.11.2012 r. - zapraszamy!

Szanowni Państwo,
Zapraszamy na VII Spotkanie Administratorów bezpieczeństwa informacji w Warszawie. Tradycyjnie przewidujemy dyskutować o bieżących problemach dotyczących ABI. Jednym z tematów będzie wizja ABI - jak chcielibyśmy, aby wyglądał w przyszłości nadzór nad ochroną danych osobowych w firmach.

Inne tematy "dyżurne" to:

10 porad jak zmienić Ubuntu 12.04 w piękny system

Coś zupełnie z innej beczki - żeby nie było, że wyłącznie dane osobowe :)

Warto korzystać z oprogramowania OpenSource, bo jest dobre i tanie, pozwala Ci (z)robić z nim co tylko zapragniesz. Ja uzywam. Dlatego prezentuję 10 szybkich porad dla Ubuntu 12.04, które warto zrobić, aby to był ładny system (wygląd ma znaczenie, prawda?). Nie każdemu przypada do gustu domyślny fioletowawy kolor oraz czcionka Ubuntu.

Poniżej prezentuję 10 porad jak szybko zainstalować parę rzeczy - czcionki, ikony, tematy okien, etc, które zmienią wizualnie system nie do poznania.

Reforma ochrony danych osobowych - co w trawie piszczy - czyli opinia i wskazówki grupy rob. art. 29

Grupa robocza art. 29 to europejski zespół roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych (ang. Working Party on the Protection of Indyviduals with regard to the Processing of Personal Data) powołany na na mocy art. 29 Dyrektywy 95/46/WE. Stąd właśnie jej określenie - grupa robocza art. 29. Wydaje ona różne opinie, co powinno (i ma) znaczący wpływ na praktykę stosowania prawa ochrony danych osobowych. Grupa stanowi niezależne ciało o charakterze doradczym, złożone m.in.

Debata o przyszłości ABI - wspólnie z GIODO. Weź udział i decyduj o tym, co robisz jako ABI.

Stowarzyszenie Administratorów Bezpieczeństwa Informacji wraz z Generalnym Inspektorem Ochrony Danych Osobowych zapraszają na Debatę na temat przyszłości funkcji ABI „Od Administratora do Inspektora“ która odbędzie się 19 października 2012r. w godzinach 10 – 15, w Auli Instytutu Biocybernetyki i Inżynierii Biomedycznej im. Macieja Nałęcza PAN, przy ul. Ks. Trojdena 4 w Warszawie.

Wygląda na to, że ABI wyznaczony być MUSI...

Wygląda na to, że w przypadku gdy administratorem danych jest podmiot inny niż osoba fizyczna (czyli gdy dane osobowe przetwarza np. spółka z ograniczoną odpowiedzialnością albo spółka akcyjna), wyznaczenie ABI jest obowiązkowe >> http://www.e-ochronadanych.pl/a,1730,ii-sa-wa-630-12.html

Banki należy pochwalić...

Wyobraźmy sobie klienta banku, który wypłaca w okienku kasowym pieniądze – kasjer przekazuje mu przeliczoną gotówkę i uprzejmie informuje, że należy ją schować do portfela, który należy włożyć do torebki. Kasjer podkreśla, żeby nie pokazywać publicznie, że ma się ze sobą większą ilość gotówki w portfelu, instruuje jak postępować, aby nikt nie ukradł klientowi wypłaconych pieniędzy, a w razie czego podaje telefon do banku na wypadek nieprzewidzianego zdarzenia. Taki scenariusz w bankowości internetowej jest ... standardem.

Dobre pytanie - anonimizacja orzeczeń sądów krajowych i... niespodzianka

W jednym z komentarzy w serwisie prawo.vagla.pl >> znalazłem ciekawe pytanie:

Dzień programisty - w Rosji jest świętem państwowym...

#! /usr/bin/szell(ma)
 
2^8 = 256 dnia roku na całym świecie obchodzi się Dzień Programisty. Jako ciekawostkę warto wspomnieć, że w Rosji dekretem nr 1034 D. Miedwiediewa dzień ten ustanowiono świętem państwowym. W Polsce m.in. księgarnia Helion postanowiła uczcić ten dzień, oferując 20% rabat na wiele książek (http://helion.pl/promocja/103/).
 

Jak rozpoznać dane osobowe - kiedy dane są "osobowe"?

Czasami od razu widać, że określone informacje to "dane osobowe". A czasami nie. Takie same dane w jednych okolicznościach są osobowe, a w innych nie. Ustawa nie prezentuje katalogu informacji stanowiących dane osobowe. Trzeba samodzielnie podejmować trud oceny jakie dane są „osobowe”.

Definicja danych osobowych w ustawie jest następująca (art. 6 ust. 1):

w rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

TrapWire - mamy Cię (na oku)

GIODO ostatnio wiele mówi o profilowaniu. I wtedy przypomina mi sie TrapWire - "system przewidujący" stworzony po to, aby wykrywać wzorce zachować terrorystów bądź przestępców. Terroryzm dobry na wszystko.

Podoba mi się komentarz pod jednym z artykułów "Ameryka... kraj wolności. Za niedługo trzeba będzie się wynieść do afryki żeby zachować troche wolności" :-D

Linki w temacie.

I znowu USA sięgnie po dane osobowe... i to za pomocą szantażu! (FATCA)

Ustawa o ujawnianiu informacji o rachunkach zagranicznych na cele podatkowe FATCA (Foreign Account Tax Compliance Act) jest nową ustawą podatkową przyjętą w Stanach Zjednoczonych (przyjęta w marcu 2010 r.). Jej celem jest identyfikacja podatników amerykańskich posiadających rachunki w zagranicznych instytucjach finansowych. Ustawa nakłada na zagraniczne instytucje finansowe (zagraniczne wobec Amerykanów ;) obowiązek informowania amerykańskich urzędów skarbowych o rachunkach prowadzonych na rzecz podatników / obywateli USA.

Książka "Bezpieczeństwo systemu e-commerce, czyli jak prowadzić biznes bez ryzyka"

Biznes w internecie to świetna alternatywa dla sprzedaży tradycyjnej. Tak kupować można taniej, szybciej, wygodniej, a rynek odbiorców zwiększa się wielokrotnie w stosunku do tradycyjnego. No i oczywiście "prowadzić e-biznes każdy może". Aż do pierwszego potknięcia. A przecież bezpieczeństwo jest bardzo ważne niezależnie od sposobu prowadzenia biznesu i użytej technologii.

Poseł Joński nie będzie używał tabletu. Inwigilacja?

Ciekawostka godna wspomnienia. Poseł Joński nie chce korzystać z tabletów, gdyż "admin ma dostęp do wszystkiego". Do takiego wniosku doszedł, gdy zgubił tablet. Informatycy postanowili go pocieszyć, i zaproponowali, że wszystkie dane z zagubionego tabletu mu zgrają. W tym także prywatne maile.

Nie wygrywa ten kto nie gra - dane osobowe w konkursach

Jeśli firma nie prowadzi regularnych działań marketingowych, nie ma zarejestrowanego zbioru, to jednorazowy konkurs nie będzie wymagał rejestracji zbioru gdyż dane będą przetwarzane w tzw. „zakresie drobnych bieżących spraw życia codziennego” (art. 43 ust. 1 pkt 11). Zwykło uważać się, że jest to tzw. zbiór doraźny (art.2 ust. 3), do którego stosuje się jedynie przepisy rozdziału 5 ustawy (zabezpieczenie danych), jednak takie założenie może być ryzykowne, gdyż m.in. nie powstawałby obowiązek informacyjny co pozbawiałoby osoby biorące udział w konkursie ustawowych praw.

Porażka firm antywirusowych?

Mikko Hypponen z F-Secure próbuje wyjaśnić dlaczego programy antywirusowe nie wykryły wirusów takich jak Stuxnet i DuQu oraz Flame. Konkluduje, że atakujący (w tym przypadku, wojskowe agencje wywiadowcze) - są po prostu lepsze niż rynkowe programy antywirusowe klasy..

Jak chronić dane osobowe w wakacje - inicjatywa GIODO i UOKiK

Bardzo fajna inicjatywa --  Generalny Inspektor Ochrony Danych Osobowych wspiera akcję Urzędu Ochrony Konkurencji i Konsumentów Przed wakacjami - co warto wiedzieć?.

Poradnik jest dostępny na stronie GIODO - http://www.giodo.gov.pl/1520151/id_art/4749/j/pl/

Poradnik odpowiada na niektóre interesujące pytania takie jak:

Cloud według grupy roboczej art. 29

Mamy już opinię http://ec.europa.eu/justice/data-protection/article-29/documentation/opi.... Teraz trzeba znaleźć trochę czasu, aby ją przeanalizować (a tu przecież wakacje).

Backupuj backupy, bo jeśli nie...

Na witrynie http://www.cbc.ca/news/canada/british-columbia/story/2012/06/14/bc-apple... znajdziecie bardzo ciekawą informację.

Już jest! Sprawozdanie GIODO za 2011 r.

Sprawozdanie dostępne jest pod adresem http://www.sejm.gov.pl/sejm7.nsf/druk.xsp?documentId=3B76E641F9585E9BC12.... Miłej lektury!

Nie wolno prosić pacjenta do gabinetu "Pan Kowalski teraz"

Na stronie GIODO pojawiła się ciekawa informacja -- http://www.giodo.gov.pl/1520001/id_art/4701/j/pl.  Stwierdza się, że wywoływanie po nazwisku pacjentów czekających na wizytę u lekarza to nieuzasadnione naruszanie ich prywatności. Wywoływanie osób po nazwisku bywa rozwiązaniem stosowanym przez różne podmioty, m.in. policję, banki czy placówki opieki zdrowotnej.

Śledzić śledzących czyli co wymyśliła Mozilla (Collusion)

Temat cookies (ciasteczek) i śledzenia użytkówników korzystających (przeglądających) internet jest ostatnio ważny. Albo raczej... modny.

Konsekwencje nie zgłoszenia zbioru danych osobowych do rejestracji

Na grupie ABI w serwisie GoldenLine pojawiło się

Kodeks dobrych praktyk w zakresie ochrony danych osobowych w ubezpieczeniach

Na seminarium organizowanym przez Polską Izbę Ubezpieczeń http://piu.org.pl/relacje-z-konferencji/project/1367/pagination/1 został przedstawiony Kodeks dobrych praktyk w zakresie ochrony danych osobowych w ubezpieczeniach. Pozwolę sobie zacytować ze strony PIU:

Odpowiedzialność (karna) ABI-ego?

Mamy dwa zapisy w ustawie o ochronie danych osobowych

Art. 51.

1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnio nym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

oraz

Tak tłumaczyć potrafi każdy prostak ze słownikiem w ręku

Coś zupełnie z innej beczki. Pod adresem http://www.edwardmusial.info/pliki/babel.pdf >> znajdziecie dokument poruszający kwestie terminologii w języku fachowym. Pozwolę sobie zacytować:

Co (w końcu) z danymi (osobowymi) przedsiębiorców - osób fizycznych?

Zrobiło się chyba teraz spore zamieszanie wokół danych osobowych przedsiębiorców "jednoosobowych" czyli fachowo rzecz nazywając - osób fizycznych prowadzących pozarolniczą działalność gospodarczą (swoją drogą - skąd te nazwy? nie można było tego nazwać po prostu "działalność gospodarcza"?). Źródłem całego zamieszania są zmiany w prawie działalności gospodarczej, którym obecnie jest ustawa o swobodzie działalności gospodarczej. Zmiany polegały na tym, że wcześniej był zapis:

Art. 7a.

Czytnik Amazon Kindle zabezpieczony hasłem - co z tego wynika

Czytnik Kindle można zabezpieczyć hasłem. Zbadałem sprawę, żeby ocenić, co to hasło chroni. Na pewno nie chroni danych wgranych do pamięci czytnika. Mimo ustawionego hasła - dane można odczytywać i zapisywać po podłączeniu go do komputera przewodem USB. A szkoda. Można było zrobić tak, że czytnik w komputerze widoczny byłby dopiero po podaniu hasła. Nie marzę o szyfrowaniu, ale już to by dużo dało.

Podatniku, dysk USB nie nadaje się do zapisywania danych księgowych...

Rozporządzenie ministra finansów z dnia 26 sierpnia 2003 r.  w sprawie prowadzenia podatkowej księgi przychodów i rozchodów odkreśla, że:

Verizon - analiza naruszeń bezpieczeństwa informacji (ciekawa lektura)

Polecam lekturę raportów z serii "Data Breach Investigations Report" -- http://www.verizonbusiness.com/Products/security/dbir/

Za rok 2011 Verizon napisał:

Strony

Subscribe to Administratorzy Bezpieczeństwa Informacji RSS