Nie wolno prosić pacjenta do gabinetu "Pan Kowalski teraz"

Na stronie GIODO pojawiła się ciekawa informacja -- http://www.giodo.gov.pl/1520001/id_art/4701/j/pl.  Stwierdza się, że wywoływanie po nazwisku pacjentów czekających na wizytę u lekarza to nieuzasadnione naruszanie ich prywatności. Wywoływanie osób po nazwisku bywa rozwiązaniem stosowanym przez różne podmioty, m.in. policję, banki czy placówki opieki zdrowotnej.

Śledzić śledzących czyli co wymyśliła Mozilla (Collusion)

Temat cookies (ciasteczek) i śledzenia użytkówników korzystających (przeglądających) internet jest ostatnio ważny. Albo raczej... modny.

Konsekwencje nie zgłoszenia zbioru danych osobowych do rejestracji

Na grupie ABI w serwisie GoldenLine pojawiło się

Kodeks dobrych praktyk w zakresie ochrony danych osobowych w ubezpieczeniach

Na seminarium organizowanym przez Polską Izbę Ubezpieczeń http://piu.org.pl/relacje-z-konferencji/project/1367/pagination/1 został przedstawiony Kodeks dobrych praktyk w zakresie ochrony danych osobowych w ubezpieczeniach. Pozwolę sobie zacytować ze strony PIU:

Odpowiedzialność (karna) ABI-ego?

Mamy dwa zapisy w ustawie o ochronie danych osobowych

Art. 51.

1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnio nym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

oraz

Tak tłumaczyć potrafi każdy prostak ze słownikiem w ręku

Coś zupełnie z innej beczki. Pod adresem http://www.edwardmusial.info/pliki/babel.pdf >> znajdziecie dokument poruszający kwestie terminologii w języku fachowym. Pozwolę sobie zacytować:

Co (w końcu) z danymi (osobowymi) przedsiębiorców - osób fizycznych?

Zrobiło się chyba teraz spore zamieszanie wokół danych osobowych przedsiębiorców "jednoosobowych" czyli fachowo rzecz nazywając - osób fizycznych prowadzących pozarolniczą działalność gospodarczą (swoją drogą - skąd te nazwy? nie można było tego nazwać po prostu "działalność gospodarcza"?). Źródłem całego zamieszania są zmiany w prawie działalności gospodarczej, którym obecnie jest ustawa o swobodzie działalności gospodarczej. Zmiany polegały na tym, że wcześniej był zapis:

Art. 7a.

Czytnik Amazon Kindle zabezpieczony hasłem - co z tego wynika

Czytnik Kindle można zabezpieczyć hasłem. Zbadałem sprawę, żeby ocenić, co to hasło chroni. Na pewno nie chroni danych wgranych do pamięci czytnika. Mimo ustawionego hasła - dane można odczytywać i zapisywać po podłączeniu go do komputera przewodem USB. A szkoda. Można było zrobić tak, że czytnik w komputerze widoczny byłby dopiero po podaniu hasła. Nie marzę o szyfrowaniu, ale już to by dużo dało.

Podatniku, dysk USB nie nadaje się do zapisywania danych księgowych...

Rozporządzenie ministra finansów z dnia 26 sierpnia 2003 r.  w sprawie prowadzenia podatkowej księgi przychodów i rozchodów odkreśla, że:

Verizon - analiza naruszeń bezpieczeństwa informacji (ciekawa lektura)

Polecam lekturę raportów z serii "Data Breach Investigations Report" -- http://www.verizonbusiness.com/Products/security/dbir/

Za rok 2011 Verizon napisał:

Imię i nazwisko nie są danymi osobowymi?

Imiona powstały na skutek potrzeby identyfikowania osób w niewielkich społecznościach. Tam, gdzie te społeczności były większe, wykształciły się przydomki a nawet nazwiska. Te ostatnie pochodzą z Chin, gdzie  nazwisko tworzono w ramach hołdu swoim przodkom.

Audyt zawsze lepszy niż kontrola?

W moim slowniku występują pojęcia audyt i kontrola w następujących znaczeniach:

kontrola – ogół czynności zmierzających do ustalenia faktycznego stanu rzeczy, połączony z porównaniem stanu istniejącego ze stanem planowanym (za I. Serzonem)

oraz

audyt – ma na celu zbadanie, czy cel zamierzony przez organizację jest osiągany

Jak przetwarzać dane osobowe w Dropboxie (bezpiecznie)?

Jeśli jest to tylko internetowy dysk, to można je po prostu zaszyfrować i przechowywać w chmurze (a nawet współdzielić) w formie zaszyfrowanej. Korzystając z systemu Linux jest to szalenie proste. Wystarczy miec zainstalowany program encfs. Załóżmy, że jest to Dropbox, który z "chmury" dane synchronizuje do katalogu domowego o nazwie Prywatne. Wtedy wystarczy wydać w terminalu polecenie

encfs ~/Dropbox/Prywatne ~/Prywatne

pojawią się wtedy komunikaty

Pochodzenie wyrazów "bezpieczny" i "security"

Według Słownika języka polskiego bezpieczeństwo to stan niezagrożenia, spokoju, pewności*). Krystyna Długosz-Kurczabowa w Poradni Językowej PWN stwierdza, że

[…] bezpieczny to taki, który jest bez pieczy, a to dlatego, że tej pieczy nie potrzebuje, nie wymaga, jest zatem pewny, że mu nic nie grozi, jest spokojny[...].

Co nas czeka w nowym prawie dotyczącym danych osobowych

Warto odnotować zdarzenie - http://www.giodo.gov.pl/1520125/id_art/4542/j/pl/ - konferencję pt. Reforma regulacji ochrony danych osobowych w Unii Europejskiej. Wstępna ocena jej zakresu i konsekwencji. Konferencja odbyła się w dniu 7 marca 2012 r. w Warszawie w godz. 10.00 – 18.00 (planowano do 17:00), w siedzibie Krajowej Szkoły Administracji Publicznej (ul. Wawelska 56).

Statystyki za 2007-2011 - Biuro GIODO nie ma lekko...

Jeden obraz wart tysiąca słów. Trzy wybrane zestawy liczb ze strony GIODO - http://www.giodo.gov.pl/541/id_art/886/j/pl/ - w wykres. I cóż - widać, że pracownicy Biura GIODO lekko nie mają. Pracy co roku więcej i więcej.... Świadomość społeczeństwa rośnie. Ale jak patrzę na sprawozdania roczne i skład osobowy Biura, to na przestrzeni ostatnich kilku lat skład Biura zwiększył się o niecałe 10% (z 116 etatów na 127), zaś pracy przybyło średnio 200-300%. Zastanawiam się, czy mają oni w ogóle czas coś zjeść w "porze lunchowej"?

Avast bawi i zabezpiecza - "to mówiłem ja, Jarząbek Wacław"

Program antywirusowy może być... zabawny! Producent oprogramowania antywirusowego Avast! udostępnił ciekawe tematy dźwiękowe -

Projekt rozporządzenia europejskiego w sprawie ochrony danych osobowych

Chciałbym z Państwem podzielić się pobieżnymi wnioskami (po lekturze części materiału) z dokumentu  Wniosek Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) (wersja SEC(2012) 72 i 73 final) - http://ec.europa.eu/justice/data-protection/document/review2012/sec_2012_73_en.pdf

Dobre hasło i dane osobowe - rozporządzenie a życie

Na początek słowo definicji -- uwierzytelnianie to proces ustalania tożsamości osoby w systemie informatycznym. Polega to na tym, że użytkownik systemów „mówi” kim jest (podaje np. identyfikator użytkownika tzw. login) a następnie potwierdza ten fakt jakimś czynnikiem (ang. factor). Tym czynnikiem może być:

"Przemilczane niebezpieczeństwa ACTA z punktu widzenia GIODO"?

Znalezione na Wykopie (tutaj link a tutaj z komentarzami). Pozwolę sobie zacytować w całości:

VI Spotkanie administratorów bezpieczeństwa informacji, Warszawa, 01.03.2012 r.

1 marca miało miejsce kolejne, już VI spotkanie administratorów bezpieczeństwa informacji. Oczywiście jest to nazwa symboliczna, w gruncie rzeczy są to spotkania osób zainteresowanych „roztrząsaniem” problematyki  ochrony danych osobowych w tym  dzieleniem się wiedzą i wątpliwościami na ten temat.  Niezmiernie nam przyjemnie, że tym razem do spotkania dołączyli Pan Maciej Byczkowski, Prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji (SABI - www.sabi.org.pl) a także inni członkowie tego stowarzyszenia.

Dzień ochrony danych osobowych - udana konferencja (30.01.2012)

28 stycznia 2012 r. obchodziliśmy VI Europejski Dzień Ochrony Danych Osobowych. Ponieważ to sobota, to siłą rzeczy trudno, aby GIODO organizował w tym dniu jakieś eventy. Z tego powodu konferencja Co Państwo wie o obywatelach? Zasady przetwarzania danych w rejestrach publicznych odbyła się 30 stycznia. I mogę szczerze napisać - bardzo udana konferencja.

Spotkanie było podzielone na sesje:

I - Autonomia informacyjna jednostki w kontekście działań władzy publicznej

II - Rejestry publiczne; proces tworzenia i zasady funkcjonowania

Internetowy Klub ABI...

Jak się dobrze zastanowić, to istnienie tego serwisu i spotkań (w realu) administratorów bezpieczeństwa informacji można zawdzięczać Panowi Jarosławowi Żabówce. To on pierwszy (z)organizował spotkanie tego rodzaju. Teraz można powiedzieć w pewnym sensie podzieliliśmy się - my organizujemy spotkania w realu, zaś kolega - w wirtualu.

Skąd w ogóle wiemy, że w sprawie ACTA to na pewno hackerzy?

Ostatnio oglądałem film Fair Game - http://www.filmweb.pl/film/Fair+Game-2010-502782. Historia w telegraficznym skrócie jest tego rodzaju, że rząd USA szuka usprawiedliwienia dla ataków na Irak. Dorabiają do zakupu rur aluminiowych historię, że służyć mają one produkcji broni atomowej i nakręcają prasę. I tak w związku z tym filmem pomyślałem sobie, a co, jeśli nie ma żadnych hackerów, tylko te strony są podmieniane na zlecenie administracji? Jak dowiedziemy tego, że jest właśnie tak, a nie inaczej?

Bezpieczny e-sklep 2012 i refleksja o certyfikatach SSL

Na stronie GIODO pojawił się interesujący news o drugiej edycji konkursu dla sklepów internetowych Bezpieczny eSklep 2012:

6 grudnia 2011 r. ruszyła II edycja konkursu „Bezpieczny eSklep”, mającego na celu wyróżnienie najbardziej wiarygodnych i rzetelnych sklepów internetowych w Polsce. Organizatorzy oraz patroni konkursu są przekonani, że taka inicjatywa podniesie jakość usług handlu elektronicznego w Polsce.

Już wiadomo jaka jest propozycja zmian w prawie europejskim. Są przecieki.

Ze strony www.statewatch.org można ściągnąć wersję 56 (29/11/2011)  dokumentu "Proposal for a regulation of the European Parliament and of The Council  on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)".

Strony

Subscribe to Administratorzy Bezpieczeństwa Informacji RSS