Administratorzy Bezpieczeństwa Informacji

Na początek słowo definicji -- uwierzytelnianie to proces ustalania tożsamości osoby w systemie informatycznym. Polega to na tym, że użytkownik systemów „mówi” kim jest (podaje np. identyfikator użytkownika tzw. login) a następnie potwierdza ten fakt jakimś czynnikiem (ang. factor). Tym czynnikiem może być:

Znalezione na Wykopie (tutaj link a tutaj z komentarzami). Pozwolę sobie zacytować w całości:

1 marca miało miejsce kolejne, już VI spotkanie administratorów bezpieczeństwa informacji. Oczywiście jest to nazwa symboliczna, w gruncie rzeczy są to spotkania osób zainteresowanych „roztrząsaniem” problematyki  ochrony danych osobowych w tym  dzieleniem się wiedzą i wątpliwościami na ten temat.  Niezmiernie nam przyjemnie, że tym razem do spotkania dołączyli Pan Maciej Byczkowski, Prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji (SABI - www.sabi.org.pl) a także inni członkowie tego stowarzyszenia.

28 stycznia 2012 r. obchodziliśmy VI Europejski Dzień Ochrony Danych Osobowych. Ponieważ to sobota, to siłą rzeczy trudno, aby GIODO organizował w tym dniu jakieś eventy. Z tego powodu konferencja Co Państwo wie o obywatelach? Zasady przetwarzania danych w rejestrach publicznych odbyła się 30 stycznia. I mogę szczerze napisać - bardzo udana konferencja.

Spotkanie było podzielone na sesje:

I - Autonomia informacyjna jednostki w kontekście działań władzy publicznej

II - Rejestry publiczne; proces tworzenia i zasady funkcjonowania

Jak się dobrze zastanowić, to istnienie tego serwisu i spotkań (w realu) administratorów bezpieczeństwa informacji można zawdzięczać Panowi Jarosławowi Żabówce. To on pierwszy (z)organizował spotkanie tego rodzaju. Teraz można powiedzieć w pewnym sensie podzieliliśmy się - my organizujemy spotkania w realu, zaś kolega - w wirtualu.

Ciekawy artykuł w Polska Times - http://www.polskatimes.pl/artykul/490847,chcesz-kupic-wegiel-to-nie-taki...

Special Eurobarometer 359 - Attitudes on Data Protection and Electronic Identity in the European Union

Link do dokumentu:
http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
Link do witryny:
http://ec.europa.eu/public_opinion/archives/eb_special_359_340_en.htm

Na stronie http://giodo.gov.pl/560/id_art/4474/j/pl/ GIODO informuje o zmianach w ustawie i... przy okazji zwraca uwagę, że:

Na stronie GIODO pojawił się interesujący news o drugiej edycji konkursu dla sklepów internetowych Bezpieczny eSklep 2012:

6 grudnia 2011 r. ruszyła II edycja konkursu „Bezpieczny eSklep”, mającego na celu wyróżnienie najbardziej wiarygodnych i rzetelnych sklepów internetowych w Polsce. Organizatorzy oraz patroni konkursu są przekonani, że taka inicjatywa podniesie jakość usług handlu elektronicznego w Polsce.

Ustawa rozróżnia dwa rodzaje zbiorów,  zbiór z danymi zwykłymi i zbiór zawierający dane wrażliwe. Dane wrażliwe nazywane też sensytywnymi (art. 27 ust.1) to dane m.in. o zdrowiu, karalności, preferencjach seksualnych, poglądach politycznych.

Dane osobowe zwykłe można przetwarzać po wysłaniu zgłoszenia rejestracyjnego, natomiast dane sensytywne dopiero po zarejestrowaniu zbioru przez GIODO (art. 46).

Widać, sporo się ostatnio pojawia szumu informacyjnego dookoła zmian w dyrektywie. Ja jestem zaskoczony, że kwestie nie są publicznie dyskutowane, tylko potajemnie (jakby niewiadomo o co chodziło) ustalane w ukryciu. Tak widać ma być. Ciekawe jednak co z tego wyniknie.

24 listopada 2011 w Hotelu Sofitel odbyło się spotkanie zorganizowane przez AMCHAM EU (American Chamber Of Comerce to the European Union) i AMCHAM (American Chamber of Commerce in Poland). Spotkanie poświęcone było tematyce „What's at stake for Poland? The impact of revised EU data protection legislation”, czyli o wpływie zmian w prawie europejskim EU dotyczącym ochrony danych osobowych.

Kto z Państwa dostaje do skrzynek pocztowych rozmaite ulotki a to z hipermarketów, sklepów RTV-AGD, etc? Chyba prawie każdy. W skrzynce tak dużo czasami tego bywa, że ciężko znaleźć list lub awizo, Nazwijmy te materiały "niezamówioną informacją handlową" (przecież jej nie zamawialiśmy)

24 listopada 2011 roku wznowiliśmy spotkania ABI (Administratorów Bezpieczeństwa Informacji) i odbyło się kolejne, piąte spotkanie. Miało ono miejsce w Warszawie. Trwało ponad 2,5 godziny. Dyskutowaliśmy na nim wiele istotnych tematów, jeden z nich dotyczył przypuszczalnych planów Komisji Europejskiej kształtu (prawnego) regulacji dotyczących ochrony danych osobowych w UE.

Ostatnio modny jest temamt przetwarzania danych osobowych w telefonach, zainicjowany artykułem1 w „Gazecie Wyborczej”, w którym autorka stwierdziła: „Masz listę firmowych kontaktów w telefonie? Powinieneś ją zgłosić do GIODO, bo lista kontaktów to dane osobowe. Nie zgłosiłeś tego? Grozi ci kara. Nawet 200 tysięcy złotych” -> http://wyborcza.biz/Firma/1,101618,10412794,200_tys__kary_za____kontakty....

W artykule "Kradli tożsamość na dużą skalę. Dziesiątki oszukanych." (http://warszawa.gazeta.pl/warszawa/1,34862,10469925,Kradli_tozsamosc_na_...) można przeczytać o ciekawej metodzie zbierania (nielegalnego) danych osobowych. Otóż oszuści zamieścili / zamieszczali fałszywe ogłoszenia o pracę. Same ogłoszenia to nic - należało jeszcze przesłać kserokopię dowodu osobistego, który niby był potrzebny do wyrobienia przepustki do wstępu na rozmowę kwalifikacyjną.

Teraz każdego dnia jest jakiś dzień czegoś. 28 stycznia jest dzień ochrony danych osobowych ustanowiony 26 kwietnia 2006 r. przez Komitet Ministrów Rady Europy. W Polsce obchody tego dnia organizuje Generalny Inspektor Ochrony Danych Osobowych (GIODO).

A 12 października jest dzień bezpiecznego komputera.  To chyba nie jest jakiś międzynarodowy "dzień", gdyż jak czytamy na stronie https://www.microsoft.com/poland/centrumprasowe/prasa/04_10/03.aspx:

Jeśli nie zostanie zgłoszony zbiór do rejestracji, grozi nawet do 1 roku pozbawienia wolności. Stanowi o tym art. 53 ustawy o ochronie danych osobowych "Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku". Nie ma znaczenia, czy zbiór został zgłoszony poprawnie, czy nie, istotny jest sam fakt, czy zbiór został zgłoszony - w sensie czy zostalo wysłane zgłoszenie.

Wychodzi na to, że Generalny Inspektor może kontrolować każdego. Ma możliwość kontrolowania nawet tych podmiotów, które nie przetwarzają żadnych danych osobowych choćby po to, aby się upewnić, że rzeczywiście dana firma ich nie przetwarza. Wynika to z faktu, że są zwolnienia z rejestracji zbiorów - a skoro są zwolnienia, to GIODO nie ma pełnej wiedzy o tym kto przetwarza co.

Jeśli państwo docelowe nie spełnia ani gwarancji ochrony, brak też przesłanek z art. 47 ust. 2 (czyli administrator danych nie ma juz innego wyjścia) to pozostaje tylko uzyskać zgodę Generalnego Inspektora Ochrony Danych na przekazanie danych do państwa trzeciego (art. 48)"

Swego czasu dyskutowano nad wywieszaniem przez spółdzielnie mieszkaniowe informacji o zadłużeniu określonych lokali, i uznano, że takie dane to dane osobowe. Niedawno znalazłem inna wywieszkę - numer lokalu i ilość osób w nich przebywających i zastanawiam się, czy to także (przez analogię) "dane osobowe"?

W Polsce funkcjonuje prawie 2 mln przedsiębiorców, większa ich część bez wątpienia posiada zbiory podlegające rejestracji, niektórzy może nawet kilka. Ilość zbiorów zarejestrowanych w dn. 24.08.2011 wynosi 100455 zbiorów, przy czym mniej niż połowa dotyczy zbiorów zgłoszonych przez podmioty prywatne (w sprawozdaniach GIODO widac, że wśród zgłaszających królują podmioty publiczne). Na podstawie tych danych wydaje się, że niecałe 3% procent przedsiębiorców zgłosiło zbiór do rejestracji (a może nawet i mniej - jeśli wziąć pod uwage, że niektórzy moga miec kilka zbiorów), a więc niezbyt wiele.

Jeden obraz wart czasami tysiąca słów. Dlatego osobom, które chcą mieć pod ręką wszystkie wymogi wynikające z rozporządzenia udostępniamy "mapę rozporządzenia", która pozwoli szybko i sprawnie ocenić, co z niego wynikać. Może się przydać do kontroli podmiotu, któremu powierzono przetwarzanie danych osobowych (zleceniobiorcy). I odwrotnie - jeśli firma przyjmuje zlecenie a w umowie jest niegroźny zapis:

Zleceniodawca powierza Zleceniobiorcy przetwarzanie danych osobowych w celu realizacji prowadzenia usługowego ksiąg rachunkowych.

Kwiatek znaleziony na http://finanse.wp.pl/kat,104762,title,Nie-ma-szans-by-w-Polsce-powstaly-... -> "W Polsce, jeżeli chce się kogoś uwalić, to się go uwali. Przykład z ostatnich dni. GIODO wydał komunikat, że zwalnianie pracowników nie może się odbywać przy księgowej, tylko przy administratorze danych osobowych. Jaka mała firma ma administratora danych osobowych? Absurd!