Administratorzy Bezpieczeństwa Informacji

Warto odnotować zdarzenie - http://www.giodo.gov.pl/1520125/id_art/4542/j/pl/ - konferencję pt. Reforma regulacji ochrony danych osobowych w Unii Europejskiej. Wstępna ocena jej zakresu i konsekwencji. Konferencja odbyła się w dniu 7 marca 2012 r. w Warszawie w godz. 10.00 – 18.00 (planowano do 17:00), w siedzibie Krajowej Szkoły Administracji Publicznej (ul. Wawelska 56).

Jeden obraz wart tysiąca słów. Trzy wybrane zestawy liczb ze strony GIODO - http://www.giodo.gov.pl/541/id_art/886/j/pl/ - w wykres. I cóż - widać, że pracownicy Biura GIODO lekko nie mają. Pracy co roku więcej i więcej.... Świadomość społeczeństwa rośnie. Ale jak patrzę na sprawozdania roczne i skład osobowy Biura, to na przestrzeni ostatnich kilku lat skład Biura zwiększył się o niecałe 10% (z 116 etatów na 127), zaś pracy przybyło średnio 200-300%. Zastanawiam się, czy mają oni w ogóle czas coś zjeść w "porze lunchowej"?

Na początek słowo definicji -- uwierzytelnianie to proces ustalania tożsamości osoby w systemie informatycznym. Polega to na tym, że użytkownik systemów „mówi” kim jest (podaje np. identyfikator użytkownika tzw. login) a następnie potwierdza ten fakt jakimś czynnikiem (ang. factor). Tym czynnikiem może być:

Znalezione na Wykopie (tutaj link a tutaj z komentarzami). Pozwolę sobie zacytować w całości:

1 marca miało miejsce kolejne, już VI spotkanie administratorów bezpieczeństwa informacji. Oczywiście jest to nazwa symboliczna, w gruncie rzeczy są to spotkania osób zainteresowanych „roztrząsaniem” problematyki  ochrony danych osobowych w tym  dzieleniem się wiedzą i wątpliwościami na ten temat.  Niezmiernie nam przyjemnie, że tym razem do spotkania dołączyli Pan Maciej Byczkowski, Prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji (SABI - www.sabi.org.pl) a także inni członkowie tego stowarzyszenia.

28 stycznia 2012 r. obchodziliśmy VI Europejski Dzień Ochrony Danych Osobowych. Ponieważ to sobota, to siłą rzeczy trudno, aby GIODO organizował w tym dniu jakieś eventy. Z tego powodu konferencja Co Państwo wie o obywatelach? Zasady przetwarzania danych w rejestrach publicznych odbyła się 30 stycznia. I mogę szczerze napisać - bardzo udana konferencja.

Spotkanie było podzielone na sesje:

I - Autonomia informacyjna jednostki w kontekście działań władzy publicznej

II - Rejestry publiczne; proces tworzenia i zasady funkcjonowania

Jak się dobrze zastanowić, to istnienie tego serwisu i spotkań (w realu) administratorów bezpieczeństwa informacji można zawdzięczać Panowi Jarosławowi Żabówce. To on pierwszy (z)organizował spotkanie tego rodzaju. Teraz można powiedzieć w pewnym sensie podzieliliśmy się - my organizujemy spotkania w realu, zaś kolega - w wirtualu.

Ciekawy artykuł w Polska Times - http://www.polskatimes.pl/artykul/490847,chcesz-kupic-wegiel-to-nie-taki...

Special Eurobarometer 359 - Attitudes on Data Protection and Electronic Identity in the European Union

Link do dokumentu:
http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
Link do witryny:
http://ec.europa.eu/public_opinion/archives/eb_special_359_340_en.htm

Na stronie http://giodo.gov.pl/560/id_art/4474/j/pl/ GIODO informuje o zmianach w ustawie i... przy okazji zwraca uwagę, że:

Na stronie GIODO pojawił się interesujący news o drugiej edycji konkursu dla sklepów internetowych Bezpieczny eSklep 2012:

6 grudnia 2011 r. ruszyła II edycja konkursu „Bezpieczny eSklep”, mającego na celu wyróżnienie najbardziej wiarygodnych i rzetelnych sklepów internetowych w Polsce. Organizatorzy oraz patroni konkursu są przekonani, że taka inicjatywa podniesie jakość usług handlu elektronicznego w Polsce.

Ustawa rozróżnia dwa rodzaje zbiorów,  zbiór z danymi zwykłymi i zbiór zawierający dane wrażliwe. Dane wrażliwe nazywane też sensytywnymi (art. 27 ust.1) to dane m.in. o zdrowiu, karalności, preferencjach seksualnych, poglądach politycznych.

Dane osobowe zwykłe można przetwarzać po wysłaniu zgłoszenia rejestracyjnego, natomiast dane sensytywne dopiero po zarejestrowaniu zbioru przez GIODO (art. 46).

Widać, sporo się ostatnio pojawia szumu informacyjnego dookoła zmian w dyrektywie. Ja jestem zaskoczony, że kwestie nie są publicznie dyskutowane, tylko potajemnie (jakby niewiadomo o co chodziło) ustalane w ukryciu. Tak widać ma być. Ciekawe jednak co z tego wyniknie.

24 listopada 2011 w Hotelu Sofitel odbyło się spotkanie zorganizowane przez AMCHAM EU (American Chamber Of Comerce to the European Union) i AMCHAM (American Chamber of Commerce in Poland). Spotkanie poświęcone było tematyce „What's at stake for Poland? The impact of revised EU data protection legislation”, czyli o wpływie zmian w prawie europejskim EU dotyczącym ochrony danych osobowych.

Kto z Państwa dostaje do skrzynek pocztowych rozmaite ulotki a to z hipermarketów, sklepów RTV-AGD, etc? Chyba prawie każdy. W skrzynce tak dużo czasami tego bywa, że ciężko znaleźć list lub awizo, Nazwijmy te materiały "niezamówioną informacją handlową" (przecież jej nie zamawialiśmy)

24 listopada 2011 roku wznowiliśmy spotkania ABI (Administratorów Bezpieczeństwa Informacji) i odbyło się kolejne, piąte spotkanie. Miało ono miejsce w Warszawie. Trwało ponad 2,5 godziny. Dyskutowaliśmy na nim wiele istotnych tematów, jeden z nich dotyczył przypuszczalnych planów Komisji Europejskiej kształtu (prawnego) regulacji dotyczących ochrony danych osobowych w UE.

Ostatnio modny jest temamt przetwarzania danych osobowych w telefonach, zainicjowany artykułem1 w „Gazecie Wyborczej”, w którym autorka stwierdziła: „Masz listę firmowych kontaktów w telefonie? Powinieneś ją zgłosić do GIODO, bo lista kontaktów to dane osobowe. Nie zgłosiłeś tego? Grozi ci kara. Nawet 200 tysięcy złotych” -> http://wyborcza.biz/Firma/1,101618,10412794,200_tys__kary_za____kontakty....

W artykule "Kradli tożsamość na dużą skalę. Dziesiątki oszukanych." (http://warszawa.gazeta.pl/warszawa/1,34862,10469925,Kradli_tozsamosc_na_...) można przeczytać o ciekawej metodzie zbierania (nielegalnego) danych osobowych. Otóż oszuści zamieścili / zamieszczali fałszywe ogłoszenia o pracę. Same ogłoszenia to nic - należało jeszcze przesłać kserokopię dowodu osobistego, który niby był potrzebny do wyrobienia przepustki do wstępu na rozmowę kwalifikacyjną.

Teraz każdego dnia jest jakiś dzień czegoś. 28 stycznia jest dzień ochrony danych osobowych ustanowiony 26 kwietnia 2006 r. przez Komitet Ministrów Rady Europy. W Polsce obchody tego dnia organizuje Generalny Inspektor Ochrony Danych Osobowych (GIODO).

A 12 października jest dzień bezpiecznego komputera.  To chyba nie jest jakiś międzynarodowy "dzień", gdyż jak czytamy na stronie https://www.microsoft.com/poland/centrumprasowe/prasa/04_10/03.aspx:

Jeśli nie zostanie zgłoszony zbiór do rejestracji, grozi nawet do 1 roku pozbawienia wolności. Stanowi o tym art. 53 ustawy o ochronie danych osobowych "Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku". Nie ma znaczenia, czy zbiór został zgłoszony poprawnie, czy nie, istotny jest sam fakt, czy zbiór został zgłoszony - w sensie czy zostalo wysłane zgłoszenie.

Wychodzi na to, że Generalny Inspektor może kontrolować każdego. Ma możliwość kontrolowania nawet tych podmiotów, które nie przetwarzają żadnych danych osobowych choćby po to, aby się upewnić, że rzeczywiście dana firma ich nie przetwarza. Wynika to z faktu, że są zwolnienia z rejestracji zbiorów - a skoro są zwolnienia, to GIODO nie ma pełnej wiedzy o tym kto przetwarza co.

Jeśli państwo docelowe nie spełnia ani gwarancji ochrony, brak też przesłanek z art. 47 ust. 2 (czyli administrator danych nie ma juz innego wyjścia) to pozostaje tylko uzyskać zgodę Generalnego Inspektora Ochrony Danych na przekazanie danych do państwa trzeciego (art. 48)"