Administratorzy Bezpieczeństwa Informacji

24 listopada 2011 w Hotelu Sofitel odbyło się spotkanie zorganizowane przez AMCHAM EU (American Chamber Of Comerce to the European Union) i AMCHAM (American Chamber of Commerce in Poland). Spotkanie poświęcone było tematyce „What's at stake for Poland? The impact of revised EU data protection legislation”, czyli o wpływie zmian w prawie europejskim EU dotyczącym ochrony danych osobowych.

Kto z Państwa dostaje do skrzynek pocztowych rozmaite ulotki a to z hipermarketów, sklepów RTV-AGD, etc? Chyba prawie każdy. W skrzynce tak dużo czasami tego bywa, że ciężko znaleźć list lub awizo, Nazwijmy te materiały "niezamówioną informacją handlową" (przecież jej nie zamawialiśmy)

24 listopada 2011 roku wznowiliśmy spotkania ABI (Administratorów Bezpieczeństwa Informacji) i odbyło się kolejne, piąte spotkanie. Miało ono miejsce w Warszawie. Trwało ponad 2,5 godziny. Dyskutowaliśmy na nim wiele istotnych tematów, jeden z nich dotyczył przypuszczalnych planów Komisji Europejskiej kształtu (prawnego) regulacji dotyczących ochrony danych osobowych w UE.

Ostatnio modny jest temamt przetwarzania danych osobowych w telefonach, zainicjowany artykułem1 w „Gazecie Wyborczej”, w którym autorka stwierdziła: „Masz listę firmowych kontaktów w telefonie? Powinieneś ją zgłosić do GIODO, bo lista kontaktów to dane osobowe. Nie zgłosiłeś tego? Grozi ci kara. Nawet 200 tysięcy złotych” -> http://wyborcza.biz/Firma/1,101618,10412794,200_tys__kary_za____kontakty....

W artykule "Kradli tożsamość na dużą skalę. Dziesiątki oszukanych." (http://warszawa.gazeta.pl/warszawa/1,34862,10469925,Kradli_tozsamosc_na_...) można przeczytać o ciekawej metodzie zbierania (nielegalnego) danych osobowych. Otóż oszuści zamieścili / zamieszczali fałszywe ogłoszenia o pracę. Same ogłoszenia to nic - należało jeszcze przesłać kserokopię dowodu osobistego, który niby był potrzebny do wyrobienia przepustki do wstępu na rozmowę kwalifikacyjną.

Teraz każdego dnia jest jakiś dzień czegoś. 28 stycznia jest dzień ochrony danych osobowych ustanowiony 26 kwietnia 2006 r. przez Komitet Ministrów Rady Europy. W Polsce obchody tego dnia organizuje Generalny Inspektor Ochrony Danych Osobowych (GIODO).

A 12 października jest dzień bezpiecznego komputera.  To chyba nie jest jakiś międzynarodowy "dzień", gdyż jak czytamy na stronie https://www.microsoft.com/poland/centrumprasowe/prasa/04_10/03.aspx:

Jeśli nie zostanie zgłoszony zbiór do rejestracji, grozi nawet do 1 roku pozbawienia wolności. Stanowi o tym art. 53 ustawy o ochronie danych osobowych "Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku". Nie ma znaczenia, czy zbiór został zgłoszony poprawnie, czy nie, istotny jest sam fakt, czy zbiór został zgłoszony - w sensie czy zostalo wysłane zgłoszenie.

Wychodzi na to, że Generalny Inspektor może kontrolować każdego. Ma możliwość kontrolowania nawet tych podmiotów, które nie przetwarzają żadnych danych osobowych choćby po to, aby się upewnić, że rzeczywiście dana firma ich nie przetwarza. Wynika to z faktu, że są zwolnienia z rejestracji zbiorów - a skoro są zwolnienia, to GIODO nie ma pełnej wiedzy o tym kto przetwarza co.

Jeśli państwo docelowe nie spełnia ani gwarancji ochrony, brak też przesłanek z art. 47 ust. 2 (czyli administrator danych nie ma juz innego wyjścia) to pozostaje tylko uzyskać zgodę Generalnego Inspektora Ochrony Danych na przekazanie danych do państwa trzeciego (art. 48)"

Swego czasu dyskutowano nad wywieszaniem przez spółdzielnie mieszkaniowe informacji o zadłużeniu określonych lokali, i uznano, że takie dane to dane osobowe. Niedawno znalazłem inna wywieszkę - numer lokalu i ilość osób w nich przebywających i zastanawiam się, czy to także (przez analogię) "dane osobowe"?

W Polsce funkcjonuje prawie 2 mln przedsiębiorców, większa ich część bez wątpienia posiada zbiory podlegające rejestracji, niektórzy może nawet kilka. Ilość zbiorów zarejestrowanych w dn. 24.08.2011 wynosi 100455 zbiorów, przy czym mniej niż połowa dotyczy zbiorów zgłoszonych przez podmioty prywatne (w sprawozdaniach GIODO widac, że wśród zgłaszających królują podmioty publiczne). Na podstawie tych danych wydaje się, że niecałe 3% procent przedsiębiorców zgłosiło zbiór do rejestracji (a może nawet i mniej - jeśli wziąć pod uwage, że niektórzy moga miec kilka zbiorów), a więc niezbyt wiele.

Jeden obraz wart czasami tysiąca słów. Dlatego osobom, które chcą mieć pod ręką wszystkie wymogi wynikające z rozporządzenia udostępniamy "mapę rozporządzenia", która pozwoli szybko i sprawnie ocenić, co z niego wynikać. Może się przydać do kontroli podmiotu, któremu powierzono przetwarzanie danych osobowych (zleceniobiorcy). I odwrotnie - jeśli firma przyjmuje zlecenie a w umowie jest niegroźny zapis:

Zleceniodawca powierza Zleceniobiorcy przetwarzanie danych osobowych w celu realizacji prowadzenia usługowego ksiąg rachunkowych.

Kwiatek znaleziony na http://finanse.wp.pl/kat,104762,title,Nie-ma-szans-by-w-Polsce-powstaly-... -> "W Polsce, jeżeli chce się kogoś uwalić, to się go uwali. Przykład z ostatnich dni. GIODO wydał komunikat, że zwalnianie pracowników nie może się odbywać przy księgowej, tylko przy administratorze danych osobowych. Jaka mała firma ma administratora danych osobowych? Absurd!

Adres poczty elektronicznej niesie za sobą większy przekazem informacyjnym. Numer telefonu pozwala na kontakt i nie niesie ze sobą żadnych dodatkowych informacji, co najwyżej można dowiedzieć się, kto jest  operatorem. Natomiast adres poczty elektronicznej może wskazywać np. na miejsce zatrudnienia, przynależność do pewnej organizacji lub ujawniać określone cechy osoby.  Firmowe adresy zawierają w sobie najczęściej imię i nazwisko. Możliwość kontaktu z osobą połączona z jej identyfikacją (imię i nazwisko!) oraz wiedzą o tym gdzie pracuje pozwala na ustalenie tożsamości użytkownika.

W końcu w połowie roku czekają z niecierpliwością doczekaliśmy się sprawozdania GIODO za 2010 r. Sprawozdanie w postaci pliku PDF zostało opublikowane 19 lipca 2011 r. (>> tutaj). GIODO składa je Sejmowi raz w roku. Sprawozdanie stanowi podsumowanie działalności GIODO za cały rok, dodatkowo są w nim zaprezentowane wnioski ze stanu przestrzegania przepisów o ochronie danych osobowych.

Chyba najważniejsza rzeczą jaką powinien znać ABI jest... (sic!) ustawa. Wydaje się, że czysty "ustawowy" ABI nie musi jej znać (chociaż powinien), bo przecież jego zadaniem jest nadzorować zasady ochrony danych osobowych, a więc powinien być raczej, jak to się mówi w kręgach osób zajmujących się bezpieczeństwem informacji - "bezpiecznikiem". Czyli znać na pamięć rozporządzenie w sprawie wymogów dla systemów informatycznych. I oczywiście techniki zabezpieczeń fizycznych i informatycznych. Ale praktyka bywa inna..

20 lipca 2011 r. miałem przyjemność uczestniczyć na organizowanych przez GIODO warsztatach nt. ochrony danych dla przedsiębiorców. Spotkanie to było pierwszym podsumowaniem współpracy Biura GIODO, Biura Ochrony Danych z Czech i Rzecznika Ochrony Danych i Wolności Informacji z Węgier w ramach Projektu Partnerskiego Leonardo da Vinci ,,Podnoszenie świadomości w zakresie ochrony danych osobowych wśród przedsiębiorców działających na terytorium UE”. Na spotkaniu została także przybliżona nowa publikacja wspólnie opracowanego przez ww instytucję przewodnika ,,Wybrane zagadnienia z zakresu ochrony danych osobowych. Przewodnik dla przedsiębiorców”.

Rozpoczęły się wakacje. Przed nami dalekie lub bliskie podróże, wyjazdy rodzinnych lub samotne. Na takie wyjazdy zabieramy ze sobą nasze ulubione elektroniczne gadżety, komórka to oczywiste, ale bardzo często bierzemy swoje laptopy. Niekiedy także zabieramy ze sobą laptopa służbowego, na którym są dane osobowe. Wakacje oznaczają większe niż zazwyczaj ryzyko utraty sprzętu, utraty danych na tym sprzęcie, a także utraty ich poufności, bo ten kto ukradnie, może się z nimi zapoznać, może też ten, kto kupi sprzęt od amatora cudzej własności.

20 lipca 2011 r. w GIODO odbęda się warsztaty podsumowujące projekt: „Zwiększanie świadomości w zakresie ochrony danych osobowych wśród przedsiębiorców funkcjonujących na rynkach Unii Europejskiej”. Wstęp na warsztaty tradycyjnie jest wolny i bezpłatny. Warsztaty w języku angielskim i polskim, a organizator (za co można tylko pochwalić) zapewnia tłumaczenie symultaniczne.

Dążenie do odosobnienia i do tego aby chronić tzw. życie wewnętrzne przed ingerencją z zewnątrz to nie jest zjawisko charakterystyczne dla dzisiejszych czasów. Już kiedyś dzielono sfery na prywatną i publiczną. Kiedyś to znaczy w czasach Arystotelesa i Platona. Wtedy "polis" (a później rzymska "res publica") oznaczało rodzaj wspólnoty, ośrodek życia politycznego. Co ciekawe, kiedyś w Polsce "publiczny" określano mianem "pospolity" - stąd więc rzecz-pospolita:). Ośrodkiem życia zaś rodzinnego, domowego było ”okija” - dom. Przeciętny grek dzielił swoje życie na te dwa obszary między którymi była wyraźna, nieprzekraczalna granica.

W numerze CW 19/935 z 21.06.2011 r. pojawił się artykuł (w końcu CW był patronem medialnym konferencji naukowej "Bezpieczeństwo w Internecie"), którego całym podsumowaniem jest coś, o czym jestem głęboko przekonany - "aktualnie obowiązujące przepisy (...) tworzone były jeszcze w czasie przedinternetowym". Może taki całkiem przedinternetowy to on nie był, chociaż 1996 i 1997 kiedy przyjęto regulacje - owszem, jednak o roku 2004, w którym nowelizowano całkiem porządnie ustawę, nie można tak powiedzieć. A już na pewno nie o 2011!

W ręce wpadł mi (ponownie!) raport badawczy przygotowany przez doktorantkę Uniwerystetu Wrocławskiego, mgr  Annę Macyszyn-Wilk, dotyczacy tego, czy "czy obyczaje i nawyki związane z wyrzucaniem różnych dokumentów mogą zdradzić tożsamość właściciela?". Jest to kolejny, zdaje się trzeci raport. Wyniki wcześniejszych pokazały, że wiemy, że niedobrze wyrzucać na śmietnik dane osobowe, ale wciąż to robimy!

14 czerwca 2011 w GIODO odbędzie się seminarium “Wiążące Reguły Korporacyjne – pojęcie, stosowanie, doświadczenia praktyczne”. Seminarium potrwa w zasadzie cały dzień, od  godz. 10.00 do 17.00, w siedzibie Biura GIODO, w Warszawie, ul. Stawki 2, budynek Intraco.

Sam nie wiem, co myśleć o tej akcji... Po pierwsze akcja jest dość enigmatyczna i niewiele znalazłem w "internecie" ta jej temat jak i na temat Lucky Finger (R). Poza tym mam wątpliwości jak ma się zbieranie takich danych do naszej prywatności... Skan palca.. przecież możemy go użyć do uwierzytelniania - podawanie komuś tak sobie takich "danych" to jak podanie hasła, które w dodatku jest jedno i takie samo przez całe życie... Skan palca nie mieści się w definicji danych osobowych, bez żadnych dodatkowych danych, ale ciekaw jestem Waszego zdania na ten temat...