Projekt rozporządzenia europejskiego w sprawie ochrony danych osobowych

Chciałbym z Państwem podzielić się pobieżnymi wnioskami (po lekturze części materiału) z dokumentu  Wniosek Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) (wersja SEC(2012) 72 i 73 final) - http://ec.europa.eu/justice/data-protection/document/review2012/sec_2012_73_en.pdf

Dobre hasło i dane osobowe - rozporządzenie a życie

Na początek słowo definicji -- uwierzytelnianie to proces ustalania tożsamości osoby w systemie informatycznym. Polega to na tym, że użytkownik systemów „mówi” kim jest (podaje np. identyfikator użytkownika tzw. login) a następnie potwierdza ten fakt jakimś czynnikiem (ang. factor). Tym czynnikiem może być:

"Przemilczane niebezpieczeństwa ACTA z punktu widzenia GIODO"?

Znalezione na Wykopie (tutaj link a tutaj z komentarzami). Pozwolę sobie zacytować w całości:

VI Spotkanie administratorów bezpieczeństwa informacji, Warszawa, 01.03.2012 r.

1 marca miało miejsce kolejne, już VI spotkanie administratorów bezpieczeństwa informacji. Oczywiście jest to nazwa symboliczna, w gruncie rzeczy są to spotkania osób zainteresowanych „roztrząsaniem” problematyki  ochrony danych osobowych w tym  dzieleniem się wiedzą i wątpliwościami na ten temat.  Niezmiernie nam przyjemnie, że tym razem do spotkania dołączyli Pan Maciej Byczkowski, Prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji (SABI - www.sabi.org.pl) a także inni członkowie tego stowarzyszenia.

Dzień ochrony danych osobowych - udana konferencja (30.01.2012)

28 stycznia 2012 r. obchodziliśmy VI Europejski Dzień Ochrony Danych Osobowych. Ponieważ to sobota, to siłą rzeczy trudno, aby GIODO organizował w tym dniu jakieś eventy. Z tego powodu konferencja Co Państwo wie o obywatelach? Zasady przetwarzania danych w rejestrach publicznych odbyła się 30 stycznia. I mogę szczerze napisać - bardzo udana konferencja.

Spotkanie było podzielone na sesje:

I - Autonomia informacyjna jednostki w kontekście działań władzy publicznej

II - Rejestry publiczne; proces tworzenia i zasady funkcjonowania

Internetowy Klub ABI...

Jak się dobrze zastanowić, to istnienie tego serwisu i spotkań (w realu) administratorów bezpieczeństwa informacji można zawdzięczać Panowi Jarosławowi Żabówce. To on pierwszy (z)organizował spotkanie tego rodzaju. Teraz można powiedzieć w pewnym sensie podzieliliśmy się - my organizujemy spotkania w realu, zaś kolega - w wirtualu.

Skąd w ogóle wiemy, że w sprawie ACTA to na pewno hackerzy?

Ostatnio oglądałem film Fair Game - http://www.filmweb.pl/film/Fair+Game-2010-502782. Historia w telegraficznym skrócie jest tego rodzaju, że rząd USA szuka usprawiedliwienia dla ataków na Irak. Dorabiają do zakupu rur aluminiowych historię, że służyć mają one produkcji broni atomowej i nakręcają prasę. I tak w związku z tym filmem pomyślałem sobie, a co, jeśli nie ma żadnych hackerów, tylko te strony są podmieniane na zlecenie administracji? Jak dowiedziemy tego, że jest właśnie tak, a nie inaczej?

Bezpieczny e-sklep 2012 i refleksja o certyfikatach SSL

Na stronie GIODO pojawił się interesujący news o drugiej edycji konkursu dla sklepów internetowych Bezpieczny eSklep 2012:

6 grudnia 2011 r. ruszyła II edycja konkursu „Bezpieczny eSklep”, mającego na celu wyróżnienie najbardziej wiarygodnych i rzetelnych sklepów internetowych w Polsce. Organizatorzy oraz patroni konkursu są przekonani, że taka inicjatywa podniesie jakość usług handlu elektronicznego w Polsce.

Już wiadomo jaka jest propozycja zmian w prawie europejskim. Są przecieki.

Ze strony www.statewatch.org można ściągnąć wersję 56 (29/11/2011)  dokumentu "Proposal for a regulation of the European Parliament and of The Council  on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)".

Jak długo się czeka na rejestrację zbioru w GIODO?

Ustawa rozróżnia dwa rodzaje zbiorów,  zbiór z danymi zwykłymi i zbiór zawierający dane wrażliwe. Dane wrażliwe nazywane też sensytywnymi (art. 27 ust.1) to dane m.in. o zdrowiu, karalności, preferencjach seksualnych, poglądach politycznych.

Dane osobowe zwykłe można przetwarzać po wysłaniu zgłoszenia rejestracyjnego, natomiast dane sensytywne dopiero po zarejestrowaniu zbioru przez GIODO (art. 46).

Vice-President Viviane Reding and Ilse Aigner join forces in the drafting of the new directive

Widać, sporo się ostatnio pojawia szumu informacyjnego dookoła zmian w dyrektywie. Ja jestem zaskoczony, że kwestie nie są publicznie dyskutowane, tylko potajemnie (jakby niewiadomo o co chodziło) ustalane w ukryciu. Tak widać ma być. Ciekawe jednak co z tego wyniknie.

What's at stake for Poland? The impact of revised EU data protection legislation.

24 listopada 2011 w Hotelu Sofitel odbyło się spotkanie zorganizowane przez AMCHAM EU (American Chamber Of Comerce to the European Union) i AMCHAM (American Chamber of Commerce in Poland). Spotkanie poświęcone było tematyce „What's at stake for Poland? The impact of revised EU data protection legislation”, czyli o wpływie zmian w prawie europejskim EU dotyczącym ochrony danych osobowych.

Jak promować (bezpiecznie) firmę przez maila?

Kto z Państwa dostaje do skrzynek pocztowych rozmaite ulotki a to z hipermarketów, sklepów RTV-AGD, etc? Chyba prawie każdy. W skrzynce tak dużo czasami tego bywa, że ciężko znaleźć list lub awizo, Nazwijmy te materiały "niezamówioną informacją handlową" (przecież jej nie zamawialiśmy)

V Spotkanie administratorów bezpieczeństwa informacji, Warszawa, 24.11.2011 r.

24 listopada 2011 roku wznowiliśmy spotkania ABI (Administratorów Bezpieczeństwa Informacji) i odbyło się kolejne, piąte spotkanie. Miało ono miejsce w Warszawie. Trwało ponad 2,5 godziny. Dyskutowaliśmy na nim wiele istotnych tematów, jeden z nich dotyczył przypuszczalnych planów Komisji Europejskiej kształtu (prawnego) regulacji dotyczących ochrony danych osobowych w UE.

Dane osobowe w telefonie - rejestrować, czy nie?

Ostatnio modny jest temamt przetwarzania danych osobowych w telefonach, zainicjowany artykułem1 w „Gazecie Wyborczej”, w którym autorka stwierdziła: „Masz listę firmowych kontaktów w telefonie? Powinieneś ją zgłosić do GIODO, bo lista kontaktów to dane osobowe. Nie zgłosiłeś tego? Grozi ci kara. Nawet 200 tysięcy złotych” -> http://wyborcza.biz/Firma/1,101618,10412794,200_tys__kary_za____kontakty....

Naiwni podają swoje dane osobowe...

W artykule "Kradli tożsamość na dużą skalę. Dziesiątki oszukanych." (http://warszawa.gazeta.pl/warszawa/1,34862,10469925,Kradli_tozsamosc_na_...) można przeczytać o ciekawej metodzie zbierania (nielegalnego) danych osobowych. Otóż oszuści zamieścili / zamieszczali fałszywe ogłoszenia o pracę. Same ogłoszenia to nic - należało jeszcze przesłać kserokopię dowodu osobistego, który niby był potrzebny do wyrobienia przepustki do wstępu na rozmowę kwalifikacyjną.

12 października - Dzień Bezpiecznego Komputera - siedem porad jak bezpiecznie pracować

Teraz każdego dnia jest jakiś dzień czegoś. 28 stycznia jest dzień ochrony danych osobowych ustanowiony 26 kwietnia 2006 r. przez Komitet Ministrów Rady Europy. W Polsce obchody tego dnia organizuje Generalny Inspektor Ochrony Danych Osobowych (GIODO).

A 12 października jest dzień bezpiecznego komputera.  To chyba nie jest jakiś międzynarodowy "dzień", gdyż jak czytamy na stronie https://www.microsoft.com/poland/centrumprasowe/prasa/04_10/03.aspx:

"fizyczne zabezpieczenie chroniące przed nieuprawnionym dostępem pochodzącym z sieci publicznej" - o co tutaj chodzi?

Załącznik do rozporządzenia, część C.XII określa, że

System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie  fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one:

a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;

Zgłoszenie zbioru do rejestracji - 1 rok kary pozbawienia wolności

Jeśli nie zostanie zgłoszony zbiór do rejestracji, grozi nawet do 1 roku pozbawienia wolności. Stanowi o tym art. 53 ustawy o ochronie danych osobowych "Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku". Nie ma znaczenia, czy zbiór został zgłoszony poprawnie, czy nie, istotny jest sam fakt, czy zbiór został zgłoszony - w sensie czy zostalo wysłane zgłoszenie.

GIODO może kontrolować w zasadzie każdego - co go inspiruje?

Wychodzi na to, że Generalny Inspektor może kontrolować każdego. Ma możliwość kontrolowania nawet tych podmiotów, które nie przetwarzają żadnych danych osobowych choćby po to, aby się upewnić, że rzeczywiście dana firma ich nie przetwarza. Wynika to z faktu, że są zwolnienia z rejestracji zbiorów - a skoro są zwolnienia, to GIODO nie ma pełnej wiedzy o tym kto przetwarza co.

Przekazywanie danych do państwa trzeciego - klauzule i BCR

Jeśli państwo docelowe nie spełnia ani gwarancji ochrony, brak też przesłanek z art. 47 ust. 2 (czyli administrator danych nie ma juz innego wyjścia) to pozostaje tylko uzyskać zgodę Generalnego Inspektora Ochrony Danych na przekazanie danych do państwa trzeciego (art. 48)"

Czy ilość osób to dane osobowe?

Swego czasu dyskutowano nad wywieszaniem przez spółdzielnie mieszkaniowe informacji o zadłużeniu określonych lokali, i uznano, że takie dane to dane osobowe. Niedawno znalazłem inna wywieszkę - numer lokalu i ilość osób w nich przebywających i zastanawiam się, czy to także (przez analogię) "dane osobowe"?

3% firm zarejestrowało swoje zbiory - na co czekać?

W Polsce funkcjonuje prawie 2 mln przedsiębiorców, większa ich część bez wątpienia posiada zbiory podlegające rejestracji, niektórzy może nawet kilka. Ilość zbiorów zarejestrowanych w dn. 24.08.2011 wynosi 100455 zbiorów, przy czym mniej niż połowa dotyczy zbiorów zgłoszonych przez podmioty prywatne (w sprawozdaniach GIODO widac, że wśród zgłaszających królują podmioty publiczne). Na podstawie tych danych wydaje się, że niecałe 3% procent przedsiębiorców zgłosiło zbiór do rejestracji (a może nawet i mniej - jeśli wziąć pod uwage, że niektórzy moga miec kilka zbiorów), a więc niezbyt wiele.

Wymogi rozporządzenia do ustawy o ochronie danych osobowych

Jeden obraz wart czasami tysiąca słów. Dlatego osobom, które chcą mieć pod ręką wszystkie wymogi wynikające z rozporządzenia udostępniamy "mapę rozporządzenia", która pozwoli szybko i sprawnie ocenić, co z niego wynikać. Może się przydać do kontroli podmiotu, któremu powierzono przetwarzanie danych osobowych (zleceniobiorcy). I odwrotnie - jeśli firma przyjmuje zlecenie a w umowie jest niegroźny zapis:

Zleceniodawca powierza Zleceniobiorcy przetwarzanie danych osobowych w celu realizacji prowadzenia usługowego ksiąg rachunkowych.

Nie każdą firmę stać na to, aby miała... administratora danych?

Kwiatek znaleziony na http://finanse.wp.pl/kat,104762,title,Nie-ma-szans-by-w-Polsce-powstaly-... -> "W Polsce, jeżeli chce się kogoś uwalić, to się go uwali. Przykład z ostatnich dni. GIODO wydał komunikat, że zwalnianie pracowników nie może się odbywać przy księgowej, tylko przy administratorze danych osobowych. Jaka mała firma ma administratora danych osobowych? Absurd!

Co Google wie...

Kliknij link http://www.google.com/ads/preferences/view i zobacz, jakie informacje google wywnioskowało z Twojego zachowania. Ciekawe, nie?

PS. W przeglądarca Firefox wyświetla się komunikat "Żadne kategorie zainteresowań nie są jeszcze powiązane z preferencjami reklam". Czyżby "ognisty lis" pilnował prywatności?

Czy w dyrektywie jest błąd?

Czytam tłumaczenie dyrektywy 95/46/WE (link tutaj) i cały czas zastanawiam się, czy to jest błąd: Gdy zapewni, że przetwarzanie danych wpłynie niekorzystnie na prawa"...

Strony

Subscribe to Administratorzy Bezpieczeństwa Informacji RSS