Grupa robocza art. 29 - usługi geolokalizacyjne WP185 - moje wnioski

Dzisiaj przerobiłem lekturę opinii 13/2011 (WP185) grupy roboczej artykułu 29 dotyczącej usług geolokalizacyjnych na urządzeniach przenośnych (smartfonach). Dokument nie jest duży (21 stron), da się go czytać, chociaż jako osoba techniczna, mam wątpliwości, czy grupa dobrze się wszystkiemu przyjrzała... Na pewno na miarę swoich możliwości wykonała dużą pracę...

Kwestia zwyczaju - Computerworld z 26 czerwca 2011 z GIODO

W numerze CW 19/935 z 21.06.2011 r. pojawił się artykuł (w końcu CW był patronem medialnym konferencji naukowej "Bezpieczeństwo w Internecie"), którego całym podsumowaniem jest coś, o czym jestem głęboko przekonany - "aktualnie obowiązujące przepisy (...) tworzone były jeszcze w czasie przedinternetowym". Może taki całkiem przedinternetowy to on nie był, chociaż 1996 i 1997 kiedy przyjęto regulacje - owszem, jednak o roku 2004, w którym nowelizowano całkiem porządnie ustawę, nie można tak powiedzieć. A już na pewno nie o 2011!

Jak się poprawia, to zawsze jakiś błąd przemknie ;p - zarządzanie zmianą

W pierwotnej treści ustawy, obowiązującej do 2004 r. za dane osobowe uważało się „każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby”, później zmieniono to na „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby„. Wygląda mi na to, że treść „informacji nie uważa się za umożliwiającą określenie tożsamości osoby” pozostała po nowelizacji w 2004, mimo że była związana ze zmienioną definicją danych osobowych.

Co się święci w śmieciach - dane osobowe na śmietniku

W ręce wpadł mi (ponownie!) raport badawczy przygotowany przez doktorantkę Uniwerystetu Wrocławskiego, mgr  Annę Macyszyn-Wilk, dotyczacy tego, czy "czy obyczaje i nawyki związane z wyrzucaniem różnych dokumentów mogą zdradzić tożsamość właściciela?". Jest to kolejny, zdaje się trzeci raport. Wyniki wcześniejszych pokazały, że wiemy, że niedobrze wyrzucać na śmietnik dane osobowe, ale wciąż to robimy!

Seminarium w GIODO - “Wiążące Reguły Korporacyjne” 14 czerwca 2011, Warszawa

14 czerwca 2011 w GIODO odbędzie się seminarium “Wiążące Reguły Korporacyjne – pojęcie, stosowanie, doświadczenia praktyczne”. Seminarium potrwa w zasadzie cały dzień, od  godz. 10.00 do 17.00, w siedzibie Biura GIODO, w Warszawie, ul. Stawki 2, budynek Intraco.

Tom Tailor - palec na miarę czytnika - czy to dane osobowe?

Sam nie wiem, co myśleć o tej akcji... Po pierwsze akcja jest dość enigmatyczna i niewiele znalazłem w "internecie" ta jej temat jak i na temat Lucky Finger (R). Poza tym mam wątpliwości jak ma się zbieranie takich danych do naszej prywatności... Skan palca.. przecież możemy go użyć do uwierzytelniania - podawanie komuś tak sobie takich "danych" to jak podanie hasła, które w dodatku jest jedno i takie samo przez całe życie... Skan palca nie mieści się w definicji danych osobowych, bez żadnych dodatkowych danych, ale ciekaw jestem Waszego zdania na ten temat...

Opinia 4/2007 w sprawie pojęcia danych osobowych 01248/07/PL WP 136

Grupa robocza ds. Ochrony danych powołana na mocy art. 29 w opinii 4/2007 (01248/07/pl wp 136) popastwiła się nad pojęciem danych osobowych. Trzeba przyznać, bardzo ciekawie "rozłożyła na łopatki" definicję, co widać po samym spisie treści:

IV spotkanie ABI w Warszawie - ABI silny wiedzą - 9 czerwca 2011 r.

IV spotkanie ABI odbyło się 12 maja 2011 r. "Sezon ogórkowy" dał znać o sobie, bo spotkaliśmy się w iście kameralnym gronie.

Tematy jakie poruszyliśmy na spotkaniu

Skąd się wzięła ustawa - projekty ustaw z 1996 r.

Nie ma to jak wyprawa do biblioteki sejmowej, chociaż zupełnie nie wiem, skąd się biorą tak wysokie ceny za kserowanie jednej strony. No ale to mało ważne, trudno, wiedza (i ciekawość) kosztuje. W 1996 r. zostały złożone dwa projekty ustaw:

Kim jest administrującymi danymi osobowymi?

Skąd takie pytanie? A stąd, że administrujący danymi pojawia się w przepisach karnych w ustawie o ochronie danych osobowych, np. art. 51: "Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych...", art. 52: "Kto administrujący danymi...". Administrujacymi danymi to, jeśli spojrzec na postanowienie SN z 11.12.2000 r. II KKN 438/2000:

Atak na Sony, może w końcu zaczniemy myśleć

W sprawie Sony i wycieku ogromnych ilości danych osobowych GIODO już się wypowiedział -> http://giodo.gov.pl/1520001/id_art/4097/j/pl/. Ja bym zmienił tą wypowiedź zgeneralizował. Bo to nie chodzi o granie w sieci. Chodzi o udostępnianie swoich danych osobowych podmiotom, które nie podlegają prawu europejskiemu, a już tym bardziej ustawie o ochronie danych osobowych. Chcesz być trendy (albo jazzy) i grać na PS? Śmiało! Szpanujesz iPhonem? A proszę bardzo! I tu i tam podajesz numer karty kredytowej.

Społeczeństwo informacyjne wg GUS

Stajemy się już społeczeństwem informacyjnym, termin ten (johoka shakai) wprowadził w 1963 r. japoński etnolog Tadao Umesao. Co to ma znaczyć? „społeczeństwo informacyjne charakteryzuje się przygotowaniem i zdolnością do użytkowania systemów informatycznych i wykorzystuje usługi telekomunikacyjne do przekazywania i zdalnego przetwarzania informacji”. Cytując za raportem GUS (szczegóły niżej)

Czy my w ogóle chcemy (możemy) chronić naszą prywatność?

Takie czasy nadchodzą, że trudno mówić o prywatności. Dostajemy coraz fajniejsze gadżety, a odbiera nam się coraz więcej prywatności. Może nawet nie odbiera, sami się jej pozbawiamy, niejednokrotnie (niestety!) nieświadomie. W dobie powszechności internetu - który granic nie zna, wszelkie ustawy o ochronie danych osobowych przestają mieć znaczenie, bo dotyczą jedynie danych przechowywanych na terytorium polski.

Takim przykładem, gdzie o prywatności mówić coraz trudniej są urządzenia z wbudowanym odbiornikiem GPS. Chodzi najczęściej o rozmaitej maści telefony. Dlaczego?

Administrator danych powszechnie dostępnych - czyli co lata w internecie...

Ustawa o ochronie danych osobowych stanowi, że "z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: (…) powszechnie dostępnych". Co to oznacza? Co to są te dane powszechnie dostępne? I kim jest administrator danych powszechnie dostępnych?

Zadania i obowiązki ABI - jak to w końcu jest?

Zadania i obowiązki ABI - administratora bezpieczeństwa informacji - wynikając z art. 36 ustawy o ochronie danych osobowych. Przede wszystkim należy podkreślić, że tak rozumianym ABI jest każdy przedsiębiorca, o ile nie wyznaczy administratora. Jeśli go wyznaczy, to administrator bezpieczeństwa informacji (ciekawe, że nie nazwano tego administrator bezpieczeństwa danych osobowych) pełni w jego imieniu nadzór.

Art. 36.

III spotkanie ABI w Warszawie - 6 kwietnia 2011 r.

III-cie spotkanie ABI odbyło się 6 kwietnia 2011 r. Miejsce i czas to samo jak poprzednio - skończyliśmy dyskusję po niecałych trzech godzinach. Mniejsza liczba uczestników niż poprzednim razem, ale daje nam to do myslenia, że nie należy zmieniać terminów, bo później wielu osobom nie pasuje nowy termin. Serdeczne podziękowania dla wszystkich uczestników za aktywny udział! Szczególnie dla tych, którzy chcieli przyjechać z południa Polski.

Smak egzekucji. Nowe narzędzia GIODO

Po nowelizacji ustawy o ochronie danych osobowych w art. 12 pkt 3 ustawy pojawiła się nowa „kompetencja” GIODO:

Do zadań Generalnego Inspektora w szczególności należy (…) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2,przez stosowanie środków egzekucyjnych przewidzianych w ustawie z  dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji.

Warto zerknąć w ustawę o postępowaniu egzekucyjnym.

Jaka jest szansa na kontrolę GIODO?

Myślę, że GIODO powinien częściej kontrolować. Jestem zwolennikiem kontroli, szczególniej takiej jak GIODO, bo ona jest bardzo edukacyjna. Szczególnie dla ogółu przedsiębiorstw. Z kontrolowaniem jest jak z pracownikami w firmie - bez kontroli nie ma wydajności. Kontrola oznaką najzwyższego zaufania :) Ma też pozytywny wpływ na świadomość bezpieczeństwa (także informatycznego) w społeczeństwie. Na pewno sprzedawcy rozwiązań security także bedą się cieszyć ...

Regulacje - ustawa, rozporządzenie, dyrektywa

Kwestię ochrony danych osobowych regulują (głównie):

Sędzia nie musi wiedzieć co to jest myszka :)

"Nie raz się zdarzało, że sędzia zadawał pytania w rodzaju "co to jest myszka?". Nie ma co się śmiać z sądu. On też musi prowadzić tak sprawę, żeby inne osoby, w szczególności oskarżony, wiedziały, o czym jest mowa. Sędzia może prosić o wyjaśnienie terminów. W 2007 roku w USA sędzia zapytał, co to jest serwis internetowy".

Spójne stanowisko (GIODO) w sprawie danych osobowych

Przypomniałem sobie dzisiaj wyrok NSA z 18 listopada 2009 r. (I OSK 667/09) i tak mnie to troche skłoniło do refleksji, że stanowisko w sprawie co jest, a co nie jest danymi osobowymi nie do końca jest spójne. Mam na myśli stanowisko GIODO, a właściwie różnych GIODów. Z jednej strony numer IP czy numer PESEL - są danymi osobowymi. A z drugiej...

Programy do fakturowania a obowiązek informacyjny?

Tak się zastanawiam nad pewnym zagadnieniem. W systemach do fakturowania / wystawiania rachunków przetwarza się dane osoby, gdy (klienci - osoby fizyczne/prywatne) życza sobie rachunku. Dane takie bez wątpienia przetwarza się w zbiorze (co wynika z definicji zbioru), zbioru się nie rejestruje, bo wyłącza z tego obowiązku art. 43 ust. 1 pkt 8. Zaś art. 32 daje osobom prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych.

Nadchodzące konferencje (marzec, kwiecień, maj 2011)

Poniżej zostaną zamieszczone informacje o zbliżających się wydarzeniach, głównie o konferencjach, w których warto wziąć udział.

"Prywatność a ekonomia. Ochrona danych osobowych w obrocie gospodarczym"

21 marca 2011 r. na UW w Sali Senatu Pałacu Kazimierzowskiego odbyła się konferencja "Prywatność a ekonomia. Ochrona danych osobowych w obrocie gospodarczym" pod patronatem Generalnego Inspektora Ochrony Danych Osobowych. Szczegóły konferencji -->  http://konferencje.wpia.uw.edu.pl/konf.php?id=250

Anonimizacja danych

Wykorzystywanie na „testówkach” danych rzeczywistych lub danych słabo znanonimizowanych może być zmorą niejednego ABI'ego. Zazwyczaj dokładamy wszelkich starań aby zmobilizować informatykę do prawidłowego zabezpieczenia „produkcji” a jak się może okazać największa słabość/niezgodność może być tam gdzie tego się najmniej spodziewamy.

Usuwanie danych osobowych

Nie musisz usuwać wszystkiego z systemow informatycznych, cokolwiek było związane z osobą. Wydaje się, że wystarczy wykasowac dane pozwalające na identyfikację. Jak niewiadomo jakiej osoby tyczą się dane, to i nie są to dane osobowe. Na pewno trzeba pozbyć się wszystkiego co pozwala osobę identyfikować i kontaktować się z nią.

Windows 7 - koniec szyfrowanych ZIP-ów

W firmie zwykliśmy szkolić uzytkowników, że gdy nie ma żadnych narzędzi do szyfrowania, to wcale nie jest jeszcze tak źle, bo pozostaje plik .zip zabezpieczony hasłem. Tak zabezpieczony zip można uznać za zaszyfrowanie danych, a więc spełnienie wymogów ustawy dotyczących szyfrowania.Niestety z nadejściem Windows 7 to się zmieniło. Nie ma zipa na hasło... Całe szczęście, że jest chociaż możliwość rozpakowania zzipowanych na hasło plików lub folderów...

Jak to się robi(ło) w Windows XP?

Szyfrowanie

Szyfrowanie w rozporządzeniu określa się jako „środki ochrony kryptograficznej”. Rozporządzenie o nim wspomina  w trzech przypadkach w rozdziałach V, IX oraz XIII. W rozdziale V zwraca się uwagę, że dane osobowe przetwarzane na komputerach przenośnych należy szyfrować, o ile jest on transportowany „poza obszar przetwarzania danych osobowych”.

Z życia ABI-ego - rejestracja zbioru

Dzisiaj poszedł zbiór do rejestracji. Biznes zaproponował tak długa nazwę (więcej niż 255 znaków), że nie zmieściła się w polu nazwy na platformie e-GIODO. Trzeba było ciąć. To składania do refleksji jak nazywać zbiory danych osobowych... Czy w nazwie zbioru powinna być firma? Cel? Zakres zbioru? Niektórzy twierdzą, że wybranie nazwy, aby się kupy tryzmała, jest prawie że najtrudniejszą sprawą przy rejestracji, trudniej już tylko o imię dla własnego dziecka...

Strony

Subscribe to Administratorzy Bezpieczeństwa Informacji RSS