Administratorzy Bezpieczeństwa Informacji

Grupa robocza ds. Ochrony danych powołana na mocy art. 29 w opinii 4/2007 (01248/07/pl wp 136) popastwiła się nad pojęciem danych osobowych. Trzeba przyznać, bardzo ciekawie "rozłożyła na łopatki" definicję, co widać po samym spisie treści:

IV spotkanie ABI odbyło się 12 maja 2011 r. "Sezon ogórkowy" dał znać o sobie, bo spotkaliśmy się w iście kameralnym gronie.

Tematy jakie poruszyliśmy na spotkaniu

Nie ma to jak wyprawa do biblioteki sejmowej, chociaż zupełnie nie wiem, skąd się biorą tak wysokie ceny za kserowanie jednej strony. No ale to mało ważne, trudno, wiedza (i ciekawość) kosztuje. W 1996 r. zostały złożone dwa projekty ustaw:

Skąd takie pytanie? A stąd, że administrujący danymi pojawia się w przepisach karnych w ustawie o ochronie danych osobowych, np. art. 51: "Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych...", art. 52: "Kto administrujący danymi...". Administrujacymi danymi to, jeśli spojrzec na postanowienie SN z 11.12.2000 r. II KKN 438/2000:

Stajemy się już społeczeństwem informacyjnym, termin ten (johoka shakai) wprowadził w 1963 r. japoński etnolog Tadao Umesao. Co to ma znaczyć? „społeczeństwo informacyjne charakteryzuje się przygotowaniem i zdolnością do użytkowania systemów informatycznych i wykorzystuje usługi telekomunikacyjne do przekazywania i zdalnego przetwarzania informacji”. Cytując za raportem GUS (szczegóły niżej)

Ustawa o ochronie danych osobowych stanowi, że "z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: (…) powszechnie dostępnych". Co to oznacza? Co to są te dane powszechnie dostępne? I kim jest administrator danych powszechnie dostępnych?

Zadania i obowiązki ABI - administratora bezpieczeństwa informacji - wynikając z art. 36 ustawy o ochronie danych osobowych. Przede wszystkim należy podkreślić, że tak rozumianym ABI jest każdy przedsiębiorca, o ile nie wyznaczy administratora. Jeśli go wyznaczy, to administrator bezpieczeństwa informacji (ciekawe, że nie nazwano tego administrator bezpieczeństwa danych osobowych) pełni w jego imieniu nadzór.

Art. 36.

III-cie spotkanie ABI odbyło się 6 kwietnia 2011 r. Miejsce i czas to samo jak poprzednio - skończyliśmy dyskusję po niecałych trzech godzinach. Mniejsza liczba uczestników niż poprzednim razem, ale daje nam to do myslenia, że nie należy zmieniać terminów, bo później wielu osobom nie pasuje nowy termin. Serdeczne podziękowania dla wszystkich uczestników za aktywny udział! Szczególnie dla tych, którzy chcieli przyjechać z południa Polski.

Po nowelizacji ustawy o ochronie danych osobowych w art. 12 pkt 3 ustawy pojawiła się nowa „kompetencja” GIODO:

Do zadań Generalnego Inspektora w szczególności należy (…) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2,przez stosowanie środków egzekucyjnych przewidzianych w ustawie z  dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji.

Warto zerknąć w ustawę o postępowaniu egzekucyjnym.

Myślę, że GIODO powinien częściej kontrolować. Jestem zwolennikiem kontroli, szczególniej takiej jak GIODO, bo ona jest bardzo edukacyjna. Szczególnie dla ogółu przedsiębiorstw. Z kontrolowaniem jest jak z pracownikami w firmie - bez kontroli nie ma wydajności. Kontrola oznaką najzwyższego zaufania :) Ma też pozytywny wpływ na świadomość bezpieczeństwa (także informatycznego) w społeczeństwie. Na pewno sprzedawcy rozwiązań security także bedą się cieszyć ...

Kwestię ochrony danych osobowych regulują (głównie):

Poniżej zostaną zamieszczone informacje o zbliżających się wydarzeniach, głównie o konferencjach, w których warto wziąć udział.

21 marca 2011 r. na UW w Sali Senatu Pałacu Kazimierzowskiego odbyła się konferencja "Prywatność a ekonomia. Ochrona danych osobowych w obrocie gospodarczym" pod patronatem Generalnego Inspektora Ochrony Danych Osobowych. Szczegóły konferencji -->  http://konferencje.wpia.uw.edu.pl/konf.php?id=250

Wykorzystywanie na „testówkach” danych rzeczywistych lub danych słabo znanonimizowanych może być zmorą niejednego ABI'ego. Zazwyczaj dokładamy wszelkich starań aby zmobilizować informatykę do prawidłowego zabezpieczenia „produkcji” a jak się może okazać największa słabość/niezgodność może być tam gdzie tego się najmniej spodziewamy.

Nie musisz usuwać wszystkiego z systemow informatycznych, cokolwiek było związane z osobą. Wydaje się, że wystarczy wykasowac dane pozwalające na identyfikację. Jak niewiadomo jakiej osoby tyczą się dane, to i nie są to dane osobowe. Na pewno trzeba pozbyć się wszystkiego co pozwala osobę identyfikować i kontaktować się z nią.

W firmie zwykliśmy szkolić uzytkowników, że gdy nie ma żadnych narzędzi do szyfrowania, to wcale nie jest jeszcze tak źle, bo pozostaje plik .zip zabezpieczony hasłem. Tak zabezpieczony zip można uznać za zaszyfrowanie danych, a więc spełnienie wymogów ustawy dotyczących szyfrowania.Niestety z nadejściem Windows 7 to się zmieniło. Nie ma zipa na hasło... Całe szczęście, że jest chociaż możliwość rozpakowania zzipowanych na hasło plików lub folderów...

Jak to się robi(ło) w Windows XP?

Szyfrowanie w rozporządzeniu określa się jako „środki ochrony kryptograficznej”. Rozporządzenie o nim wspomina  w trzech przypadkach w rozdziałach V, IX oraz XIII. W rozdziale V zwraca się uwagę, że dane osobowe przetwarzane na komputerach przenośnych należy szyfrować, o ile jest on transportowany „poza obszar przetwarzania danych osobowych”.

Na podstawie art. 39a ustawy o ochronie danych osobowych oraz § 1 pkt 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.

Na dokumentację tę składa się:

II-gie spotkanie ABI odbyło się 24 lutego 2011 w tym samym miejscu jak poprzednie i w podobnym czasie (17:00 - 19:40). Trwało przez ponad 2,5 godziny. W spotkaniu wzięło udział ok. 20 osób, byli to głównie (jak zwykle) ABI-owie i osoby zajmujące się tematyką ochrony danych osobowych. W spotkaniu wzięli udział także przedstawiciele firm zajmujących się tematyką ochrony danych osobowych (GIS, iSecure). Pewna część uczestników spotkania brała udział w poprzednim.

W dn. 20 stycznia 2011 roku odbyło się spotkanie ABI w Warszawie.

Planowano dwugodzinne spotkanie, ale okazało się, że poruszana tematyka sprowokowała dyskusję oraz liczne opinię i spotkanie przedłużyło się prawie do 20:00. W spotkaniu wzięło udział 20 osób, byli to głównie ABI-owie, osoby zajmujące się tematyką ochrony danych osobowych. Do spotkania dołączył Generalny Inspektor Ochrony Danych Osobowych, Pan Wojciech Rafał Wiewiórowski.