Studia podyplomowe „Zarządzanie bezpieczeństwem informacji”

Politechnika Śląska w Gliwicach, wspólnie z firmą Business @ Witański Consulting Group, włączyła do swojej oferty studia podyplomowe „Zarządzanie bezpieczeństwem informacji”, przygotowujące do zarządzania zagadnieniami związanymi z bezpieczeństwem informacji.

Politechnika Śląska w Gliwicach, wspólnie z firmą Business @ Witański Consulting Group, włączyła do swojej oferty studia podyplomowe „Zarządzanie bezpieczeństwem informacji”, przygotowujące do zarządzania zagadnieniami związanymi z bezpieczeństwem informacji.

Studenci zdobędą wiedzę zarówno w zakresie w kontekście bezpieczeństwa przedsiębiorstwa, jak i ochrony danych osobowych. Istotę studiów podyplomowych „Zarządzanie bezpieczeństwem informacji” stanowi kompleksowe podejście do tego zagadnienia. Dlatego obok najczęściej kojarzonych z bezpieczeństwem informacji zagadnień informatyczno-prawnych, w programie pojawiają się także zagadnienia związane z podstawami zarządzania, bezpieczeństwem fizycznym przedsiębiorstwa oraz zarządzaniem zasobami ludzkimi.

Zajęcia planowane są od października 2016 do września 2017 i obejmują łącznie 190 godzin dydaktycznych.

Tematyka zajęć obejmuje m.in. zagadnienia:

  • Zarządzanie bezpieczeństwem informacji
  • Prawne aspekty bezpieczeństwa informacji
  • Bezpieczeństwo systemów teleinformatycznych
  • Ochrona informacji w sieci publicznej
  • Bezpieczeństwo przedsiębiorstwa
  • Audyt bezpieczeństwa informacji
  • Zarządzanie zasobami ludzkimi w kontekście bezpieczeństwa informacji

Szczegółowe informacje na stronie internetowej.

Wybrani wykładowcy:

  • dr Jan Byrski
  • mgr Maciej Kołodziej
  • prof. nadzw. dr hab. Jerzy Konieczny
  • mgr Roman Kraczla
  • mgr Marcin Szeliga
  • płk Kazimierz Ślusarczyk
  • dr inż. Seweryn Tchórzewski
  • mgr Beata Wanic
  • mgr Mateusz Witański
  • mgr Jarosław Żabówka

Więcej informacji na stronie internetowej.

Patronat merytoryczny nad studiami objęły stowarzyszenia:

  • Krajowe Stowarzyszenie Ochrony Informacji Niejawnych
  • ISACA Katowice Chapter
  • Instytut Informatyki Śledczej

Zapisy i dodatkowe informacje na stronie Politechniki Śląskiej

Można również pobrać folder studiów z dodatkowymi informacjami.

Sejm przyjął sprawozdania GIODO za lata 2014, 2015

7 lipca 2016 Generalny Inspektor Ochrony Danych Osobowych przedstawił sprawozdanie z działalności za lata 2014, 2015.
Sprawozdania są dostępne na stronie internetowej GIODO.

Transmisję z Sejmu można obejrzeć na stronie internetowej (15:08:39 – 16:31:32).
Dostępny jest również Stenogram.

Wcześniej, 22 czerwca, Sprawozdania zostały rozpatrzone na posiedzeniu Komisji Sprawiedliwości i Praw Człowieka. Na stronie internetowej Sejmu dostępna jest transmisja.

Brexit – ICO dalej?

Proaktywne działania ICO dawały mi nadzieję, że polscy przedsiębiorcy nie będą pozostawieni sami sobie, że w przeciwwadze do straszącego karami GIODO, ICO powie im jak w praktyce podejść do stojących przed nimi wyzwań. A może to jest szansa dla GIODO?

Rzecznik brytyjskiego organu ochrony danych (ICO) powiedział:
“If the UK is not part of the EU, then upcoming EU reforms to data protection law would not directly apply to the UK. But if the UK wants to trade with the Single Market on equal terms we would have to prove ‚adequacy’ – in other words UK data protection standards would have to be equivalent to the EU’s General Data Protection Regulation framework starting in 2018. (https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/06/referendum-result-response/)
Czyli potwierdził wcześniejsze opinie – wychodząc z Unii Europejskiej, Wielka Brytania zmuszona będzie do zapewnia odpowiedniego poziomu ochrony danych osobowych. W praktyce oznacza to, że podmioty brytyjskie będą stosować Rozporządzenie Ogólne w odniesieniu do usług skierowanych na rynek unijny.
Nie wiemy jak będzie wyglądać współpraca ICO z europejskimi organami nadzoru (nie wiemy nawet, czy za jakiś czas, ICO w ogóle nie przestanie istnieć…), mam jednak nadzieję, że będzie znacząca. Wiele brytyjskich standardów stosujemy na co dzień.
Na pewno jednak, będzie mi brakować informacji ze strony internetowej ICO. Ilość praktycznych porad i prace w celu ułatwienia przedsiębiorcom realizacji obowiązków wynikających z Rozporządzenia Ogólnego zawsze robiła na mnie duże wrażenie. Zwłaszcza w porównaniu do pasywnego podejścia GIODO. Proaktywne działania ICO dawały mi nadzieję, że polscy przedsiębiorcy nie będą pozostawieni sami sobie, że w przeciwwadze do straszącego karami GIODO, ICO powie im jak w praktyce podejść do stojących przed nimi wyzwań. A może to jest szansa dla GIODO? Szansa przejęcia roli wiodącego europejskiego organu? Mamy wyjątkową w Europie liczbę dobrze przygotowanych administratorów bezpieczeństwa informacji, którzy wkrótce zostaną inspektorami, gotowych do wsparcia takich działań. Pani Minister, czekamy!

Doradzać każdy może…

W mediach pojawia się coraz więcej informacji o czekającej nas rewolucji w ochronie danych osobowych. Do mainstreamu dotarła wiadomość, że za dwa lata, przedsiębiorców czeka Armagedon.
Generalny Inspektor powinien już prowadzić bardzo intensywną kampanię skierowaną do przedsiębiorców.

W mediach pojawia się coraz więcej informacji o czekającej nas rewolucji w ochronie danych osobowych. Do mainstreamu dotarła wiadomość, że za dwa lata, przedsiębiorców czeka Armagedon, że będą musieli jakieś straszne obowiązki spełniać. Cóż, zmiany rzeczywiście będą. Pojawia się nowe obowiązki, ale będą tez ułatwienia. Oczywiście, każda zmiana wiąże się z koniecznością dodatkowych działań ze strony przedsiębiorców i w związku z tym jest uciążliwa. Ale ostatnio zdałem sobie sprawę, że przed wszystkimi stanie jeszcze jedno wyzwanie – ci, którzy zdecydują się na skorzystanie ze wsparcia specjalistów, będą musieli w jakiś sposób odróżnić podmioty posiadające rzeczywista wiedzę i doświadczenie, od rzeszy tych, którzy przy okazji reformy zwietrzyli łatwy pieniądz.

Uczestniczyłem ostatnio w konferencji, w trakcie której, przedstawiciel pragnącej wejść na rynek kancelarii prawnej opowiadał o wchodzącym w życie Rozporządzeniu Ogólnym. Musze chyba przeprosić uczestników, ze nie wstałem i nie powiedziałem myślę o poziomie wiedzy prelegenta.

W praktyce, każdy poruszony temat wiązał się z mniejszymi lub większymi błędami.
Rozumiem organizatorów – przecież prelegent reprezentował kancelarię prawną i mówił o podstawach. Nie powinno być tam błędów. Rozumiem też Kancelarię – to jest dobry moment, żeby wejść na rynek. Ale jak mają sobie w takiej sytuacji poradzić szukający informacji przedsiębiorcy? Patrzę tutaj w stronę GIODO. Moim zdaniem, Generalny Inspektor powinien już prowadzić bardzo intensywną kampanię skierowaną do przedsiębiorców. Widzimy, że prowadzone są pewne działania, ale w mojej ocenie, czas już na konkrety.

Jarosław Żabówka

 

 

 

SABI robi DABI, GIODO robi DODO :)

Oferta imprez związanych z Dniem Ochrony Danych Osobowych, jest w tym roku wyjątkowo bogata.
O wszystkich imprezach staramy się informować na naszej stronie „Spotkania”

Oferta imprez związanych z Dniem Ochrony Danych Osobowych, jest w tym roku wyjątkowo bogata. Informowaliśmy już o otwierających sezon: konferencji organizowanej przez Uniwersytet Śląski oraz Dniu Otwartym GIODO organizowanym przez Wyższą Szkołę Biznesu w Dąbrowie Górniczej.

W tym tygodniu najważniejszymi imprezami są zapewne:

O wszystkich imprezach staramy się informować na naszej stronie „Spotkania”

 

 

 

 

Dzień Otwarty Generalnego Inspektora Ochrony Danych Osobowych

Dzień Otwarty Generalnego Inspektora Ochrony Danych Osobowych w Wyższej Szkole Biznesu w Dąbrowie Górniczej, 14 stycznia 2016 r.

Wypełniony branżowymi imprezami początek roku, szczególnie interesująco zapowiada się na Śląsku. Już następnego dnia po konferencji „Ochrona danych medycznych”, spotykamy się na Dniu Otwartym GIODO w Wyższej Szkole Biznesu w Dąbrowie Górniczej.

Dąbrowska uczelnia od dawna wiedzie prym w kształceniu specjalistów ochrony danych osobowych, a nowy program kierunku „Ochrona danych osobowych w administracji i w biznesie – Administrator Bezpieczeństwa Informacji”, jest rzeczywiście unikatowy i zapewnia absolwentom wyjątkową pozycję na rynku pracy.

Po raz kolejny GIODO rozpoczyna obchody Dnia Ochrony Danych Osobowych w Dąbrowie Górniczej, co dobitnie potwierdza poziom uczelni i stanowi powód do chluby dla studentów i absolwentów.

Program dnia otwartego:

 

DZIEŃ OTWARTY

GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH
Wyższa Szkoła Biznesu w Dąbrowie Górniczej, 14 stycznia 2016 r.


Godz.11.00-11.15
Powitanie Gości oraz rozpoczęcie Konferencji

  • dr Edyta Bielak – Jomaa – Generalny Inspektor Ochrony Danych Osobowych
  • prof. Zdzisława Dacko- Pikiewicz – Rektor Wyższej Szkoły Biznesu w Dąbrowie Górniczej

Godz. 11.15-11.50
„Nowa rola administratora bezpieczeństwa informacji w świetle nowelizacji przepisów o ochronie danych osobowych”

  • Monika Krasińska – Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg Biura GIODO

Godz. 11.50 -12.30
„Reforma ram prawnych ochrony danych osobowych w Unii Europejskiej. Zakres zmian i konsekwencje dla branży marketingu bezpośredniego”

  • dr Paweł Litwiński – Instytut Allerhanda w Krakowie

Godz. 12.30- 12.45 Przerwa Kawowa

Godz. 12.45- 13.45
Debata panelowa „Aktualne problemy ochrony danych osobowych w marketingu bezpośrednim”

  • Bogusława Pilc – Dyrektor Departamentu Inspekcji Biura GIODO
  • dr Grzegorz Sibiga – Instytut Nauk Prawnych PAN
  • Xawery Konarski –Traple Konarski Podrecki i Wspólnicy sp.j. w Krakowie

Godz. 13.45- 14.30
Dobre praktyki działania w marketingu bezpośrednim

  • Maciej Wielkopolan – Prezes Zarządu Polskiego Stowarzyszenia Marketingu Bezpośredniego SMB
  • Michał Kaczorowski – Google Polska

Szczegółowe informacje oraz rejestracja na stronie internetowej WSB w Dąbrowie Górniczej >>>

 

 

Studia podyplomowe: Ochrona danych osobowych w administracji i w biznesie

Wyższa Szkoła Biznesu w Dąbrowie Górniczej

Wyższa Szkoła Biznesu w Dąbrowie Górniczej to jedna z najlepszych uczelni w Polsce. Praktyczne programy nauczania, wykwalifikowana kadra dydaktyczna praktyków, nowoczesne metody kształcenia to wynik ponad 20-letniego doświadczenia w zakresie realizacji studiów podyplomowych

Zachęcamy do skorzystania z możliwości podniesienia swoich kwalifikacji poprzez udział w studiach podyplomowych na kierunku „Ochrona danych osobowych w administracji i w biznesie”.

Studia na tym kierunku to przede wszystkim zajęcia prowadzone przez praktyków, dla których ochrona danych osobowych i bezpieczeństwo informacji to nie tylko codzienna praca, ale przede wszystkim życiowa pasja. Studia dają możliwość zdobycia wiedzy na temat zasad zabezpieczania różnych rodzajów informacji, dzięki czemu absolwenci zyskują wyjątkową pozycję na współczesnym rynku pracy. W trakcie zajęć poznają takie dziedziny jak przetwarzanie danych osobowych, bezpieczeństwo informacji, ochrona informacji niejawnych.

Dodatkowe informacje i szczegółowy program dostępne są na stronie internetowej Wyższej Szkoły Biznesu w Dąbrowie Górniczej.

 

 

GIODO zostanie zastępcą Europejskiego Inspektora Ochrony Danych!

Plotki się potwierdziły! Generalny Inspektor Ochrony Danych Osobowych dr Wojciech Wiewiórowski jeszcze w tym roku ma zostać zastępcą Europejskiego Inspektora Ochrony Danych.

Gratulując sukcesu, jednocześnie cieszymy się, że stanowisko to obejmuje osoba łącząca zaangażowanie w ochronę prywatności ze zrozumieniem dla współczesnych problemów i potrzeb przetwarzania danych. Nagranie z przesłuchania, dostępne na stronie Parlamentu Europejskiego, powinno zainteresować każdą osobę zajmującą się ochroną danych.

Europejskim Inspektorem Ochrony Danych zostanie Giovanni Buttarelli z Włoch.

Szczegółowe wyniki głosowania znajdziemy na stronie Parlamentu Europejskiego.

 

 

Zapraszamy na Meet IT vol. 2 do Krakowa

12 czerwca (czwartek) 2014 odbędzie się drugie, krakowskie spotkanie z cyklu Meet IT. Miejscem spotkania będzie Restauracja&Oranżeria AUGUSTA w Krakowie.

Tematem przewodnim spotkania będzie: Administracja i przechowywanie danych wrażliwych.

Prelegenci odpowiedzą na pytania:

  • co to są dane wrażliwe?
  • o czym należy pamiętać przetwarzając dane osobowe?
  • jak bezpiecznie zarządzać informacjami?

szczegóły i rejestracja na www.meetit.org.pl

Agenda Meet IT

MeetIT to cykl spotkań organizowanych przez 3S dla menedżerów, specjalistów i sympatyków IT w firmach i instytucjach. Spotkania odbywają się od października 2012 roku. Partnerami organizacyjnymi są Polskie Towarzystwo Informatyczne oddział Górnośląski oraz nieformalna grupa IT Katowice skupiona wokół serwisu społecznościowego Goldenline.

Udział dla uczestników jest bezpłatny.

Każde ze spotkań składa się z części merytorycznej i nieformalnej. Podczas spotkań swoją wiedzą i doświadczeniami dzielą się eksperci, specjaliści reprezentujący globalne i lokalne marki związane z IT.

Wśród dotychczasowych prelegentów na Meet IT o swoich doświadczeniach opowiadali m.in. przedstawiciele: Fujitsu, IBM, Siemens, Grupa ONET, Nasza-Klasa, Microsoft, Sejf danych i wielu innych.

Szczegółowa agenda i rejestracja na stronie Meet IT

 

 

 

Przegląd sprawozdania GIODO za rok 2012.

Na naszym blogu znajdziecie Państwo nowy wpis – przegląd sprawozdania generalnego Inspektora Ochrony Danych Osobowych z działalności w 2012 roku. Liczę, że nasz subiektywny wyciąg najważniejszych tematów poruszanych w sprawozdaniu GIODO, ponownie spotka się z pozytywnym przyjęciem z Państwa strony.

 

 

Sprawozdanie GIODO za 2012 rok.

28 października 2013 roku, Generalny Inspektor Ochrony Danych Osobowych złożył sprawozdanie z działalności w 2012 roku.

Tradycyjnie już, przygotowałem dla Państwa mój subiektywny przegląd najważniejszych problemów, na które zwrócili uwagę kontrolerzy GIODO. Mam nadzieję, że ułatwi to nieco pracę tym z Państwa, którzy nie mają czasu na czytanie całego sprawozdania. Trzeba jednak powiedzieć, że sprawozdanie GIODO może być najlepszym źródłem informacji i jest lekturą obowiązkową dla wszystkich profesjonalnie zajmujących się ochroną danych osobowych.

W 2012 r. Generalny Inspektor Ochrony Danych Osobowych przeprowadził łącznie 165 kontroli zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych. W tym:

  • 8 kontroli w podmiotach z sektora administracji publicznej – w Ministerstwie Pracy i Polityki Społecznej, w Wojewódzkim Urzędzie Pracy, Powiatowych Urzędach Pracy, w urzędach miejskich, w Miejskim Ośrodku Pomocy Społecznej oraz w Miejskich Ośrodkach Pomocy Rodzinie.
  • 11 kontroli przetwarzania danych osobowych w Krajowym Systemie Informatycznym (KSI) umożliwiającym organom administracji publicznej i organom wymiaru sprawiedliwości wykorzystywanie danych gromadzonych w Systemie Informacyjnym Schengen oraz w Wizowym Systemie Informacyjnym.
  • 16 kontroli w podmiotach sektora bankowego.
  • 5 kontroli u operatorów publicznej sieci telekomunikacyjnej, dostawców publicznie dostępnych usług telekomunikacyjnych.
  • 9 podmiotów służby zdrowia, w tym siedem ośrodków dawców szpiku.
  • 10 podmiotów należących sektora szkolnictwa wyższego – Ministerstwo Nauki i Szkolnictwa Wyższego, osiem uczelni oraz Ośrodek Przetwarzania Informacji Instytut Badawczy.
  • 11 kontroli w podmiotach prowadzących hotele.
  • 109 kontroli w innych podmiotach.

Ważniejsze problemy, o których mowa w sprawozdaniu:

  • Jako jedną z bardziej interesujących kontroli uznano kontorlę przeprowadzoną w Powiatowym Urzędzie Pracy, w toku której ustalono, że pracownicy PUP mieli dostęp do danych przetwarzanych w MOPS, natomiast pracownicy MOPS mieli dostęp do danych przetwarzanych w PUP. Dostęp był realizowany poprzez system informatyczny.

Pozwolę sobie tutaj na małą dygresję.

Dostęp był realizowany prawdopodobnie poprzez system SEPI. Jest to system, który pozwala na wymianę dowolnych informacji, pomiędzy różnymi podmiotami. Gdy kilka lat temu powstawała pierwsza wersja systemu, była ona oparta o wspólną bazę klientów wszystkich urzędów wymieniających się informacjami. Gdy zwracałem uwagę na niezgodność z prawem takiego rozwiązania, moje uwagi zostały zignorowane – być może dlatego, że prasa przedstawiała już wdrożenie systemu jako wielki sukces. Smutną satysfakcją było dla mnie, gdy Generalny Inspektor zakwestionował przyjęte rozwiązanie i system musiał być przepisany w taki sposób, że umożliwia wymianę informacji pomiędzy urzędami, bez budowania osobnej bazy. To, czy pracownicy jednego z urzędów mają dostęp do bazy drugiego, czy też odbywa się na zupełnie poprawnej tutaj zasadzie występowania w drodze elektronicznej o udostępnienie danych i świadome ich udostępnianie przez drugi z urzędów, jest kwestią konfiguracji systemu. Jest dla mnie niezrozumiałe, że w obecnej sytuacji, wymiana danych była realizowana w taki sposób. Nie stanowi żadnego problemu technicznego odpowiednie skonfigurowanie tego systemu.

Trzeba jednak zwrócić uwagę, że urzędy nie uczą się na błędach. Realizowany obecnie i wdrażany w niektórych urzędach system Jowisz, opiera się na podobnej zasadzie jak pierwsza wersja systemu SEPI. Znowu jest budowana wspólna baza klientów PUP i OPS. Na niektóre problemy zwracałem uwagę na forum grupy ABI, ale jest to tylko część wątpliwości budzonych przez system Jowisz. Sytuacja będzie tu o tyle trudniejsza, że system Jowisz jest budowane ze środków unijnych i w razie braku możliwości jego używania, okazać się może, że poniesione wydatki będą uznane za niekwalifikowane.

Warto zwrócić tu uwagę jeszcze na system Empatia. Prawdopodobnie uzyska on odpowiednie umocowanie w ustawie, ale obecnie, na etapie wdrożenia, jeszcze go nie ma…

  • GODO zwrócił uwagę, że banki powinny bez zbędne zwłoki aktualizować dane przekazywane do BIK.
  • W spółce prowadzącej działalność gospodarczą w zakresie usług ochrony osób i mienia realizowanych w formie bezpośredniej ochrony fizycznej oraz zabezpieczenia technicznego, prowadzono wobec kandydatów na konwojentów i dyspozytorów badania poligraficzne. GIODO stwierdził, że wyrażona przez kandydatów zgodna na piśmie nie stanowi podstawy do przetwarzania danych uzyskanych w trakcie takiego badania.
  • Spółka zbierała dane na temat stanu cywilnego zatrudnionych osób.
  • Kandydaci do pracy otrzymywali formularz aplikacyjny, za pomocą którego spółka uzyskiwała informacje o mocnych i słabych stronach kandydata.
  • Nieadekwatny w stosunku do celu zakres zbieranych danych.
  • Brak dobrowolności wyrażenia zgody.
  • Dane powinny być usuwane niezwłocznie po zrealizowaniu celu przetwarzania.
  • Zawierając umowę powierzenia przetwarzania danych, w sytuacji gdy przepisy szczegółowe stawiają wymagania w stosunku do osób dopuszczonych do przetwarzania danych, należy zapewnić, aby wymagania te były również spełnione przez osoby dopuszczone do przetwarzania danych przez procesora.
  • Zgodnie z ustawą o ochronie danych osobowych, daną osobową może być również nr identyfikacyjny. Udostępnianie danych innemu podmiotowi, w sytuacji gdy dane te będą zawierały jedynie numer identyfikacyjny i potencjalnie odbiorca danych nie będzie w stanie zidentyfikować konkretnej osoby fizycznej, będzie w rozumieniu GIODO stanowiło jednak udostępnianie danych osobowych.
  • Brak aktualizacji zgłoszeń zbiorów danych osobowych.
  • W wypadku uczelni stwierdzono m.in. brak prowadzenia lub aktualizacji polityki bezpieczeństwa, brak wyznaczenia ABI, nie zapewniono by zmiana hasła następowała nie rzadziej niż co 30 dni.
  • Brak dopełnienia obowiązku informacyjnego. W tym brak poinformowania osób o tym, kto jest administratorem danych i jaka jest jego siedziba.
  • Niespełnianie wymagań przez systemy informatyczne – dopuszczenie zbyt krótkich haseł, niekorzystanie z protokołu https.
  • Przechowywanie danych przetwarzanych w formie papierowej w niezamykanych szafkach i na półkach.
  • Bankowe karty przedpłacone wydawane przez stowarzyszenie swoim członkom i będące jednocześnie kartami członkowskimi, uznano za marketing produktów banku.
  • W wypadku spółki, która realizowała obowiązek informacyjny poprzez podanie informacji w regulaminie oraz w treści polityki prywatności zamieszczonej w portalu, uznano, że nie przedstawiła ona wystarczających dowodów realizacji obowiązku informacyjnego.
  • Wyrażenie zgody na przetwarzanie danych osobowych oraz otrzymywanie informacji handlowych drogą elektroniczną, nie może być realizowane w drodze jednego oświadczenia.
  • Uzyskanie przez spółkę danych od sprawców kradzieży w prowadzonych przez spółkę sklepach, w celu zawiadomienia policji o zaistniałej kradzieży, nie stanowi naruszenia obowiązujących przepisów.
  • Administratorzy kilku portali internetowych – w celu umieszczenia ogłoszeń towarzyskich – bezprawnie zamieścili i udostępniali innym osobom na swej stronie internetowej, dane osobowe w zakresie imienia, nazwiska i daty urodzenia osoby.
  • Przetwarzanie danych osobowych przez podmioty prowadzące strony internetowe, bez posiadania podstawy prawnej.
  • Udostępnianie danych osobowych podmiotom nieupoważnionym. Przykładowo udostępnienie danych aptece przez spółdzielnię mieszkaniową, w celu wydania osobom kart rabatowych.
  • Pozostawienie dokumentacji medycznej w lokalu opuszczanym przez podmiot zajmujący się usługami medycznymi.
  • Ujawnienie danych poprzez rozesłanie maila w taki sposób, że widoczne były adresy pozostałych adresatów.
  • Ujawnienie danych przez szpital, na rzecz spółki ubezpieczeniowej.
  • Wykorzystanie danych pracowników na potrzeby kampanii wyborczej.
  • GIODO wydał decyzję nakazującą burmistrzowi udostępnienie skarżącemu danych osobowych w zakresie imion i nazwisk osób, które wniosły na niego do urzędu miasta skargę w przedmiocie zasad współżycia społecznego.
  • Koperty z dokumentami zawierającymi dane osobowe osób były umieszczane przez pracowników urzędu gminy na bramach ich posesji.
  • GODO nakazał usunięcie ze strony internetowej informacji o osobie, która jako mieszkanka przytuliska dla osób bezdomnych opracowała broszurę informacyjną a następnie, jako jej autorka znalazła się w wykazie bibliotecznym. GIODO uznał, że dyrektor placówki prawidłowo przetwarzał dane, jednak wykazana przez osobę jej szczególna sytuacja uzasadnia jej żądanie zaprzestania przetwarzania jej danych.
  • Wywieszanie zawiadomienia o porządku obrad walnego zgromadzenia spółdzielni, zawierające dane osobowe ich członków, na tablicach informacyjnych znajdujących się na klatkach schodowych budynków.
  • Przekazywanie korespondencji członkom spółdzielni w niezaklejonych kopertach. Co prawda inni członkowie spółdzielni mieli prawo do zapoznania się z tymi danymi, ale jedynie na żądanie.
  • Pracodawca nie może żądać od związku zawodowego listy wszystkich pracowników objętych ochroną związkową.
  • Umieszczenie na karcie miejskiej imienia i nazwiska oraz wizerunku jej posiadacza było wystarczające dla umożliwienia weryfikacji, czy daną kartą, jako nośnikiem imiennego biletu komunikacji miejskiej, posługuje się osoba upoważniona do jej używania. Zbędne było kodowanie na karcie nr PESEL.
  • Brak szyfrowania danych przesyłanych przez Internet. Zwłaszcza dotyczy to poczty elektronicznej.
  • Ustawa o ochronie danych osobowych nie ma zastosowania do udostępniania dokumentów, a jedynie do wykonywania operacji na danych osobowych.

Kontroli poddano 280 systemów informatycznych, tj. o 104 mniej niż w roku 2011, w którym skontrolowano 384 systemy informatyczne wykorzystywane do przetwarzania danych osobowych. Większość kontroli należała do kontroli częściowych, które swym zakresem obejmowały jedynie wybrane aspekty przetwarzania danych.

„W przypadku, gdy kontrolowana jednostka opracowała wymagane dokumenty (takie jak polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych), prowadziła ewidencję osób upoważnionych do przetwarzania danych osobowych oraz wdrożyła opisane w tej dokumentacji procedury przetwarzanie danych osobowych w zakresie wymogów formalno-organizacyjnych, realizację wymogu prowadzenia dokumentacji uznawano za prawidłową. Sprawdzano również, czy wyznaczony został administrator bezpieczeństwa informacji oraz czy osoby dopuszczone do przetwarzania danych posiadały stosowne upoważnienia nadane przez administratora danych.”

Niemal wszystkie skontrolowane jednostki przetwarzały dane w systemie informatycznym, a 93% z nich zastosowało wysoki poziom bezpieczeństwa. 22% podmiotów zastosowało całkowity outsourcing systemów informatycznych.

Zauważalny jest wzrost liczby decyzji administracyjnych dotyczących postępowań zainicjowanych skargą.

GODO skierował 12 zawiadomień o podejrzeniu popełnienia przestępstwa.

„W 2012 r. do Departamentu Orzecznictwa, Legislacji i Skarg Biura GIODO wpłynęły 1593 skargi dotyczące naruszenia przepisów o ochronie danych osobowych. W porównaniu z rokiem 2011, w którym wpłynęło 1271 skarg, liczba ta uległa zwiększeniu o 322”

Do GIODO wpłynęło:

  • 75 skarg dotyczących sektora sądów, prokuratury, policji i komorników,
  • 231 skarg dotyczyło sektora banków i innych instytucji finansowych,
  • 179 skarg dotyczyło sektora administracji publicznej.,
  • 227 skarg dotyczących Internetu,
  • 60 skarg dotyczących sektora marketingu,
  • 88 skarg dotyczących mieszkalnictwa,
  • 24 skargi dotyczących sektora ubezpieczeń społecznych, majątkowych i osobowych,
  • 91 skarg dotyczących działalności telekomunikacyjnej
  • 156 skarg dotyczących podmiotów sektora zatrudnienia
  • 462 innych skargi

„W 2012 r. Generalny Inspektor wydał ogółem 99 decyzji administracyjnych zawierających nałożony na strony nakaz do wykonania i podlegających egzekucji administracyjnej.”

„W roku 2012, administratorzy danych wypełniając nałożony przepisami ustawy o ochronie danych osobowych obowiązek, zgłosili do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych 21580 zbiorów, z czego podmioty z sektora administracji publicznej zgłosiły 14917 zbiorów, co stanowi 68 % ogólnej liczby zgłoszeń dokonanych w tym okresie, zaś podmioty z sektora prywatnego 6663 zbiory, co stanowi 32 % ogólniej liczby zgłoszonych zbiorów.”

„W okresie sprawozdawczym do ogólnokrajowego, jawnego rejestru zbiorów danych osobowych prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych zostało wpisanych 16267 zbiorów danych”

„rozpatrzonych zostało 4090 zgłoszeń aktualizacyjnych”

„Przełomowe z punktu widzenia przetwarzania danych osobowych w omawianych sektorze było stwierdzenie Naczelnego Sądu Administracyjnego zawarte w uzasadnieniu do wyroku z dnia 19 maja 2011 r. (sygn. akt: I OSK 1079/10), że cyt.: „(…) Internet często pozornie, a czasami faktycznie zapewnia anonimowość jego użytkownikom. Stanowi medialne forum, na którym prezentowane są treści naruszające ludzką godność, cześć i dobre imię. Dlatego też wszędzie tam gdzie numer IP pozwala pośrednio na identyfikację konkretnej osoby fizycznej powinien on być uznany za dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy o ochronie danych osobowych. Odmienna interpretacja byłaby sprzeczna z normami konstytucyjnymi zawartymi w art. 30 i 47 Konstytucji RP (…)”. Skład sędziowski w ww. wyroku jako pierwszy jednoznacznie stwierdził, że adres IP (Internet Protocol Address) jest daną osobową.”

Korzystając ze swoich uprawnień, Generalny Inspektor Ochrony Danych Osobowych skierował w 2012 roku szereg wystąpień do centralnych organów państwa i do innych podmiotów z sektora publicznego. Przykładowe wystąpienia:

  • Generalny Inspektor wystąpił do Ministra Zdrowia – jako podmiotu odpowiedzialnego za nadzór nad stosowaniem przepisów ustawy transplantacyjnej – o wydanie opinii, czy w jego ocenie przekazywanie przez ośrodek dawców szpiku danych osobowych potencjalnych dawców do innych, niż Centralny Rejestr, rejestrów potencjalnych dawców szpiku, było dopuszczalne w świetle przepisów ustawy transplantacyjnej, przy założeniu, iż uprzednio osoba, której dane dotyczą, wyraziła zgodę na ich przekazanie.
  • Generalny Inspektor wystąpił do Ministra Nauki i Szkolnictwa Wyższego wskazując, iż powinien on przekazywać uczelniom dokumentację, która zawierałaby pełny opis funkcjonalności systemu POL-on, a także przeprowadzał szkolenia dla użytkowników systemu POL-on, co będzie stanowiło realizację obowiązków nałożonych na administratora danych przez przepis art. 36 ust. 1 ustawy.
  • Prośba o zasygnalizowanie członkom samorządu lekarskiego konieczności respektowania prawa do prywatności oraz ochrony informacji związanych z pacjentem podczas wykonywania praktyk lekarskich, jak również organizowania obsługi pacjentów, w szczególności w sytuacjach rejestrowania pacjentów na wizyty lekarskie, wydawania im wyników badań, ustalania harmonogramu zabiegów w sanatoriach, wywoływania do gabinetów lekarskich lekarzy specjalistów.
  • Wystąpienie w sprawie wyeliminowania praktyki umieszczania przy łóżkach pacjentów kart gorączkowych.

Istotna cześć sprawozdania dotyczy opiniowania przez GIODO aktów prawnych, m.in. dotyczących europejskiej i krajowej reformy ochrony danych osobowych. Również informacje dotyczące współpracy GIODO z instytucjami międzynarodowymi, są interesujące, gdyż zwracają uwagę na najistotniejsze, europejskie problemy ochrony danych. GIODO zajmował się zagadnieniami dotyczącymi biometrii, monitoringu, sieci inteligentnych, projektu INDECT, profilowania, izb dziecka, izb wytrzeźwień, wymagań systemów informatycznych pozwalających na umawianie wizyt pacjentów, itd.

Podsumowanie może stanowić kolejny cytat ze sprawozdania:

„W podsumowaniu, na podstawie ustaleń z kontroli przeprowadzonych w 2012 r. należy stwierdzić, że w porównaniu z latami ubiegłymi osoby odpowiedzialne za przetwarzanie danych osobowych wykazały większą świadomość zagrożeń związanych z przetwarzaniem danych osobowych, a tym samym świadomość konieczności zapewnienia odpowiednich środków organizacyjnych i technicznych zapewniających ochronę tych danych. Konsekwencją było większe wyczulenie na prawidłowe dopełnienie obowiązków wynikających z przepisów o ochronie danych osobowych. Niestety, powyższe spostrzeżenia nie dotyczą wszystkich podmiotów, w których przeprowadzono kontrole. Zdarzały się bowiem kontrole, które wykazywały, że jednostki kontrolowane nie wykonywały większości obowiązków wynikających z przepisów o ochronie danych osobowych. Uchybienia te dotyczyły zarówno zastosowanych rozwiązań organizacyjnych, jak i aspektów technicznych.”

Mam wrażenie, że sprawozdanie GIODO za 2012 rok, jest wyjątkowo bogate w praktyczne informacje, przydatne osobom zajmującym się ochroną danych osobowych. Zachęcam do zapoznania się z pełną treścią sprawozdania.

 

Jarosław Żabówka

 

 

Sprawozdanie GIODO za 2011 rok.

Sprawozdania Generalnego Inspektora Ochrony Danych Osobowych stanowią doskonałe źródło wiedzy dla osób zajmujących się ochroną danych. Warto przyjrzeć się, na co zwracają uwagę kontrolerzy GIODO w 2011 roku.

Postanowiłem zamieścić poniżej moje, jak najbardziej subiektywne, zestawienie zagadnień i błędów Administratorów danych, wskazywanych w sprawozdaniu GIODO za 2011 rok.

Biorąc pod uwagę ilość realizowanych zadań, poziom zatrudnienia w Biurze GIODO wydaje się umiarkowany. Jeżeli spojrzeć na średnią płacę, też nie jest ona powalająca.

W 2011 roku przeprowadzono 199 kontroli w tym

  • 21 w podmiotach należących do administracji publicznej,
  • 10 kontroli przetwarzania danych w KSI,
  • 15 kontroli w podmiotach świadczących usługi doradztwa podatkowego i finansowego,
  • 5 kontroli podmiotach świadczących usługi w obszarze służby zdrowia,
  • 17 kontroli w sektorze agencji pracy,
  • 14 kontroli w podmiotach zajmujących się organizacją imprez masowych na stadionach,
  • 10 kontroli u operatorów publicznej sieci telekomunikacyjnej oraz dostawców publicznie dostępnych usług telekomunikacyjnych,
  • 12 przedszkoli,
  • 95 innych podmiotów

Ważniejsze problemy:

  • Zlecenie podmiotowi prywatnemu przetwarzania danych z fotoradarów i wypełniania kart rejestracyjnych. Przekazanie takich danych jest możliwe dla wykonywania czynności z zakresu obsługi administracyjno-technicznej, jednak nie czynności zastrzeżonych dla Straży Gminnej.
  • Przetwarzanie danych w zakresie nieadekwatnym do celu przetwarzania – np. przetwarzanie nr PESEL potencjalnych klientów w celu przedstawienia tym osobom oferty
  • przetwarzaniu danych osobowych z naruszeniem art. 22¹ Kodeksu pracy – osoby aplikujące na stanowiska kierownicze w podmiocie były poddawane badaniu którego celem było zbadanie roli i hierarchii postaw pracownika/kandydata w miejscu pracy.
  • Najczęściej występującymi uchybieniami stwierdzonymi podczas kontroli było niezapewnienie, aby systemy informatyczne służące do przetwarzania danych osobowych umożliwiały odnotowanie daty pierwszego wprowadzenia danych do systemu oraz identyfikatora użytkownika wprowadzającego te dane
  • Przechowywanie danych w plikach, do których dostęp mieli wszyscy użytkownicy.
  • Szpital nie sprawował kontroli nad przechowywaniem i zabezpieczeniem zaświadczeń lekarskich o czasowej niezdolności do pracy wystawionych pacjentom szpitala twierdząc, że obowiązek w tym zakresie spoczywa na lekarzach, którzy je wystawili.
  • Wskazano, że zwolnienie wskazane w art. 43 ust. 1 pkt 5 ustawy o ochronie danych osobowych (Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta.) dotyczy podmiotów które samodzielnie świadczą te usługi.
  • Niedopełnianie obowiązków informacyjnych oraz błędne klauzule zgody na przetwarzanie danych osobowych w agencjach pośrednictwa pracy. Brak informacji o odbiorcach danych.
  • Brak umów powierzenia z dostawcą usług hostingowych.
  • Nieadekwatny zakres danych zbieranych od kandydatów do pracy (informacje o niekaralności dla pracowników zatrudnionych na stanowisku montera lub spawacza).
  • Niezabezpieczanie za pomocą środków ochrony kryptograficznej, danych osobowych, podczas ich przesyłania poprzez sieć publiczną.
  • Błędy w prowadzonej przez administratorów danych dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, polegające na niezawarciu w niej wszystkich elementów określonych w § 4 i § 5 rozporządzenia.
  • Niespełnianie przez systemy informatyczne wymogów nakładanych przez § 7 rozporządzenia.
  • Niestosowanie środków ochrony kryptograficznej podczas przesyłania danych przez sieć publiczną.
  • Braki w prowadzonej dokumentacji, w tym brak opisu struktury zbiorów danych.
  • Zbyt długie przechowywanie danych retencyjnych, ze względu na przyjętą politykę tworzenia kopii bezpieczeństwa.
  • Na karcie przedszkolaka bywają przetwarzane dane nieadekwatne w stosunku do celu przetwarzania.
  • Zgoda na objęcie dziecka opieką medyczną nie może być rozumiana jako zgoda na przetwarzanie danych o jego stanie zdrowia.
  • „(…)GIODO wydał także decyzję nakazującą Narodowemu Funduszowi Zdrowia udostępnienie oddziałowi kardiochirurgii uniwersytetu medycznego, danych osobowych w zakresie daty i przyczyny hospitalizacji po wypisie z tego oddziału (zwłaszcza wszystkich postaci choroby wieńcowej, udaru mózgu, migotania przedsionków, cukrzycy) oraz wykonania procedur rewaskularyzacji przezskórnej (z lub bez implantacji stentu) oraz pomostowania aortalno-wieńcowego dotyczących powtórnych hospitalizacji chorych, osób uprzednio leczonych w ww. oddziale.
    W uzasadnieniu tego rozstrzygnięcia organ stwierdził, iż okoliczność, że art. 188 ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych wskazywał cele, w jakich NFZ mógł przetwarzać dane osobowe ubezpieczonych, nie wykluczała legalności udostępnienia danych w celu prowadzenia badań naukowych w sytuacji, gdy publikowanie wyników badań naukowych nastąpi w sposób uniemożliwiający identyfikację osób, których dane zostaną udostępnione, bowiem przesłanką legalizującą takie udostępnienie będzie art. 27 ust. 2 pkt 9 ustawy o ochronie danych osobowych.”
  • Brak aktualizacji przez baki informacji w bazie Biura Informacji Kredytowej S.A.
  • Znamienne jest zdanie – „Analizując wyniki kontroli przeprowadzonych w 2011 roku należy stwierdzić, że w większości skontrolowanych podmiotów wystąpiły nieprawidłowości w procesie przetwarzania danych osobowych. Uchybienia te dotyczyły zarówno zastosowanych rozwiązań organizacyjnych, jak i aspektów technicznych.”
  • „(…)stwierdzenie Naczelnego Sądu Administracyjnego zawarte w uzasadnieniu do wyroku z dnia 19 maja 2011 r.83, że cyt.: „(…) Internet często pozornie, a czasami faktycznie zapewnia anonimowość jego użytkownikom. Stanowi medialne forum, na którym prezentowane są treści naruszające ludzką godność, cześć i dobre imię. Dlatego też wszędzie tam gdzie numer IP pozwala pośrednio na identyfikację konkretnej osoby fizycznej powinien on być uznany za dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy o ochronie danych osobowych. Odmienna interpretacja byłaby sprzeczna z normami konstytucyjnymi zawartymi w art. 30 i 47 Konstytucji RP (…)”. Skład sędziowski w ww. wyroku jako pierwszy jednoznacznie stwierdził, że adres IP (Internet Protocol Address) jest daną osobową.
  • Zbierania zgody na przetwarzanie danych osobowych powinno być poprzedzone dopełnieniem obowiązku informacyjnego. Klauzule obowiązku informacyjnego nie powinny być łączone ze zgodą.
  • Żądanie przesłania skanu dowodu tożsamości od osoby chcącej usunąć swoje konto w portalu randkowym.
  • Pomimo wyrażenia sprzeciwu przeciwko przetwarzaniu danych w celu marketingowym, do osób były nadal kierowane SMS-y informujące o możliwości przedłużenia umowy czy skorzystania z nowej oferty. Zdarzyło się również dołączanie oferty do przesyłanej faktury VAT.
  • Udostępnianie danych osobowych mieszkańców osobom nieupoważnionym. W tym danych wrażliwych, dotyczących stanu zdrowia, wyroków lub decyzji administracyjnych.
  • Przekazywanie przez operatora telekomunikacyjnego numerów zastrzeżonych podmiotom trzecim.
  • W sprawozdaniu umieszczono dużą ilość informacji o nakazaniu przez GIODO udostępnienia danych osobowych. Może to świadczyć o niejasności przepisów i wynikających z tego problemom administratorów danych, w tym administratorom ze sfery publicznej w ocenie, czy są zobowiązani do udostępnienia danych, czy do ich zachowania w tajemnicy.
  • Przekazywanie pracodawcom przez związki zawodowe listy wszystkich pracowników podlegających ochronie związku.
  • GIODO nakazał usunięcie adresu poczty elektronicznej, zawierającego imię i nazwisko osoby, która nie była już pracownikiem spółki. Pomimo, że adres ten był wykorzystywany jedynie do odbierania wiadomości.
  • Niedopełnianie przez administratorów obowiązku informacyjnego wynikającego z art. 24, art. 25 i art. 33 ustawy o ochronie danych osobowych.

W roku 2011 administratorzy danych wypełniając nałożony przepisami ustawy o ochronie danych osobowych obowiązek, zgłosili do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych 15643 zbiory, z czego podmioty z sektora administracji publicznej zgłosiły 10690 zbiorów, co stanowi 68 % ogólnej liczby zgłoszeń dokonanych w tym okresie, zaś podmioty z sektora prywatnego 4953 zbiory, co stanowi 32 % ogólniej liczby zgłoszonych zbiorów.

 

 

 

 

 

 

 

Przetwarzanie danych osobowych w marketingu. Dysonans poznawczy, czy zła wola?

Niezwykle często obserwujemy przedziwną różnicę w opiniach osoby na temat ochrony danych osobowych w zależności od tego czy mówimy o naruszeniu jej prywatności, czy też o konieczności podjęcia działań niezbędnych dla ochrony własnej prywatności.

Powszechne oburzenie spowodowało ujawnienie skali inwigilacji prowadzonej przez amerykańskie agencje. Dlaczego Minister Spraw Zagranicznych nic z tym nie zrobi? Co na to GIODO? Nie spotkałem osoby, która godziłaby się na to, by ktoś czytał jej maile i podsłuchiwał rozmowy. Rozmawiamy o potwornych ilościach danych zbieranych przez portale społecznościowe. Boimy się korzystać z kart zbliżeniowych, metek RFID, kamer w przymierzalni, itd.

Powiedzmy sobie jednak szczerze, ile z tych narzekających osób zrezygnuje z podania swojego adresu e-mail, jeżeli w zamian uzyska zniżkę w sklepie? Ile z tych osób umieściło w sieci zdjęcie swojego dziecka? Ile zablokowało możliwość zbliżeniowego płacenia kartą?

A ilu zrezygnowało z wejścia na stronę internetową, mimo że przeglądarka ostrzegała o nieaktualnym certyfikacie? O czym?! A co to jest certyfikat?! No dobrze, nie wymagajmy zbyt wiele…

Ciągle oczekujemy, że ktoś zadba o naszą prywatność. Że przyjdzie GIODO i zrobi z nimi porządek. Ale niech nam nie zawracają głowy jakimiś klauzulami informacyjnymi! Nie chcemy podejmować decyzji, czy zgadzamy się na przetwarzanie naszych danych! Niech ktoś zdecyduje za nas!

Niestety, to nie działa w ten sposób. GIODO nie jest szeryfem, który zaprowadzi porządek i sam pokona wszystkich bandziorów. O naszą prywatność musimy zadbać sami. Jak na razie, każdy, kto nie chce, aby jego dane były gdzieś wykorzystywane, kto nie chce, aby ktoś dokonywał jakichkolwiek operacji, podszywając się pod jego tożsamość – musi samodzielnie zadbać o swoje interesy. Każdy musi poznać podstawy zasad ochrony prywatności, dowiedzieć się, jakie prawa mu przysługują i jak je egzekwować. A gdy z tym egzekwowaniem będą jakieś problemy – GIODO zapewne pomoże.

Bardzo ciekawe jest obserwowanie postaw osób zajmujących się zawodowo przetwarzaniem danych. Czy pracodawca instalujący kamerę w toalecie narusza prywatność swoich pracowników? Jego zdaniem oczywiście nie. W swojej ocenie, jest on pozytywnym bohaterem, działającym na korzyść przedsiębiorstwa. Przecież należy potępiać obiboków, ukrywających się w ubikacji.

Czy rozsyłający spam marketingowiec wie, że działa niezgodnie z prawem? Tak, ale nie ma z tego powodu poczucia winy. Po pierwsze, prawo jest złe, bzdurne i nie działa. Amerykanie i tak zbierają te dane. A ustawodawca działa tylko po to by utrudnić nam życie… Po drugie, marketingowiec działa przecież dla dobra osób, które otrzymają spam – chodzi o to, by żadna ciekawa oferta ich nie ominęła. Po trzecie, on też dostaje spam i w ogóle mu to nie przeszkadza. Po czwarte, ci którzy nie chcą otrzymywać spamu, są niedouczeni, bo powinni filtry w przeglądarce skonfigurować…

Co pomyśli o takiej argumentacji osoba, nie zajmująca się na co dzień rozsyłaniem spamu? Na pierwszy rzut oka, argumenty są takie, że aż trudno z nimi polemizować. Czy oni naprawdę w to wierzą? Zrozumienie takich postaw może nam ułatwić teoria dysonansu poznawczego.

Jestem wewnętrznie przekonany, że ludzie naruszający naszą prywatność, nie muszą działać ze złych pobudek. Ich celem nie jest wyrządzenie nam krzywdy. Mają do wykonania określone zadanie, a nie znają innych narzędzi do jego realizacji, niż te, którą godzą w naszą prywatność. Nie dopuszczając do swojej świadomości informacji o wpływie ich działań na wolność innych osób i na ich prawo do decydowania o swojej prywatności, obarczają winą obowiązujące prawo lub wręcz osoby, których dobra naruszają! Klasyczny przypadek obwiniania ofiary…

Racjonalizacja postępowania wymaga, aby w jakiś sposób przekonać siebie, że podejmowanie działanie jest sensowne. Czy nie ma lepszego sposobu przekonania klientów by kupili określony produkt, niż rozsyłanie milionów maili? Marketingowcy nie będą brali pod uwagę statystyk skuteczności. Przecież oni działają dla dobra otrzymujących spam…

Być może szansa zwiększenia skuteczności działania ustawy o ochronie danych osobowych kryje się nie w podniesieniu jej represyjności, a w wykorzystaniu technik poznanych przy okazji badań nad zjawiskiem dysonansu poznawczego?

Ciekawy jest jeszcze jeden aspekt zagadnienia. Osoba, która nierozważnie zgodziła się na przetwarzanie swoich danych osobowych, będzie twierdziła, że tak naprawdę, to jej w ogóle na tym nie zależy. Że jej dane są nieistotne i tak naprawdę, to nie ma nic do ukrycia.

 

Wikipedia – Dysonans poznawczy

Wikipedia – Teoria spostrzegania siebie

 

IX Kongres Ochrony Informacji Niejawnych, Biznesowych i Danych Osobowych

W dniach 27-29 maja 2013, odbędzie się IX Kongres Ochrony Informacji Niejawnych, Biznesowych i Danych Osobowych. Kongres jest organizowany przez Krajowe Stowarzyszenie Ochrony Informacji Niejawnych oraz Stowarzyszenie Wspierania Bezpieczeństwa Narodowego. Kongres został objęty patronatem honorowym przez Generalnego Inspektora Ochrony Danych Osobowych, Rzecznika Praw Obywatelskich, Krajową Izbę Gospodarczą, Polską Konfederację Pracodawców Prywatnych Lewiatan i Międzynarodowe Targi Poznańskie.

Więcej informacji na stronie KSOIN

 

Plan ramowy
  1. Wyzwania dla bezpieczeństwa narodowego. Próba zdefiniowania najważniejszych zagrożeń.
  2. Kiedy i czy można mówić o profesjonalizmie w skutecznym zabezpieczeniu jednostki organizacyjnej?
  3. Czy jesteśmy przygotowani na zagrożenia informacji ze strony przestępczości zorganizowanej i cyberterroryzmu?
  4. Czy da się uniknąć inwigilacji w społeczeństwie informacyjnym? Jakie są korzyści, a jakie zagrożenia?
  5. Czy mamy innowacyjność w ochronie informacji? Jak chronimy nasze najważniejsze wartości?
  6. Budowanie przewagi konkurencyjnej na rynku a bezpieczeństwo informacyjne firmy.
  7. Nowoczesne państwo a społeczeństwo obywatelskie – ochrona jego praw i wolności.
  8. Edukacja pracownicza społeczeństwa obywatelskiego, w tym pionów ochrony. Jak jest naprawdę?
  9. (Nie) Bezpieczne technologie służące bezpieczeństwu informacji.
  10. Wywiad i szpiegostwo gospodarcze w gospodarce rynkowej i konkurencyjności firm.
  11. Modelowe funkcjonowanie pionów ochrony i bezpieczeństwa.
  12. Uwagi i doświadczenia pełnomocników ochrony nt. praktycznego funkcjonowania pionów ochrony.
  13. Debata nt. stanu ochrony informacji niejawnych. Czy są potrzebne zmiany w obowiązujących przepisach?
  14. Praktyczne aspekty wdrażania bezpieczeństwa przemysłowego i teleinformatycznego.
  15. Ocena zagrożeń i szacowanie ryzyka ochrony informacji niejawnych – doświadczenia i uwagi praktyczne.
  16. Twoje dane – twoja sprawa, stan prawny a rzeczywistość. Prawo do prywatności i ochrony danych osobowych.
  17. Rola Inspektora Ochrony Danych (ABI) w firmie/instytucji – przyszłościowe rozwiązania.
  18. Debata nt. ochrony danych osobowych w praktyce – jak powinno być, a jak jest na co dzień.
  19. Obowiązek czy dowolność w ustanawianiu tajemnicy przedsiębiorstwa, handlowej i giełdowej?
  20. Ochrona własności intelektualnej i przemysłowej – zyski, czy straty dla organizacji? Co o tym wiemy?

 

Nowe szkolenia w ofercie proInfoSec

proInfoSec, we współpracy z firmą „Persona” Magdalena Korga, uruchamia nowe szkolenia dotyczące tematyki ochrony danych osobowych.

Proponujemy Państwu trzydniowe szkolenie wprowadzające do zagadnień ochrony danych osobowych. W naszym przekonaniu właśnie taki czas jest niezbędny, aby opanować materiał w stopniu umożliwiającym samodzielne rozwiązywanie problemów związanych z przetwarzaniem danych osobowych.

Dla osób zainteresowanych dalszym pogłębianiem wiedzy proponujemy dodatkowe, dwudniowe warsztaty.

Oferujemy również szkolenia przygotowane specjalnie dla osób pragnących skupić się na zgłoszeniu zbioru do GIODO, czy też przetwarzaniu danych w placówkach służby zdrowia.

Wszystkie nasze szkolenia kładą nacisk na praktyczne umiejętności. A po zajęciach – atrakcje, które mamy nadzieję sprawią, że w pamięci uczestników pozostaną wspomnienia, związane być może nie tylko z ochroną danych

 

Zapraszamy do zapoznania się z ofertą szkoleń.

Szkolenia proInfoSec

 

 

Orzecznictwo

Prawidłowa interpretacje przepisów dotyczących ochrony danych osobowych nastręcza wiele problemów. Niejednokrotnie, nie możemy ufać nawet uznanym autorytetom, publikującym swoje opinie w coraz większej ilości książek i poradników. Cóż z tego, że publikacji jest coraz więcej, skoro wyrażane w nich opinie te są nieraz sprzeczne ze sobą, albo co gorsza – z orzeczeniami sądów. Nic więc dziwnego, że najlepszym źródłem informacji bywają orzeczenia sądów oraz decyzje i sprawozdania Generalnego Inspektora.

Poniżej, krótką listę źródeł w których można rozpocząć przeglądanie:

 

Zbliża się DODO!!

dpdengTradycyjnie, 28 stycznia świętujemy Dzień Ochrony Danych Osobowych. Jest to świetna okazja do promowania idei ochrony danych osobowych. Dzień obchodzony jest nie tylko w Unii Europejskiej, ale również w Stanach Zjednoczonych i Kanadzie, gdzie działania są koordynowane przez NCSA (http://www.staysafeonline.org/data-privacy-day/landing/ ).

Więcej informacji o obchodach w Unii Europejskiej znajdziecie na stronie – http://www.europeanprivacyday.org/

W Polsce, Generalny Inspektor Ochrony Danych organizuje tradycyjny Dzień Otwarty – http://www.giodo.gov.pl/560/id_art/5783/j/pl/

O innych inicjatywach poinformujemy wkrótce.

 

I Dzień Otwarty Biura GIODO W Dąbrowie Górniczej

22 listopada 2012, w Dąbrowie Górniczej odbędzie się:

I Dzień Otwarty Biura GIODO

 

 

 

 

Konferencja – „Prawo nowych technologii w zakresie ochrony danych osobowych i prawa do prywatności”
Miejsce: Wyższa Szkoła Biznesu w Dąbrowie Górniczej, Audytorium Maximum

Agenda:
Godz.11.00-11.10
Powitanie Gości oraz rozpoczęcie Konferencji
prof. Zdzisława Dacko- Pikiewicz- Rektor Wyższej Szkoły Biznesu w Dąbrowie Górniczej

Godz. 11.10-11.35
„Prawo do bycia zapomnianym. Podstawowe prawo człowieka czy groźba stworzenia Ministerstwa Prawdy?”
dr Wojciech Wiewiórowski – Generalny Inspektor Ochrony Danych Osobowych

Godz. 11.35-11.50
„Bezpieczeństwo danych osobowych w systemie informatycznym  – aktualnie obowiązujące przepisy a obecne zagrożenia bezpieczeństwa”
dr Grzegorz Sibiga-  adiunkt w Zakładzie Prawa Administracyjnego w Instytucie Nauk Prawnych PAN , adwokat.

Godz. 11.50- 12.00 Przerwa Kawowa

Godz. 12.00- 12.30
„Kontrola GIODO w praktyce” – Panel dyskusyjny dla przedsiębiorców”
Moderator:
dr Adrian Kapczyński – Prezes Zarządu Oddziału Górnośląskiego Polskiego Towarzystwa Informatycznego
Uczestnicy Panelu:
dr Wojciech Wiewiórowski- Generalny Inspektor Ochrony Danych Osobowych
Pani Bogusława Pilc-Dyrektor Departamentu Inspekcji Biura GIODO
prof. Aleksander Nawrat- Członek Zarządu firmy WASKO S.A.
Jarosław Żabówka- Administrator Bezpieczeństwa Informacji, właściciel firmy proInfoSec

Godz. 12.30-12.45
„Jak zbudować bezpieczeństwo w systemach IT służących do przetwarzania danych osobowych?. Przegląd narzędzi od ISO 27001do OCTAVE i ich znaczenia dla polityki bezpieczeństwa danych osobowych”
dr Marek Pyka- Adiunkt w Katedrze Informatyki Wyższej Szkoły Biznesu w Dąbrowie Górniczej, Dyrektor, ITC-Partners Sp z o.o.

Godz. 12.45- 13.20
„Odpowiedzialność  prawna za naruszenie obowiązków bezpieczeństwa danych osobowych”
adw. Przemysław Kral adwokat, Kancelaria Adwokacka Tychy

Godz. 13.20- 13.30
„Ochrona danych osobowych w aspekcie zawierania umów o dostarczanie energii elektrycznej oraz ciepła”
Marzena Czarnecka- Radca Prawny TAURON Sprzedaż GZE Sp. z o.o.,

godz. 14.30-16.00 Seminarium Szkoleniowe kierowane dla przedstawicieli Administracji Publicznej (Sala Sesyjna Urzędu Miasta w Dąbrowie Górniczej)

Więcej informacji na stronie spotkanie GL oraz stronie WSB

Sejm przyjął sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych z działalności w roku 2009 i 2010

17 lutego 2012 roku, Sejm przyjął sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych z działalności w roku 2009 i 2010.
Wystąpienie GIODO, opinie Klubów Parlamentarnych, pytania Posłów oraz odpowiedzi Ministra Wiewiórowskiego można wysłuchać pod tym adresem:
http://www.tvpparlament.pl/retransmisje/sejm-rp/8-posiedzenie-sejmu-rp-17022012-godz-0900/6525176  

Na wysłuchanie całości materiału, trzeba poświęcić nieco czasu. Poniżej pozwalam sobie przedstawić wybór, moim zdaniem najważniejszych tematów, na które w swojej wypowiedzi zwrócił uwagę GIODO:

  • Zauważalny jest wzrost liczby wpływających do Biura GIODO skarg i zapytań.
  • Występują problemy z ustawą o dostępie do informacji publicznej. Zbyt często, urzędy, zwłaszcza samorządowe, zasłaniają się ustawą o ochronie danych osobowych, by nie udostępniać informacji publicznych.
  • Bardzo często brak jest realizowania obowiązku informacyjnego, lub jest on realizowany w sposób niedbały.
  • Występują problemy w zabezpieczaniu danych.
    • Operatorzy telekomunikacyjni i urzędy miejskie – przesyłają niezabezpieczoną korespondencję i w wypadku nieobecności adresata zostawiają ją u sąsiada lub w drzwiach.
    • Komornicy sądowi i naczelnicy urzędów skarbowych przesyłają wezwania pozbawione koperty.
    • Zdarza się ujawnianie danych wrażliwych w opisach na kopertach.
  • Nastąpił spadek liczby skarg w stosunku do podmiotów działających na rynku marketingu bezpośredniego i na rynku finansowym.
  • Nastąpił wzrost liczby skarg względem podmiotów przetwarzających dane w Internecie (na podstawie prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną).
  • W latach których dotyczyły sprawozdania, nastąpiło nieznaczne zmniejszenie ilości przeprowadzanych kontroli.
  • Zdaniem GIODO liczba przeprowadzanych kontroli jest zdecydowanie za niska.
  • Utrzymywał się stały poziom liczby decyzji administracyjnych oraz kierowanych do Biura GIODO projektów aktów prawnych (2009r. – 624, 2010r. – 614)
  • Bardzo niepokoi GIODO tendencja do tworzenia przez organy megabaz danych osobowych, jak również próby zbierania danych jedynie dla usprawnienia funkcjonowania, co stanowi naruszenie konstytucyjnego prawa obywateli.
  • Nastąpił zdecydowany wzrost liczby zgłaszanych do rejestracji zbiorów danych osobowych.
  • GIODO uważa, że przepisy karne ustawy powinny być zamienione na przepisy o charakterze karno-administracyjnym.
  • GIODO zwrócił uwagę, że ochrona danych osobowych to nie tylko przymus. Ochrona danych osobowych to wiarygodność wobec klientów i wobec kontrahentów. A zgodnie z Agendą cyfrową „Europejczycy nie będą korzystali z usług którym nie ufają”.
  • Generalny Inspektor uważa, że w sytuacji gdy administracja nie jest konkurencyjnym pracodawcą (w szczególności dla prawników i informatyków), praca w Biurze GIODO jest traktowana jako przygotowanie do życia w prywatnych firmach.
  • Problemem niedostatecznie uregulowanym w polskim prawie jest jawny dostęp do danych i otwarty dostęp do danych w Internecie. Cały czas posługujemy się pojęciem jawności formalnej rejestrów publicznych, które pochodzi z lat 30 XX wieku.
  • Należy zwrócić uwagę na retencję danych telekomunikacyjnych.
  • Konieczne są działania uświadamiające, skierowane do młodego pokolenia.
  • Jeszcze nierozpoznane są problemy wynikające ze stosowania inteligentnych liczników energii.

W wygłoszonych opiniach Klubów Poselskich, odniesiono się bardzo pozytywne  do przedstawionych sprawozdań oraz deklarowano większe zaangażowanie – oby rzeczywiście miało to miejsce.

Odpowiadając na pytania Posłów, Generalny Inspektor zwrócił uwagę na kolejne problemy:

  • System informacji oświatowej.
  • Przetwarzanie danych osobowych przez kościoły i związki wyznaniowe.
  • System informacji w ochronie zdrowia.
  • Problem nielegalności rejestrów medycznych.
  • Biometria i wykorzystanie danych biometrycznych w stosunkach pracy.
  • Kontrole w urzędach kontroli skarbowej – problemy informatyczne powodowane przez software dostarczony przez ministra finansów.
  • Monitoring losów absolwentów przez szkół wyższych – będzie prowadzony jedynie za zgodą absolwenta.
  • ACTA.
  • Współpraca GIODO z Parlamentem i Rządem.
  • Ustawa fotoradarowa.
  • Trudna sytuacja finansowa i kadrowa odpowiedników GIODO w innych państwach UE – czy nie grożą nam takie same problemy.
  • Karty zdrowia przy łóżku chorego.
  • Wyłączenie IPN spod kontroli GIODO.
  • Konieczność stworzenia precyzyjnych przepisów dotyczących przetwarzania danych osobowych w Policji i służbach bezpieczeństwa.

Na przesłuchanie całości materiału trzeba poświęcić trochę czasu, ale moim zdaniem warto. Mam również nadzieję, że Posłowie dotrzymają swojego zobowiązania i sprawozdanie GIODO za 2011 rok, zostanie przyjęte jeszcze w tym półroczu.

Dzień Ochrony Danych Osobowych 2012

28 stycznia 2012 obchodzimy kolejny Dzień Ochrony Danych Osobowych. Czy takie święto jest potrzebne? Dyskutowaliśmy na ten temat w trakcie ostatniego Internetowego Spotkania ABI. Zapraszam do wysłuchania wypowiedzi Europejskiego Inspektora Ochrony Danych Osobowych z okazji DODO 2012 – http://www.edps.europa.eu/EDPSWEB/edps/site/mySite/data_protection_day_2012