Monthly Archives: sierpień 2016

30 sie

Jak rozpoznać zainfekowane e-maile

Każdy Administrator Bezpieczeństwa Informacji wie, jak wielkim problemem jest szkolenie pracowników z przepisów o ochronie danych osobowych. Takie szkolenia robi się tym trudniej, gdy uczestnicy szkolenia są współpracownikami i nie „mają czasu i chęci na nudne szkolenie”. Dlatego ja stawiam na krótkie formuły. W firmach, z którymi współpracuję przeprowadzam co kilka miesięcy półgodzinne szkolenia na określony temat (np. bezpieczeństwo urządzeń mobilnych, udostępnianie danych, informacje chronione, itd.). Jednak poza tym wysyłam im regularnie maile z ciekawymi informacjami o bezpieczeństwie informacji. W szczególności o informacjach o wykrytych wyciekach danych, popularnych atakach phisingowych wraz z radami co zrobić (zmienić hasło, zakutalizować przeglądarkę lub urządzenie).

Ostatnio przesłałam im quiz z rozpoznawania złośliwych e-maili. Poprosiłam się, żeby pochwalili się wynikami i tym co ich zaskoczyło. Ponieważ uważam, że jest to bardzo wartościowy materiał, polecam także Wam do rozsyłania swoim pracownikom.

Poniżej treść maila, którą rozesłałam (mam nadzieję, że będzie to dla Was przydatne). A już niebawem zamieszczę testy do przeprowadzania szkoleń, które otrzymałam od jednej z czytelniczek 😉 Read More

24 sie

Czy można wygrać z dostawcami reklam SMS?

Poniższy tekst nadesłała moja przyjaciółka, z którą już od dłuższego czasu prowadzę niekończące się rozmowy na temat prywatności. Są niezwykle inspirujące. Jakiś czas temu skarżyła się na przychodzące non stop SMSy z reklamami. Gdy znalazła metodę na ich nieotrzymywanie, postanowiła stworzyć dla Was ten krótki tekst, w którym dzieli się swoim doświadczeniem i skuteczną metodą (potwierdzam z własnego doświadczenia – działa).

Co zrobić, aby nie otrzymywać reklam SMSem

Nie znam osoby, która w dzisiejszych czasach nie posługiwałaby się telefonem komórkowym. Używamy ich na co dzień, w pracy, w domu, dla rozrywki. Tę drogę wykorzystują również firmy chcące coś zareklamować, naciągnąć na smsy premium.

Czy zdarzało Wam się wysłać smsa na konkurs? Zasubskrybować newsy? Przez ciekawość wysłać darmowego smsa? A potem chcąc, nie chcąc otrzymujecie darmowe, ale jakże denerwujące smsy reklamowe. Chwila nieuwagi i można się „naciąć” i obciążyć dość mocno rachunek telefoniczny.  Oczywiście jesteśmy winni sobie sami i często znosimy tę niedogodność. Read More

21 sie

Czy basen lub aquapark ma prawo prosić o ksero karty ciąży lub orzeczenia niepełnosprawności na potrzeby zniżki?

Jedna z moich czytelniczek chciała skorzystać z usług aquaparku. Przeglądając cennik dowiedziała się, że może skorzystać ze zniżki dla kobiet w ciąży. Jednak dużą wątpliwość wzbudziły od niej wymagania, jakie trzeba spełnić, aby otrzymać zniżkę. Postanowiła napisać do mnie w tej sprawie:

z opisu wychodzi mi, że kobiety w ciąży otrzymają zniżkę, po pozostawieniu w kasie parku kserokopii karty ciąży. W karcie ciąży są dane dotyczące daty urodzenia, wagi, ciśnienia i np wynik testu na HIV…

Postanowiłam sprawdzić o co chodzi i poprosić aquapark o wyjaśnienie.

Cennik wygląda następująco (dostępny na stronie energylandia.pl/cennik/cennik-indywidualny/ ) zdjęcie z dnia 19-08-2016 r.

cennikZadałam pytanie rzecznikowi prasowemu, Panu Krystianowi Kojderowi (28 lipca 2016 r.):

Szanowni Państwo,
uprzejmie proszę o złożenie wyjaśnień w przedmiotowej sprawie:
1. Jaką mają Państwo podstawę prawną do zbierania kserokopii dokumentów potwierdzających stopień niepełnosprawności oraz informacje o stanie zdrowia (tzn. kartę ciąży)?
2. Czy zgodnie z art. 40 ustawy o ochronie danych osobowych, otrzymaliście Państwo zgodę Generalnego Inspektora Ochrony Danych Osobowych na przetwarzanie wyżej wymienionych danych wrażliwych?
3. W jaki sposób są chronione dane wrażliwe Państwa klientów, którzy składają w kasie kserokopie dokumentów?

Read More

17 sie

Rejestr osób skazanych wykonujących bezpłatne prace społeczne – DYSKUSJA

Po opublikowaniu mojego artykułu odnośnie obowiązku zgłaszania do rejestru GIODO zbioru danych osób skazanych przez sąd na bezpłatne prace społeczno-użytkowe otrzymałam wiadomość od Pani Beaty Lewandowskiej (która jest wykwalifikowanym Administratorem Bezpieczeństwa Informacji oraz Audytorem Wewnętrznym ISO 27007) i nie zgadza się z moim stanowiskiem. Przeprowadziłyśmy dość długą, merytoryczną i interesującą dyskusję, którą postanowiłam Wam częściowo przytoczyć. Myślę, że zainteresuje wszystkich zaangażowanych w zagadnienie bezpieczeństwa informacji.

Beata Lewandowska: Witam, Pani Sylwio przeczytałam artykuł na temat zbioru danych pracowników skazanych i wysłanych na prace społeczne. Pani Sylwio administratorem tych danych jest Sąd i powinna być zawarta umowa powierzenia danych, a wówczas taki zbiór zgłasza do GIODO Sąd, a nie pracodawca. Pracodawca nie zbiera danych tylko je przechowuje po tym jak mu przekazano z Sądu. Taka jest moja interpretacja tej sytuacji. Decyzja GIODO jest z 2008 roku, czyli przed wszelkimi nowelizacjami. Uważam, że nastąpiła nadinterpretacja przepisów. Oczywiście najczęściej jest to zbiór danych doraźny.

Sylwia Czub: Dzień dobry! Chętnie podyskutuję na ten temat. Przede wszystkim, dlaczego uważa Pani, że należy zawrzeć umowę powierzenia, jeżeli przetwarzanie danych odbywa się na podstawie przepisów prawa (przede wszystkim kodeks karny wykonawczy)? Read More

09 sie

Czy trzeba rejestrować w GIODO zbiór osób wykonujących bezpłatne prace na cele społeczne?

Pytanie od Pani Małgorzaty:

Do naszej instytucji są kierowane przez sąd osoby do bezpłatnych prac społecznych. Kto jest administratorem ich danych osobowych i czy taki zbiór podlega obowiązkowi zgłoszenia do rejestru GIODO?

Wraz z informacją o skierowaniu na bezpłatne prace społeczne, sąd zazwyczaj przesyła do instytucji wyrok, na podstawie którego taka kara ma się odbyć. Instytucja otrzymuje informacje o treści wyroku oraz dane osobowe skierowanego do pracy. Od momentu otrzymania tych informacji, instytucja staje się administratorem danych osobowych w celu i zakresie związanym z realizacją bezpłatnej pracy społecznej.

Legalność przetwarzania przez nią danych wynika z art. 56 ustawy z dnia 6 czerwca 1997 r. Kodeks karny wykonawczy (Dz. U. 1997, Nr 90, poz. 557 z późn. zm.) oraz rozporządzenia Rady Ministrów z dnia 23 marca 2004 r. w sprawie podmiotów, w których jest wykonywana kara ograniczenia wolności oraz praca społecznie użyteczna (Dz.U. 2004, Nr 56, poz. 544). Read More

03 sie

Jak złożyć skargę do GIODO

Są czasami sytuacje, że czara goryczy się przelewa i postanawiamy złożyć skargę na naruszenie prywatności naszych danych, niewłaściwe ich zabezpieczenie, za szeroki zakres przetwarzanych danych, itd. Jeżeli naprawdę chcecie coś zmienić, zamiast narzekać, złóżcie skargę do Generalnego Inspektora. Wymaga to z Waszej pracy odrobinę wysiłku, a nawet poniesienia drobnych kosztów, ale warto ponieść je, żeby zmienić coś na lepsze, zamiast stać z założonymi rękami.

Jak to zrobić? Zapomnijcie o anonimowych donosach, na takie raczej nie zareagują. Pisanie maili (póki co) też mija się z celem. Skargę do GIODO złóżcie tak jak do innych urzędów, czyli w formie pisemnej. Pismo powinno zawierać:

  1. Wasze imię, nazwisko oraz adres do korespondencji.
  2. Opis sprawy, przedmiot skargi, żądania.
  3. Wasz podpis.

Trzy haczyki przy składaniu skargi do GIODO, czyli kiedy skarga zostanie odrzucona: Read More