Category Archives: Wpisy z 2016 roku (uwaga wpis może być już nieaktualny)

20 lip

Pomagam stworzyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym

Domyślam się, że niektórzy mogą odebrać to negatywnie, ale postanowiłam wprowadzić symboliczną opłatę za sprawdzanie dokumentacji bezpieczeństwa. Długo nosiłam się z tą decyzją, ale liczba przesyłanych przez Was dokumentów sięga kilkunastu tygodniowo i od kilku tygodni nie robię nic innego, tylko sprawdzam i sprawdzam 🙂

Doszłam do wniosku, że najwyższa pora zacząć cenić swój czas. Mam nadzieję, że wykażecie zrozumienie dla mojej decyzji. Tym bardziej, że doświadczenie pokazuje, że na podstawie zmian, które Wam podpowiadam oraz uwag co jest źle, większość z Was potrafi poprawić dokumentację do stanu idealnego 🙂

Zapraszam do zapoznania się ze szczegółami oferty w zakładce ZAMÓW DOKUMENTACJĘ BEZPIECZEŃSTWA

16 lip

Nowy tekst jednolity ustawy o ochronie danych osobowych

Muszę przyznać, że tempo zmian jest porażające. Jeszcze do niedawna posługiwaliśmy się tekstem jednolitym ustawy z 2015 roku, a już mamy ogłoszony nowy tekst jednolity ustawy – Dz.U. 2016 poz. 922. Przepis wszedł w życie 28 czerwca 2016 r.

Oczywiście każda zmiana przepisów zachęca armię firm do proponowania niepotrzebnych usług, które pomogą Waszym podmiotom dostosować się do nowych przepisów. Uspokajam, zmiany nie są przerażające. Nowelizacja ustawy uwzględniła zmiany, wprowadzone przez:

1) ustawę z dnia 22 grudnia 2015 r. o zmianie ustawy o działach administracji rządowej oraz niektórych innych ustaw (Dz. U. poz. 2281),
2) ustawę z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (Dz. U. poz. 195),
3) ustawę z dnia 18 marca 2016 r. o zmianie ustawy o Rzeczniku Praw Obywatelskich oraz niektórych innych ustaw (Dz. U. poz. 677).

Zmiany wprowadzone przez zmianę ustawy o administracji rządowej oraz niektórych innych ustaw dotyczą zmiany organu odpowiedzialnego za wydanie odpowiednich przepisów wykonawczych oraz wzorów legitymacji inspektorów GIODO. Kompetencje wymienionego wcześniej w ustawie MSWiA przejęło Ministerstwo Administracji i Cyfryzacji.

Zmiany wprowadzone przez ustawę o pomocy państwa w wychowaniu dzieci (tzw. ustawa 500+) omawiałam już szczegółowo w tym artykule. Generalnie dotyczą zasad powierzenia danych osobowych podmiotom działających w interesie publicznym. Negatywne stanowisko GIODO oraz interpretację GIODO w zakresie stosowania tych przepisów przedstawiłam tutaj.

Najnowsze zmiany wynikają z o zmianie ustawy o Rzeczniku Praw Obywatelskich oraz niektórych innych ustaw i dotyczą możliwości pociągnięcia do odpowiedzialności Generalnego Inspektora Ochrony Danych Osobowych.

Pamiętajcie, że aktualny tekst ustawy znajdziecie zawsze w Internetowym Systemie Aktów Prawnych. Jest to też miejsce, gdzie powinniście szukać aktów wykonawczych do ustawy.

 

14 lip

Zmiana adresu administratora danych a ochrona danych osobowych

Czy zastanawialiście się kiedyś jakie są konsekwencje zmiany adresu administratora danych? Omówię to dla trzech przypadków:

  1. Tymczasowa zmiana adresu głównej siedziby
  2. Stała zmiana adres głównej siedziby
  3. Zmiana adresu filii/oddziału

Tymczasowa zmiana adresu głównej siedziby

Jest to sytuacja, w której firma (administrator danych) musi zmienić tymczasowo siedzibę, aby  w określonym, znanym terminie wrócić do pierwotnej siedziby lub przenieść się pod docelowy adres. Tymczasowa przeprowadzka nie skutkuje zmianą adresu w rejestrach, w których figuruje jednostka (CEiDG, RIK, SIO, rejestr REGON, itp.). Oznacza to, że adres siedziby administratora danych nie uległ zmianie, zmienił się jedynie adres korespondencyjny. Tymczasowa zmiana nie wpływa na dane ADO podawane przy wypełnianiu obowiązku informacyjnego z art. 24 i 25 UODO, pozyskiwaniu zgody na przetwarzanie danych osobowych, czy dane w rejestrach prowadzonych przez GIODO. Natomiast konieczne jest niezwłoczne zaktualizowanie wykazu budynków, pomieszczeń oraz części pomieszczeń stanowiących obszar przetwarzania danych osobowych w polityce bezpieczeństwa danych osobowych. Read More

09 lip

O co chodzi z rejestrowaniem kart telefonicznych?

Ostatnio w telewizji i radiu pojawiły się reklamy zachęcające nas do rejestrowania kart w salonach operatorów komórkowych. Czy zastanawialiście się skąd wzięło się to nagłe zainteresowanie informacją o tym, kto z danego numeru korzysta?

Karty prepaid można kupić w każdym kiosku. Często kupuje się je na chwilę, szczególnie gdy potrzebne są do jakiejś usługi (coraz więcej urządzeń wymaga włożenia karty SIM dającej możliwość wysyłania SMS lub łączenia się z Internetem). Wiele z tych kart kupujemy na chwilę, a potem wyrzucamy. Ustawodawca uznał, że karty prepaid stanowią zagrożenie terrorystyczne – potencjalni przestępcy mogą korzystać z nich, aby anonimowo kontaktować się między sobą. W związku z tym wprowadził obowiązek rejestrowania wszystkich kart prepaid w ustawie z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych. Wspomniona ustawa wprowadza następujące zmiany w ustawie z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne:

„Art. 60b.

1. Abonent, z wyłączeniem abonenta korzystającego z publicznie dostępnych usług telefonicznych świadczonych za pomocą aparatu publicznego lub przez wybranie numeru dostępu do sieci dostawcy usług oraz abonenta usług przedpłaconych polegających na rozpowszechnianiu lub rozprowadzaniu programów telewizyjnych drogą
naziemną, kablową lub satelitarną, podaje dostawcy usług następujące dane:

Read More

24 cze

Czy OPS powinien brać zgodę na przetwarzanie danych osobowych?

Pytanie od Pana Andrzeja:

Czy jeżeli przetwarzamy w MOPS dane klientów zgodnie z ustawą o pomocy społecznej, świadczeniach rodzinnych, alimentacyjnych, 500+ i wspieraniu rodziny a jednocześnie pobieramy zgodę na przetwarzanie danych czy jest to zgodne z UODO ?

Przesłanki legalności przetwarzania danych osobowych określa art. 23 ust. 1 ustawy o ochronie danych osobowych. Jest ich pięć:

Osoba, której dane dotyczą wyrazi na to zgodę,

  1. Jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  2. Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  3. Jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  4. Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Read More

20 cze

Roczne sprawozdanie dla GIODO – o co chodzi?

Pewnie poprawię Wam nastrój dementując szerzące się ostatnio informacje o konieczności przygotowania do końca czerwca rocznego raportu dla GIODO.  O co chodzi? Gdy nie wiadomo o co chodzi, to pewnie chodzi o pieniądze… A jakie raporty trzeba przygotowywać?

Gdy nie ma ABI:

  1. Administrator Danych (instytucja/firma) przygotowuje raporty z incydentów, które miały miejsce (w szczególności notatki służbowe), określając co się stało i jakie środki zapobiegawcze zostały podjęte.
  2. Potwierdzenia przeszkolenia pracowników w zakresie bezpieczeństwa informacji.
  3. Raz do roku należy przeprowadzić sprawdzenie zabezpieczeń technicznych i organizacyjnych, które należałoby udokumentować. Gdy jest ABI przepisy wykonawcze do ustawy określają bardzo precyzyjnie, jak ma wyglądać sprawozdanie ze sprawdzenia, gdy nie ma ABI, wystarczy notatka służbowa.

Przykładowa zawartość notatki sporządzonej przez Administratora Danych po sprawdzeniu:

  1. Data/okres przeprowadzania sprawdzenia.
  2. Osoby, które przeprowadzały sprawdzenie.
  3. Co i w jaki sposób było sprawdzane (przegląd dokumentów, oględziny, rozmowy z pracownikami).
  4. Podsumowanie sprawdzenia, podjęte lub zalecane środki mające zwiększyć bezpieczeństwo danych.
  5. Podpis osoby prowadzącej sprawdzenie.

Gdy jest ABI: Read More

16 cze

Czy można publikować dane darczyńców i sponsorów na stronie?

Pozyskiwanie darczyńców i sponsorów coraz częściej jest bardzo istotne dla podmiotów prowadzących działalność, np. fundacji, stowarzyszeń, kościołów, ale także muzeów, czy bibliotek. Powstaje pytanie – czy możemy publikować je na naszej stronie internetowej albo wywiesić, np. w gablocie, w naszej siedzibie.

Z punktu widzenia podmiotu, który zostały obdarowany, podziękowanie darczyńcy, czy sponsorowi jest bardzo istotne dla podtrzymania przyszłych relacji. Jednakże nie zawsze ta osoba życzy sobie, aby publicznie ujawniać jej dane. Ustawa o ochronie danych osobowych stoi po stronie ochrony prywatności darczyńcy i narzuca obowiązek pozyskania jego zgody na publiczne opublikowanie danych. Zgodę można pozyskać w dowolnej formie, także ustnej, jednakże dla celów dowodowych (a także przyszłej współpracy) należałoby zrobić to w formie wiadomości e-mail lub na piśmie. W przypadku darczyńcy, można umieścić klauzulę zgody na karcie przekazania daru (z okienkiem do zaznaczenia).

Przykładowy tekst zgody (wraz z klauzulą informacyjną): Read More

06 cze

Czy wykaz zbiorów w polityce może zastąpić rejestr ABI?

Pytanie od Pani Ewy:

W polityce bezpieczeństwa posiadamy wykaz zbiorów danych osobowych. Czy to jest jednoznaczne z jawnym rejestrem zbiorów danych osobowych? Czy powinien to być nowy rozbudowany odrębny dokument (wg Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11. 05.2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych osobowych (Dz. U. poz. 719)) ?

Wykaz zbiorów w polityce bezpieczeństwa zawiera informacje o zawartości zbioru, jego strukturze, polach informacyjnych przetwarzanych w ramach poszczególnych systemów oraz powiązania między nimi. Dodatkowo są wskazane programy służące do przetwarza tych danych. Zakres danych w wykazie zbiorów zawartym w polityce określa Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych.
Read More

03 cze

Nowelizacja krajowej ustawy o ochronie danych osobowych

Mamy już obowiązujące ogólne rozporządzenie o ochronie danych osobowych, jednak jeszcze przez dwa lata jest czas na dostosowanie się do nowych przepisów, co oznacza że administrator danych może podjąć decyzję, czy stosuje jeszcze przepisy krajowe, czy już unijne. Od 1 czerwca w krajowej ustawie o ochronie danych osobowych pojawi się kilka zmian dotyczących możliwości pociągnięcia Generalnego Inspektora Ochrony Danych Osobowych do odpowiedzialności.

Tekst z zaznaczonymi zmianami jest dostępny na stronach GIODO.

25 maj

Instrukcja zarządzania: Stosowane metody i środki uwierzytelniania

Pełny tytuł do zastosowania w Instrukcji: Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowanie.

Należy określić:

1. Kto odpowiada za przydzielanie i zmienianie haseł użytkownikom.

Na przykład uprawnienia do systemu są nadawane przez dyrektora bezpośrednio na upoważnieniu, którego kopia jest przekazywana do ASI. Na podstawie upoważnienia do przetwarzania danych osobowych ASI nadaje uprawnienia (login i pierwsze hasło).

2. Jakie są wymagania dotyczące złożoności hasła.

Co do zasady hasło nie może być krótsze niż osiem znaków, powinno zawierać małe i duże litery oraz cyfry lub znaki specjalne (musi zawierać 3 spośród 4 wymienionych elementów).

3. Jak często należy zmieniać hasło. Read More