18 paź

[aktualizacja] Czy muszę mieć analizę ryzyka i zagrożeń?

Coraz częściej pytacie o to, czy istnieje obowiązek opracowania analizy zagrożeń i ryzyka. A tak w ogóle, to o co chodzi z tą analizą? Zgodnie z nazwą, analiza służy szacowaniu ryzyka i zagrożeń na poufności, integralności oraz rozliczalności informacji chronionych (myślę, że należy ten temat omawiać szerzej, nie tylko w zakresie danych osobowych). Krajowe przepisy o ochronie danych osobowych nie wskazują wprost na obowiązek opracowania analizy, jednakże już w ogólnym rozporządzeniu o ochronie danych osobowych, które będzie bezwzględnie obowiązywać od połowy 2018 roku, pojawia się konieczność szacowania ryzyka, aby móc zapewnić odpowiednie środki ochrony danych. Podobnie obowiązek szacować ryzyko mają wszystkie podmioty, które dotyczy Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego, czyli, te w których przetwarzane są informacje niejawne. Natomiast podmioty, które prowadzą rejestry publiczne są zobligowane do szacowania ryzyka na podstawie Rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.  Analiza ryzyka i zagrożeń to dokument będący wynikiem procesu szacowania ryzyka. Oznacza to, że nie można kupić gotowej analizy ryzyka i zagrożeń – powinna być ona tworzona indywidualnie dla każdego podmiotu. Read More

12 paź

Jak zmieniło się moje życie od kiedy mam profil zaufany ePUAP

Mówi się, że mała rzecz, a cieszy. Tak najprościej można podsumować działanie ePUAP. W skrócie, czym jest profil zaufany ePUAP: jest to elektroniczny podpis, który umożliwia załatwianie spraw urzędowych przez Internet. Tak, dobrze przeczytaliście, po zalogowaniu się na stronę ePUAP (a właściwie to już ePUAP2) można załatwić sprawę we wszystkich dostępnych na stronie urzędach (zauważyłam, że liczba dostępnych usług sukcesywnie rośnie). Nie trzeba wysyłać żadnych listów poleconych, ani biegać do kasy, aby kupić znaczki skarbowe (jeżeli sprawa wymaga opłaty, robimy zwykły przelew przez Internet).

Podczas studiów podyplomowych wielu moich wykładowców namawiało do założenia profilu zaufanego ePUAP, argumentując że jest to wynalazek naprawdę ułatwiający życie. Jednak nigdy nie chciało mi się tego zrobić, bo założenie konta na platformie ePUAP wymagało jego uwierzytelnienia w urzędzie (np. ZUSie, Urzędzie Skarbowym). Po założeniu działalności gospodarczej, liczba pism wymienianych z urzędami oraz moich wizyt w urzędach gwałtownie wzrosła (czasami ze względu na własne interesy, czasami załatwiałam interesy klientów). Szczególnie męczyło mnie aktualizowanie danych w CEIDG. Przy okazji jednej z w wizyt w US (okazało się, że muszę złożyć podpis na deklaracji, którą wysłałam pocztą… makabra) przeczytałam na drzwiach jednego z pokojów, że można tam zatwierdzić profil zaufanych ePUAP. Niewiele zastanawiając się nad tym, zalogowałam się z komórki do serwisu, założyłam konto i weszłam do pokoju, gdzie Pani w ciągu dwóch minut zatwierdziła mój profil. W sumie może straciłam na to 5 minut. Read More

06 paź

Czy można niszczyć dokumenty przez spalenie?

Wielu moich klientów lubi palić dokumenty i uważa to za najszybszy i najskuteczniejszy sposób niszczenia dokumentów. Często też jest to jedyna forma niszczenia dokumentów, jaką stosują w swojej firmie, dlatego nie kupują niszczarek. Czy metoda palenia dokumentów zawierających dane osobowe, dla których cel przetwarzania już ustał jest skuteczna. I przede wszystkim czy jest to zgodne z przepisami o ochronie danych osobowych?

Read More

26 wrz

Korzystanie z formularzy (i innych usług) Google, a ochrona danych osobowych

Designed by Freepik.com

W związku ze zmianami dotyczącymi zasad transferu danych poza obszar gospodarczy UE, pojawiło się ostatnio trochę pytań o korzystanie z usług Google w kontekście ochrony danych osobowych. Jedno z pytań, które dostałam dotyczyło formularzy Google:

Proszę o zaopiniowanie możliwości wykorzystania formularza Google, jako narzędzia gromadzenia i przechowywania danych osobowych przez instytucje kultury. Formularze Google są bezpłatnym narzędziem umożliwiającym tworzenie niestandardowych kwestionariuszy, współpracę w czasie rzeczywistym oraz zbieranie i przechowywanie danych na dysku internetowym. Więcej informacji o polityce bezpieczeństwa Google znajduje się na stronie: https://www.google.com/intl/pl_pl/policies/privacy/

Sondujemy możliwość jego wykorzystania w celu rekrutacji uczestników na wydarzenia organizowane przez instytucje kultury. Proszę o informację czy korzystanie z wyżej wspomnianego narzędzia będzie, zgodne z przepisami obowiązującego prawa w przypadku, gdy osoby fizyczne przesyłające swoje dane osobowe będą akceptowały poniższe zapisy:

Oświadczam, że wyrażam zgodę na przesyłanie wprowadzonych przeze mnie danych osobowych za pośrednictwem formularza Google. Jednocześnie oświadczam, że zostałem poinformowany o tym, że:

1. Administratorem danych osobowych jest: [tu właściwa nazwa i adres instytucji kultury]
2. Podanie danych jest dobrowolne. Nie przewiduje się przekazywania danych osobowych.
3. Przysługuje mi prawo do wglądu do moich danych osobowych i żądania ich poprawienia.

Osoby, które preferują inny sposób rekrutacji, będą miały możliwość wydrukowania zgłoszenia i złożenia go osobiście.  Zebrane dane osobowe będą przetwarzane zgodnie z przepisami obowiązującego prawa oraz w oparciu o wewnętrzną Politykę Bezpieczeństwa Informacji oraz Instrukcję Zarządzania Systemem Informatycznym instytucji kultury.

Czy to wystarczy, aby dane były zbierane legalnie poprzez formularze Google?

Read More

19 wrz

Zakończenie działalności gospodarczej a wykreślenie zbioru z GIODO

Ostatnio napisał do mnie przedsiębiorca, który zastanawiał się, jakie ma obowiązki wobec GIODO, jeżeli zakończył działalność gospodarczą. Odpowiedź na jego pytanie było złożone, bo zależało od kilku czynników.

Po pierwsze, czy rzeczywiście zakończyło się przetwarzanie danych w zbiorze. Zgłoszony przez przedsiębiorcę zbiór danych dotyczył klientów jego sklepu internetowego. Pomimo, że zakończył już działalność, nadal ma obowiązek przechowywać dokumentację związaną z działalnością na wypadek kontroli skarbowej. Oznacza to, że nie zakończyło się przetwarzanie danych. Nie ma podstawy do wykreślenia zbioru z rejestru prowadzonego przez GIODO, do momentu gdy minie określony przepisami prawa czas przechowywania dokumentacji i zostanie ona zniszczona. Read More

08 wrz

Zapowiedź wydawnicza! ABC ochrony danych osobowych dla bibliotek

Przez ostatnie tygodnie pochłaniała mnie praca nad książką, która ma być przewodnikiem dla dyrektorów bibliotek w wypełnieniu obowiązków wynikających z przepisów prawa. Jeden z kolegów zapytał mnie czy jest sens pisać taką książkę skierowaną bezpośrednio do bibliotek? Czy jest jakaś różnica między nimi, a innymi firmami? Ja uważam, że zdecydowanie warto! Przede wszystkim ogólne książki poświęcone temu zagadnieniu skupiają się w dużym stopniu na sprawach teoretycznych oraz problemach dużych instytucji. Specyfika pracy bibliotek jest zupełnie inna, chociażby dlatego że są to instytucje kultury i wiele przepisów sektorowych w zakresie bezpieczeństwa informacji ich nie dotyczy. Dodatkowo istotny jest fakt, że biblioteki mają do zrealizowania wiele zadań, przy ograniczonym budżecie i zasobach ludzkich, więc ideą tej książki było poprowadzenie dyrektora krok po kroku przez wszystkie obowiązki. Każdy rozdział zwiera krótkie wprowadzenie teoretyczne, następnie są przykłady (tylko i wyłącznie biblioteczne) i wzory dokumentów. Dodam, że te same wzory są dołączone do książki w wersji elektronicznej, więc wystarczy tylko je zastosować. Podeszłam do zagadnienia całościowo i kompleksowo, jednocześnie starając się opisywać wszystko w sposób jak najłatwiejszy i zrozumiały (np. opisałam wszystkie typowe zbiory danych przetwarzanych w bibliotece wraz z komentarzem, który kiedy i dlaczego trzeba lub nie zarejestrować w rejestrze GIODO lub rejestrze ABI). Read More

30 sie

Jak rozpoznać zainfekowane e-maile

Każdy Administrator Bezpieczeństwa Informacji wie, jak wielkim problemem jest szkolenie pracowników z przepisów o ochronie danych osobowych. Takie szkolenia robi się tym trudniej, gdy uczestnicy szkolenia są współpracownikami i nie „mają czasu i chęci na nudne szkolenie”. Dlatego ja stawiam na krótkie formuły. W firmach, z którymi współpracuję przeprowadzam co kilka miesięcy półgodzinne szkolenia na określony temat (np. bezpieczeństwo urządzeń mobilnych, udostępnianie danych, informacje chronione, itd.). Jednak poza tym wysyłam im regularnie maile z ciekawymi informacjami o bezpieczeństwie informacji. W szczególności o informacjach o wykrytych wyciekach danych, popularnych atakach phisingowych wraz z radami co zrobić (zmienić hasło, zakutalizować przeglądarkę lub urządzenie).

Ostatnio przesłałam im quiz z rozpoznawania złośliwych e-maili. Poprosiłam się, żeby pochwalili się wynikami i tym co ich zaskoczyło. Ponieważ uważam, że jest to bardzo wartościowy materiał, polecam także Wam do rozsyłania swoim pracownikom.

Poniżej treść maila, którą rozesłałam (mam nadzieję, że będzie to dla Was przydatne). A już niebawem zamieszczę testy do przeprowadzania szkoleń, które otrzymałam od jednej z czytelniczek 😉 Read More

24 sie

Czy można wygrać z dostawcami reklam SMS?

Poniższy tekst nadesłała moja przyjaciółka, z którą już od dłuższego czasu prowadzę niekończące się rozmowy na temat prywatności. Są niezwykle inspirujące. Jakiś czas temu skarżyła się na przychodzące non stop SMSy z reklamami. Gdy znalazła metodę na ich nieotrzymywanie, postanowiła stworzyć dla Was ten krótki tekst, w którym dzieli się swoim doświadczeniem i skuteczną metodą (potwierdzam z własnego doświadczenia – działa).

Co zrobić, aby nie otrzymywać reklam SMSem

Nie znam osoby, która w dzisiejszych czasach nie posługiwałaby się telefonem komórkowym. Używamy ich na co dzień, w pracy, w domu, dla rozrywki. Tę drogę wykorzystują również firmy chcące coś zareklamować, naciągnąć na smsy premium.

Czy zdarzało Wam się wysłać smsa na konkurs? Zasubskrybować newsy? Przez ciekawość wysłać darmowego smsa? A potem chcąc, nie chcąc otrzymujecie darmowe, ale jakże denerwujące smsy reklamowe. Chwila nieuwagi i można się „naciąć” i obciążyć dość mocno rachunek telefoniczny.  Oczywiście jesteśmy winni sobie sami i często znosimy tę niedogodność. Read More

21 sie

Czy basen lub aquapark ma prawo prosić o ksero karty ciąży lub orzeczenia niepełnosprawności na potrzeby zniżki?

Jedna z moich czytelniczek chciała skorzystać z usług aquaparku. Przeglądając cennik dowiedziała się, że może skorzystać ze zniżki dla kobiet w ciąży. Jednak dużą wątpliwość wzbudziły od niej wymagania, jakie trzeba spełnić, aby otrzymać zniżkę. Postanowiła napisać do mnie w tej sprawie:

z opisu wychodzi mi, że kobiety w ciąży otrzymają zniżkę, po pozostawieniu w kasie parku kserokopii karty ciąży. W karcie ciąży są dane dotyczące daty urodzenia, wagi, ciśnienia i np wynik testu na HIV…

Postanowiłam sprawdzić o co chodzi i poprosić aquapark o wyjaśnienie.

Cennik wygląda następująco (dostępny na stronie energylandia.pl/cennik/cennik-indywidualny/ ) zdjęcie z dnia 19-08-2016 r.

cennikZadałam pytanie rzecznikowi prasowemu, Panu Krystianowi Kojderowi (28 lipca 2016 r.):

Szanowni Państwo,
uprzejmie proszę o złożenie wyjaśnień w przedmiotowej sprawie:
1. Jaką mają Państwo podstawę prawną do zbierania kserokopii dokumentów potwierdzających stopień niepełnosprawności oraz informacje o stanie zdrowia (tzn. kartę ciąży)?
2. Czy zgodnie z art. 40 ustawy o ochronie danych osobowych, otrzymaliście Państwo zgodę Generalnego Inspektora Ochrony Danych Osobowych na przetwarzanie wyżej wymienionych danych wrażliwych?
3. W jaki sposób są chronione dane wrażliwe Państwa klientów, którzy składają w kasie kserokopie dokumentów?

Read More

17 sie

Rejestr osób skazanych wykonujących bezpłatne prace społeczne – DYSKUSJA

Po opublikowaniu mojego artykułu odnośnie obowiązku zgłaszania do rejestru GIODO zbioru danych osób skazanych przez sąd na bezpłatne prace społeczno-użytkowe otrzymałam wiadomość od Pani Beaty Lewandowskiej (która jest wykwalifikowanym Administratorem Bezpieczeństwa Informacji oraz Audytorem Wewnętrznym ISO 27007) i nie zgadza się z moim stanowiskiem. Przeprowadziłyśmy dość długą, merytoryczną i interesującą dyskusję, którą postanowiłam Wam częściowo przytoczyć. Myślę, że zainteresuje wszystkich zaangażowanych w zagadnienie bezpieczeństwa informacji.

Beata Lewandowska: Witam, Pani Sylwio przeczytałam artykuł na temat zbioru danych pracowników skazanych i wysłanych na prace społeczne. Pani Sylwio administratorem tych danych jest Sąd i powinna być zawarta umowa powierzenia danych, a wówczas taki zbiór zgłasza do GIODO Sąd, a nie pracodawca. Pracodawca nie zbiera danych tylko je przechowuje po tym jak mu przekazano z Sądu. Taka jest moja interpretacja tej sytuacji. Decyzja GIODO jest z 2008 roku, czyli przed wszelkimi nowelizacjami. Uważam, że nastąpiła nadinterpretacja przepisów. Oczywiście najczęściej jest to zbiór danych doraźny.

Sylwia Czub: Dzień dobry! Chętnie podyskutuję na ten temat. Przede wszystkim, dlaczego uważa Pani, że należy zawrzeć umowę powierzenia, jeżeli przetwarzanie danych odbywa się na podstawie przepisów prawa (przede wszystkim kodeks karny wykonawczy)? Read More