Materiały | proInfoSec

Nasze artykuły na łamach czasopism Wydawnictwa Wiedza i Praktyka

lis 162015

Od pewnego czasu, w ramach współpracy z Wydawnictwem Wiedza i Praktyka, przygotowujemy artykuły na temat praktycznych aspektów przetwarzania danych osobowych. Do tej pory teksty publikowane były w miesięczniku „Ochrona danych osobowych”.

Wydawnictwo rozszerzyło swoją ofertę o czasopismo „Przetwarzanie informacji w sektorze publicznym”. W najnowszym, grudniowym numerze możecie przeczytać Państwo tekst „Czy urząd musi uzyskać zgodę na przetwarzanie danych”, omawiający spotykane w urzędach przesłanki pozwalające na przetwarzanie danych osobowych.

Z kolei na łamach „Ochrony Danych Osobowych”, kontynuujemy cykl omawiający nowe zadania administratora bezpieczeństwa informacji .

Przegląd sprawozdania GIODO za 2012 rok.

lis 172013

Sprawozdania z działalności Generalnego Inspektora Ochrony Danych Osobowych stanowią świetne źródło informacji i są lekturą obowiązkową dla wszystkich zajmujących się ochroną danych osobowych. Zapraszamy do zapoznania się z wyborem najważniejszych tematów poruszanych w ostatnim sprawozdaniu GIODO. Tradycyjnie już, przegląd tematyki sprawozdania opublikowaliśmy na blogu Klubu ABI.

Rejestracja zbioru, czy bazy danych?

lis 032013

Jednym z podstawowych obowiązków nakładanych przez ustawę o ochronie danych osobowych jest obowiązek zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO), przetwarzanych przez nas zbiorów danych osobowych. GIODO prowadzi ogólnodostępny rejestr zbiorów danych.

No właśnie „zbiór danych”… Co to jest takiego? Czy to jest to samo co „baza danych”? Oczywiście nie. Gdyby tak było, ustawodawca nie wprowadzałby nowego pojęcia i mówiłby o bazie danych osobowych.

Wprowadzane ustawą pojęcie zbioru danych, ma nieco bardziej ogólny charakter. Zbiór mogą tworzyć np. akta pracownicze, stojące na półkach w dziale kadr – czyli zbiór w ogóle nie musi być przetwarzany w formie elektronicznej. A jeżeli dane pracowników będziemy przetwarzali również w systemie informatycznym? Nic to nie zmienia. Dane w systemie informatycznym, razem z danymi w aktach będą tworzyły jeden zbiór!

Przyjrzyjmy się z kolei naszemu programowi, w którym przetwarzamy dane klientów, czyli naszej bazie danych klientów. Przykładowo, baza ta może zawierać dane dotyczące sprzedaży, ale wykorzystywać będziemy ją również w celu wysyłania do klientów informacji o naszych nowych produktach. W takim wypadku będziemy mieli jedną bazę danych, ale dane w niej będą tworzyć co najmniej dwa zbiory danych: jeden stanowią dane przetwarzane w celu zawarcia i realizacji umowy sprzedaży, a drugi dane wykorzystywane w celu marketingowym.

Widzimy już, że baza danych i zbiór danych, to powiązane, ale jednak różne pojęcia.

W ostatnim czasie, pojawiło się na rynku sporo ofert „rejestracji baz danych w GIODO”. Z naszej strony możemy tylko przestrzegać przed takimi usługami. Jeżeli ktoś oferuje Państwu usługę rejestracji bazy danych, to albo wprowadza Państwa w błąd, albo nie wie, jakie ustawowe obowiązki w rzeczywistości spoczywają na podmiotach przetwarzających dane osobowe.

Musimy tu dodać, że rejestracja zbiorów danych osobowych, jest zwykle jednym z ostatnich kroków tworzenia systemu ochrony danych. Wcześniej musimy opracować i wdrożyć politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym, przygotować klauzule obowiązków informacyjnych, wydać upoważnienia, itd. Proces ten zaczynamy zwykle od identyfikacji zbiorów danych osobowych przetwarzanych w danej organizacji. Bez prawidłowej identyfikacji zbiorów danych, nie mamy możliwości prawidłowego stworzenia całej dokumentacji opisującej nasz system ochrony danych osobowych.

Wkrótce napiszemy więcej o tym, w jaki sposób zidentyfikować nasze zbiory danych.

Zwolnienie z rejestracji zbioru, nie zwalnia z innych obowiązków ustawowych!

lis 032013

Ustawa o ochronie danych osobowych weszła w życie z górą 16 lat temu. Być może swoistym rekordem jest to, że wielu przedsiębiorcom nadal udaje się ignorować jej istnienie. Opanowali oni do mistrzostwa sztukę wypierania ze świadomości faktu istnienia wynikających z ustawy obowiązków i nadal są przekonani, że ustawa ich nie dotyczy.

Kogo obowiązuje ustawa? Powiedzmy sobie jasno – wszystkich. Naprawdę, trudno sobie wyobrazić prowadzenie działalności gospodarczej, bez przetwarzania danych osobowych.

Jednym z obowiązków nakładanych przez ustawę jest rejestracja zbiorów danych osobowych. Nie utożsamiajmy jednak ochrony danych z tym jednym obowiązkiem. Wręcz przeciwnie, rejestracja zbioru danych jest stosunkowo łatwą i mało pracochłonną czynnością, która kończy tworzenie systemy ochrony danych u przedsiębiorcy.

Ustawa wprowadza również szereg wyjątków, określając, które zbiory danych nie podlegają rejestracji. Jednak zwolnienie zbioru z rejestracji nie oznacza, że jesteśmy zwolnieni z jakichkolwiek innych ustawowych obowiązków. Oznacza jedynie, że nie musimy wykonać tej jednej, prostej czynności – nie musimy wysyłać formularza zgłoszenia zbioru. Przykładowo, nie musimy wysyłać informacji, że przetwarzamy dane naszych pracowników. Dlaczego ustawodawca tak zdecydował? To wydaje się jasne – przecież każdy zatrudniający pracowników, przetwarza ich dane. Nie zwalnia nas to jednak z dopełnienia innych, ustawowych obowiązków. Musimy dopełnić obowiązków informacyjnych, zabezpieczyć dane, wydać i zarejestrować upoważnienia, opracować i wdrożyć politykę bezpieczeństwa, itd.

Sporo zamieszania powoduje zwolnienie z rejestracji zbioru danych przetwarzanych „wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej”. Niektórzy czytają ten przepis w sposób: „Aha! Czyli danych dotyczących klientów też nie muszę rejestrować!”. Nic bardziej mylnego! Jeżeli przetwarzasz dane w celu rozpatrzenia reklamacji, wysyłki i dostarczenia towaru, przyjęcia zamówienia, wysłania kartki świątecznej – to będą już zupełnie inne cele przetwarzania i zwolnienie dotyczące wystawienia faktury lub rachunku już tu nie obowiązuje.

Chmura obliczeniowa – Panacea czy Pandora?

paź 262013

Czy chmura obliczeniowa jest panaceum na wszelkie problemy bezpieczeństwa? A może jest współczesną puszką Pandory?

Zachęcamy do zapoznania się z tekstem „Wybrane problemy przetwarzania danych osobowych w chmurze obliczeniowej” opublikowanym w wydanej przez Krajowe Stowarzyszenie Ochrony Informacji Niejawnych książce z materiałami pokongresowymi „IX Kongresu Ochrony Informacji Niejawnych, Biznesowych i Danych Osobowych”

Z tekstu dowiecie się Państwo m.in. jakie warunki należy spełnić, by zgodnie z prawem i zapewniając odpowiedni poziom bezpieczeństwa przetwarzać dane osobowe w chmurze oraz jak skonstruować umowę powierzenia na potrzeby korzystania z chmury lub hostingu.

Promocja książki KSOIN

sie 252013

Dzięki uprzejmości Krajowego Stowarzyszenia Ochrony Informacji Niejawnych, nie tylko mieliśmy przyjemność aktywnie uczestniczyć w IX Kongresie Ochrony Informacji Niejawnych, Biznesowych i Danych Osobowych (o czym pisaliśmy już tutaj), ale również nasz tekst zostanie opublikowany w książce z materiałami pokonferencyjnymi.
Wydawana corocznie książka, stanowi cenne i uznane źródło wiedzy o aktualnych trendach, a na liście autorów znajdują się zawsze najznamienitsze nazwiska z listy osób zajmujących się szeroko pojętym bezpieczeństwem informacji.
Krajowe Stowarzyszenia Ochrony Informacji Niejawnych zapowiedziało, że już w trakcie najbliższych Targów MSPO w Kielcach odbędzie się promocja książki. Na razie, zapoznać się można z jej spisem treści – http://www.ksoin.pl/promocja_ksiazki_ksoin_na_targach_mspo_w_kielcach-strony,62,148.html

Przyszłość ABI.

mar 052012

Jaka przyszłość czeka Administratorów Bezpieczeństwa Informacji? Zapraszamy do zapoznania się z tekstem opublikowanym na stronach Klubu ABI (wersja do pobrania dostępna jest tutaj)