Kategoria: Blog

Sprawozdanie GIODO za 2010 rok

Roczne sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych stanowiły zawsze bardzo ciekawe źródło wiedzy dla osób zajmujących się ochroną danych. Nie inaczej jest w wypadku sprawozdania za rok 2010 (dostępne pod adresem – http://www.giodo.gov.pl/1520113/j/pl/). Warto przyjrzeć się, na co zwracają uwagę kontrolerzy GIODO i w związku z jakimi problemami Generalny Inspektor kierował wystąpienia. Sprawozdanie zawiera informacje, z czym mieli najczęściej problemy Administratorzy danych skontrolowani przez GIODO.

Postanowiłem zamieścić poniżej moje, jak najbardziej subiektywne, zestawienie zagadnień i błędów Administratorów danych, wskazywanych w sprawozdaniu GIODO za 2010 rok:

  • Niespełnianie przez systemy służące do przetwarzania danych wymogów określonych w §7 rozporządzenia.
  • Nieodnotowywanie przekazywania dokumentów pomiędzy jednostkami organizacyjnymi Administratora danych.
  • Nieodnotowywanie wynoszenia dokumentów poza obszar przetwarzania.
  • Brak rejestru pobierania i zdawania kluczy do pomieszczeń.
  • Brak szyfrowania danych przesyłanych w sieci publicznej.
  • Nieprzestrzeganie zasady ograniczenia czasowego.
  • Niestosowanie haseł o wymaganej złożoności oraz niezmienianie haseł z wymaganą częstotliwością.
  • Ustawienie monitorów umożliwiające zapoznanie się danymi przez osoby nieupoważnione.
  • Przesyłanie niezaszyfrowanych danych pocztą elektroniczną.
  • Niekompletna dokumentacja.
  • Brak procedur przechowywania danych archiwalnych.
  • Niewyznaczenie ABI.
  • Dopuszczenie do przetwarzania danych osób nieupoważnionych.
  • Brak umów powierzenia.
  • Brak opisów struktur zbiorów i przepływu danych pomiędzy systemami.
  • Brak swobody wyrażenia zgody na przetwarzanie danych – zgody zawierające różne cele, niewskazanie celu.
  • Pozyskiwanie zgody na marketing własnych produktów.
  • Niedopełnienie obowiązku informacyjnego.
  • Niezarejestrowanie zbioru.
  • Niedołożenie szczególnej staranności, a w szczególności niezapewnienie, aby dane były przetwarzane zgodnie z prawem – przetwarzanie danych w szerszym zakresie niż to wynika z przepisów prawa.
  • Stosowanie procedur zgodnie z którymi hasła są znane osobom innym niż użytkownicy.
  • Zatrzymywanie dowodów i legitymacji jako zastawu.
  • Przesyłanie przez bank karty kredytowej, bez zawarcia umowy o kartę kredytową.
  • Nieprzestrzeganie trzydziestodniowego terminu udzielenia informacji wynikających z obowiązku informacyjnego.
  • Publikowanie danych osobowych na stronie internetowej parafii.
  • Stosowanie monitoringu w sposób naruszający prywatność osób.
  • Naruszenie prywatności w trakcie programu „Uwaga Pirat”.
  • Zatrzymanie przez izbę wytrzeźwień, telefonu komórkowego z kartą pamięci jako zastawu.
  • Wymaganie zgody na przetwarzanie danych osobowych w wypadkach, gdy dane są przetwarzane w celu realizacji obowiązku wynikającego z przepisów prawa.
  • Naruszenie prywatności polegające na głośnym podawaniu danych osobowych w rejestracji przychodni.
  • Przesyłanie ofert do osób, których dane zostały zebrane w innym celu.
  • Wykraczający poza określony w ustawie, zakres danych zbieranych przez przedszkola na podstawie uchwał rady gminy.
  • Udostępnianie przez pracodawców, danych pracowników związkom zawodowym.
  • Naruszanie prywatności, przez instalowanie na osiedlach mieszkaniowych kamer.
  • Udostępnianie danych zgromadzonych na komputerze firmie serwisowej.

 

Bardzo pozytywne zaskoczenie przy rejestracji zbioru danych.

Zgłoszenie zbioru, niemal rutynowe działanie osób zajmujących się ochroną danych osobowych, wymagało zawsze ogromnej cierpliwości. Po wysłaniu wypełnionego formularza rejestracyjnego, należało odczekać kilka miesięcy zanim zbiór został zarejestrowany. Stanowiło poważny problem dla przedsiębiorców. W jaki sposób mieli przetwarzać dane wrażliwe, jeżeli dla rozpoczęcia przetwarzania wymagane jest wcześniejsze zarejestrowanie zbioru? Również przy zgłaszaniu danych zwykłych można było odczuć lekki dreszczyk emocji – inwestuję pieniądze, a za kilka miesięcy okaże się, że muszę wstrzymać działalność, bo GIODO nie zarejestruje mi zbioru… A urzędy? Sejm uchwala nowelizację i za miesiąc urząd ma przetwarzać dane wrażliwe… A gdzie wdrożenie oprogramowania? Przygotowanie dokumentacji? I wreszcie, oczekiwanie na zarejestrowanie zbioru?

Wydawało się, że Biuro GIODO nigdy nie wygrzebie się spod góry zgłoszeń. I co? Dało się! Moje ostatnie zgłoszenie (zbioru zwykłego), zostało zarejestrowane w ciągu ośmiu(!) dni od wpłynięcia zgłoszenia. Gratulacje dla Biura GIODO!

W tym tygodniu wysyłam zgłoszenie zbioru z danymi wrażliwymi. Mam nadzieję, że rejestracja przebiegnie równie sprawnie.

Naprawdę, dawno mnie w działaniu polskich urzędów, nic tak nie zaskoczyło 🙂

 

 

FREE ISO27k Toolkit

W Internecie można znaleźć mnóstwo materiałów na temat bezpieczeństwa informacji i normy ISO 27001. Jak dla mnie jest to wręcz klęska urodzaju – materiałów jest tak dużo, że można stracić tygodnie na poszukiwaniu czegoś wartościowego i oryginalnego. Na kolejnych stronach powielane są te same informacje, a opanowane przez pozycjonerów Google nie pomagają nam w jakiś szczególny sposób wyszukać użytecznych informacji.

Dość często trafiają do mnie prośby o podzielenie się materiałami na temat audytu bezpieczeństwa informacji i normy ISO 27001. A ja niezmiennie odpowiadam – „FREE ISO27k Toolkit”! Na stronie http://www.iso27001security.com/ znajdziemy ogromną ilość przydatnych materiałów. Tworzonych przez praktyków, którzy zdecydowali się nimi podzielić ze społecznością ludzi zajmujących się bezpieczeństwem informacji. Znajdziemy tutaj:

  • Opisy norm związanych z bezpieczeństwem informacji
  • Zamknięte forum dla profesjonalistów
  • FAQ
  • Mnóstwo artykułów
  • Recenzje książek i linki do innych zasobów w Internecie
  • No i przede wszystkim –„ Toolkit”. Zestaw dokumentów, formularzy, arkuszy, schematów, list kontrolnych, a nawet gotowa prezentacja na szkolenie (niestety jedynie po angielsku) – który możemy pobrać również w formie całego archiwum. Pojedyncze dokumenty zostały również przygotowane w wersji polskojęzycznej.

Wiem, że również kilka osób z Polski zaangażowało się w pracę w tym projekcie. Trzymam za nich kciuki. Mam nadzieję, że dzięki ich pracy powstanie większa ilość przetłumaczonych na polski dokumentów i wszyscy na tym skorzystamy.

Zachęcam do zapoznania się z projektem http://www.iso27001security.com (i aktywnego udziału w jego pracach).

Innowacja w działaniu infolinii GIODO

Urzędnicy Generalnego Inspektora, twierdzili wielokrotnie w trakcie ostatnich konferencji, że nie jest zadaniem Biura GIODO wydawanie interpretacji i porad w indywidualnych sprawach związanych z ochroną danych osobowych. I niestety, w ostatnich dniach przekonaliśmy się o tym w sposób bardzo bolesny. Osoby dzwoniące pod nr infolinii GIODO, były zmuszone do wysłuchania kilkuminutowego komunikatu o tym, że większość informacji można znaleźć na stronie GIODO. Nie tylko banalna treść, ale i sposób czytania komunikatu świadczy o tym, że jedynym celem tej „innowacji” było przedłużenie komunikatu i zniechęcenie natrętnych obywateli do zawracania głowy bardzo ważnym urzędnikom, bardzo ważnego urzędu. Gdy już poświęciłem kilka minut na wysłuchanie komunikatu i miałem zostać połączony z konsultantem – usłyszałem sygnał zajętości linii i całą zabawę mogłem rozpocząć od początku.

Czyżby jakaś tajna zmowa GIODO z operatorami telefonicznymi? Może będą odprowadzać jakąś część przychodów z tej linii, za rzecz Biura GIODO? Przecież oddziały terenowe trzeba będzie jakoś sfinansować…

Pamiętam, że wiele lat temu urzędy skarbowe prowadziły podobną politykę. Chcesz otrzymać interpretację? Idź do biura rachunkowego. Na szczęście sytuacja się zmieniła i obecnie urzędnicy us odpowiadają na pytania. A urzędnicy GIODO – nie. Chcesz opinię? Idź do kancelarii prawnej. Zmowa prawników?

Dodatkowy problem, to że pracownicy Kancelarii Biura GIODO nie znają ustawy o dostępie do informacji publicznej. Gdy tylko powiedziałem, że chcę otrzymać informację publiczną, dowiedziałem się, że powinienem zwrócić się w formie pisemnej. Nie zdążyłem nawet zadać pytania! Drodzy urzędnicy, jesteście zobowiązani do udzielenia informacji które posiadanie niezwłocznie! Również w formie ustnej! Co odpowiedział pracownik Kancelarii, gdy powiedziałem, że ustawa nie wymaga formy pisemnej? Odesłał mnie do niedziałającej infolinii! To, moim zdaniem, jest ograniczenie konstytucyjnego prawa obywateli do informacji.

Na szczęście udało mi się skontaktować z Rzecznikiem Prasowym GIODO i otrzymałem nie tylko potrzebne mi informacje, ale również dodatkowe materiały. Tylko, że to chyba nie na tym powinno polegać, że jeżeli chcemy otrzymać jakiekolwiek informacje z Biura GIODO, musimy kontaktować się z Rzecznikiem Prasowym…

Apeluję do Generalnego Inspektora: Proszę nie zamykać się przed obywatelami i to w sposób prezentujący wyjątkową arogancję władzy! Chcemy żeby nasze dane były chronione a prawo przestrzegane, ale niech Urząd Generalnego Inspektora Ochrony Danych Osobowych będzie urzędem dla obywateli a nie tylko miejscem pracy dla urzędników!

Ankieta

Chciałem bardzo serdecznie podziękować wszystkim uczestnikom III Internetowego Spotkania Administratorów Bezpieczeństwa Informacji.

Cieszymy się, że taka forma kontaktu spotkała się z Państwa zainteresowaniem. Mamy nadzieję, że w spotkaniach będzie uczestniczyć coraz większa liczba osób oraz że staną się polem ożywionej dyskusji i wymiany doświadczeń zarówno osób zawodowo zajmujących się bezpieczeństwem informacji jak i tych, których zagadnienia te interesują z pozazawodowych powodów.

Spotkania chcemy organizować w sposób jak najlepiej spełniający oczekiwania uczestników.  Dlatego, zwracamy się do osób zainteresowanych udziałem w Internetowych Spotkaniach ABI z prośbą o wypełnienie krótkiej ankiety –
http://www.2business.pl/index.php?page=ankieta-dla-sympatykow-internetowych-spotkan-abi

Chcemy w czasie spotkań umożliwić dostawcom rozwiązań interesujących dla ABI możliwość przedstawienia krótkich prezentacji. Zainteresowanych prosimy o kontakt.

Aktualne informacji o spotkaniach są dostępne na stronie – http://www.2business.pl/index.php?page=Spotkania-ABI oraz na forum Grupy ABI – http://www.goldenline.pl/forum/abi

O blogu

Witam na nowym blogu. Zamierzam publikować tu nieco dłuższe teksty i komunikaty, związane z działaniami na rzecz popularyzacji zagadnień ochrony danych osobowych i integracji środowiska osób tą dziedziną się zajmujących.

Znają się tutaj informacje nieodpowiednie dla zakładki „Aktualności” oraz innych miejsc w których publikuję wypowiedzi – http://www.goldenline.pl/forum/abi, http://www.goldenline.pl/mikroblog/abi-news, http://twitter.com/proinfosec

Serwis wykorzystuje pliki Cookies. <br>Korzystając z serwisu wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Dowiedz się więcej.

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close