Meet IT vol.3 w Krakowie

„Meet IT” to cykl spotkań organizowanych przez 3S dla menedżerów, specjalistów i sympatyków IT w firmach i instytucjach. Spotkania odbywają się w Katowicach od października 2012 roku oraz w Krakowie od kwietnia bieżącego roku. Partnerami organizacyjnymi są Polskie Towarzystwo Informatyczne oddział Górnośląski oraz nieformalna grupa IT Katowice skupiona wokół serwisu społecznościowego Goldenline. Udział dla uczestników jest bezpłatny.

Każde ze spotkań składa się z części merytorycznej i nieformalnej.

Podczas spotkań swoją wiedzą i doświadczeniami dzielą się eksperci, specjaliści reprezentujący globalne i lokalne marki związane z IT.

Już 28 listopada zapraszamy na spotkanie z cyklu „Meet IT” w odświeżonej formie i z pokazem nowych technologii!

Spotkanie odbędzie się w klimatycznej Restauracji&Oranżerii AUGUSTA.

Tematem przewodnim spotkania będzie: „Backup: czyli, jak nie stracić i jak odzyskać.”

Podczas spotkania nasi prelegenci opowiedzą o najnowszych rozwiązaniach technicznych, które pomagają w archiwizacji oraz zarządzaniu danych, jak bezpiecznie backupować swoje dane, a także jak zawsze ciekawy blok spoza IT o tematyce związanej z komunikacją i zarządzaniem  zasobami ludzkimi – mechanizmy różnych zachowań.

Szczegóły i rejestracja na stronie Organizatora – http://meetit.org.pl/

 

Meet IT vol. 3 w Krakowie

 

 

 

IX Forum Kierowników Jednostek Organizacyjnych oraz Pełnomocników ds. Ochrony Informacji Niejawnych

 

IX FORUM

 

W imieniu Krajowego Stowarzyszenia Ochrony Informacji Niejawnych serdecznie zapraszam do uczestnictwa w IX Forum Kierowników Jednostek Organizacyjnych oraz Pełnomocników ds. Ochrony Informacji Niejawnych.

Obrady adresujemy do kierowników jednostek organizacyjnych, pełnomocników ochrony, dyrektorów pionów bezpieczeństwa, kadry kierowniczej przedsiębiorstw, w których przetwarzane są informacje niejawne. Ze względu na szerokie spektrum poruszanych zagadnień zapraszamy również administratorów i inspektorów bezpieczeństwa teleinformatycznego, kierowników i pracowników kancelarii tajnych, Administratorów Bezpieczeństwa Informacji (ABI) oraz inne osoby odpowiedzialne w swoich jednostkach organizacyjnych za bezpieczeństwo firmy i instytucji.

Podczas obrad eksperci omówią tematykę związaną z codziennym stosowaniem przepisów ustawy o ochronie informacji niejawnych oraz podzielą się doświadczeniami i uwagami nt. praktycznych problemów w zakresie organizacji i funkcjonowania pionów ochrony, nadawania dokumentom niejawnym klauzul tajności. Forum to również doskonała okazja do omówienia zmian i unormowań dot. postępowań sprawdzających, bezpieczeństwa fizycznego, teleinformatycznego i przemysłowego, wypracowania wniosków oraz zweryfikowania dotychczasowych zasad ochrony w swoich jednostkach organizacyjnych.

Omówimy także tematykę zagrożeń terrorystycznych, ich zapobieganie i zwalczanie w wymiarze krajowym i międzynarodowym, a także wpływ ataków terroru oraz konsekwencje, jakie niosą one dla przedsiębiorstw oraz gospodarki.

Program obrad Forum będzie obejmował ponadto zagadnienia z zakresu bezpieczeństwa informacji biznesowych i danych osobowych, monitoringu wizyjnego i szpiegostwa gospodarczego. Przekażemy wiedzę przydatną w podejmowaniu właściwych decyzji w profesjonalnym zarządzaniu bezpieczeństwem osób, obiektów, mienia i informacji oraz sprawowania nadzoru nad dostępem do tajemnic firmy.

Tematyka obrad porusza również najważniejsze zagadnienia dot. wdrażania w firmie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO 27001, organizowania oraz funkcjonowania ochrony fizycznej, prowadzenia działań w zakresie zapobiegania, rozpoznawania, wykrywania i analizowania stanu potencjalnych zagrożeń dotyczących ochrony informacji i danych osobowych.

W czasie Forum zaprezentujemy jednocześnie najnowocześniejsze osiągnięcia i przyszłościowe rozwiązania systemowe, organizacyjne i technologiczne służące poprawie bezpieczeństwa informacyjnego firm/instytucji.

(-) Tadeusz Koczkowski

 Prezes Zarządu

Tematyka konferencji

 

  1. Aktualne zagrożenia bezpieczeństwa narodowego. Rola wywiadu w zapewnieniu bezpieczeństwa państwa.
  2. Jawne i niejawne zdobywanie informacji. Kulisy i tajemnice działalności wywiadu gospodarczego.
  3. Stan bezpieczeństwa informacji w polskich instytucjach oraz przedsiębiorstwach.
  4. Bezpieczeństwo informacji w biznesie. Jak skutecznie zapewnić ochronę informacji niejawnych i innych informacji prawnie chronionych?
  5. Dobre praktyki i standardy funkcjonowania pionów ochrony informacji niejawnych.
  6. Modelowe rozwiązania struktury organizacyjnej pionu ochrony w firmie.
  7. Praktyczne aspekty klasyfikowania informacji niejawnych. Nadawanie, zmiana lub zniesienie klauzuli tajności.
  8. Debata z udziałem uczestników Forum na temat wdrażania przepisów ustawy OIN i rozporządzeń wykonawczych.
  9. Wdrażanie procedur bezpieczeństwa informacji w jednostce organizacyjnej zgodnie z ISO 27001. Audyt jako istotny element systemu ochrony.
  10. Analiza i monitoring zagrożeń bezpieczeństwa i ocena ryzyka w firmie. Uwagi praktyczne dotyczące wdrażania procedur szacowania i zarządzania ryzykiem.
  11. Ochrona fizyczna i informacyjna osób, obiektów i obszarów – praktyczne modele realizacji.
  12. Monitoring wizyjny a ochrona prywatności i danych osobowych.
  13. Zagrożenia terrorystyczne. Reakcja na incydenty.
  14. Debata nt. „Wojna w cyberprzestrzeni”. Ochrona informatyczna i poufność informacji.
  15. Bezpieczeństwo teleinformatyczne podstawą sukcesu skutecznej ochrony kapitału informacyjnego – praktyczne aspekty opracowania i wdrażania procedury PBE i SWB.
  16. Wysokozaawansowane technologie softwarowe, systemy do inteligentnego zarządzania bezpieczeństwem technicznym, zastosowanie technologii RFID i biometrycznych.
  17. Zgodność elektronicznych systemów zabezpieczeń i stosowanych w nich urządzeń podlegających klasyfikacji z wymogami prawa.

 

Szczegóły na stronie internetowej KSOIN.

 

GIODO zostanie zastępcą Europejskiego Inspektora Ochrony Danych!

Plotki się potwierdziły! Generalny Inspektor Ochrony Danych Osobowych dr Wojciech Wiewiórowski jeszcze w tym roku ma zostać zastępcą Europejskiego Inspektora Ochrony Danych.

Gratulując sukcesu, jednocześnie cieszymy się, że stanowisko to obejmuje osoba łącząca zaangażowanie w ochronę prywatności ze zrozumieniem dla współczesnych problemów i potrzeb przetwarzania danych. Nagranie z przesłuchania, dostępne na stronie Parlamentu Europejskiego, powinno zainteresować każdą osobę zajmującą się ochroną danych.

Europejskim Inspektorem Ochrony Danych zostanie Giovanni Buttarelli z Włoch.

Szczegółowe wyniki głosowania znajdziemy na stronie Parlamentu Europejskiego.

 

 

Zapraszamy na IV Konferencję Bezpieczeństwa Narodowego

W imieniu Stowarzyszenia Wspierania Bezpieczeństwa Narodowego zapraszamy na IV Konferencję Bezpieczeństwa Narodowego

Zapraszamy na konferencję

Szanowni Państwo!

W imieniu Stowarzyszenia Wspierania Bezpieczeństwa Narodowego oraz Krajowego Stowarzyszenia Ochrony Informacji Niejawnych serdecznie zapraszam do uczestnictwa w IV Konferencji Bezpieczeństwa Narodowego.

Konferencja skierowana jest do Prezesów Zarządów, kadry kierowniczej i zarządzającej przedsiębiorstw: podlegających obowiązkowej ochronie, szczególnie ważnych dla bezpieczeństwa i obronności państwa, o dużym znaczeniu gospodarczo-obronnym i innych podmiotów organizacyjnych będących na wykazie Wojewody. Ponadto zapraszam dyrektorów pionów bezpieczeństwa, kierowników ochrony fizycznej i technicznej, dyrektorów i naczelników działów spraw obronnych i zarządzania kryzysowego, szefów działów IT, pełnomocników ds. ochrony infrastruktury krytycznej i ochrony informacji niejawnych, osoby odpowiedzialne za bezpieczeństwo firmy i instytucji, pracowników zespołów zarządzania kryzysowego odpowiedzialnych za zapobieganie sytuacjom kryzysowym, reagowanie w przypadku wystąpienia sytuacji kryzysowych i koordynowanie działań związanych z usuwaniem ich skutków oraz odtwarzanie zasobów infrastruktury krytycznej.

(-) Tadeusz Koczkowski

Prezes Zarządów SWBN i KSOIN

Cele konferencji

  1. Zapoznanie uczestników Konferencji z Systemem Bezpieczeństwa Narodowego w zmieniającej się sytuacji politycznej i gospodarczej.
  2. Popularyzowanie wiedzy o bezpieczeństwie, zgodnie z wnioskami zawartymi w Białej Księdze Bezpieczeństwa Narodowego RP.
  3. Podniesienie poziomu świadomości, wiedzy i kompetencji właścicieli firm jak i organów administracji publicznej w kwestii bezpieczeństwa narodowego i poczucia współodpowiedzialności za nie, jako wyraz „nowoczesnego patriotyzmu”.
  4. Wymiana poglądów i doświadczeń związanych z realizacją zadań związanych z bezpieczeństwem narodowym i zarządzaniem kryzysowym.
  5. Wskazanie aktualnych zagrożeń istotnych dla właścicieli firm.
  6. Zapoznanie z zasadami ochrony infrastruktury krytycznej i zarządzaniem kryzysowym.
  7. Przedstawienie praktycznych aspektów organizacji zarządzania kryzysowego i kierowania zespołami ochrony infrastruktury krytycznej.
  8. Określenie metodyki analizy zagrożeń i oceny ryzyka w firmie.
  9. Omówienie sposobu opracowania planów ochrony fizycznej i technicznej obszarów, obiektów i urządzeń podlegających obowiązkowej ochronie.
  10. Rozpoznawanie, wykrywanie i zapobieganie zagrożeniom w odniesieniu do chronionej jednostki organizacyjnej oraz analizowanie stanu potencjalnych zagrożeń.
  11. Zapoznanie z najlepszymi praktykami, zadaniami i procedurami mającymi na celu zapobieganie sytuacjom kryzysowym, realizowanymi przez organy administracji rządowej.
  12. Przygotowanie procedur wdrażania i funkcjonowania tajemnicy przedsiębiorstwa.

Tematyka konferencji

  1. Transformacja Systemu Bezpieczeństwa Narodowego w Polsce.
  2. Krajowy Plan Zarządzania Kryzysowego – praktyczne aspekty jego wdrażania.
  3. Narodowy Plan Ochrony Infrastruktury Krytycznej. Standardy służące zapewnieniu sprawnego funkcjonowania infrastruktury krytycznej – dobre praktyki i rekomendacje.
  4. Praktyczne wskazówki do wypracowania właściwej struktury organizacyjnej pionu bezpieczeństwa w firmie.
  5. Obszary, obiekty, urządzenia podlegające obowiązkowej ochronie zgodnie z ustawą o ochronie osób i mienia. Zarządzanie bezpieczeństwem obiektów.
  6. Ochrona obiektów szczególnie ważnych dla bezpieczeństwa i obronności państwa w okresie kryzysu i wojny.
  7. Zarządzanie informacją w sytuacjach kryzysowych.
  8. Uwagi praktyczne w zakresie opracowania planów ochrony fizycznej i technicznej obiektów.
  9. Bezpieczeństwo informacji w biznesie, a ochrona informacji prawnie chronionych – uwagi i zalecenia.
  10. Znaczenie ciągłości działania i zarządzania ryzykiem.
  11. Analiza zagrożeń i szacowanie ryzyka w jednostce organizacyjnej. Uwagi praktyczne i monitoring zagrożeń.
  12. Ochrona fizyczna – praktyczne modele realizacji.
  13. Ochrona teleinformatyczna – poufność informacji, komunikacja, urządzenia.
  14. Reakcja na incydenty.
  15. Wykorzystanie systemu CCTV a ochrona danych osobowych.
  16. Nowoczesne technologie w zarządzaniu kryzysowym.
  17. Przygotowanie i zabezpieczenie spotkań i rozmów służbowych/biznesowych.
  18. Audyt jako istotny element systemu ochrony.
  19. Koncesjonowana działalność gospodarcza.
  20. Debata nt. „Bezpieczeństwo Narodowe – aktualne wyzwania i zagrożenia”.

 Do udziału w Konferencji jako wykładowców zaprosiliśmy wybitnych naukowców, praktyków i ekspertów, przedstawicieli państwowych urzędów centralnych, w tym Policji, Biura Bezpieczeństwa Narodowego, Ministerstwa Spraw Wewnętrznych i Rządowego Centrum Bezpieczeństwa.

 

Termin: 8-10 października 2014 r.

Miejsce: COS Ośrodek Przygotowań Olimpijskich w Spale

97-215 Inowłódz, Al. Prezydenta I. Mościckiego 6

Szczegóły na stronie KSOIN.

Zapraszamy na Meet IT vol. 2 do Krakowa

12 czerwca (czwartek) 2014 odbędzie się drugie, krakowskie spotkanie z cyklu Meet IT. Miejscem spotkania będzie Restauracja&Oranżeria AUGUSTA w Krakowie.

Tematem przewodnim spotkania będzie: Administracja i przechowywanie danych wrażliwych.

Prelegenci odpowiedzą na pytania:

  • co to są dane wrażliwe?
  • o czym należy pamiętać przetwarzając dane osobowe?
  • jak bezpiecznie zarządzać informacjami?

szczegóły i rejestracja na www.meetit.org.pl

Agenda Meet IT

MeetIT to cykl spotkań organizowanych przez 3S dla menedżerów, specjalistów i sympatyków IT w firmach i instytucjach. Spotkania odbywają się od października 2012 roku. Partnerami organizacyjnymi są Polskie Towarzystwo Informatyczne oddział Górnośląski oraz nieformalna grupa IT Katowice skupiona wokół serwisu społecznościowego Goldenline.

Udział dla uczestników jest bezpłatny.

Każde ze spotkań składa się z części merytorycznej i nieformalnej. Podczas spotkań swoją wiedzą i doświadczeniami dzielą się eksperci, specjaliści reprezentujący globalne i lokalne marki związane z IT.

Wśród dotychczasowych prelegentów na Meet IT o swoich doświadczeniach opowiadali m.in. przedstawiciele: Fujitsu, IBM, Siemens, Grupa ONET, Nasza-Klasa, Microsoft, Sejf danych i wielu innych.

Szczegółowa agenda i rejestracja na stronie Meet IT

 

 

 

Bezpłatne szkolenie dla Administratorów Bezpieczeństwa Informacji

W dniu 12 maja o godz. 12.00 w Wyższej Szkole Biznesu w Dąbrowie Górniczej odbędzie się bezpłatne szkolenie dla osób zajmujących się bezpieczeństwem informacji oraz ochroną danych osobowych, ze szczególnym uwzględnieniem pracowników szkół oraz jednostek oświaty. Wydarzenie będzie połączone z projekcją filmu „Tajemniczy Świat informacji”.

 

Program szkolenia:

Termin: 12.05.2014 r. godz. 12.00-13.30

Miejsce: Wyższa Szkoła Biznesu w Dąbrowie Górniczej, Audytorium Maksimum.

 

Program:

godz. 12.00 Powitanie przez płk Tadeusza Koczkowskiego – Prezesa Krajowego Stowarzyszenia Ochrony Informacji Niejawnych
godz. 12.05 Prezentacja filmu „Tajemniczy Świat informacji”
godz. 12.30 Szkolenie „Ochrona danych osobowych w szkołach /jednostkach oświaty” – prowadzący Jarosław Żabówka
godz. 13.15 Dyskusja, pytania
godz. 13.30 Zakończenie szkolenia

Szczegóły na stronie Wyższej Szkoły Biznesu.

 

 

Jubileuszowy X Kongres Ochrony Informacji Niejawnych, Biznesowych i Danych Osobowych

W imieniu Krajowego Stowarzyszenia Ochrony Informacji Niejawnych, zapraszamy Państwa na:


Jubileuszowy X Kongres

Ochrony Informacji Niejawnych, Biznesowych i Danych Osobowych

to najważniejsze i najbardziej prestiżowe przedsięwzięcie organizacyjno-szkoleniowe

 w Polsce odbywające się nieprzerwanie od 2005 roku, mające istotne znaczenie

i wpływ na stan bezpieczeństwa państwa firm i instytucji.

 

Jubileuszowy X Kongres to okazja do wspomnień i podsumowań, a także możliwość spotkania z wieloma wybitnymi gośćmi i ekspertami. Po raz pierwszy w historii Kongresu, Kapituła Konkursu Lidera oprócz tradycyjnych wyróżnień przyzna dodatkowo nagrody „Super Lidera” firmom i instytucjom, które wybrane zostaną spośród 100 wyróżnianych na poprzednich Kongresach.

Podczas Kongresu odbędzie się także premiera pierwszego w Polsce filmu edukacyjnego na temat ochrony informacji niejawnych i ochrony danych osobowych oraz będzie możliwość spotkania z twórcami i aktorami filmu. W tym roku po raz pierwszy obrady będą filmowane ze szczególnym uwzględnieniem osób nagradzanych i wyróżnianych podczas uroczystej gali. Reportaż z Kongresu nawiązujący do filmu „Tajemniczy świat informacji”, znajdzie się w publicznych mediach, na portalach społecznościowych i branżowych stronach internetowych.

Do udziału w obradach zapraszamy prezesów, dyrektorów, właścicieli firm, przedstawicieli organów administracji publicznej, pełnomocników i pracowników pionów ochrony, administratorów danych osobowych i bezpieczeństwa informacji, dyrektorów i pracowników pionów bezpieczeństwa, infrastruktury krytycznej i działów IT, a także inne osoby  interesujące się tą tematyką.

Zachęcamy Państwa do uczestnictwa w Kongresie, który będzie niepowtarzalną okazją do spotkania z wybitnymi ekspertami, dyskusji, bezpośredniej wymiany doświadczeń, uwag i wyjaśnienia wątpliwości dotyczących organizacji i funkcjonowania pionów ochrony, obowiązków i zadań kierowników jednostek organizacyjnych, pełnomocników ochrony, Administratorów Bezpieczeństwa Informacji oraz współpracy i podziału kompetencji między nimi.

 

Zaproszenie na 10 Kongres

 

Tematyka Kongresu

  1. Główne założenia i cele strategii rozwoju systemu bezpieczeństwa narodowego RP.
  2. Doktryna Komorowskiego a bezpieczeństwo informacyjne państwa.
  3. Systemy bezpieczeństwa narodowego a ochrona informacji niejawnych.
  4. Współczesne państwo i nowoczesne społeczeństwo obywatelskie – jego obowiązki, ograniczenia, ochrona praw i wolności.
  5. Współczesne cele i zadania ustawy o ochronie informacji niejawnych dla bezpieczeństwa narodowego.
  6. Relacje i uwarunkowania ustawy o ochronie informacji niejawnych a inne tajemnice prawnie chronione.
  7. Czy ustawa o ochronie informacji niejawnych spełnia funkcję parasola ochronnego nad bezpieczeństwem państwa?
  8. Rola i zadania kierowników jednostek organizacyjnych i pełnomocników ochrony w zapewnieniu bezpieczeństwa gospodarczego.
  9. Jak wdrożyliśmy ustawę z 5 sierpnia 2010 r. o ochronie informacji niejawnych?
  10. Tajemnica przedsiębiorstwa, handlowa i giełdowa – filary bezpieczeństwa biznesowego i rozwoju gospodarczego kraju. Jak praktycznie funkcjonuje wdrażanie procedur?
  11. Bezpieczeństwo przemysłowe i teleinformatyczne – dylematy i wątpliwości a uwarunkowania bezpieczeństwa państwa.
  12. Cyberterroryzm – zagrożenia  dla bezpieczeństwa informacji i danych osobowych.
  13. Reforma danych osobowych w UE. Co ona oznacza dla obywateli?
  14. Jawne i niejawne (dozwolone i zabronione) zdobywanie informacji. Kulisy i tajemnice działalności wywiadu gospodarczego.
  15. Moderowana debata na temat ochrony informacji niejawnych – uwagi i doświadczenia pełnomocników dotyczące praktycznego funkcjonowania pionów ochrony.
  16. Wysokozaawansowane, technologie, systemy i urządzenia ochrony informacji i danych osobowych. Pokazy i prezentacje.
  17. Profesjonalizm skutecznego bezpieczeństwa informacyjnego jednostki organizacyjnej w gospodarce opartej na wiedzy i konkurencyjnej walce rynkowej.

Jako gość specjalny X Kongresu zaproszony został Jerzy Buzek, Premier RP w latach 1997-2001, Przewodniczący PE w latach 2009-2012, Poseł do Parlamentu Europejskiego od 2004 roku.

Wśród zaproszonych gości, ekspertów i wykładowców poproszonych o aktywny udział w obradach znajdują się przede wszystkim członkowie Komitetów Honorowego i naukowego oraz członkowie Kapituły Konkursu Lidera.

Termin: 28-30 maja 2014 roku

Miejsce: Ośrodek Konferencyjno-Wypoczynkowy „Hyrny”

ul. Piłsudskiego 20, 34-500 Zakopane

Szczegóły na stronie KSOIN.

 

 

 

Zapraszamy na Meet IT vol.8

Zabezpieczenie i ochrona przed kradzieżą danych w firmie na 8 edycji Meet IT

13 lutego 2014 (czwartek) o godz. 13.00 w Katowicach, w lokalu Kinoteatr Rialto rozpocznie się ósme spotkanie z cyklu Meet IT adresowane do menedżerów, specjalistów i sympatyków IT. Wydarzenie poświęcone będzie zabezpieczeniom i ochronie przed kradzieżą danych. Organizatorami spotkania są firma 3S, Polskie Towarzystwo Informatyczne oddział Górnośląski oraz nieformalna grupa IT Katowice skupiona wokół serwisu społecznościowego GoldenLine.

„Meet IT” to cykl spotkań zainicjowanych przez 3S dla menedżerów, specjalistów i sympatyków IT w śląskich (i nie tylko) firmach i instytucjach. Poprzednie spotkania z cyklu Meet IT poświęcone były m.in.: zagadnieniom Cloud Computingu (tzw. Chmura obliczeniowa), Unified Communications (komunikacja ujednolicona), nowoczesnym centrom danych (Data Center). Począwszy od października 2012 odbyło się do tej pory 7 edycji spotkań.

Tematyka ósmego spotkania skupi się na problemie bezpieczeństwa danych w firmie. Przedmiotem dyskusji będzie ochrona danych firmowych przed ich kradzieżą oraz możliwościach ich zabezpieczeń. Prelegentami będą przedstawiciele DAGMA, Logicaltrust, Mediarecovery, Fortinet.

Każde ze spotkań składa się z części merytorycznej i nieformalnej. Podczas spotkań swoją wiedzą i doświadczeniami dzielą się eksperci, specjaliści reprezentujący globalne i lokalne marki związane z IT oraz telekomunikacją. W części nieformalnej, w luźnej atmosferze, odbywa się panel dyskusyjny z udziałem prelegentów oraz blok „Spoza IT” związany z tematyką zarządzania (np. motywowanie zespołu, wywieranie wpływu na innych, delegowanie zadań) prowadzony przez doświadczonego trenera i coacha.

Udział w spotkaniach z cyklu Meet IT jest bezpłatny.

 

Szczegółowa agenda i rejestracja na stronie: Meet IT

 

 

zaproszenie meet it 8

 

II Konferencja Safety and Security na temat „Nowoczesne technologie, systemy i rozwiązania organizacyjne służące bezpieczeństwu informacji i danych osobowych”

zaproszenie S&S

Szanowni Państwo!

W imieniu Stowarzyszenia Wspierania Bezpieczeństwa Narodowego (SWBN) i Krajowego Stowarzyszenia Ochrony Informacji Niejawnych (KSOIN) serdecznie zapraszamy do uczestnictwa w II Konferencji Safety and Security na temat „Nowoczesne technologie, systemy i rozwiązania organizacyjne służące bezpieczeństwu informacji i danych osobowych”, pod patronatem honorowym Narodowego Centrum Badań i Rozwoju, Akademii Obrony Narodowej, Naczelnej Organizacji Technicznej – Federacji Stowarzyszeń Naukowo-Technicznych, Polskiej Izby Informatyki i Telekomunikacji, Ogólnopolskiego Stowarzyszenia Inżynierów i Techników Zabezpieczeń Technicznych i Zarządzania Bezpieczeństwem „POLALARM” oraz Polskiej Izby Systemów Alarmowych.

Celem konferencji jest omówienie i zaprezentowanie najnowocześniejszych osiągnięć, przyszłościowych oraz innowacyjnych rozwiązań systemowych, organizacyjnych, technologicznych dot. bezpieczeństwa informacji i danych osobowych.

Konferencja skierowana jest do właścicieli firm, kadry kierowniczej i zarządzającej przedsiębiorstw/instytucji, kierowników ochrony fizycznej i technicznej, pełnomocników ds. ochrony i infrastruktury krytycznej, administratorów bezpieczeństwa informacji, audytorów bezpieczeństwa, a także przedstawicieli organów administracji publicznej odpowiedzialnych za zapewnienie bezpieczeństwa informacjom i danym osobowym. Zapraszamy również producentów, projektantów, instalatorów i użytkowników systemów bezpieczeństwa oraz systemów alarmowych, a także osoby odpowiedzialne w firmach za ochronę tajemnicy przedsiębiorstwa i wdrażanie SZBI (ISMS) zgodnego z normą ISO/IEC 27001.

Podczas konferencji zapoznamy Państwa z wybranymi nowościami służącymi poprawie bezpieczeństwa informacyjnego firm/instytucji. Obrady będą okazją do wymiany doświadczeń pomiędzy użytkownikami a projektantami, producentami i instytucjami nauko-badawczymi nt. nowej generacji systemów, innowacyjnych technologii i rozwiązań do zarządzania bezpieczeństwem informacyjnym, wykorzystując dotychczasowe osiągnięcia, specjalistyczną wiedzę oraz know-how w tej dziedzinie.

Program konferencji będzie obejmował wiele zagadnień z zakresu bezpieczeństwa informacji i danych osobowych, monitoringu wizyjnego i szpiegostwa gospodarczego. Przekażemy wiedzę przydatną w podejmowaniu właściwych decyzji w profesjonalnym zarządzaniu bezpieczeństwem osób, obiektów, mienia i informacji, sprawowania nadzoru nad dostępem do tajemnic firmy, zapobiegania zamachom, przestępstwom i wykroczeniom. Podczas konferencji omówimy także najważniejsze zagadnienia dot. wdrażania i funkcjonowania tajemnicy przedsiębiorstwa w firmie, organizowania oraz funkcjonowania ochrony fizycznej, prowadzenia działań w zakresie zapobiegania, rozpoznawania, wykrywania i analizowania stanu potencjalnych zagrożeń dotyczących ochrony informacji i danych osobowych.

 

gen. (r) Paweł Pruszyński

 Wiceprezes Zarządu SWBN

płk (r) Tadeusz Koczkowski

Prezes Zarządu KSOIN

 

 

Panele tematyczne:

  1. Bezpieczeństwo gospodarcze państwa – aktualne uwarunkowania.
  2. Bezpieczeństwo informacji biznesowych a zagrożenia związane z przestępczością zorganizowaną i terroryzmem.
  3. Cybernetyczny wymiar bezpieczeństwa narodowego.
  4. Wsparcie kryptologiczne i cybernetyczne bezpieczeństwa narodowego.
  5. Jawne i niejawne zdobywanie informacji. Kulisy i tajemnice działalności wywiadu gospodarczego.
  6. Inwigilacja w społeczeństwie obywatelskim i informacyjnym – dylematy, wątpliwości, refleksje.
  7. Zapewnienie ciągłości działania w firmie/instytucji – groźba kryzysu, utraty najważniejszych aktywów informacyjnych i zakłócenia kluczowych procesów biznesowych.
  8. Standardy, procedury i systemy organizacyjne służące zapewnieniu bezpieczeństwa informacyjnego.
  9. Socjotechnika jako narzędzie pozyskiwania nieuprawnionego dostępu do ochrony zasobów informacyjnych.
  10. Wysokozaawansowane technologie softwarowe, systemy do inteligentnego zarządzania bezpieczeństwem technicznym, zastosowanie technologii RFID i biometrycznych.
  11. Stan bezpieczeństwa informacji w polskich instytucjach oraz przedsiębiorstwach. Czy są powody do niepokoju?
  12. Czy wdrażać procedury/standardy tajemnicy przedsiębiorstwa i innych informacji prawnie chronionych?
  13. Prawne i praktyczne aspekty przetwarzania i transferu danych osobowych.
  14. Zarządzanie ryzykiem w obszarze bezpieczeństwa informacji jako narzędzie doboru właściwych zabezpieczeń służących ich ochronie.
  15. Stosowane techniki i metody minimalizacji ryzyka ataku socjotechnicznego.
  16. Integracja systemów zabezpieczenia technicznego, elektronicznego i organizacyjnego, jako fundament budowy kompleksowego systemu bezpieczeństwa.
  17. Systemy i urządzenia techniczne zapewniające bezpieczeństwo firmy/instytucji.
  18. Monitoring wizyjny – wolność czy bezpieczeństwo. Projekt ustawy o monitoringu wizyjnym.
  19. Na ile nowe technologie zagrażają czy pomagają bezpieczeństwu informacyjnemu?

 

Zaproszeni goście, eksperci i wykładowcy:

Andrzej Lewiński – Z-ca Generalnego Inspektora Ochrony Danych Osobowych

gen. Adam Rapacki – b. Wiceminister SWiA, Kancelaria Bezpieczeństwa Rapacki i Wspólnicy Sp. k.

gen. Krzysztof Bondaryk – b. Szef Agencji Bezpieczeństwa Wewnętrznego

gen. Paweł Pruszyński – b. Z-ca Szefa Agencji Bezpieczeństwa Wewnętrznego

płk Jacek Mąka – b. Z-ca Szefa Agencji Bezpieczeństwa Wewnętrznego, Dyrektor bezpieczeństwa Orange

płk Maciej Hermel – b. Z-ca Szefa Służby Kontrwywiadu Wojskowego

prof. dr hab. inż. Piotr Sienkiewicz – Instytut Inżynierii Systemów Bezpieczeństwa AON

prof. dr hab. Aleksander Nawrat – Wiceprezes OBRUM – Polski Holding Obronny

prof. dr hab. Sławomir Zalewski – Pracownik naukowy Wyższej Szkoły Policji w Szczytnie

prof. dr hab. Mariusz Kubiak – Zakład Bezpieczeństwa Państwa i Reagowania Kryzysowego UPH w Siedlcach

dr inż. Witold Pokora – Kierownik Zakładu Systemów Jakości i Zarządzania WAT

Mirosław Prokocki – Prezes Stowarzyszenia „POLALARM”

Marek Bąkowski – Wiceprezes Polskiej Izby Informatyki i Telekomunikacji

Waldemar Malinowski – Przedstawiciel Narodowego Centrum Badań i Rozwoju

Henryk Dąbrowski – Pełnomocnik Zarządu Polskiej Izby Systemów Alarmowych

dr Marek Ryszkowski – Pełnomocnik ochrony w Alcatel-Lucent Polska

dr Dobrosław Mąka – Ekspert bezpieczeństwa teleinformatycznego

płk Dariusz Deptała – b. Radca Ministra Spraw Wewnętrznych i Administracji

płk Wojciech Garstka – Europejski  ekspert ENISA

Grzegorz Kuta – Ekspert KSOIN z ochrony informacji niejawnych i bezpieczeństwa IT

Piotr Konieczny – Chief Information Security Officer, Niebezpiecznik.pl

 

Termin: 19-21 marca 2014 r.

Miejsce:

Hotel Zamek Pułtusk – Dom Polonii

ul. Szkolna 11, 06-100 Pułtusk

 

 

 

Konferencje i szkolenia KSOIN w pierwszym półroczu 2014.

Mamy ogromną przyjemność współpracować z Krajowym Stowarzyszeniem Ochrony Informacji Niejawnych. Na prośbę Stowarzyszenia, przekazujemy Państwu informacje o planowanych przez nie szkoleniach i konferencjach.

Harmonogram szkoleń KSOIN

Szczegóły na stronie Stowarzyszenia.

 

 

Konferencja „Przeszłość, teraźniejszość i przyszłość ochrony informacji niejawnych w zapewnianiu bezpieczeństwa narodowego RP”

Już w styczniu, Krajowe Stowarzyszenie Ochrony Informacji Niejawnych zaprasza na Konferencję „Przeszłość, teraźniejszość i przyszłość ochrony informacji niejawnych w zapewnianiu bezpieczeństwa narodowego RP”:

 Zaproszenie na konferencję

 

Tematyka obrad:

  1. Rys historyczny ochrony informacji niejawnych w Polsce.
  2. Przesłanki uchwalenia ustawy o ochronie informacji niejawnych w dniu 22.01.1999 r.
  3. Główne jej cele i założenia ustawy dla bezpieczeństwa narodowego.
  4. Nowelizacje ustawy o ochronie informacji niejawnych (od 1999 r. do 2010 r.).
  5. Ustawa o ochronie informacji niejawnych – stan aktualny.
  6. Wady, niedoskonałości i nadinterpretacje ustawy o ochronie informacji niejawnych i ich wpływ na funkcjonowanie firm i instytucji.
  7. Przyszłość regulacji prawnych o ochronie informacji niejawnych.
  8. Ochrona danych osobowych w świetle ustawy o ochronie informacji niejawnych.
  9. Ustawa o ochronie informacji niejawnych a inne tajemnice prawnie chronione. Ich relacje i wzajemne uwarunkowania.
  10. Ochrona informacji niejawnych a bezpieczeństwo gospodarcze państwa.
  11. Bezpieczeństwo przemysłowe przy realizacji kontraktów związanych z dostępem do informacji niejawnych, zwłaszcza zabezpieczanie „kontraktów zbrojeniowych”.
  12. Debata ekspercka z udziałem przedsiębiorców i POIN.

Zapraszamy do pobrania ulotki.

Szczegółowe informacje i rejestracja na stronie Stowarzyszenia.

 

 

 

 

Przedświąteczne spotkania

Święta coraz bliżej i niemal każdego dnia mam przyjemność uczestniczyć w różnych spotkaniach opłatkowych, będących okazją do podsumowania działań w kończącym się roku, składania sobie życzeń i snucia planów na kolejny rok.

Jednymi z ciekawszych imprez w których w których mieliśmy przyjemność uczestniczyć w ostatnich dniach było zebranie i spotkanie opłatkowe członków KSOIN i SWBN oraz spotkanie wigilijne Oddziału Górnośląskiego PTI. Z relacjami z imprez można zapoznać się tutaj:

 

 

 

Przegląd sprawozdania GIODO za rok 2012.

Na naszym blogu znajdziecie Państwo nowy wpis – przegląd sprawozdania generalnego Inspektora Ochrony Danych Osobowych z działalności w 2012 roku. Liczę, że nasz subiektywny wyciąg najważniejszych tematów poruszanych w sprawozdaniu GIODO, ponownie spotka się z pozytywnym przyjęciem z Państwa strony.

 

 

Sprawozdanie GIODO za 2012 rok.

28 października 2013 roku, Generalny Inspektor Ochrony Danych Osobowych złożył sprawozdanie z działalności w 2012 roku.

Tradycyjnie już, przygotowałem dla Państwa mój subiektywny przegląd najważniejszych problemów, na które zwrócili uwagę kontrolerzy GIODO. Mam nadzieję, że ułatwi to nieco pracę tym z Państwa, którzy nie mają czasu na czytanie całego sprawozdania. Trzeba jednak powiedzieć, że sprawozdanie GIODO może być najlepszym źródłem informacji i jest lekturą obowiązkową dla wszystkich profesjonalnie zajmujących się ochroną danych osobowych.

W 2012 r. Generalny Inspektor Ochrony Danych Osobowych przeprowadził łącznie 165 kontroli zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych. W tym:

  • 8 kontroli w podmiotach z sektora administracji publicznej – w Ministerstwie Pracy i Polityki Społecznej, w Wojewódzkim Urzędzie Pracy, Powiatowych Urzędach Pracy, w urzędach miejskich, w Miejskim Ośrodku Pomocy Społecznej oraz w Miejskich Ośrodkach Pomocy Rodzinie.
  • 11 kontroli przetwarzania danych osobowych w Krajowym Systemie Informatycznym (KSI) umożliwiającym organom administracji publicznej i organom wymiaru sprawiedliwości wykorzystywanie danych gromadzonych w Systemie Informacyjnym Schengen oraz w Wizowym Systemie Informacyjnym.
  • 16 kontroli w podmiotach sektora bankowego.
  • 5 kontroli u operatorów publicznej sieci telekomunikacyjnej, dostawców publicznie dostępnych usług telekomunikacyjnych.
  • 9 podmiotów służby zdrowia, w tym siedem ośrodków dawców szpiku.
  • 10 podmiotów należących sektora szkolnictwa wyższego – Ministerstwo Nauki i Szkolnictwa Wyższego, osiem uczelni oraz Ośrodek Przetwarzania Informacji Instytut Badawczy.
  • 11 kontroli w podmiotach prowadzących hotele.
  • 109 kontroli w innych podmiotach.

Ważniejsze problemy, o których mowa w sprawozdaniu:

  • Jako jedną z bardziej interesujących kontroli uznano kontorlę przeprowadzoną w Powiatowym Urzędzie Pracy, w toku której ustalono, że pracownicy PUP mieli dostęp do danych przetwarzanych w MOPS, natomiast pracownicy MOPS mieli dostęp do danych przetwarzanych w PUP. Dostęp był realizowany poprzez system informatyczny.

Pozwolę sobie tutaj na małą dygresję.

Dostęp był realizowany prawdopodobnie poprzez system SEPI. Jest to system, który pozwala na wymianę dowolnych informacji, pomiędzy różnymi podmiotami. Gdy kilka lat temu powstawała pierwsza wersja systemu, była ona oparta o wspólną bazę klientów wszystkich urzędów wymieniających się informacjami. Gdy zwracałem uwagę na niezgodność z prawem takiego rozwiązania, moje uwagi zostały zignorowane – być może dlatego, że prasa przedstawiała już wdrożenie systemu jako wielki sukces. Smutną satysfakcją było dla mnie, gdy Generalny Inspektor zakwestionował przyjęte rozwiązanie i system musiał być przepisany w taki sposób, że umożliwia wymianę informacji pomiędzy urzędami, bez budowania osobnej bazy. To, czy pracownicy jednego z urzędów mają dostęp do bazy drugiego, czy też odbywa się na zupełnie poprawnej tutaj zasadzie występowania w drodze elektronicznej o udostępnienie danych i świadome ich udostępnianie przez drugi z urzędów, jest kwestią konfiguracji systemu. Jest dla mnie niezrozumiałe, że w obecnej sytuacji, wymiana danych była realizowana w taki sposób. Nie stanowi żadnego problemu technicznego odpowiednie skonfigurowanie tego systemu.

Trzeba jednak zwrócić uwagę, że urzędy nie uczą się na błędach. Realizowany obecnie i wdrażany w niektórych urzędach system Jowisz, opiera się na podobnej zasadzie jak pierwsza wersja systemu SEPI. Znowu jest budowana wspólna baza klientów PUP i OPS. Na niektóre problemy zwracałem uwagę na forum grupy ABI, ale jest to tylko część wątpliwości budzonych przez system Jowisz. Sytuacja będzie tu o tyle trudniejsza, że system Jowisz jest budowane ze środków unijnych i w razie braku możliwości jego używania, okazać się może, że poniesione wydatki będą uznane za niekwalifikowane.

Warto zwrócić tu uwagę jeszcze na system Empatia. Prawdopodobnie uzyska on odpowiednie umocowanie w ustawie, ale obecnie, na etapie wdrożenia, jeszcze go nie ma…

  • GODO zwrócił uwagę, że banki powinny bez zbędne zwłoki aktualizować dane przekazywane do BIK.
  • W spółce prowadzącej działalność gospodarczą w zakresie usług ochrony osób i mienia realizowanych w formie bezpośredniej ochrony fizycznej oraz zabezpieczenia technicznego, prowadzono wobec kandydatów na konwojentów i dyspozytorów badania poligraficzne. GIODO stwierdził, że wyrażona przez kandydatów zgodna na piśmie nie stanowi podstawy do przetwarzania danych uzyskanych w trakcie takiego badania.
  • Spółka zbierała dane na temat stanu cywilnego zatrudnionych osób.
  • Kandydaci do pracy otrzymywali formularz aplikacyjny, za pomocą którego spółka uzyskiwała informacje o mocnych i słabych stronach kandydata.
  • Nieadekwatny w stosunku do celu zakres zbieranych danych.
  • Brak dobrowolności wyrażenia zgody.
  • Dane powinny być usuwane niezwłocznie po zrealizowaniu celu przetwarzania.
  • Zawierając umowę powierzenia przetwarzania danych, w sytuacji gdy przepisy szczegółowe stawiają wymagania w stosunku do osób dopuszczonych do przetwarzania danych, należy zapewnić, aby wymagania te były również spełnione przez osoby dopuszczone do przetwarzania danych przez procesora.
  • Zgodnie z ustawą o ochronie danych osobowych, daną osobową może być również nr identyfikacyjny. Udostępnianie danych innemu podmiotowi, w sytuacji gdy dane te będą zawierały jedynie numer identyfikacyjny i potencjalnie odbiorca danych nie będzie w stanie zidentyfikować konkretnej osoby fizycznej, będzie w rozumieniu GIODO stanowiło jednak udostępnianie danych osobowych.
  • Brak aktualizacji zgłoszeń zbiorów danych osobowych.
  • W wypadku uczelni stwierdzono m.in. brak prowadzenia lub aktualizacji polityki bezpieczeństwa, brak wyznaczenia ABI, nie zapewniono by zmiana hasła następowała nie rzadziej niż co 30 dni.
  • Brak dopełnienia obowiązku informacyjnego. W tym brak poinformowania osób o tym, kto jest administratorem danych i jaka jest jego siedziba.
  • Niespełnianie wymagań przez systemy informatyczne – dopuszczenie zbyt krótkich haseł, niekorzystanie z protokołu https.
  • Przechowywanie danych przetwarzanych w formie papierowej w niezamykanych szafkach i na półkach.
  • Bankowe karty przedpłacone wydawane przez stowarzyszenie swoim członkom i będące jednocześnie kartami członkowskimi, uznano za marketing produktów banku.
  • W wypadku spółki, która realizowała obowiązek informacyjny poprzez podanie informacji w regulaminie oraz w treści polityki prywatności zamieszczonej w portalu, uznano, że nie przedstawiła ona wystarczających dowodów realizacji obowiązku informacyjnego.
  • Wyrażenie zgody na przetwarzanie danych osobowych oraz otrzymywanie informacji handlowych drogą elektroniczną, nie może być realizowane w drodze jednego oświadczenia.
  • Uzyskanie przez spółkę danych od sprawców kradzieży w prowadzonych przez spółkę sklepach, w celu zawiadomienia policji o zaistniałej kradzieży, nie stanowi naruszenia obowiązujących przepisów.
  • Administratorzy kilku portali internetowych – w celu umieszczenia ogłoszeń towarzyskich – bezprawnie zamieścili i udostępniali innym osobom na swej stronie internetowej, dane osobowe w zakresie imienia, nazwiska i daty urodzenia osoby.
  • Przetwarzanie danych osobowych przez podmioty prowadzące strony internetowe, bez posiadania podstawy prawnej.
  • Udostępnianie danych osobowych podmiotom nieupoważnionym. Przykładowo udostępnienie danych aptece przez spółdzielnię mieszkaniową, w celu wydania osobom kart rabatowych.
  • Pozostawienie dokumentacji medycznej w lokalu opuszczanym przez podmiot zajmujący się usługami medycznymi.
  • Ujawnienie danych poprzez rozesłanie maila w taki sposób, że widoczne były adresy pozostałych adresatów.
  • Ujawnienie danych przez szpital, na rzecz spółki ubezpieczeniowej.
  • Wykorzystanie danych pracowników na potrzeby kampanii wyborczej.
  • GIODO wydał decyzję nakazującą burmistrzowi udostępnienie skarżącemu danych osobowych w zakresie imion i nazwisk osób, które wniosły na niego do urzędu miasta skargę w przedmiocie zasad współżycia społecznego.
  • Koperty z dokumentami zawierającymi dane osobowe osób były umieszczane przez pracowników urzędu gminy na bramach ich posesji.
  • GODO nakazał usunięcie ze strony internetowej informacji o osobie, która jako mieszkanka przytuliska dla osób bezdomnych opracowała broszurę informacyjną a następnie, jako jej autorka znalazła się w wykazie bibliotecznym. GIODO uznał, że dyrektor placówki prawidłowo przetwarzał dane, jednak wykazana przez osobę jej szczególna sytuacja uzasadnia jej żądanie zaprzestania przetwarzania jej danych.
  • Wywieszanie zawiadomienia o porządku obrad walnego zgromadzenia spółdzielni, zawierające dane osobowe ich członków, na tablicach informacyjnych znajdujących się na klatkach schodowych budynków.
  • Przekazywanie korespondencji członkom spółdzielni w niezaklejonych kopertach. Co prawda inni członkowie spółdzielni mieli prawo do zapoznania się z tymi danymi, ale jedynie na żądanie.
  • Pracodawca nie może żądać od związku zawodowego listy wszystkich pracowników objętych ochroną związkową.
  • Umieszczenie na karcie miejskiej imienia i nazwiska oraz wizerunku jej posiadacza było wystarczające dla umożliwienia weryfikacji, czy daną kartą, jako nośnikiem imiennego biletu komunikacji miejskiej, posługuje się osoba upoważniona do jej używania. Zbędne było kodowanie na karcie nr PESEL.
  • Brak szyfrowania danych przesyłanych przez Internet. Zwłaszcza dotyczy to poczty elektronicznej.
  • Ustawa o ochronie danych osobowych nie ma zastosowania do udostępniania dokumentów, a jedynie do wykonywania operacji na danych osobowych.

Kontroli poddano 280 systemów informatycznych, tj. o 104 mniej niż w roku 2011, w którym skontrolowano 384 systemy informatyczne wykorzystywane do przetwarzania danych osobowych. Większość kontroli należała do kontroli częściowych, które swym zakresem obejmowały jedynie wybrane aspekty przetwarzania danych.

„W przypadku, gdy kontrolowana jednostka opracowała wymagane dokumenty (takie jak polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych), prowadziła ewidencję osób upoważnionych do przetwarzania danych osobowych oraz wdrożyła opisane w tej dokumentacji procedury przetwarzanie danych osobowych w zakresie wymogów formalno-organizacyjnych, realizację wymogu prowadzenia dokumentacji uznawano za prawidłową. Sprawdzano również, czy wyznaczony został administrator bezpieczeństwa informacji oraz czy osoby dopuszczone do przetwarzania danych posiadały stosowne upoważnienia nadane przez administratora danych.”

Niemal wszystkie skontrolowane jednostki przetwarzały dane w systemie informatycznym, a 93% z nich zastosowało wysoki poziom bezpieczeństwa. 22% podmiotów zastosowało całkowity outsourcing systemów informatycznych.

Zauważalny jest wzrost liczby decyzji administracyjnych dotyczących postępowań zainicjowanych skargą.

GODO skierował 12 zawiadomień o podejrzeniu popełnienia przestępstwa.

„W 2012 r. do Departamentu Orzecznictwa, Legislacji i Skarg Biura GIODO wpłynęły 1593 skargi dotyczące naruszenia przepisów o ochronie danych osobowych. W porównaniu z rokiem 2011, w którym wpłynęło 1271 skarg, liczba ta uległa zwiększeniu o 322”

Do GIODO wpłynęło:

  • 75 skarg dotyczących sektora sądów, prokuratury, policji i komorników,
  • 231 skarg dotyczyło sektora banków i innych instytucji finansowych,
  • 179 skarg dotyczyło sektora administracji publicznej.,
  • 227 skarg dotyczących Internetu,
  • 60 skarg dotyczących sektora marketingu,
  • 88 skarg dotyczących mieszkalnictwa,
  • 24 skargi dotyczących sektora ubezpieczeń społecznych, majątkowych i osobowych,
  • 91 skarg dotyczących działalności telekomunikacyjnej
  • 156 skarg dotyczących podmiotów sektora zatrudnienia
  • 462 innych skargi

„W 2012 r. Generalny Inspektor wydał ogółem 99 decyzji administracyjnych zawierających nałożony na strony nakaz do wykonania i podlegających egzekucji administracyjnej.”

„W roku 2012, administratorzy danych wypełniając nałożony przepisami ustawy o ochronie danych osobowych obowiązek, zgłosili do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych 21580 zbiorów, z czego podmioty z sektora administracji publicznej zgłosiły 14917 zbiorów, co stanowi 68 % ogólnej liczby zgłoszeń dokonanych w tym okresie, zaś podmioty z sektora prywatnego 6663 zbiory, co stanowi 32 % ogólniej liczby zgłoszonych zbiorów.”

„W okresie sprawozdawczym do ogólnokrajowego, jawnego rejestru zbiorów danych osobowych prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych zostało wpisanych 16267 zbiorów danych”

„rozpatrzonych zostało 4090 zgłoszeń aktualizacyjnych”

„Przełomowe z punktu widzenia przetwarzania danych osobowych w omawianych sektorze było stwierdzenie Naczelnego Sądu Administracyjnego zawarte w uzasadnieniu do wyroku z dnia 19 maja 2011 r. (sygn. akt: I OSK 1079/10), że cyt.: „(…) Internet często pozornie, a czasami faktycznie zapewnia anonimowość jego użytkownikom. Stanowi medialne forum, na którym prezentowane są treści naruszające ludzką godność, cześć i dobre imię. Dlatego też wszędzie tam gdzie numer IP pozwala pośrednio na identyfikację konkretnej osoby fizycznej powinien on być uznany za dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy o ochronie danych osobowych. Odmienna interpretacja byłaby sprzeczna z normami konstytucyjnymi zawartymi w art. 30 i 47 Konstytucji RP (…)”. Skład sędziowski w ww. wyroku jako pierwszy jednoznacznie stwierdził, że adres IP (Internet Protocol Address) jest daną osobową.”

Korzystając ze swoich uprawnień, Generalny Inspektor Ochrony Danych Osobowych skierował w 2012 roku szereg wystąpień do centralnych organów państwa i do innych podmiotów z sektora publicznego. Przykładowe wystąpienia:

  • Generalny Inspektor wystąpił do Ministra Zdrowia – jako podmiotu odpowiedzialnego za nadzór nad stosowaniem przepisów ustawy transplantacyjnej – o wydanie opinii, czy w jego ocenie przekazywanie przez ośrodek dawców szpiku danych osobowych potencjalnych dawców do innych, niż Centralny Rejestr, rejestrów potencjalnych dawców szpiku, było dopuszczalne w świetle przepisów ustawy transplantacyjnej, przy założeniu, iż uprzednio osoba, której dane dotyczą, wyraziła zgodę na ich przekazanie.
  • Generalny Inspektor wystąpił do Ministra Nauki i Szkolnictwa Wyższego wskazując, iż powinien on przekazywać uczelniom dokumentację, która zawierałaby pełny opis funkcjonalności systemu POL-on, a także przeprowadzał szkolenia dla użytkowników systemu POL-on, co będzie stanowiło realizację obowiązków nałożonych na administratora danych przez przepis art. 36 ust. 1 ustawy.
  • Prośba o zasygnalizowanie członkom samorządu lekarskiego konieczności respektowania prawa do prywatności oraz ochrony informacji związanych z pacjentem podczas wykonywania praktyk lekarskich, jak również organizowania obsługi pacjentów, w szczególności w sytuacjach rejestrowania pacjentów na wizyty lekarskie, wydawania im wyników badań, ustalania harmonogramu zabiegów w sanatoriach, wywoływania do gabinetów lekarskich lekarzy specjalistów.
  • Wystąpienie w sprawie wyeliminowania praktyki umieszczania przy łóżkach pacjentów kart gorączkowych.

Istotna cześć sprawozdania dotyczy opiniowania przez GIODO aktów prawnych, m.in. dotyczących europejskiej i krajowej reformy ochrony danych osobowych. Również informacje dotyczące współpracy GIODO z instytucjami międzynarodowymi, są interesujące, gdyż zwracają uwagę na najistotniejsze, europejskie problemy ochrony danych. GIODO zajmował się zagadnieniami dotyczącymi biometrii, monitoringu, sieci inteligentnych, projektu INDECT, profilowania, izb dziecka, izb wytrzeźwień, wymagań systemów informatycznych pozwalających na umawianie wizyt pacjentów, itd.

Podsumowanie może stanowić kolejny cytat ze sprawozdania:

„W podsumowaniu, na podstawie ustaleń z kontroli przeprowadzonych w 2012 r. należy stwierdzić, że w porównaniu z latami ubiegłymi osoby odpowiedzialne za przetwarzanie danych osobowych wykazały większą świadomość zagrożeń związanych z przetwarzaniem danych osobowych, a tym samym świadomość konieczności zapewnienia odpowiednich środków organizacyjnych i technicznych zapewniających ochronę tych danych. Konsekwencją było większe wyczulenie na prawidłowe dopełnienie obowiązków wynikających z przepisów o ochronie danych osobowych. Niestety, powyższe spostrzeżenia nie dotyczą wszystkich podmiotów, w których przeprowadzono kontrole. Zdarzały się bowiem kontrole, które wykazywały, że jednostki kontrolowane nie wykonywały większości obowiązków wynikających z przepisów o ochronie danych osobowych. Uchybienia te dotyczyły zarówno zastosowanych rozwiązań organizacyjnych, jak i aspektów technicznych.”

Mam wrażenie, że sprawozdanie GIODO za 2012 rok, jest wyjątkowo bogate w praktyczne informacje, przydatne osobom zajmującym się ochroną danych osobowych. Zachęcam do zapoznania się z pełną treścią sprawozdania.

 

Jarosław Żabówka

 

 

Sprawozdanie GIODO za 2011 rok.

Sprawozdania Generalnego Inspektora Ochrony Danych Osobowych stanowią doskonałe źródło wiedzy dla osób zajmujących się ochroną danych. Warto przyjrzeć się, na co zwracają uwagę kontrolerzy GIODO w 2011 roku.

Postanowiłem zamieścić poniżej moje, jak najbardziej subiektywne, zestawienie zagadnień i błędów Administratorów danych, wskazywanych w sprawozdaniu GIODO za 2011 rok.

Biorąc pod uwagę ilość realizowanych zadań, poziom zatrudnienia w Biurze GIODO wydaje się umiarkowany. Jeżeli spojrzeć na średnią płacę, też nie jest ona powalająca.

W 2011 roku przeprowadzono 199 kontroli w tym

  • 21 w podmiotach należących do administracji publicznej,
  • 10 kontroli przetwarzania danych w KSI,
  • 15 kontroli w podmiotach świadczących usługi doradztwa podatkowego i finansowego,
  • 5 kontroli podmiotach świadczących usługi w obszarze służby zdrowia,
  • 17 kontroli w sektorze agencji pracy,
  • 14 kontroli w podmiotach zajmujących się organizacją imprez masowych na stadionach,
  • 10 kontroli u operatorów publicznej sieci telekomunikacyjnej oraz dostawców publicznie dostępnych usług telekomunikacyjnych,
  • 12 przedszkoli,
  • 95 innych podmiotów

Ważniejsze problemy:

  • Zlecenie podmiotowi prywatnemu przetwarzania danych z fotoradarów i wypełniania kart rejestracyjnych. Przekazanie takich danych jest możliwe dla wykonywania czynności z zakresu obsługi administracyjno-technicznej, jednak nie czynności zastrzeżonych dla Straży Gminnej.
  • Przetwarzanie danych w zakresie nieadekwatnym do celu przetwarzania – np. przetwarzanie nr PESEL potencjalnych klientów w celu przedstawienia tym osobom oferty
  • przetwarzaniu danych osobowych z naruszeniem art. 22¹ Kodeksu pracy – osoby aplikujące na stanowiska kierownicze w podmiocie były poddawane badaniu którego celem było zbadanie roli i hierarchii postaw pracownika/kandydata w miejscu pracy.
  • Najczęściej występującymi uchybieniami stwierdzonymi podczas kontroli było niezapewnienie, aby systemy informatyczne służące do przetwarzania danych osobowych umożliwiały odnotowanie daty pierwszego wprowadzenia danych do systemu oraz identyfikatora użytkownika wprowadzającego te dane
  • Przechowywanie danych w plikach, do których dostęp mieli wszyscy użytkownicy.
  • Szpital nie sprawował kontroli nad przechowywaniem i zabezpieczeniem zaświadczeń lekarskich o czasowej niezdolności do pracy wystawionych pacjentom szpitala twierdząc, że obowiązek w tym zakresie spoczywa na lekarzach, którzy je wystawili.
  • Wskazano, że zwolnienie wskazane w art. 43 ust. 1 pkt 5 ustawy o ochronie danych osobowych (Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta.) dotyczy podmiotów które samodzielnie świadczą te usługi.
  • Niedopełnianie obowiązków informacyjnych oraz błędne klauzule zgody na przetwarzanie danych osobowych w agencjach pośrednictwa pracy. Brak informacji o odbiorcach danych.
  • Brak umów powierzenia z dostawcą usług hostingowych.
  • Nieadekwatny zakres danych zbieranych od kandydatów do pracy (informacje o niekaralności dla pracowników zatrudnionych na stanowisku montera lub spawacza).
  • Niezabezpieczanie za pomocą środków ochrony kryptograficznej, danych osobowych, podczas ich przesyłania poprzez sieć publiczną.
  • Błędy w prowadzonej przez administratorów danych dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, polegające na niezawarciu w niej wszystkich elementów określonych w § 4 i § 5 rozporządzenia.
  • Niespełnianie przez systemy informatyczne wymogów nakładanych przez § 7 rozporządzenia.
  • Niestosowanie środków ochrony kryptograficznej podczas przesyłania danych przez sieć publiczną.
  • Braki w prowadzonej dokumentacji, w tym brak opisu struktury zbiorów danych.
  • Zbyt długie przechowywanie danych retencyjnych, ze względu na przyjętą politykę tworzenia kopii bezpieczeństwa.
  • Na karcie przedszkolaka bywają przetwarzane dane nieadekwatne w stosunku do celu przetwarzania.
  • Zgoda na objęcie dziecka opieką medyczną nie może być rozumiana jako zgoda na przetwarzanie danych o jego stanie zdrowia.
  • „(…)GIODO wydał także decyzję nakazującą Narodowemu Funduszowi Zdrowia udostępnienie oddziałowi kardiochirurgii uniwersytetu medycznego, danych osobowych w zakresie daty i przyczyny hospitalizacji po wypisie z tego oddziału (zwłaszcza wszystkich postaci choroby wieńcowej, udaru mózgu, migotania przedsionków, cukrzycy) oraz wykonania procedur rewaskularyzacji przezskórnej (z lub bez implantacji stentu) oraz pomostowania aortalno-wieńcowego dotyczących powtórnych hospitalizacji chorych, osób uprzednio leczonych w ww. oddziale.
    W uzasadnieniu tego rozstrzygnięcia organ stwierdził, iż okoliczność, że art. 188 ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych wskazywał cele, w jakich NFZ mógł przetwarzać dane osobowe ubezpieczonych, nie wykluczała legalności udostępnienia danych w celu prowadzenia badań naukowych w sytuacji, gdy publikowanie wyników badań naukowych nastąpi w sposób uniemożliwiający identyfikację osób, których dane zostaną udostępnione, bowiem przesłanką legalizującą takie udostępnienie będzie art. 27 ust. 2 pkt 9 ustawy o ochronie danych osobowych.”
  • Brak aktualizacji przez baki informacji w bazie Biura Informacji Kredytowej S.A.
  • Znamienne jest zdanie – „Analizując wyniki kontroli przeprowadzonych w 2011 roku należy stwierdzić, że w większości skontrolowanych podmiotów wystąpiły nieprawidłowości w procesie przetwarzania danych osobowych. Uchybienia te dotyczyły zarówno zastosowanych rozwiązań organizacyjnych, jak i aspektów technicznych.”
  • „(…)stwierdzenie Naczelnego Sądu Administracyjnego zawarte w uzasadnieniu do wyroku z dnia 19 maja 2011 r.83, że cyt.: „(…) Internet często pozornie, a czasami faktycznie zapewnia anonimowość jego użytkownikom. Stanowi medialne forum, na którym prezentowane są treści naruszające ludzką godność, cześć i dobre imię. Dlatego też wszędzie tam gdzie numer IP pozwala pośrednio na identyfikację konkretnej osoby fizycznej powinien on być uznany za dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy o ochronie danych osobowych. Odmienna interpretacja byłaby sprzeczna z normami konstytucyjnymi zawartymi w art. 30 i 47 Konstytucji RP (…)”. Skład sędziowski w ww. wyroku jako pierwszy jednoznacznie stwierdził, że adres IP (Internet Protocol Address) jest daną osobową.
  • Zbierania zgody na przetwarzanie danych osobowych powinno być poprzedzone dopełnieniem obowiązku informacyjnego. Klauzule obowiązku informacyjnego nie powinny być łączone ze zgodą.
  • Żądanie przesłania skanu dowodu tożsamości od osoby chcącej usunąć swoje konto w portalu randkowym.
  • Pomimo wyrażenia sprzeciwu przeciwko przetwarzaniu danych w celu marketingowym, do osób były nadal kierowane SMS-y informujące o możliwości przedłużenia umowy czy skorzystania z nowej oferty. Zdarzyło się również dołączanie oferty do przesyłanej faktury VAT.
  • Udostępnianie danych osobowych mieszkańców osobom nieupoważnionym. W tym danych wrażliwych, dotyczących stanu zdrowia, wyroków lub decyzji administracyjnych.
  • Przekazywanie przez operatora telekomunikacyjnego numerów zastrzeżonych podmiotom trzecim.
  • W sprawozdaniu umieszczono dużą ilość informacji o nakazaniu przez GIODO udostępnienia danych osobowych. Może to świadczyć o niejasności przepisów i wynikających z tego problemom administratorów danych, w tym administratorom ze sfery publicznej w ocenie, czy są zobowiązani do udostępnienia danych, czy do ich zachowania w tajemnicy.
  • Przekazywanie pracodawcom przez związki zawodowe listy wszystkich pracowników podlegających ochronie związku.
  • GIODO nakazał usunięcie adresu poczty elektronicznej, zawierającego imię i nazwisko osoby, która nie była już pracownikiem spółki. Pomimo, że adres ten był wykorzystywany jedynie do odbierania wiadomości.
  • Niedopełnianie przez administratorów obowiązku informacyjnego wynikającego z art. 24, art. 25 i art. 33 ustawy o ochronie danych osobowych.

W roku 2011 administratorzy danych wypełniając nałożony przepisami ustawy o ochronie danych osobowych obowiązek, zgłosili do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych 15643 zbiory, z czego podmioty z sektora administracji publicznej zgłosiły 10690 zbiorów, co stanowi 68 % ogólnej liczby zgłoszeń dokonanych w tym okresie, zaś podmioty z sektora prywatnego 4953 zbiory, co stanowi 32 % ogólniej liczby zgłoszonych zbiorów.

 

 

 

 

 

 

 

Przetwarzanie danych osobowych w marketingu. Dysonans poznawczy, czy zła wola?

Niezwykle często obserwujemy przedziwną różnicę w opiniach osoby na temat ochrony danych osobowych w zależności od tego czy mówimy o naruszeniu jej prywatności, czy też o konieczności podjęcia działań niezbędnych dla ochrony własnej prywatności.

Powszechne oburzenie spowodowało ujawnienie skali inwigilacji prowadzonej przez amerykańskie agencje. Dlaczego Minister Spraw Zagranicznych nic z tym nie zrobi? Co na to GIODO? Nie spotkałem osoby, która godziłaby się na to, by ktoś czytał jej maile i podsłuchiwał rozmowy. Rozmawiamy o potwornych ilościach danych zbieranych przez portale społecznościowe. Boimy się korzystać z kart zbliżeniowych, metek RFID, kamer w przymierzalni, itd.

Powiedzmy sobie jednak szczerze, ile z tych narzekających osób zrezygnuje z podania swojego adresu e-mail, jeżeli w zamian uzyska zniżkę w sklepie? Ile z tych osób umieściło w sieci zdjęcie swojego dziecka? Ile zablokowało możliwość zbliżeniowego płacenia kartą?

A ilu zrezygnowało z wejścia na stronę internetową, mimo że przeglądarka ostrzegała o nieaktualnym certyfikacie? O czym?! A co to jest certyfikat?! No dobrze, nie wymagajmy zbyt wiele…

Ciągle oczekujemy, że ktoś zadba o naszą prywatność. Że przyjdzie GIODO i zrobi z nimi porządek. Ale niech nam nie zawracają głowy jakimiś klauzulami informacyjnymi! Nie chcemy podejmować decyzji, czy zgadzamy się na przetwarzanie naszych danych! Niech ktoś zdecyduje za nas!

Niestety, to nie działa w ten sposób. GIODO nie jest szeryfem, który zaprowadzi porządek i sam pokona wszystkich bandziorów. O naszą prywatność musimy zadbać sami. Jak na razie, każdy, kto nie chce, aby jego dane były gdzieś wykorzystywane, kto nie chce, aby ktoś dokonywał jakichkolwiek operacji, podszywając się pod jego tożsamość – musi samodzielnie zadbać o swoje interesy. Każdy musi poznać podstawy zasad ochrony prywatności, dowiedzieć się, jakie prawa mu przysługują i jak je egzekwować. A gdy z tym egzekwowaniem będą jakieś problemy – GIODO zapewne pomoże.

Bardzo ciekawe jest obserwowanie postaw osób zajmujących się zawodowo przetwarzaniem danych. Czy pracodawca instalujący kamerę w toalecie narusza prywatność swoich pracowników? Jego zdaniem oczywiście nie. W swojej ocenie, jest on pozytywnym bohaterem, działającym na korzyść przedsiębiorstwa. Przecież należy potępiać obiboków, ukrywających się w ubikacji.

Czy rozsyłający spam marketingowiec wie, że działa niezgodnie z prawem? Tak, ale nie ma z tego powodu poczucia winy. Po pierwsze, prawo jest złe, bzdurne i nie działa. Amerykanie i tak zbierają te dane. A ustawodawca działa tylko po to by utrudnić nam życie… Po drugie, marketingowiec działa przecież dla dobra osób, które otrzymają spam – chodzi o to, by żadna ciekawa oferta ich nie ominęła. Po trzecie, on też dostaje spam i w ogóle mu to nie przeszkadza. Po czwarte, ci którzy nie chcą otrzymywać spamu, są niedouczeni, bo powinni filtry w przeglądarce skonfigurować…

Co pomyśli o takiej argumentacji osoba, nie zajmująca się na co dzień rozsyłaniem spamu? Na pierwszy rzut oka, argumenty są takie, że aż trudno z nimi polemizować. Czy oni naprawdę w to wierzą? Zrozumienie takich postaw może nam ułatwić teoria dysonansu poznawczego.

Jestem wewnętrznie przekonany, że ludzie naruszający naszą prywatność, nie muszą działać ze złych pobudek. Ich celem nie jest wyrządzenie nam krzywdy. Mają do wykonania określone zadanie, a nie znają innych narzędzi do jego realizacji, niż te, którą godzą w naszą prywatność. Nie dopuszczając do swojej świadomości informacji o wpływie ich działań na wolność innych osób i na ich prawo do decydowania o swojej prywatności, obarczają winą obowiązujące prawo lub wręcz osoby, których dobra naruszają! Klasyczny przypadek obwiniania ofiary…

Racjonalizacja postępowania wymaga, aby w jakiś sposób przekonać siebie, że podejmowanie działanie jest sensowne. Czy nie ma lepszego sposobu przekonania klientów by kupili określony produkt, niż rozsyłanie milionów maili? Marketingowcy nie będą brali pod uwagę statystyk skuteczności. Przecież oni działają dla dobra otrzymujących spam…

Być może szansa zwiększenia skuteczności działania ustawy o ochronie danych osobowych kryje się nie w podniesieniu jej represyjności, a w wykorzystaniu technik poznanych przy okazji badań nad zjawiskiem dysonansu poznawczego?

Ciekawy jest jeszcze jeden aspekt zagadnienia. Osoba, która nierozważnie zgodziła się na przetwarzanie swoich danych osobowych, będzie twierdziła, że tak naprawdę, to jej w ogóle na tym nie zależy. Że jej dane są nieistotne i tak naprawdę, to nie ma nic do ukrycia.

 

Wikipedia – Dysonans poznawczy

Wikipedia – Teoria spostrzegania siebie

 

Informowanie klienta o fizycznej lokalizacji przetwarzanych w chmurze danych.

Czy przetwarzając dane w chmurze powinniśmy żądać od dostawcy informacji w jakiej lokalizacji przetwarzane są nasze dane?

Mamy tu do czynienia z pewną sprzecznością. Korzystający z usług dostarczanych w modelu cloud computing powinni postrzegać chmurę jako zasób nieograniczony, dostępny z dowolnej lokalizacji, niezależny od systemu działającego po stronie klienta. Z drugiej strony, klient żąda podania fizycznej lokalizacji w której przetwarzane są jego dane.

Część dostawców sytuacji protestuje: „Przecież to jest chmura i w jej naturze leży to, że dane mogą być przenoszone pomiędzy lokalizacjami w sposób przeźroczysty dla klienta!”, „Ze względów bezpieczeństwa nie możemy powiedzieć gdzie przetwarzamy dane.”

Czy podanie informacji o lokalizacji centrum przetwarzania może w jakikolwiek sposób obniżyć bezpieczeństwo danych? A może chodzi o to, żeby klient nie był w stanie zweryfikować, że deklarowane zabezpieczenia w rzeczywistości nie istnieją? A może w ogóle nie istnieje centrum przetwarzania, a dane przechowujemy na dysku laptopa u szwagra na strychu? Dostawców twierdzących, że ze względów bezpieczeństwa nie udzielają informacji o miejscu przetwarzania danych skreślam od razu.

Prawdą jest jednak, że możliwość przenoszenia danych pomiędzy lokalizacjami jest charakterystyczna dla chmury. Nie zapominajmy jednak, że to do klienta należy decyzja jak ma wyglądać usługa którą kupuje. Nie możemy przedkładać ideologii chmury nad rzeczywiste oczekiwania klienta. Jeżeli oczekuje on, że będzie miał możliwość weryfikacji fizycznych zabezpieczeń w każdej z deklarowanych przez dostawcę lokalizacji, to dostawca powinien mu to umożliwić.

Zaraz, zaraz… Czy mamy wpuszczać każdego potencjalnego klienta do naszego centrum przetwarzania? Na pewno nie każdego. Ale być może, jeżeli umożliwimy to bardziej znaczącym klientom, pozostałym wystarczy nasza renoma. A jeżeli nie wystarczy? Myślę, że centra przetwarzania muszą znaleźć rozwiązania, pozwalające klientom zweryfikować stosowane zabezpieczenia fizyczne, bez obniżania poziomu bezpieczeństwa. Z mojej strony podpowiedziałbym oparcie się o zaufanie, którym klienci mogą obdarzyć trzecią stronę – dostawcę certyfikatu potwierdzającego spełnianie wymogów normy PN 27001.

Pozostaje jam jeszcze odpowiedzieć na pytanie, czy klientowi w ogóle potrzebna jest informacja o fizycznej lokalizacji jego danych. Spójrzmy najpierw na dane osobowe. To, co klient musi wiedzieć na pewno, to jest czy dane nie są przekazywane do państwa trzeciego (poza Europejski Obszar Gospodarczy). Klient powinien również posiadać informację na temat podpowierzania przetwarzania danych kolejnym podmiotom. W jaki sposób konstruować umowę powierzenia przetwarzania danych osobowych, napiszę innym razem.

Zaleca się, aby klient miał możliwość zweryfikowania stosowanych zabezpieczeń. Oczywiście, jak pisałem wcześniej, nie zawsze jest to możliwe. Decyzja musi być jednak pozostawiona klientowi i zależeć będzie m.in. od jego „apetytu na ryzyko”. Jeden klient zaufa deklaracjom i renomie dostawcy, a inny będzie chciał zweryfikować, czy centrum przetwarzania nie leży przypadkiem na terenach zalewowych.

Opisywany jest wypadek odłączenia przez FBI całego centrum przetwarzania, ponieważ należało zabezpieczyć dane jakiegoś przestępcy, a dostawca nie był w stanie wystarczająco szybko powiedzieć gdzie znajdują się te dane… Czasami może się opłacać wybrać dostawcę, który zarządza systemem w taki sposób, że zawsze wie, w gdzie znajdują się dane konkretnego klienta.

Ostatecznie to klient podejmuje decyzję, czy zaakceptować ryzyka związane z korzystaniem z usługi hostingu czy też usługi w modelu cloud computing. Problemem niejednokrotnie okazuje się brak świadomości istnienia tych ryzyk. Pewną pomocą mogą stanowić dokumenty:

 

 

 

Chmura obliczeniowa – Panacea czy Pandora?

Czy chmura obliczeniowa jest panaceum na wszelkie problemy bezpieczeństwa? A może jest współczesną puszką Pandory?

Zachęcamy do zapoznania się z tekstem „Wybrane problemy przetwarzania danych osobowych w chmurze obliczeniowej” opublikowanym w wydanej przez Krajowe Stowarzyszenie Ochrony Informacji Niejawnych książce z materiałami pokongresowymi „IX Kongresu Ochrony Informacji Niejawnych, Biznesowych i Danych Osobowych”

Z tekstu dowiecie się Państwo m.in. jakie warunki należy spełnić, by zgodnie z prawem i zapewniając odpowiedni poziom bezpieczeństwa przetwarzać dane osobowe w chmurze oraz jak skonstruować umowę powierzenia na potrzeby korzystania z chmury lub hostingu. Materiał został opracowany na podstawie doświadczeń firmy proInfoSec.