PKO BP, czyli do 3 razy sztuka?
maj 7, 2009 Przykłady naruszeń
Administrator Danych Osobowych ma obowiązek dołożyć wszelkich starań w celu zabezpieczenia procesu przetwarzania danych osobowych. Jednak nie zawsze i nie wszędzie proces przetwarzania tych danych jest poprawnie wykonywany. Dobrym przykładem jest bank PKO BP o którym wspominałem jakiś czas temu we wpisie Monitory tyłem do okna? .
Myślałem (o ja głupi), że raz zwrócona uwaga załatwi sprawe do końca. Tym czasem myliłem się…
Tags: Kurier Poranny, pko bp, uodo
Myśleć idioci, myśleć…
mar 17, 2009 Przykłady naruszeń
Przepraszam wszytskich za tytuł, ale nie mogłem się powstrzymać.
Byłem sobie wczoraj na szkoleniu firmowanym przez Allegro. Pominę przegotowanie samego szkolenia, jego przeprowadzenie ale to co mnie rozwaliło, to…
Tags: administracja, kara, naruszenie, udostępnienie, uodo
Jak można złamać coś, co nie istnieje
paź 6, 2008 Bez kategorii
Read the rest of this entry »
Nieoceniony VaGla znowu podrzucił bardzo ciekawy temat. W artykule “Nie można przełamać czegoś, co nie istnieje” – polski wyrok w sprawie SQL Injection poruszył bardzo ciekawy temat (który z resztą już wcześniej pilotował) dotyczący wykrycia luk w systemie przetwarzającym dane osobowe.
Jakie dane może uzyskać pracodawca?
paź 1, 2008 Bez kategorii
Na GL pojawił się wątek na temat pytan, których w żaden sposób nie można zadać rekrutowanemu pracownikowi. Temat niby prosty, ale okazuje się, że nie każdy rekrutujący wie, do czego ma prawo, a do czego nei ma prawa. Read the rest of this entry »
Ponieważ problem zaczepia o dane osobowe postanowiłem trochę się powymądrzać.
Tags: dane osobowe, kodeks pracy, rekrutacja, uodo
Powiązane przepisy
wrz 20, 2008 Bez kategorii
Dwa dni spędziłem w StoYcy, stąd cisza.
Dzisiaj wrzuciłem stronę Powiązane przepisy, na której będą pojawiać się przepisy, które są powiązane z zagadnieniem ochrony danych osobowych
Artykuł do poduszki
wrz 17, 2008 Bez kategorii
Przechadzając się po wielkim G znalazłem artykuł Wojtka Dworakowskiego (są to materiały ze szkolenia PLOUGu). Link
Wart zapoznania przez osoby zajmujące się projektowaniem baz opartych o produkty Oracla.
Trochę techniki i prawa, przystępny język.
Tags: bazy danych, materiały szkoleniowe, uodo
Czy dane do listy mailingowej, podlegają UODO?
wrz 16, 2008 Bez kategorii
Podczas czatu z Generalnym Inspektorem Ochrony Danych Osobowych, padło pytanie dotyczące zbierania danych do listy mailingowej.
Pytanie: Czy ochronie danych osobowych może podlegać lista mailingowa utworzona przez administratora strony internetowej do rozsyłania newslettera? Dodam, że do jej utworzenia niezbędne jest podanie adresu mailowego, imienia i nazwiska.
Odpowiedź: Adres mailowy może stanowić daną osobową, a jeśli tak, to posiadacz zbioru takich danych jest zobowiązany do zachowania zasad ochrony danych osobowych.
Z grubsza jest w porządku. Zakładamy, ze w zbiorze danych mogą znaleźć się adresy mailowe spełniajace kryteria bycia danymi osobowymi (przez swoja budowę pozwalają na identyfikację osoby, bez użycia nadmiernych kosztów i działań). Wiec, zgodnie z:
Art. 2.
1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane
w zbiorach danych.
2. Ustawę stosuje się do przetwarzania danych osobowych:
1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,
2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.
3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w
szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
Art. 3.
1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.
2. Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych – które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.
Ale furtkę daje nam:
Art. 3a
1. Ustawy nie stosuje się do:
1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, (…)
Coż to oznacza? Jeżeli stronę prowadzi osobwa fizyczna (prywatna) i nie posiada działalności gospodarczej oraz nie czerpie korzyści z prowadzenia serwisu, to zbiór nie podlega ustawie o ochronie danych osobowych. Można wtedy przyjąć, że przetwarzanie danych następuje do celów osobistych – stworzylismy grupę wirtualnych znajomych, którym wysylamy maile z informacjami.
Ale… jeżeli administraror (twórca strony) umieści na niej jakikolwiek płatny link lub banner, lub będzie czerpał dochód z wysyłanych maili, podpada wtedy pod UODO.
Czy numer Gadu-Gadu jest daną osobową?
wrz 15, 2008 Bez kategorii
Kolejne pytanie z cyklu: Czy XXX jest daną osobową? :)
No i od razu pada odpowiedź: Oczywiście, że nie.
No ale chwilka na zastanowienie i przypomnienie sobie definicji z ustawy:
Art. 6.
1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
No i podejmujemy działanie, które nie wymaga wielkiego wysiłku i wybieramy opcję Sprawdź, kto z Twoich znajomych z GG/Skype jest na nasza klasa.pl.
Doszło do ustalenia tożsamości i identyfikacji osób, które znasz tylko z numeru GG?
Pozostawiam do przemyslenia :)
Jakie są skutki prawne? Skoro możemy ustalić tożsamość na podstawie numeru GG i zbieramy te numery w celach marketingowych, to mamy obowiazek zgłoszenie zbiorów do GIODO.
Pekao S.A. naprawia swój wizerunek
wrz 14, 2008 Bez kategorii
Na stronach ComputerWorld ukazał się artykuł Pekao SA pokazuje, że dba o dane osobowe.
Jak przeczytałem tytuł, to znalazłem sięw siódmym niebie. Nareszcie ktoś pomyślał o edukacji pracowników.
Wygląda na to, że Bank Pekao SA stara się wymazać złe wrażenie, jakie pozostawiła ostatnia afera z wyciekiem danych osobowych ze strony internetowej banku. Od września w banku rozpocznie się cykl szkoleń z zakresu ochrony danych osobowych i polityki bezpieczeństwa banku. W pierwszej kolejności szkolenie przejdą pracownicy Pionu Zasobów Ludzkich, a sam kurs obejmie m.in. procedury zabezpieczania danych kandydatów na pracowników.
Brawo, brawo, bis. Ale czy trzeba było dopiero takiego wycieku, aby ktoś zastanowił się nad tym co robią (nie przeszkoleni?) pracownicy?
W szkoleniu weźmie udział około 5 000 osób, które jeszcze nie odbyli tego typu kursu, a zakresem obejmie ono przepisy z tematyki ochrony danych osobowych oraz przybliży wewnętrzne procedury banku, dotyczące m.in. bezpieczeństwa danych klientów, jak i kandydatów na pracowników. Kurs w formie e-learningu zawiera podstawowe definicje, przepisy prawa i obowiązki pracownika, administrującego danymi osobowymi.
Kurs zakończy się egzaminem, który zdać będzie musiał każdy uczestnik.
Cudownie – jest coraz lepiej. Nie dość, że użyte zostaną nowoczesne techniki szkoleń (e-learning), które bardzo dobrze sprawdzają sie w dużych firmach o rozproszonej strukturze, to jeszcze pracownicy będą musieli zdać egzamin. Dość opierniczania się. :)
Na prawde byłem podbudowany działaniem banku. Szkolenia, e-learning, egzaminy, dopieszczenie bezpieczeństwa.
Ale potem w artykule zacytowana została pani Magdalena Załubska-Król, zastępca osławionego rzecznika prasowego banku.
Magdalena Załubska-Król, Zastępca Rzecznika Prasowego ds. Produktowych w Banku Pekao SA przyznaje, że szkolenie jest w pewnym sensie rodzajem prewencji przeciw wyciekowi danych w przyszłości. – “Planowana na wrzesień specjalna akcja szkoleniowa ma na celu przypomnienie obowiązujących w ustawie i w banku zasad ochrony danych oraz upewnienie się, ze wszyscy nowi pracownicy zapoznają się z tymi przepisami.”
I po tym stwierdzeniu oszalałem z zachwytu. Nie dość, że szkolą, to jeszcze jest to szkolenie przypominające. Czyli, pracownicy już wcześniej byli szkoleni w zakresie ochrony danych osobowych. Mam 3 znajomych pracujących w tym banku: 2 osoby w Białymstoku, 1 w Warszawie. I żeby było jasne – pracownicy PeKaO S.A., a nie wchłoniętego właśnie banku (no właśnie jakiego, bo zapomniałem).
Wykonałem 3 telefony: żaden z moich znajomych, pracujących z danymi osobowymi klientów nie był szkolony z zakresu ochrony danych osobowych.
No i jak? Pracownicy byli szkoleni i jest to szkolenie przypominające, czy pracownicy są dopiero szkoleni, a p. Załubska-Król robi robotę rzecznika, broniąc bank?
Tak czy inaczej – dobrze, że coś się dzieje.
Skąd ta niechciana poczta w mojej darmowej skrzynce?
wrz 9, 2008 Bez kategorii
Czasem dostaję pytania, czy reklamy przychodzące na adrmowe skrzynki a rozsyłane przez dostawców są zgodne z ustawa o ochronie danych osobowych.
Tak szczerze, to uodo nie reguluje wysyłki reklam, a tylko warunki ochrony i przetwarzania danych osobowych. Bardziej z tym tematem powiązana jest ustawa o świadczeniu usług drogą elektroniczna. Ale możemy spojrzeć na ten problem jedynie przy pomocy zdrowego rozsądku.
No dobrze, ale czy ktoś z pytających pamięta co zaznaczał podczas zakładania konta na np. WP?
No to odświeżę pamięć.
Jak widać na załączonym obrazku, kolor żółty oznacza pola wymagalne, czyli takie, które musimy zaznaczyć by móc założyć darmowe konto na WP. Co tam mamy?
Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingowych przez Wirtualną Polskę S.A. z siedzibą w Gdańsku przy ul. Traugutta 115 C, w szczególności na otrzymywanie informacji handlowych pochodzących od Wirtualnej Polski S.A. oraz innych osób.
Mamy ni mniej, ni więcej zgodę na przetwarzanie podanych danych przez właściciela WP i bliżej niesprecyzowane inne osoby.
Dalej mamy zgodę na śledzenia naszych poczynań i przetwarzanie naszej aktywności w sieci (cookies)
Wyrażam zgodę na przetwarzanie danych dotyczących korzystania przeze mnie z serwisów, usług i funkcjonalności świadczonych przez Wirtualną Polskę S.A. w celach statystycznych i marketingowych przez Wirtualną Polskę S.A. z siedzibą w Gdańsku przy ul. Traugutta 115 C, w szczególności na otrzymywanie informacji handlowych pochodzących od Wirtualnej Polski S.A. oraz innych osób.
W tym punkcie odkryliśmy się całowicie :) i pozwoliliśmy na permanetną inwigilację naszych działań w serwisach WP, oraz na wykorzystywanie tych wiadomości w celach marketngowych (reklama) przez właściciela WP i inne osoby.
Celowo cały czas wspominam o innych osobach, ponieważ zapis ten pozwala na dowolne udostępnianie naszych danych.
Czy jest to legalne? A czemu nie? Przecież sami się zgodziliśmy.
No tak, ale nie mieliśmy wyjścia, bo inaczej nie założylibyśmy konta. :)
Zakładając darmowe konto akceptujemy warunki postawione przez administratora serwisu. Jeżeli nie zgadzamy się z tymi warunkami, pozostaje nam:
a. znaleźć innego darmowego dostawcę kont, którego warunki zaakceptujemy,
b. założyć sobie płatną skrzynkę pocztową.
No ale przecież, dlaczego te wredne WP chce nam podsyłać te całe rekalmy?
Bo z czegoś musi żyć. ;) W dzisiejszym świecie nie ma nic za darmo. Jeżeli operator wydaje pieniądze swoich akcjonariuszy, to musi mieć jakieś podstawy ekonomiczne i mieć z tego zysk. Czyli operator utrzymuje za darmo nasze konta, czerpiąć zyski z kampanii reklamowych. Proste.
Tags: mail, spam, uodo, Wirtualna Polska, zgoda