iSecure

Mobilesec - darmowa konferencja poświęcona bezpieczeństwu urządzeń i aplikacji mobilnych

Michał — Mon, 09 Jan 2012 16:09:37 +0000

Jak podkreśla wielu ekspertów i analityków, przyszłość technologii informatycznych należy do aplikacji i urządzeń mobilnych. Statystyki sprzedaży smartfonów potwierdzają te oczekiwania. W samym roku 2011 r. 33% sprzedanych telefonów to właśnie smartfony, a do końca 2014 r. ma to być nawet aż 55%. Nikt nie robił jeszcze statystyk, ile tego typu urządzeń kupowały przedsiębiorstwa jako smartfony firmowe. Faktem jest, że w dzisiejszych czasach telefon z Androidem, iOS czy Windows Mobile coraz częściej wykorzystywany jest do pracy. Za jego pomocą można obierać maile, czytać firmowe dokumenty, czy nawet łączyć się zdalnie z zasobami znajdującymi się na firmowych serwerach. Przy pomocy smartfonów możemy korzystać z bankowości elektronicznej (swoje aplikacje mobilne mają m.in. Bank Zachodni WBK, Raiffeisen Bank Polska, mBank), a hasła do kont bankowych także często przechowujemy w… smartfonach, np. przy pomocy aplikacji aWallet Password Manager. Jeszcze parę lat temu wszystko to brzmiałoby trochę jak fragmenty scenariusza takich filmów jak Matrix czy Blade Runner. Dzisiaj to jednak rzeczywistość, którą doskonale wykorzystują także złodzieje i inni przestępcy.

Gdy spojrzymy na kilka komunikatów prasowych zamieszczanych w branżowych portalach, co chwila widać informacje dotyczące coraz to nowych zagrożeń dla smartfonów (zwłaszcza tych wyposażonych w system Android). Także prognozy na 2012 r. nie napawają pod tym względem optymizmem, co podkreślają m.in. pracownicy laboratorium firmy ESET. Z ich badań wynika, że w najbliższym czasie coraz więcej zagrożeń dotyczyć będzie użytkowników smartfonów, z uwagi właśnie na wykorzystywanie tych urządzeń zarówno w pracy jak i w życiu prywatnym.

Na to wszystko nakłada się od strony prawno – biznesowej jeszcze jeden ciekawy problem, a mianowicie jak traktować smartfony firmowe, gdy wykorzystuje się je do przetwarzania danych osobowych. Próżno szukać wskazówek w tym zakresie w aktualnie obowiązujących przepisach, w tym w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Brzmi interesująco? Właśnie dlatego postanowiliśmy zorganizować na ten temat bezpłatną konferencję Mobilesec - Bezpieczeństwo urządzeń i aplikacji mobilnych. Już 28 lutego w Warszawie będziemy opowiadali m.in. o:

Aplikacjach i urządzeniach mobilnych w świetle przepisów ustawy o ochronie danych osobowych
Zarządzaniu ryzykiem w obszarze bezpieczeństwa rozwiązań mobilnych. Zagrożenia, szanse, najlepsze praktyki
Zagrożeniach związanych ze złośliwym oprogramowaniem w kontekście platform mobilnych
Zarządzaniu efektywnością i ciągłością pracy firmy z wykorzystaniem technologii mobilnej
A także o tym na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS

Zapraszamy do zapoznania się ze szczegółami na stronie konferencji i do rejestracji.

O wyciekach danych osobowych

Michał — Fri, 02 Dec 2011 16:01:51 +0000

Tak naprawdę ciężko jest sprawdzić czy z danej firmy wyciekły dane osobowe. Najczęściej informacje o wycieku ogłasza albo sama firma albo dowiadujemy się o tym z mediów. Jeżeli firma przykłada wagę do kwestii związanych z prywatnością to dobrą praktyką byłoby niewątpliwie poinformowanie osób, których dane wyciekły o takim fakcie, a także wskazaniu co taka osoba powinna zrobić np. zmienić hasło dostępowe, zastrzec kartę kredytową etc.

W przypadku wycieku danych osobowych (ale też w ogóle w zakresie ochrony dotyczących nas danych osobowych) zawsze możemy skorzystać z praw wskazanych w art. 32 ust. 1 ustawy o ochronie danych osobowych, wśród których znajdują się m.in. takie uprawnienia jak: możliwość uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w zbiorze danych, możliwość żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane. Zawsze też istnieje możliwość złożenia skargi do Generalnego Inspektora Ochrony Danych Osobowych. Szczegóły w tym zakresie można znaleźć na stronie GIODO.

Ponadto, jeżeli będziemy w stanie wykazać, że wyciek danych przełożył się na naruszenie naszych dóbr osobistych, zawsze też postaje możliwość dochodzenia odszkodowania na drodze cywilnoprawnej.

Z punktu widzenia internauty ciężko obronić się przed wyciekiem danych osobowych. Kwestie związane z bezpieczeństwem danych to domena firmy, która te dane pozyskiwała (jest w stosunku do nich administratorem danych). Na pewno jednak można stosować się do jednej prostej zasady – stosować różne hasła do różnych serwisów www, gdzie tworzymy sobie profil lub zakładamy konto. Hasło takie nie powinno być łatwe do złamania, dobrze by było, żeby składało się ono z min. 8 znaków (kombinacja wielkich i małych liter, znaków specjalnych lub cyfr).

Gdy nastąpił wyciek danych

Michał — Mon, 05 Sep 2011 15:05:18 +0000

W przypadku wycieku danych osobowych (ale też w ogóle w zakresie ochrony dotyczących nas danych osobowych) zawsze możemy skorzystać z praw wskazanych w art. 32 ust. 1 ustawy o ochronie danych osobowych, wśród których znajdują się m.in. takie uprawnienia jak: możliwość uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w zbiorze danych, możliwość żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane. Zawsze też istnieje możliwość złożenia skargi do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Szczegóły w tym zakresie można znaleźć na stronie GIODO.

Klauzule niedozwolone w sklepach internetowych

Michał — Tue, 12 Jul 2011 09:09:03 +0000

Pisząc regulamin dla sklepu internetowego należy mieć na względzie kilka podstawowych zasad. Przede wszystkim należy sięgnąć po parę ustaw, tak by nasz dokument był zgodny z obowiązującym w Polsce prawem. Po kolei zatem należy zapoznać się z:

Kodeksem cywilnym
Ustawą z dnia 2 marca 2000 r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny
Ustawą z dnia 27 lipca 2002 r. o szczególnych warunkach sprzedaży konsumenckiej oraz o zmianie Kodeksu cywilnego
Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną
Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

Zwłaszcza drugi z wymienionych aktów prawnych zawiera bardzo wiele przepisów, które należy uwzględnić w regulaminie np. kwestie związane z możliwością odstąpieniem od umowy w ciągu 10 dni, zasady dotyczące informowania konsumentów o kosztach i terminach dostawy zamówionego produktu etc.

Najczęstszym błędem popełnianym przez przedsiębiorców prowadzących sklepy internetowe jest zamieszczanie w regulaminach klauzul niedozwolonych. Rejestr takich klauzul prowadzony jest przez Urząd Ochrony Konkurencji i Konsumentów, ma on charakter jawny, a zatem nic nie stoi na przeszkodzie, by przed przystąpieniem do opracowywania stosownego dokumentu zapoznać się z materiałami dostępnymi na stronie UOKiK (oczywiście sam rejestr to lektura dość przerażająca, ponieważ na dzień pisania tej notki znajduje się tam 2426 klauzul uznanych za niedozwolone). Poniżej chciałbym wymienić kilka z nich, które niestety dość często pojawiają się w regulaminach sklepów:

„Sądem właściwym dla rozpatrywania sporów wynikających z umowy sprzedaży jest sąd właściwy dla siedziby sklepu”
„Mimo wszelkich starań sklep zastrzega sobie możliwość błędów w opisie produktów. Zdjęcia produktów są jedynie przykładowe”
„Zmienione zapisy Regulaminu są wiążące od momentu ich opublikowania w witrynie sklepu”
„Opóźnienia wynikające z działania Poczty Polskiej lub innego przewoźnika nie obciążają w żaden sposób sklepu”

Ogólne zasady dotyczące klauzul niedozwolonych, wraz ze wskazaniem otwartego katalogu takich zapisów, znaleźć można w art. 385 (3) kodeksu cywilnego. Zawarte tam postanowienia jednoznacznie określają jakiego rodzaju postanowienia regulaminu mogą być uznane za klauzule niedozwolone.

Zanim znajdziemy wykonawcę aplikacji

Michał — Thu, 07 Jul 2011 11:42:57 +0000

Przygotowując aplikację internetową, należy w opisie funkcjonalności zawrzeć wymagania dotyczące zabezpieczenia danych osobowych, które będą za jej pomocą przetwarzane.

Wymagania takie określa Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej UODO) oraz Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej: rozporządzenie).

Zachęcamy do kontynuacji lektury powyższego artykułu (autorstwa Marii Lothamer) w magazynie Computerworld dostępnego zupełnie za darmo w tym miejscu.

Wniosek rejestracyjny do GIODO

Michał — Fri, 29 Apr 2011 12:18:11 +0000

Przed nami długi majowy weekend, a to oznacza być może nieco więcej czasu. Dlatego też zapraszam do trochę dłuższej notki poświęconej wnioskom rejestracyjnym do GIODO.

Wypełniając nowy wniosek, na początek musimy zdecydować czy rejestrujemy nowy zbiór, w którym przetwarzane są dane zwykłe (zgłoszenie na podstawie art. 40 UODO) czy też wrażliwe (zgłoszenie danych przetwarzanych na podstawie jednej z przesłanek wskazanych w art. 27 UODO). Natomiast jeżeli nasze zgłoszenie ma na celu dokonanie aktualizacji istniejącego już zbioru, wówczas zaznaczamy opcję nr 2, gdzie mowa jest o aktualizacji z art. 41 ust. 2 UODO.

Kolejnym krokiem będzie nazwanie zgłaszanego zbioru np. newsletter, baza marketingowa etc. Następnie wskazujemy administratora danych, a więc firmę, która dokonuje zgłoszenia, określając jej nazwę i adres siedziby oraz podając nr REGON.

Część B (pytanie nr 2) wypełniana jest tylko wtedy, gdy mamy do czynienia z przedstawicielstwem firmy mającej siedzibę za granicą, a ściślej w tzw. państwie trzecim, czyli państwie, które nie należy do Europejskiego Obszaru Gospodarczego.

Następnym zagadnieniem, do którego musimy ustosunkować się we wniosku jest określenie, czy nasza firma powierza dane z rejestrowanego zbioru innym podmiotom np. firmie hostingowej, call center. Jeśli powierza, wpisujemy ich nazwy i adresy siedzib.

Ostatnie pytanie z części B jest jednym z najważniejszych w całym wniosku rejestracyjnym, ponieważ to właśnie tutaj wskazujemy przesłankę, na podstawie której przetwarzamy dane osobowe z rejestrowanego zbioru. Omówienie tego tematu stanowi materiał na zupełnie nową notkę, w tym miejscu nadmienię jednak, że warto pamiętać o tym, że każda z przesłanek ma charakter w pełni autonomiczny i samodzielny. Wystarczy więc, że firma legitymuje się chociaż jedną z nich, by móc zgodnie z prawem przetwarzać dane osobowe.

W pierwszym pytaniu części C musimy określić cel, dla którego przetwarzane są dane osobowe. Takim celem może być np. wysyłka newslettera czy obsługa reklamacji.

Gdy poradzimy sobie ze wskazaniem celu, musimy określić kategorię osób, których dane przetwarzamy. Wystarczy jak w tym miejscu napiszemy np. klienci, dłużnicy, osoby składające reklamacje etc.

W następnej sekcji określamy jakie dane są przetwarzane w ramach zgłaszanego zbioru. Część danych zostało zasugerowanych w formularzu, a jeśli ich tam nie ma np. adresu e-mail (który może być uznany za daną osobową), to możemy to ręcznie dopisać w kolejnej części.

Dwa ostatnie pytania w części C dotyczą danych wrażliwych. W pierwszym z nich wskazujemy jakie dane będą przetwarzane w ramach zgłaszanego zbioru np. informacje o nałogach albo o stanie zdrowia. Jeżeli takich danych firma nie przetwarza, zostawia te pola puste (podobnie jak następne, w którym wskazuje się przesłankę legalizującą przetwarzanie danych wrażliwych).

Część D wniosku zaczyna się od pytania, w jaki sposób dane są zbierane. Przewidziane są tylko dwie odpowiedzi: albo bezpośrednio od osoby, której dane dotyczą (np. osoba taka wypełnia formularz rejestracyjny umożliwiający korzystanie z portalu społecznościowego) albo z innego źródła (np. z zakupionej legalnie bazy danych).

Po wskazaniu sposobu pozyskiwania danych jesteśmy pytani o to, czy udostępniamy dane osobowe innym podmiotom niż tzw. podmioty uprawnione (przykładowo urzędom skarbowym, komornikom). Innym podmiotem może być firma, z którą administrator danych współpracuje, przy czym należy pamiętać o tym, by takie udostępnianie odbywało się w sposób legalny. Jeżeli udostępniamy, to w kolejnym pytaniu jesteśmy proszeni o to, by wskazać te podmioty (nazwa i siedziba bądź przynajmniej określenie kategorii takiego podmiotu).

Ostatnie pytanie z części D dotyczy sytuacji, w której administrator danych przekazuje dane z rejestrowanego zbioru do państw trzecich. Jeżeli takie przekazywanie ma miejsce, to wpisujemy tu nazwy tych państw. Należy jednak pamiętać o tym, że ustawa o ochronie danych osobowych przewiduje szereg obostrzeń związanych z takim transferem danych za granicę.

Część E wniosku rejestracyjnego poświęcona jest zabezpieczeniom stosowanym przez administratora danych osobowych. Na początek należy wskazać czy dane przetwarzane są centralnie (upraszczając trochę: w jednym miejscu np. w siedzibie firmy) czy w tzw. architekturze rozproszonej (np. firma ma kilka lokalizacji, a dodatkowo dane są powierzone do przetwarzania innym podmiotom). Następnie musimy zaznaczyć, czy dane przetwarzane są wyłącznie w wersji papierowej, czy też przy wykorzystaniu systemów informatycznych. Pierwsza sekcja z części E kończy się pytaniem czy komputer służący do przetwarzania danych połączony jest z Internetem. Po odznaczeniu powyższych informacji przechodzimy do wskazania konkretnych zabezpieczeń jakie stosuje firma zgłaszająca zbiór. Zabezpieczenia podzielone są na kilka rodzajów – od typowo fizycznych (np. monitoring, ochrona, zamykane szafy), poprzez środki sprzętowe (np. niszczarki), narzędzia służące do ochrony baz danych (np. stosowanie różnych poziomów uprawnień, kwestie związane z uwierzytelnianiem), a skończywszy na opisie środków organizacyjnych (np. przeszkolony personel, obowiązek zachowania danych osobowych w tajemnicy). Jeszcze przed wypełnieniem tej części należy również wskazać, czy został powołany administrator bezpieczeństwa informacji (funkcję tę może pełnić osobiście administrator danych), a także czy wdrożono dokumenty – m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.

Część F to ostatnia część wniosku rejestracyjnego. Znajduje się tam tylko jedno pytanie, a mianowicie administrator danych proszony jest o wskazanie poziomu stosowanych zabezpieczeń. Zgodnie z wcześniej przywoływanym rozporządzeniem istnieją trzy poziomy: podstawowy, podwyższony i wysoki. Tym co decyduje o tym, jakie zabezpieczenia musi zastosować firma, wynika właśnie z ww. poziomów, które z kolei powiązane są m.in. z tym jakie dane przetwarza administrator danych, a także czy system informatyczny połączony jest np. z Internetem.

Po wypełnieniu wniosku należy go wysłać do GIODO. Co do zasady należy zrobić to w sposób tradycyjny (za pośrednictwem poczty albo osobiście w Biurze GIODO). Natomiast jeśli przedsiębiorca posiada kwalifikowany podpis elektroniczny, może to również uczynić przez Internet.

O regulaminach sklepów internetowych w TVN CNBC

Marysia — Sun, 27 Mar 2011 21:13:22 +0000

O klauzulach niedozwolonych, elementach składowych regulaminów dla sklepów internetowych oraz o tym na jakich przepisach prawa opiera się prowadzenie handlu w internecie miał ostatnio okazję opowiadać Michał Sztąberek, Prezes iSecure, w programie “Blajer mówi: Biznes” w telewizji TVN CNBC. Zapraszam serdecznie do oglądania.

Bezpieczny sklep internetowy

Michał — Fri, 18 Mar 2011 10:05:46 +0000

Zapraszamy do zapoznania się z wywiadem z Marią Lothamer, który został opublikowany w Dzienniku Gazecie Prawnej Ekstra w dniu 17 marca br. Z wywiadu będzie można dowiedzieć się min. na temat różnych wymogów jakie prawo stawia przedsiębiorcom prowadzącym lub chcącym zacząć prowadzić sklep internetowy.

Miłej lektury.

Dlaczego warto nas śledzić na FaceBook’u

Michał — Thu, 10 Mar 2011 11:30:33 +0000

Notka pewnie od razu każdemu skojarzy się z marketingiem i pewnie jest w tym trochę racji, nie ma co tego ukrywać. Ale piszemy o naszym “fanpejdżu” przede wszystkim dlatego, że publikujemy na nim całkiem sporo newsów dotyczących ochrony danych osobowych. Jeśli zatem chcecie być na bieżąco z tym co ciekawe i interesujące w tej dziedzinie prawa i IT, dołączcie do nas i obserwujcie nasz profil.

Serdecznie zapraszamy.

Nowelizacja ustawy o ochronie danych osobowych już od poniedziałku

Marysia — Fri, 04 Mar 2011 12:34:39 +0000

Przypominamy, że już od najbliższego poniedziałku wchodzi w życie nowelizacja ustawy o ochronie danych osobowych. Przy tej okazji na łamach Gazety Prawnej pojawiła się krótka wypowiedź Michała na temat środków egzekucyjnych, którymi będzie mógł dysponować teraz GIODO. Zapraszamy serdecznie do lektury.