Xevin Consulting - Blog Blog

Troszkę nas tu nie było ostatnimi czasy, nadszedł jednak moment by to nadrobić. Dzisiaj chciałbym poinformować o ciekawych spotkaniach, które odbywają się w Warszawie, a dotyczą tematyki ochrony danych osobowych. Mowa tu o spotkaniach w ramach goldenline’owej grupy ABI, które skierowane są do osób zainteresowanych tym zagadnieniem.

Spotkania mają formułę otwartą, odbywają się (przynajmniej na razie) w siedzibie Grupy Allianz i każdy zainteresowany ma możliwość przyjść, wymienić doświadczenia, podpytać o istotne dla niego kwestie. Dodatkowym atutem jest też obecność dr Wojciecha Wiewiórowskiego, czyli Generalnego Inspektora Ochrony Danych Osobowych (był obecny na pierwszym spotkaniu).

Za nami jest drugie spotkanie, gdzie dyskutowano m.in. o roli administratora bezpieczeństwa informacji (ABI) w kontekście ewentualnych zmian w ustawie o ochronie danych osobowych, a także o retencji danych historycznych (np. historia zmian na koncie użytkownika), zwłaszcza w kontekście portali społecznościowych.

Trzecie spotkanie ma odbyć się w kwietniu. Szczegółów wypatrujcie na stronie GoldenLine, w grupie ABI.

Spieszymy donieść, że w najnowszym numerze magazynu Hurt&Detal oznaczonego numerem 01 (59) / 2011 ukazał się artykuł Marii Lothamer pt. “Bezpieczny sklep internetowy”. Właściciele sklepów on-line, a także osoby planujące rozpocząć swoją przygodę z e-Commerce na pewno znajdą tam sporo wskazówek w zakresie ochrony danych osobowych.

Pozostaje nam zatem życzyć miłej lektury! Zapraszamy też do kontaktu, gdyby mieli Państwo jakieś pytania w tym zakresie.

Dzisiaj będzie krótko o przetwarzaniu danych w celach marketingowych. Stare porzekadło mówi, że „reklama dźwignią handlu” i trudno się z tym nie zgodzić, jednak należy pamiętać, że reklama musi być zgodna z prawem. Zwłaszcza chodzi mi tu o aspekt związany z możliwością wykorzystania czyichś danych osobowych w celach marketingowych.

Otóż nie ma problemu, by dane osobowe wykorzystywać w celu promowania produktów czy usług, niemniej należy pamiętać o pewnych regułach. Patrząc na ustawę o ochronie danych osobowych, warto bliżej przyjrzeć się dwóm przesłankom wskazanym w art. 23 ust. 1 pkt. 1 i 5, które mogą mieć zastosowanie do działań marketingowych (dawać legitymację prawną do wykorzystania danych w celu marketingowym), ale też trzeba mieć na uwadze prawo do zgłoszenia sprzeciwu na takie wykorzystanie danych. Prawo to zostało wskazane w art. 32 ust. 1 pkt. 8.

Niby sprawa oczywista – zgłaszasz sprzeciw zgodnie z ww. przepisem i firma, do której ten sprzeciw został zgłoszony, ma obowiązek go uwzględnić tj. od tego momentu nie może wykorzystywać danych objętych sprzeciwem do przetwarzania ich w celach marketingowych. Okazuje się jednak, że czasami nawet poważne instytucje np. banki mają z tym problem. Ostatnio wpadło mi w ręce ciekawe orzeczenie WSA o sygn. II SA/Wa 556/10 (z 2010 r.), które pokazuje nam jak pokrętnie można próbować nie stosować się do sprzeciwu na przetwarzanie danych w celach marketingowych. Proszę koniecznie prześledzić argumenty banku, a potem na spokojnie przeczytać to co w tej sprawie do powiedzenia miało GIODO.

Podsumowując zatem – reklamie mówimy oczywiście jak najbardziej tak, ale pamiętajmy o obowiązującym prawie i reklamujmy nasze produkty/usługi zgodnie z zawartymi w tym prawie regułami.

Z okazji nadchodzących Świąt Bożego Narodzenia oraz Nowego Roku chcielibyśmy życzyć wszystkim naszym Klientom i przyjaciołom, którzy na co dzień wspierają iSecure, wiele radości i ciepła, a także spełnienia marzeń w nadchodzącym roku.

Od jakiegoś czasu wiadomo już, że nowelizacja ustawy o ochronie danych osobowych wejdzie w życie 7 marca 2011 r. Trochę o tym już pisaliśmy, niemniej jako, że temat jest cały czas aktualny, warto o nim jeszcze troszkę podyskutować. Poniżej zebrałam parę informacji, by usystematyzować to wszystko co powinniśmy wiedzieć o nadchodzącej zmianie w prawie.

Propozycja nowelizacji ustawy o ochronie danych osobowych (UODO) została złożona w Sejmie już dosyć dawno bo 3 lata temu. Dnia 18 listopada 2010 r. została podpisana przez Prezydenta i wejdzie w życie na początku przyszłego roku (7 marca). UODO była zmieniana już kilkanaście razy. Obecna jej nowelizacja jest, zaraz po nowelizacji z 2004r. związanej z przystąpieniem Polski do Unii Europejskiej, jedną z większych i ważniejszych.

Kwestią, która budziła duże wątpliwości była definicja zgody na przetwarzanie danych, ponieważ nie było w niej jasno powiedziane, że taka zgoda może zostać odwołana. Tę kwestię regulowały inne ustawy (np. ustawa o świadczeniu usług drogą elektroniczną). Nowelizacja UODO dodaje do definicji zamieszczonej w art. 7 pkt. 5 informację o tym, że „zgoda może być odwołana w każdym czasie”.

Wartościową zmianą jest również dodanie do art. 13 nowego ust. 1a umożliwiającego tworzenie jednostek zamiejscowych Biura Generalnego Inspektora Ochrony Danych Osobowych, co dałoby możliwość częstszych kontroli u podmiotów bardziej oddalonych od centralnej Polski (w ostatnim wywiadzie w Gazecie Prawnej dr Wojciech Wiewiórowski wspominał, że takie biuro bardzo by się przydało na Górnym Śląsku). Niestety sam artykuł w UODO nie wystarczy, aby takie jednostki terenowe powstały, ponieważ bardzo ważnym elementem w tym przypadku jest przede wszystkim budżet na stworzenie takich jednostek.

Ku zdziwieniu wielu specjalistów w zakresie ochrony danych osobowych, zostały uchylone dwa artykuły (29 i 30) UODO regulujące kwestię udostępniania danych osobowych. Powodem ich uchylenia było dostosowanie UODO do Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady. Uchylenie ich nie oznacza wprowadzenia zakazu udostępniania danych osobowych, jednak do momentu wyjaśnienia tego w stosownym komentarzu lub wydaniu decyzji przez GIODO, wiele podmiotów może odmawiać udostępniania jakichkolwiek danych osobowych, co w wielu przypadkach będzie niezgodne z prawem. W Dyrektywie potraktowano udostępnianie danych osobowych, jako jedną z form przetwarzania danych i właśnie tak powinniśmy to traktować uwzględniając tzw. podstawy dopuszczalności przetwarzania danych (Art. 23 i 27 UODO) przy ich udostępnianiu.

Ważną zmianą, o której musimy pamiętać, to dodanie dodatkowego przepisu karnego, który jest skutkiem nieprzyjętej propozycji umożliwienia GIODO nakładania kar finansowych. Nowy artykuł (Art. 54a) przewiduje dodatkowe sankcje karne w przypadku udaremniania lub utrudniania kontroli GIODO.

Serdecznie zapraszam do zapoznania się z krótkim artykułem Michała na temat GIODO i Facebook’a, który został opublikowany na stronach serwisu wyborcza.biz. Miłej lektury.

Parę dni temu w “Dzienniku Gazecie Prawnej” pojawił się artykuł pt. “Ustawa o danych osobowych pełna luk”, gdzie przeczytać można o tym, czego brakuje polskiej ustawie o ochronie danych osobowych. Wśród osób, które wypowiadają się w tym artykule, pojawił się również głos ze strony iSecure, w postaci wypowiedzi Marii Lothamer. Serdecznie zapraszamy do zapoznania się z tym tekstem.

W dzisiejszym wpisie chciałbym poruszyć tematykę zbiorów doraźnych, ponieważ mimo na pozór dość prostego przepisu prawa (art. 2 ust. 3 ustawy o ochronie danych osobowych), zagadnienie nie jest wcale takie proste i oczywiste.

Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.

Po pierwsze – zbiory doraźne sporządzane są wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych (konieczność wystąpienia jednej z ww. przesłanek).

Po drugie – słowem kluczem będzie tu słowo „doraźność”. Jak zatem ją rozumieć? Otóż pod pojęciem tym kryje się sytuacja, w której tworzymy zbiór dla chwilowej potrzeby, w pewnej sytuacji, okolicznościowo. Cel utworzenia zbioru musi być inny niż cel zasadniczy funkcjonowania zbioru (w tym przypadku cel rozpatrujemy jako okoliczność uzasadniającą doraźność). Dalej – doraźność należy rozumieć również w ten sposób, że administrator danych powinien przewidywać termin zakończenia czynności przetwarzania danych w takim zbiorze. Okres przetwarzania powinien być znany przynajmniej w przybliżeniu.

Po trzecie – po wykorzystaniu danych składających się na zbiór doraźny są one niezwłocznie usuwane albo poddawane anonimizacji.

I po czwarte wreszcie – do zbiorów doraźnych zastosowanie mają przepisy rozdziału 5 ustawy o ochronie danych osobowych (zabezpieczenie danych osobowych), przy czym przepis ten wydaje się być wyjątkowo kontrowersyjny, bo oznaczałoby to np. możliwość przetwarzania danych z pominięciem zasad wskazanych w art. 23 ust. 1 lub art. 27 ust. 1 i 2 ww. ustawy. Dlatego też zasadnym wydaje się twierdzenie, że nawet w przypadku zbiorów doraźnych zastosowanie mają – mimo odmiennego brzmienia przepisu – inne postanowienia ustawy o ochronie danych osobowych niż tylko te wskazane w rozdziale 5.

Natomiast nie ma przeszkód, by w ramach zbioru doraźnego przetwarzane były, zgodnie z opisanymi wyżej zasadami, tzw. dane wrażliwe.

I już zupełnie na koniec kilka przykładów zbiorów doraźnych: loterie, konkursy (wyjątek: permanentne istnienie zbioru , w którym zmieniają się tylko dane osób uczestniczących – wówczas jest to zbiór do zgłoszenia do GIODO; uwaga też na laureatów i przechowywanie ich danych z uwagi na np. kwestie podatkowe – też zbiór do zgłoszenia do GIODO), podziękowania.

W dzisiejszym wpisie chciałbym przedstawić Czytelnikom naszego bloga cztery niezwykle przydatne aplikacje z punktu widzenia bezpieczeństwa danych przechowywanych na komputerach. Dlaczego przydatnych? Otóż ich instalacja (a przede wszystkim korzystanie z nich!) pozwoli spełnić część wymogów odnoszących się do środków technicznych, które należy stosować w celu zabezpieczenia danych osobowych, o których mowa w załączniku do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

A zatem po kolei:

TrueCrypt - pozwala zarówno na szyfrowanie całych dysków, ich partycji i przenośnych dysków USB (pendrive’ów), jak i na tworzenie wirtualnych zaszyfrowanych dysków (także ukrytych) o określonej pojemności - w obu przypadkach zabezpieczonych hasłem przed nieautoryzowanym dostępem. Szyfrowanie odbywa się za pomocą bardzo silnych algorytmów szyfrujących.

Freeraser - to bezpłatne narzędzie służące do całkowitego usuwania danych z dysku twardego, tak by ich odzyskanie nie było możliwe (inaczej niż w przypadku zwykłego usuwania plików poprzez systemowy kosz). Aplikacja umożliwia kasowanie plików i folderów w trzech trybach - Fast, Forced oraz Ultimate. W zależności od dokonanego wyboru program zmniejsza szansę na przywrócenie kasowanych danych - wykonywane są od 1 do 35 nadpisań przestrzeni dyskowej, ale na przeprowadzenie tego typu operacji narzędzie potrzebuje więcej czasu.

Comodo Internet Security - to bezpłatny pakiet zabezpieczający składający się z cenionej przez wielu użytkowników na świecie zapory systemowej Comodo Firewall Pro i programu antywirusowego Comodo AntiVirus.

Cobian Backup - to darmowy program przeznaczony do synchronizacji i archiwizowania danych znajdujących się na całym dysku twardym lub w konkretnym folderze. Bardzo ciekawą funkcją aplikacji jest możliwość tworzenia kopii na serwerach FTP.

Tak jak pisałem ostatnio, wszystko wskazuje na to, że lada chwila nowelizacja ustawy o ochronie danych osobowych stanie się faktem. W oczekiwaniu na nią, chciałbym polecić zapoznanie się z tą wersją noweli, która została przekazana przez Sejm do Senatu - można ją pobrać tutaj.

Jednocześnie warto też sięgnąć po uchwałę Senatu, z której wynika, że zostały zgłoszone do pierwotnego tekstu pewne poprawki.