Xevin Consulting - Blog Blog

Jak podkreśla wielu ekspertów i analityków, przyszłość technologii informatycznych należy do aplikacji i urządzeń mobilnych. Statystyki sprzedaży smartfonów potwierdzają te oczekiwania. W samym roku 2011 r. 33% sprzedanych telefonów to właśnie smartfony, a do końca 2014 r. ma to być nawet aż 55%. Nikt nie robił jeszcze statystyk, ile tego typu urządzeń kupowały przedsiębiorstwa jako smartfony firmowe. Faktem jest, że w dzisiejszych czasach telefon z Androidem, iOS czy Windows Mobile coraz częściej wykorzystywany jest do pracy. Za jego pomocą można obierać maile, czytać firmowe dokumenty, czy nawet łączyć się zdalnie z zasobami znajdującymi się na firmowych serwerach. Przy pomocy smartfonów możemy korzystać z bankowości elektronicznej (swoje aplikacje mobilne mają m.in. Bank Zachodni WBK, Raiffeisen Bank Polska, mBank), a hasła do kont bankowych także często przechowujemy w… smartfonach, np. przy pomocy aplikacji aWallet Password Manager. Jeszcze parę lat temu wszystko to brzmiałoby trochę jak fragmenty scenariusza takich filmów jak Matrix czy Blade Runner. Dzisiaj to jednak rzeczywistość, którą doskonale wykorzystują także złodzieje i inni przestępcy.

Gdy spojrzymy na kilka komunikatów prasowych zamieszczanych w branżowych portalach, co chwila widać informacje dotyczące coraz to nowych zagrożeń dla smartfonów (zwłaszcza tych wyposażonych w system Android). Także prognozy na 2012 r. nie napawają pod tym względem optymizmem, co podkreślają m.in. pracownicy laboratorium firmy ESET. Z ich badań wynika, że w najbliższym czasie coraz więcej zagrożeń dotyczyć będzie użytkowników smartfonów, z uwagi właśnie na wykorzystywanie tych urządzeń zarówno w pracy jak i w życiu prywatnym.

Na to wszystko nakłada się od strony prawno – biznesowej jeszcze jeden ciekawy problem, a mianowicie jak traktować smartfony firmowe, gdy wykorzystuje się je do przetwarzania danych osobowych. Próżno szukać wskazówek w tym zakresie w aktualnie obowiązujących przepisach, w tym w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Brzmi interesująco? Właśnie dlatego postanowiliśmy zorganizować na ten temat bezpłatną konferencję Mobilesec - Bezpieczeństwo urządzeń i aplikacji mobilnych. Już 28 lutego w Warszawie będziemy opowiadali m.in. o:

• Aplikacjach i urządzeniach mobilnych w świetle przepisów ustawy o ochronie danych osobowych
• Zarządzaniu ryzykiem w obszarze bezpieczeństwa rozwiązań mobilnych. Zagrożenia, szanse, najlepsze praktyki
• Zagrożeniach związanych ze złośliwym oprogramowaniem w kontekście platform mobilnych
• Zarządzaniu efektywnością i ciągłością pracy firmy z wykorzystaniem technologii mobilnej
• A także o tym na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS

Przygotowując aplikację internetową, należy w opisie funkcjonalności zawrzeć wymagania dotyczące zabezpieczenia danych osobowych, które będą za jej pomocą przetwarzane.

Wymagania takie określa Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej UODO) oraz Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej: rozporządzenie).

Zachęcamy do kontynuacji lektury powyższego artykułu (autorstwa Marii Lothamer) w magazynie Computerworld dostępnego zupełnie za darmo w tym miejscu.

Zapraszamy do zapoznania się z wywiadem z Marią Lothamer, który został opublikowany w Dzienniku Gazecie Prawnej Ekstra w dniu 17 marca br. Z wywiadu będzie można dowiedzieć się min. na temat różnych wymogów jakie prawo stawia przedsiębiorcom prowadzącym lub chcącym zacząć prowadzić sklep internetowy.

Miłej lektury.

Spieszymy donieść, że w najnowszym numerze magazynu Hurt&Detal oznaczonego numerem 01 (59) / 2011 ukazał się artykuł Marii Lothamer pt. “Bezpieczny sklep internetowy”. Właściciele sklepów on-line, a także osoby planujące rozpocząć swoją przygodę z e-Commerce na pewno znajdą tam sporo wskazówek w zakresie ochrony danych osobowych.

Pozostaje nam zatem życzyć miłej lektury! Zapraszamy też do kontaktu, gdyby mieli Państwo jakieś pytania w tym zakresie.

Pisząc o serwisach społecznościowych pod kątem ich bezpieczeństwa dla prywatności i ochrony danych osobowych, warto na początek spróbować zdefiniować sobie, czym są takie serwisy. W tym miejscu pozwolę sobie sięgnąć po definicję zawartą na stronach Wikipedii, zgodnie z którą serwisem społecznościowym będzie rodzaj interaktywnych stron www, które są współtworzone przez sieci społeczne osób podzielających wspólne zainteresowania lub chcących poznać zainteresowania innych. Większość portali społecznościowych dostarcza użytkownikom wiele sposobów komunikacji, np. poprzez listy dyskusyjne, fora etc. Aktualnie jednym z najpopularniejszych portali na świecie (ale także w Polsce) jest Facebook. Do tego typu portali zalicza się również takie serwisy jak MySpace, Linkedin, a na naszym krajowym podwórku będą to np. Nasza-klasa, GoldenLine czy nowy portal stworzony przez GG Network S.A. GG.pl.

Wraz z pojawieniem się mody na serwisy społecznościowe bardzo popularnym tematem stała się kwestia związana z bezpieczeństwem danych osobowych, które użytkownicy takich serwisów wpisują podczas rejestracji, ale także tych, które podają podczas bieżącego korzystania z funkcjonalności udostępnianych przez portal.

I właśnie, gdy myślimy o bezpieczeństwie i prywatności naszych danych osobowych, to jednym z elementów, któremu warto bliżej się przyjrzeć zanim klikniemy sakramentalne „Wyślij” lub „Zarejestruj się”, jest formularz rejestracyjny. Na początek należy sprawdzić, czy przesyłanie danych zawartych w formularzu jest zabezpieczone poprzez protokół SSL. Można to zweryfikować zerkając na adres strony internetowej (nazwa domeny powinna być poprzedzona „https” a w prawym dolnym rogu przeglądarki powinna być kłódka). Jeżeli właściciel strony stosuje tego typu zabezpieczenie to na pewno jest to dobry sygnał dla bezpieczeństwa naszych danych osobowych.

Kolejną rzeczą, na którą należy zwrócić uwagę, jest zakres danych osobowych, jakie musimy podawać podczas rejestracji. Nie ma tu jednej uniwersalnej wskazówki, którą można się kierować, ale co do zasady trzeba założyć, że im więcej danych wymaga się od nas, tym większe zagrożenie dla naszej prywatności. Właściciel portalu zawsze powinien stosować się do tzw. zasady adekwatności, o której mowa w art. 26 ustawy o ochronie danych osobowych, w myśl której dane osobowe przetwarzane przez administratora danych (właściciela serwisu) powinny być adekwatne do celu dla jakiego mają być wykorzystane.

Formularz rejestracyjny to dokument elektroniczny, za pomocą którego internauta przekazuje swe dane do właściciela serwisu, a więc mamy tu do czynienia z przetwarzaniem (zbieraniem) danych osobowych. A zatem czynność ta powinna być poprzedzona przekazaniem internaucie kilku podstawowych informacji na temat administratora danych. Zgodnie z obowiązującymi przepisami o ochronie danych osobowych, właściciel firmy powinien wskazać pełną nazwę swego przedsiębiorstwa, a także podać adres siedziby. Oprócz tego powinien zostać określony cel, dla jakiego zbierane są dane osobowe, a dodatkowo internauta musi zostać poinformowany o przysługujących mu prawach tj. możliwości wglądu w swoje dane osobowe wraz z możliwością ich poprawiania. Jeżeli brak jest takich zapisów, może to świadczyć o słabej znajomości przepisów prawa przez właściciela serwisu (a nawet o naruszeniu tych przepisów), ale też pokazywać, że temat prywatności traktowany jest przez niego w sposób daleko niewystarczalny.

Stałym elementem składowym różnego rodzaju formularzy rejestracyjnych są również zgody na przetwarzanie danych osobowych. I tu wielka uwaga – zawsze zwracajmy uwagę, na co się godzimy, żeby w przyszłości uniknąć przykrych niespodzianek. Pamiętajmy o tym, że każda zgoda powinna wskazywać cel, dla którego będą wykorzystywane nasze dane osobowe (klauzula taka nie może być zbyt ogólna, ale też nie może zawierać w sobie kilku różnych celów, do realizacji których właściciel serwisu chciałby wykorzystywać dane osobowe – powinny to być osobne zgody).

Jeśli chcielibyśmy jeszcze dokładniej poznać właściciela portalu i jego podejście do ochrony danych osobowych, zawsze też istnieje możliwość sprawdzenia go na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych (GIODO). W sekcji zatytułowanej e-GIODO znajduje się wyszukiwarka za pomocą której możemy zobaczyć, czy właściciel serwisu zgłosił zbiór danych osobowych do GIODO.

Ostatnią rzeczą, na którą należy zwrócić uwagę, powinien być regulamin portalu społecznościowego. Jeśli takiego dokumentu brakuje na stronie, lepiej się nie rejestrować. Obowiązek posiadania regulaminu wynika wprost z przepisów ustawy o świadczeniu usług drogą elektroniczną, stąd też poważna firma na pewno taki dokument przygotuje. Ale i tu czasami łatwo o przykre niespodzianki. Krótka analiza treści regulaminu i jego porównania np. z formularzem rejestracyjnym bardzo często pokaże nam, czy regulamin został rzeczywiście napisany pod kątem tego konkretnego portalu społecznościowego, czy też może jego właściciel skopiował dokument z jakiejś innej strony, który z lekkimi modyfikacjami lub bez nich zamieścił u siebie.

Kończąc wątek rejestracji nie zapominajmy o wymyśleniu mocnego hasła, którego podanie będzie niezbędne by móc zalogować się do naszego konta na portalu społecznościowym. Dobre hasło powinno składać się z minimum 8 znaków i zawierać w sobie kombinację wielkich i małych liter, znaków specjalnych lub cyfr.

Nawet, gdy już przebrniemy przez stworzony w zgodzie z obowiązującymi przepisami prawa proces rejestracyjny, nadal musimy być czujni, jeśli chcemy zadbać o naszą prywatność. Zwracajmy zatem uwagę jakie dane pozostawiamy korzystając np. z for dyskusyjnych, a także zwróćmy uwagę na zdjęcia, które dodajemy do swoich profili. Pamiętajmy o tym, że te dane będą widoczne także dla innych użytkowników, a czasami dla wszystkich internautów. Jeżeli portal umożliwia zastosowanie jakiś dodatkowych opcji zapewniających prywatność np. poprzez ograniczenie kręgu osób, które będą miały podgląd w nasz profil i w to co robimy na portalu społecznościowym, korzystajmy z tego.

Z końcem września planujemy wystartować z ciekawą, a przede wszystkim bezpłatną usługą - darmowym kursem ochrony danych osobowych poprzez e-mail. Żeby móc wziąć w nim udział wystarczy zapisać się na nasz newsletter (na stronie głównej www.isecure.pl na samym dole). Dzięki kursowi będzie można dowiedzieć się m.in. jakie obowiązki ciążą na każdym podmiocie, który przetwarza dane osobowe, co to jest umowa powierzenia przetwarzania danych, jak zgłosić wniosek do GIODO, a także jakie błędy najczęściej popełniają firmy przy zbieraniu informacji o osobach fizycznych.

Nie chcemy by kurs był zbyt uciążliwy i nadmiernie intensywny, także spodziewać się można 1 - 2 maili w ciągu miesiąca.

Już dziś serdecznie zapraszam do subskrypcji.

Chciałam serdecznie zaprosić wszystkich Czytelników naszego bloga do zapoznania się z artykułem Michała zamieszczonym w portalu Nowoczesna Firma pt. “Jakie dokumenty musi posiadać przedsiębiorca przetwarzający dane osobowe”.

Z artykułu można dowiedzieć się m.in. jak powinna wyglądać polityka bezpieczeństwa, co powinno zawierać upoważnienie do przetwarzania danych, a także dlaczego pracownicy muszą zobowiązać się do zachowania informacji dotyczących danych osobowych w tajemnicy.

Miłej lektury.

Z końcem czerwca Sejm wybrał nowego Generalnego Inspektora Ochrony Danych Osobowych, którym został Wojciech Wiewiórowski. Już 13 lipca zastąpi on na stanowisku dotychczasowego szefa GIODO, Michała Serzyckiego.

Z wypowiedzi Wojciecha Wiewiórowskiego wynika, że jedną z priorytetowych spraw dla GIODO będzie przegląd istniejącego stanu prawnego w Polsce oraz stałe monitorowanie nowych aktów prawnych, gdyż przepisy w zakresie ochrony danych osobowych pojawiają się w wielu różnych ustawach.

Ponadto dla nowego GIODO bardzo ważne jest, by przepisy uwzględniały nowe trendy w nowych technologiach, w tym zwłaszcza takie zagadnienia jak kwestia serwisów społecznościowych, bo jak słusznie zauważa Wojciech Wiewiórowski w momencie tworzenia dyrektywy 95/46/WE (1995 r.), na której oparta została nasza ustawa (1997 r.) nikt jeszcze nie miał pojęcia jakie będą trendy w Internecie na początku XXI w.

Nowy GIODO dodał także, że jest przeciwnikiem gromadzenia i przetwarzania danych osobowych z różnych źródeł, co nie powinno prowadzić do niedozwolonego profilowania osób, a więc tworzenia zestawień informacji, które nie są przewidziane w prawie, a wynikają z legalnego pozyskiwania danych szczegółowych.

Więcej w wywiadzie z Wojciechem Wiewiórowskim zamieszczonym w Gazecie Prawnej.

Bardzo często spotykam się z pytaniami dotyczącymi ochrony danych osobowych pracowników. Chodzi tu mianowicie o dane osobowe służbowe, które pracodawca umieszcza np. na firmowej stronie internetowej. Warto wspomnieć, że w kwestii tej wypowiadało się zarówno GIODO jak i Sąd Najwyższy.

Generalna zasada jest następująca: przetwarzanie przez pracodawcę danych osobowych pracowników, które wynikają ze stosunku pracy jest dopuszczalne i nie stanowi naruszenia przepisów o ochronie danych osobowych, o ile zakres przetwarzanych danych nie wkracza w sferę prywatności pracownika. Takie informacje zatem jak imię, nazwisko, stanowisko służbowe, służbowy numer telefonu oraz adres e-mail są bezpośrednio powiązane z wykonywaniem obowiązków służbowych i jako takie mogą być wykorzystywane przez pracodawcę bez zgody pracownika.

Stanowisko to zostało wyraźnie podkreślone w wyroku Sądu Najwyższego z dnia 19 listopada 2003 r. (sygn. I PK 590/02) zgodnie z którym „najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie, a funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi – z kontrahentami, klientami (…). Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika (…).”

W dalszej części uzasadnienia wyroku dowiadujemy się, że: „Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, że zgodnie z powszechną praktyką są one zasadniczo jawne.”

Poniżej przedstawiamy prezentację, która towarzyszyła prelekcji na temat współpracy w zakresie ochrony danych osobowych z agencjami e-mail marketingowymi. Wydarzenie to miało miejsce podczas pierwszej “Konferencji o e-mail marketingu” organizowanej przez naszego partnera - firmę SARE oraz agencję Bluerank.