Blog ODO 24

Zasada „czystego biurka”

Jednym z coraz częściej pojawiających się na forach i blogach, pytań i wątpliwości Administratorów Bezpieczeństwa Informacji (ABI) jest kwestia dostępu osób nieupoważnionych do danych osobowych wyświetlanych na ekranach monitorów i zawartych w dokumentach pozostawionych na biurkach pracowników pod ich nieobecność. W pracy biurowej jest nieuniknione by personel sprzątający, konserwacyjny lub naprawczy miał dostęp do pomieszczeń w których są przetwarzane dane osobowe, wątpliwości budzi to jak należy takie osoby traktować z punktu widzenia ochrony danych osobowych

Emilia
28 marca 2013
Obcy w biurze i w sieci

Jak chronić nasze zasoby danych przed wścibstwem z zewnątrz, czyli do czego są zdolni ci, którzy polują na bazy danych osobowych. Praktycznie każda firma, która coś sprzedaje bezpośrednio szaremu Kowalskiemu potrzebuje kontaktów, czyli danych osobowych. Powszechnie dostępne źródła danych osobowych są już po kilka razy „przemielone” przez mnóstwo różnych firm i instytucji więc książka telefoniczna czy otwarte internetowe bazy danych osobowych są już przeszłością. W tzw. „szarej strefie” firmy są skłonne kupić, a pracownicy innych firm są skłonni sprzedać dane osobowe przez nich przetwarzane. W cenie jest aktualność- im baza jest aktualniejsza i bogatsza w dane, tym jest droższa. Ceny danych wahają się od 10 do 50 groszy za jedną pozycję, czyli przy odrobinie szczęścia można zarobić nawet 500 zł za 1000 pozycji. W dużych korporacjach takie ilości danych to wcale nie jest dużo

Emilia
28 marca 2013
Rekrutacja a ODO

Większość pracodawców poszukujących pracownika wie już o minimalnych wymaganiach ochrony danych osobowych (ODO) w zakresie rekrutacji. Przykładem jest chociażby wymaganie od kandydatów zamieszczania w swoich aplikacjach informacji o wyrażeniu zgody na przetwarzanie danych osobowych w celach rekrutacji. Niewiele osób wie jednak, co taka klauzula oznacza w praktyce i jakie obowiązki się z nią wiążą. Co oznacza sama klauzula? W zależności od zakresu treści klauzula może oznaczać zgodę na jedną konkretną rekrutację lub na wszelkie rekrutacje prowadzone przez danego pracodawcę. Jeżeli osoba przesyłająca aplikację wyrazi zgodę tylko na jedną rekrutację, po jej zakończeniu potencjalny pracodawca nie ma już podstaw do przetwarzania danych tej osoby

Emilia
28 marca 2013
Urzędnicy publiczni i ODO

Idąc do urzędu gminy lub dzielnicy za każdym razem, gdy jesteśmy o to proszeni, podajemy swoje dane osobowe będąc przekonanym, że mamy do czynienia z osobami w pełni profesjonalnymi, także pod względem ochrony danych osobowych. Imię nazwisko, adres zamieszkania i wszystko inne o co tylko poproszą… Jednak, czy na pewno wszyscy urzędnicy wiedzą, jakie są zasady przetwarzania i zabezpieczania naszych danych osobowych? Osobiście byłem świadkiem, jak na zapleczu budynku (na papierosku) dwie panie, które wcześniej widziałem w okienku urzędu, plotkowały o jednym z petentów. Podając jego imię i nazwisko, delikatnie mówiąc drwiły sobie z niego ku wspólnej uciesze

Administrator
07 marca 2013
Dane osobowe na smartfonach i w tabletach

Jak zabezpieczamy dane osobowe, gdy je wynosimy poza obszar przetwarzania na komórkach i innych nośnikach. Czy jesteś pewien, że nikt nie ma lub nie miał dostępu do twojego przenośnego biura, a ty nic o tym nie wiesz? Czy masz wrażenie, że konkurencja jest zawsze krok przed tobą? Bardzo szybki rozwój technologii, szczególnie w zakresie telefonii komórkowej, uśpił trochę naszą czujność. Część osób jeszcze pamięta pierwsze telefony komórkowe, które były wielkości cegłówki i jedyne co można było z nimi zrobić to wykręcić numer i mieć nadzieję, że bateria nie padnie zanim się połączymy. W takim prehistorycznym urządzeniu nie mogło być mowy o żadnych danych osobowych, bo pierwsze wersje nawet nie zapamiętywały wykręconych numerów. Obecnie gdy najnowsze smartfony funkcjonalnością często przewyższają niejeden komputer przenośny, zagrożenie danych osobowych na nich gromadzonych jest jak najbardziej realne

Administrator
02 lutego 2013
Dane osobowe – sprzedam, tanio !!!

Po co komu dane osobowe, czyli po co je w ogóle strzeżemy na tle wszechobecnej informatyzacji i portali społecznościowych. Lepiej być uczciwym i podawać nasze dane osobowe każdemu kto o to poprosi. Czy aby na pewno? Pozornie bezwartościowe w życiu codziennym dane takie jak numer telefonu czy adres mailowy, są tak naprawdę bardzo wartościowym towarem w dobie globalnej cyfryzacji. Nie jest już niczym nadzwyczajnym dokonywanie zakupów za pomocą Internetu czy płacenie rachunków za pośrednictwem wirtualnego Banku. Logowanie się do portali społecznościowych za pomocą loginu i hasła stało się dla niektórych codziennością i dopóki nikt nieuprawniony nie ma naszych danych czujemy się względnie bezpiecznie, jednak co się stanie jak ktoś zdobędzie nasze dane niekoniecznie w celach nam sprzyjających

Administrator
02 lutego 2013
Co wiedzą o nas pliki Cookies

Czy korzystając z Internetu jesteś w 100 % przekonany, że nikt nie zbiera o tobie danych ? Szukasz nowych opon na Allegro, nic ciekawego nie znalazłeś, więc wchodzisz na stronę Onet.pl, poczytać jakieś ciekawostki. Jednak dzieję się coś dziwnego – wśród wszechobecnych reklam migających po bokach widzisz same oferty sprzedaży opon. Brzmi znajomo? Jest to nic innego jak reklama spersonalizowana wykorzystująca twoją historię przeglądania czyli pliki cookies [ciasteczka], które gromadzą się za pośrednictwem twojej przeglądarki. Jest to coraz powszechniejsza metoda zbierania informacji o twoich preferencjach przez potencjalnych oferentów

Emilia
13 stycznia 2013
Więcej kontroli! GIODO łączy siły z PIP GIODO + PIP = wspólne kontrole

14 grudnia 2012 r. dwie instytucje: Generalny Inspektor Ochrony Danych Osobowych oraz Państwowa Inspekcja Pracy podpisały porozumienie w sprawie przeprowadzania wspólnych kontroli. Teoretycznie jedna kontrola zamiast dwóch brzmi jak udogodnienie dla pracodawcy. Kontrola będzie trwała krócej i szybciej będziemy mieli problem z głowy. Jak zwykle diabeł tkwi w szczegółach a liczby mówią same za siebie. PIP rocznie przeprowadza ok. 90.000 kontroli, a GIODO ok. 200. Połączone siły to znaczniej więcej kontroli w naszych organizacjach

Emilia
13 stycznia 2013
ABI jako szkoleniowiec

Jaki zakres tematyczny szkolenia będzie właściwy? Szkolenia pracowników to zmora wielu Administratorów Bezpieczeństwa Informacji. Ich obawy wynikają nie tylko z glassofobii (lęk przed wystąpieniami publicznymi ;-)), ale też, a może nawet przede wszystkim, z braku konkretnych wytycznych co do zakresu takiego szkolenia. Ustawa i rozporządzenie dot. ochrony danych osobowych w ogóle nie nakładają wymogu przeprowadzania takich szkoleń. Nie są więc one, z prawnego punktu widzenia, obowiązkowe. Niemniej, bez odpowiedniego przeszkolenia pracowników, trudno mówić o odpowiedniej ochronie przetwarzanych w firmie czy instytucji danych osobowych. Brak szkoleń to również brak podstaw do pociągnięcia pracownika do odpowiedzialności w sytuacji złamania przez niego zasad bezpieczeństwa przetwarzania informacji. Nieprzeszkolony pracownik zawsze może powiedzieć, że nie zna zasad ochrony danych osobowych.

Administrator
06 grudnia 2012
Dane w kontenerze na śmieci

Dane mogą wyciekać w różnej formie. Najprostszy wyciek to brak niszczarki i w ciągu kilku chwil nasze umowy zawarte w klientami 5 lat temu lądują w kontenerze na śmieci. Załóżmy, że znajdują je panowie zbierający puszki i informują o tym recepcję naszej firmy (przykład nieco fantasmagoryczny ale niech tam). Recepcjonistka zawiadamia ABI-ego bądź kogoś z kierownictwa. Co powinien zrobić ABI? ABI powinien w pierwszej kolejności zabezpieczyć dane osobowe, które zostały udostępnione, czyli samemu lub przy pomocy pracowników zebrać wszystkie dokumenty z danymi osobowymi i je zabezpieczyć

Administrator
06 grudnia 2012