bezpieczeństwo przedsiębiorstwa

10 kroków, które pomogą dostosować system IT do RODO

Na fali popu­lar­no­ści tema­ty­ki jaką jest ochro­na danych oso­bo­wych, chciał­bym dzi­siaj podzie­lić się z czy­tel­ni­ka­mi kil­ko­ma uwa­ga­mi na temat tego jak w prak­ty­ce radzić sobie z sys­te­ma­mi infor­ma­tycz­ny­mi prze­twa­rza­ją­cy­mi dane oso­bo­we. Dosta­ję dość czę­ste pyta­nia pokro­ju „jak zabrać się za RODO w sys­te­mach IT”. Jak wie­cie napi­sa­łem arty­kuł nauko­wy na ten temat, ale nauka to nauka, a prak­ty­ka to prak­ty­ka 😃. Tema­ty­ka jest nie­zwy­kle waż­ka, bo prze­cież RODO jak i inne regu­la­cje doty­czą­ce ochro­ny danych nie powsta­ły­by gdy­by nie roz­wój sys­te­mów IT. Nie trze­ba być tak­że szcze­gól­nie bły­sko­tli­wym, by zorien­to­wać się, iż spo­sób podej­ścia do reali­za­cji wymo­gów RODO przez sys­te­my IT nie został w jed­no­znacz­nie przez RODO spre­cy­zo­wa­ny. Jeśli coś wyni­ka z tych prze­pi­sów, to jedy­nie fakt, iż powin­ny być one neu­tral­ne tech­no­lo­gicz­nie. W prak­ty­ce zaś sys­te­my do wymo­gów RODO dosto­so­wać bez­względ­nie trze­ba. Dziś więc krót­ki, nie­co zajaw­ko­wy arty­kuł na temat sekwen­cji dzia­łań, któ­rą naj­czę­ściej reali­zu­ję dora­dza­jąc moim Klientom.

czy­taj dalej »

Kiedy system IT staje się „zgodny z RODO”?

Rewo­lu­cja w ochro­nie danych, koniecz­ność dosto­so­wa­nia sys­te­mów IT do wymo­gów ogól­ne­go roz­po­rzą­dze­nia o ochro­nie danych potocz­nie nazy­wa­ne­go RODO czy wresz­cie strach przed poten­cjal­na moż­li­wo­ścią nało­że­nia sank­cji w posta­ci kar finan­so­wych mogą­cych wynieść do 4% ogól­ne­go świa­to­we­go obro­tu czy 20 mln €. Te i nie tyl­ko te nagłów­ki pra­so­we napę­dza­ją dotych­czas niszo­wy rynek usług praw­nych oraz kon­sul­tin­go­wych doty­czą­cych usług z zakre­su ochro­ny danych oso­bo­wych. Moż­na spo­tkać się z wie­lo­ma opra­co­wa­nia­mi (lub będąc nie­co bar­dziej kry­tycz­nym: nie do koń­ca udol­ny­mi pró­ba­mi stwo­rze­nia takich opra­co­wań) doty­czą­cych tego jak RODO prze­kła­da się na wymo­gi sta­wia­ne sys­te­mom IT. Dzi­siej­szy wpis zosta­nie poświę­co­ny wła­śnie temu zagadnieniu.

czy­taj dalej »

Wyciek danych z OnePlus i obowiązek notyfikacyjny

W grud­niu, po ponad 4 latach codzien­ne­go boju, przy­szedł czas skie­ro­wać moje­go poczci­we­go i zasłu­żo­ne­go Nexu­sa 4 na eme­ry­tu­rę. Jako, że jestem fanem czy­ste­go Andro­ida i lubię mieć wybór to nie prze­pa­dam za nakład­ka­mi pro­du­cen­tów. Jeśli już chcę coś zmo­dy­fi­ko­wać, to wolę raczej sko­rzy­stać z Xpo­sed czy Magi­ska. Wybór zatem padł na One­Plus 5T. Krót­ko po jego zaku­pie oka­za­ło się, … czy­taj dalej »

Prezentacja z mojego wykład na UAM: Ogólne rozporządzenie o ochronie danych w przededniu rozpoczęcia stosowania

Wczo­raj na Uni­wer­sy­te­cie im. Ada­ma Mic­kie­wi­cza w Pozna­niu mia­łem oka­zję wygło­sić wykład Ogól­ne roz­po­rzą­dze­nie o ochro­nie danych w przeded­niu roz­po­czę­cia sto­so­wa­nia. Wykład w zwię­zły spo­sób przed­sta­wił naj­waż­niej­sze zmia­ny wpro­wa­dza­ne przez ogól­ne roz­po­rzą­dze­nie o ochro­nie danych oso­bo­wych potocz­nie nazy­wa­ne RODO. Oczy­wi­ście nie pomi­ną­łem klu­czo­wej nowo­ści – kon­cep­cji rela­ty­wi­za­cji ochro­ny danych oso­bo­wych oraz podej­ścia opar­te­go na ryzy­ku w świe­tle zasa­dy neu­tral­no­ści tech­no­lo­gicz­nej przyj­mo­wa­nej … czy­taj dalej »

Popełniłem artykuł – ochrona danych osobowych w systemach informatycznych

W naj­now­szym nume­rze Mło­dej Pale­stry – Cza­so­pi­śmie Apli­kan­tów Adwo­kac­kich opu­bli­ko­wa­ny został arty­kuł moje­go autor­stwa doty­czą­cy pra­wa ochro­ny danych oso­bo­wych pod tytu­łem Pro­blem dobo­ru środ­ków tech­nicz­nych i orga­ni­za­cyj­nych w sys­te­mach infor­ma­tycz­nych w per­spek­ty­wie ogól­ne­go roz­po­rzą­dze­nia o ochro­nie danych (GDPR).

W arty­ku­le sta­wiam tezę opo­nu­ją­cą do poja­wia­ją­cych się wśród pol­skich praw­ni­ków poglą­dów – moim zda­niem moż­na speł­nić wymo­gi pri­va­cy by design bez spe­cjal­nej doku­men­ta­cji, zaś wymo­gi oce­ny skut­ków prze­twa­rza­nia danych oso­bo­wych w przy­pad­ku sys­te­mów infor­ma­tycz­nych mogą zostać speł­nio­ne w przy­pad­ku zacho­wa­nia odpo­wied­nich mate­ria­łów z eta­pu roz­wo­jo­we­go opro­gra­mo­wa­nia. Wska­zu­ję tak­że, w jaki spo­sób postę­po­wać w okre­sie przej­ścio­wym – wycho­dząc z pol­skiej usta­wy, a wcho­dząc w GDPR (potocz­nie nazy­wa­ne RODO). GDPR jest prze­ze mnie jed­no­znacz­nie oce­nia­ny jako wiel­ka szan­sa pozwa­la­ją­ca ode­rwać się od skost­nia­łych z tech­no­lo­gicz­ne­go punk­tu widze­nia prze­pi­sów pol­skie­go pra­wa, któ­re w absur­dal­ny spo­sób wymu­sza­ją zmia­nę haseł co 30 dni czy sto­so­wa­nie opro­gra­mo­wa­nia anty­wi­ru­so­we­go w każ­dym systemie.

czy­taj dalej »

Pojawił się pierwszy projekt nowej ustawy o ochronie danych osobowych

Jak pew­nie uda­ło się Tobie zauwa­żyć, spo­ro uwa­gi na moim blo­gu poświę­cam zagad­nie­niom zwią­za­nym z pra­wem ochro­ny danych oso­bo­wych. Robię to, ponie­waż uwa­żam, że ochro­na danych oso­bo­wych jest taką gałę­zią pra­wa, któ­ra aktyw­nie sty­mu­lu­je adop­cję roz­wią­zań zapew­nia­ją­cych cyber­bez­pie­czeń­stwo w orga­ni­za­cjach. Dane oso­bo­we prze­twa­rza­my prak­tycz­nie w każ­dej orga­ni­za­cji i czę­sto doty­czą one wie­lu osób. Spo­sób ich ochro­ny, podej­mo­wa­ne środ­ki ochron­ne i sta­wia­ne im wymo­gi praw­ne to ide­al­ny punkt wyj­ścia, by roz­ma­wiać o cyber­bez­pie­czeń­stwie. Zresz­tą – jed­nym z uni­wer­sal­nych celów, któ­re przy­świe­ca­ły powsta­wa­niu pierw­szych tego typu ustaw na świe­cie (w latach ’70 i ’80) była chęć zapew­nie­nia bez­pie­czeń­stwa i ochro­ny użyt­kow­ni­kom nowo­cze­snych roz­wią­zań ICT. Od oko­ło roku wszy­scy mówią o nad­cho­dzą­cej euro­pej­skiej refor­mie pra­wa ochro­ny danych oso­bo­wych. Roz­po­czę­cie sto­so­wa­nia unij­nej refor­my wymu­sza przy­ję­cie w Pol­sce nowej usta­wy o ochro­nie danych oso­bo­wych. Dzi­siaj poja­wił się pierw­szy, ofi­cjal­ny pro­jekt tej usta­wy i jemu poświę­cę kil­ka uwag w tym wpisie.

czy­taj dalej »

Privacy by design & privacy by default w aplikacjach mobilnych

Ochro­na danych oso­bo­wych w fazie pro­jek­to­wa­nia oraz zasa­da domyśl­nej ochro­ny danych to nowe obo­wiąz­ki, któ­re zosta­ną nało­żo­ne na admi­ni­stra­to­rów danych oso­bo­wych 25 maja 2018 r. W dniu tym wcho­dzi w życie nowe ogól­ne roz­po­rzą­dze­nie w spra­wie ochro­ny danych oso­bo­wych wpro­wa­dza­ją­ce te zasa­dy. Jeśli jesteś pro­gra­mi­stą, to lepiej nie machaj ręką na to, że do ich wej­ścia w życie pozo­sta­ło jesz­cze … czy­taj dalej »

Analizy powłamaniowe, internet rzeczy, uczenie maszynowe – czyli jak było na Code Europe

Trzy tygo­dnie temu zapo­wia­da­łem, że wybie­ram się na Code Euro­pe – naj­więk­szą w Pol­sce kon­fe­ren­cję dla pro­gra­mi­stów odby­wa­ją­cą się pod patro­na­tem blo­ga cyberprzestępczość.pl. Dzi­siaj mam małą rela­cję z tego wyda­rze­nia. Omó­wię naj­cie­kaw­sze dla mnie wystą­pie­nia oraz krót­ko stresz­czę o czym tam mówiłem.

czy­taj dalej »

Najczęstsze błędy startupów z punktu widzenia ochrony danych osobowych

W ubie­gły czwar­tek mia­łem oka­zję popro­wa­dzić warsz­ta­ty prze­zna­czo­ne dla stu­den­tów z 17 kra­jów (na szczę­ście wszy­scy byli­śmy w sta­nie doga­dać się po angiel­sku) pod­czas Law Scho­ol 2016: IT and IP law, któ­rą poznań­ska ELSA zor­ga­ni­zo­wa­ła na UAM w Pozna­niu. Kie­dy dosta­łem zapro­sze­nie na te warsz­ta­ty przez chwi­lę zasta­na­wia­łem się, jaki temat był­by na tyle uni­wer­sal­ny dla stu­den­tów z róż­nych państw – głów­nie Unii Euro­pej­skiej. I w ten spo­sób wpa­dłem na pomysł, by podzie­lić się z nimi moimi doświad­cze­nia­mi z zakre­su ochro­ny danych oso­bo­wych. A sko­ro mamy stu­den­tów – pomy­śla­łem – to naj­le­piej jest odnieść się do stur­tu­pów, któ­re przez stu­den­tów bar­dzo czę­sto są zakła­da­ne. I w ten spo­sób powsta­ły prze­pro­wa­dzo­ne prze­ze mnie warsz­ta­ty Legal fails made by start-ups – per­so­nal data & pri­va­cy in IT Pro­jects (GPDR per­spec­ti­ve). Dzi­siaj możesz prze­czy­tać o czym wte­dy rozmawialiśmy.

czy­taj dalej »

Mikko Hypponen, Zakaria Rachid, Glenn ten Cate – CONFidence 2016

Czy­tel­ni­kom blo­ga obe­zna­nym bar­dziej ze świa­tem pra­wa niż IT nie­wie­le mogą mówić nazwi­ska w tytu­le. Ale tej tech­nicz­nej czę­ści są one już zapew­ne bar­dzo dobrze zna­ne. 19 i 20 maja 2016 r. odbę­dzie się w Kra­ko­wie CON­Fi­den­ce – mię­dzy­na­ro­do­wa kon­fe­ren­cja poświę­co­na tema­ty­ce IT secu­ri­ty – w szcze­gól­no­ści cyber­prze­stęp­czo­ści, bez­pie­czeń­stwu IT czy zagro­że­niom w sie­ci na pol­skim ryn­ku. Wyda­rze­nie bez dwóch … czy­taj dalej »