25 stycznia 2012

Nowe regulacje dotyczące ochrony danych osobowych

Przed chwilą opublikowano projekty nowej unijnej dyrektywy dotyczącej ochrony danych osobowych. Mają one zastąpić niespójne regulacje obowiązujące w poszczególnych krajach UE, zmniejszyć biurokrację i przy okazji zagwarantować większą ochronę danych osobowych

Załączam wyciąg z komunikatu (pogrubienia moje)
Najważniejsze zmiany wprowadzane przez reformę obejmują:
Jeden zestaw przepisów dotyczących ochrony danych osobowych obowiązujący w całej UE. Niepotrzebne wymogi administracyjne, takie jak obowiązek zawiadomienia ciążący na przedsiębiorstwach, zostaną zlikwidowane. Przyniesie to przedsiębiorstwom oszczędności rzędu ok. 2,3 mld EUR rocznie.

Zamiast obecnego obowiązku zgłoszenia przez wszystkie przedsiębiorstwa wszelkich działań w zakresie ochrony danych organom nadzorującym ochronę danych – który to wymóg spowodował niepotrzebną biurokrację i kosztuje przedsiębiorstwa 130 mln EUR rocznie, rozporządzenie przewiduje większą odpowiedzialność i rozliczalność podmiotów przetwarzających dane osobowe.
Przykładowo przedsiębiorstwa i organizacje muszą powiadamiać krajowy organ nadzorczy o poważnych naruszeniach ochrony danych tak szybko, jak tylko jest to możliwe (jeżeli jest to wykonalne – w ciągu 24 godzin).

Organizacje będą się kontaktować tylko z jednym krajowym organem nadzorującym ochronę danych w tym państwie członkowskim UE, w którym posiadają główną siedzibę. Podobnie osoby fizyczne będą mogły kontaktować się z organem nadzorującym ochronę danych w swoim państwie, nawet jeżeli ich dane są przetwarzane przez przedsiębiorstwo mające siedzibę poza UE. W przypadku gdy do przetwarzania danych konieczna jest zgoda, zostało wyjaśnione, że będzie ona musiała zostać wydana wyraźnie, a nie być domniemana.

Osoby fizyczne uzyskają łatwiejszy dostęp do własnych danych i będą mogły łatwiej przekazywać swoje dane osobowe od jednego usługodawcy do drugiego (prawo do przenoszenia danych). Poprawi to konkurencję między usługodawcami.

Prawo do bycia zapomnianym” pomoże ludziom lepiej zarządzać ryzykiem związanym z ochroną danych w internecie: osoby fizyczne będą miały możliwość usunięcia swoich danych jeżeli nie będzie istnieć uzasadniona podstawa do ich zachowania.

Unijne przepisy muszą obowiązywać w przypadku gdy dane osobowe są przetwarzane zagranicą przez przedsiębiorstwa prowadzące działalność na rynku UE i oferujące swoje usługi obywatelom UE.
Niezależne krajowe organy nadzorujące ochronę danych zostaną wzmocnione, aby mogły lepiej egzekwować unijne przepisy na terytorium kraju. Zostaną one upoważnione do nakładania kar na przedsiębiorstwa naruszające unijne przepisy o ochronie danych. Kary te mogą sięgnąć 1 mln EUR lub 2% łącznych rocznych obrotów przedsiębiorstwa.

W nowej dyrektywie ogólne zasady ochrony danych zostaną zastosowane w odniesieniu do współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych. Przepisy dyrektywy będą miały zastosowanie do przekazywania danych zarówno w kraju, jak i do transferów transgranicznych.

Zwrócę jeszcze uwagę na Sekcję 3 opowiadającą o ABI (teraz Data Protection Officer):
- ma być powołany ("shall" czyli polskie "powinno" de facto oznacza w normatywnym języku przymus)
- ma być fachowcem znającym m.in kwestie prawne ochrony danych osobowych
- może być współdzielony pomiędzy organizacjami
- ma być niezależny

Jak widać - ogólne kierunki zmian zapowiadają się ciekawie (trzeba teraz przyjrzeć się szczegółom). To czego mi brakuje to informacji o powiązaniu zarządzania danymi osobowymi z ISMS, a może nawet wymogu utworzenia przynajmniej zrębów pozwalających na zarządzanie tym zagadnieniem w organizacji. Smuci też to, że na zmniejszenie biurokracji trzeba będzie jeszcze poczekać ok. 2 lat

Na zakończenie parę nowych/starych definicji
'data subject' means an identified natural person or a natural person who can be
identified, directly or indirectly, by means reasonably likely to be used by the
controller or by any other natural or legal person, in particular by reference to an
identification number, location data, online identifiers or to one or more factors
specific to the physical, physiological, genetic, mental, economic, cultural or social
identity of that person;

'personal data' means any information relating to a data subject;

'processing' means any operation or set of operations which is performed upon
personal data or sets of personal data, whether or not by automated means, such as
collection, recording, organization, structuring, storage, adaptation or alteration,
retrieval, consultation, use, disclosure by transmission, dissemination or otherwise
making available, alignment or combination, restriction, erasure or destruction;
.

24 stycznia 2012

ACTA

Type się mówi o ACTA oraz atakach jakie miały miejsce w ostatnich dniach, że nie chciałem dorzucać swoich 3groszy. W sumie tym postem też za dużo nowego nie wniosę, ale pragnę zwrócić uwagę na artykuł Vagli, który przygotował ściągawkę dla dziennikarzy z pytaniami jakie mogliby zadać w temacie ACTA.
Ciekawe ile osób z tego skorzysta. Pytania są...bardzo zasadne i konkretne

Tu kilka przykładów, zapraszam na stronę autora po więcej...
Dlaczego Ministerstwo Kultury i Dziedzictwa Narodowego nie publikuje w swoim serwisie dokumentów zawierających informacje publiczne i w jaki sposób Prezes Rady Ministrów chciałby to zmienić.

Czy premier wiedział o tym co podpisuje, kiedy podpisywał uchwałę pozwalającą na podpisanie ACTA przez Polskę (w tytule uchwały Rady Ministrów nie pojawia się ani angielskojęzyczny skrót, a długi tytuł: "Uchwała Rady Ministrów nr 216/2011 z dnia 25 listopada 2011 r. w sprawie udzielenia zgody na podpisanie Umowy handlowej dotyczącej zwalczania obrotu towarami podrobionymi między Unią Europejską i jej państwami członkowskimi, Australią, Kanadą, Japonią, Republiką Korei, Meksykańskimi Stanami Zjednoczonymi, Królestwem Marokańskim, Nową Zelandią, Republiką Singapuru, Konfederacją Szwajcarską i Stanami Zjednoczonymi Ameryki"

Jeśli premier wiedział, co podpisuje, a wcześniej brał udział w spotkaniach z internautami, na których ten temat kilka razy był podnoszony, to dlaczego nie zrealizował danej wcześniej obietnicy, że taka zgoda rządu na podpisanie traktatu nie będzie udzielona przed wyjaśnieniem z opinią publiczną wszystkich kontrowersji zgłaszanych przez polskie i europejskie organizacje pozarządowe od ponad 2 lat?

Czy toczą się obecnie jakieś ukryte przed oczami opinii publicznej negocjacje z udziałem rządu, dotyczące innych jeszcze porozumień międzynarodowych, które w jakikolwiek sposób mogą być związane z prawnymi aspektami obiegu informacji (w tym ochroną monopoli informacyjnych takich jak prawa autorskie) w społeczeństwie informacyjnym.

W jaki sposób wybrano podmioty, które poproszono o uwagi w konsultacjach społecznych dot. ACTA, które podobno się odbyły?
.

18 stycznia 2012

Cisza

.....................................................
...............................................
........................................
.................................
.........................
.................
.........
.....
.
Cisza
Cicho sza, cicho sza
SOPA nadchodzi, ACTA nadchodzi - choć może jednak nie nadejdą...
.

17 stycznia 2012

Warsztaty Zarządzanie bezpieczeństwem informacji w nowoczesnej firmie

21 lutego będę miał przyjemność prowadzić jedną z sesji podczas warsztatów Zarządzanie bezpieczeństwem informacji w nowoczesnej firmie organizowanych przez Puls Biznesu.

W trakcie sesji wraz z uczestnikami wspólnie przedyskutujemy kilka z prawdziwych, urzeczywistnionych zagrożeń oraz zastanowimy sie jak można było uniknąć strat, jakie proste zabezpieczenia wystarczyłyby by uniknąć kłopotów. Przedstawię przykłady sytuacji gdy wydawało się, że jest dobrze, lecz wcale tak nie było.
Porozmawiamy o realnych zagrożeniach i banalnych rozwiązaniach... Może być fajnie, może być wesoło.
Zapraszam w imieniu organizatorów (no i proszę się ujawnić na przerwie jako czytelnie to zaproszę na kawkę :-)
.