GoldenLine
Zaloguj się
Krуstiаn B.

Krуstiаn B. "Lepsze wrogiem
dobrego"

Temat: Przesyłanie danych

Witam!

Chciałem zapisać się na szkolenie w prywatnej firmie. Wszedłem na stronę, szukałem plików do pobrania, ale nie żadnego znalazłem. Po przeszukaniu całej strony okazało się, że formularz zgłoszeniowy jest w formie elektronicznej. Problem w tym, że połączenie ze stroną nie jest w żaden sposób szyfrowane (nie ma SSL), a firma szkoleniowa chce abym w ten sposób przesłał wszystkie dane (imię, nazwisko, pesel, adres itd). Czy jest to zgodne z UODO i innymi przepisami?
Zastanawia mnie jaka "mądra głowa" to wymyśliła...

[Edit]
Dodam tylko, że dane z formularza przesyłane są później zwykłym tekstem na adres zgłaszającego podane w formularzu... I jak tu pilnować swoich danych...Krуstіаn В. edytował(a) ten post dnia 17.09.08 o godzinie 21:56
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Przesyłanie danych

"Firma, która przygotowuje konferencje lub kursy, nie powinna zbierać wielu informacji o słuchaczach." - polecam artykuł w RP - www.rp.pl/art...Jarosław Żabówka edytował(a) ten post dnia 18.09.08 o godzinie 02:07
Link do wypowiedziLink
Adam Danieluk

Adam Danieluk Prezes
stowarzyszenia ISSA
Polska. Zarządzanie
ryzykiem, ...

Temat: Przesyłanie danych

Wszystko zależy od zakresu zbieranych danych.
Jeśli go podasz wtedy pewnie będzie można stwierdzić czy zbierane dane są danymi osobowymi.
Oddzielną kwestię stanowi to czy szklenie jest kierowane do osób indywidualnych czy do firm.
Generalnie wątek długi i różnych „ale” może pojawić się wiele.
Link do wypowiedziLink
Adam Haertle

Adam Haertle Trener, wykładowca,
doradca

Temat: Przesyłanie danych

Ciągle pozostaje otwarte pytanie, czy dane osobowe przesyłane w sieci publicznej (czyli np formularz ze strony www albo email od organizatora) muszą mieć formę szyfrowaną? Ja oczywiście z rozsądku bym szyfrował (przynajmniej www, bo email to inna bajka), ale błąka mi się po głowie jakieś źródło prawa, które to nakazywało. Próbowałem zlokalizować jakikolwiek zapis, który by to regulował, ale bez powodzenia.

W załączniku do rozporządzenia z 29 kwietnia 2004 kilka zapisów jest, ale są one fragmentaryczne.

Po pierwsze, ochroną kryptograficzną należy objąć dane osobowe przetwarzane na komputerze przenośnym użytkowanym poza obszarem przetwarzania. Ok, ale nie dotyczy to danych przesyłanych w sieci.

Po drugie, urządzenia i nośniki zawierające dane osobowe przekazywane poza obszar, zabezpiecza się w sposób zapewniający poufność i integralność tych danych. Czyli znowu szyfrowanie, tylko inaczej nazwane i znowu nie odnosi się do sieci.

Po trzecie, stosuje się środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. Ale tu mowa tylko o danych wykorzystywanych do uwierzytelnienia, czyli ciągle nic o samych danych osobowych.

Czy ktoś zna regulację mówiącą, że dane osobowe przesyłane w sieci publicznej muszą być szyfrowane? Bo ze znanych mi przepisów taki obowiązek nie wynika. Co oczywiście nie znaczy, że nie wynika z logiki...
Link do wypowiedziLink

konto usunięte

Temat: Przesyłanie danych

Szanowni Panowie, prosze nie zapominac, ze opisane w dokumentach srodki, to *srodki minimalne*. To czy sa wystarczajace i adekwatne to stwierdzi dopiero kontrola z GIODO :) Wiec podczas zabezpieczania nalezy kierowac sie *logika*
Link do wypowiedziLink
Michał Filip Sobański

Michał Filip Sobański boer en sy roer

Temat: Przesyłanie danych

a co da ssl?
dane i tak będą przesłane na maila. https,ssl ma sens, aby np. admin serwisu nie mógł poznać numeru karty kredytowej, a w tym wypadku adres mailowy i nazwisko kursanta trzeba poznać :)))))))). a to, że niby ktoś z boku podejrzy, czyli tzw. third party jest małoprawdopodobne...mfsMichał Filip Sobański edytował(a) ten post dnia 23.09.08 o godzinie 00:46
Link do wypowiedziLink
Krуstiаn B.

Krуstiаn B. "Lepsze wrogiem
dobrego"

Temat: Przesyłanie danych

Chciałem tylko dodać, że przy formularzu przesyłana danych nie ma żadnej klauzuli, a dane są danymi osobowymi (imię, nazwisko, pesel, płeć, data urodzenia, adres, telefon etc.)
Jeżeli ktoś chce sam ocenić formularz o którym piszę proszę o wiadomość na priv - prześlę link.
Link do wypowiedziLink

konto usunięte

Temat: Przesyłanie danych

Krуstіаn В.:
Chciałem tylko dodać, że przy formularzu przesyłana danych nie ma żadnej klauzuli, a dane są danymi osobowymi (imię, nazwisko, pesel, płeć, data urodzenia, adres, telefon etc.)
Jeżeli ktoś chce sam ocenić formularz o którym piszę proszę o wiadomość na priv - prześlę link.

nie ma klauzuli, nie ma ochrony... ;)
Link do wypowiedziLink
Krуstiаn B.

Krуstiаn B. "Lepsze wrogiem
dobrego"

Temat: Przesyłanie danych

Witold (Witek) W.:
Krуstіаn В.:
Chciałem tylko dodać, że przy formularzu przesyłana danych nie ma żadnej klauzuli, a dane są danymi osobowymi (imię, nazwisko, pesel, płeć, data urodzenia, adres, telefon etc.)
Jeżeli ktoś chce sam ocenić formularz o którym piszę proszę o wiadomość na priv - prześlę link.

nie ma klauzuli, nie ma ochrony... ;)
Tylko dlaczego nie ma klauzuli? Nie musi jej być czy ktoś zapomniał?
Link do wypowiedziLink

konto usunięte

Temat: Przesyłanie danych

Krуstіаn В.:
Witold (Witek) W.:
Krуstіаn В.:
Chciałem tylko dodać, że przy formularzu przesyłana danych nie ma żadnej klauzuli, a dane są danymi osobowymi (imię, nazwisko, pesel, płeć, data urodzenia, adres, telefon etc.)
Jeżeli ktoś chce sam ocenić formularz o którym piszę proszę o wiadomość na priv - prześlę link.

nie ma klauzuli, nie ma ochrony... ;)
Tylko dlaczego nie ma klauzuli? Nie musi jej być czy ktoś zapomniał?

Jeśli nie ma klauzuli to jest jak w dowcipie... (odnosi się do do wspomnianej firmy)

po pierwsze nie jest Pan zdrowy, a po drugie...jest Pan chory :))

czyli firma nie ma własnego ABI, ani kogokolwiek kto kontroluje przestrzeganie zasad ochrony w procesie przetwarzania danych osobowych...i dwa...nie istnieje w niej takowa świadomość, gdyż nie zleca wspomnianej kontroli firmie zewnętrznej (external ABI)

zalecałbym rezygnację z wysłania własnych danych, chyba że jest Nam obojętne gdzie i do kogo trafiają...
Link do wypowiedziLink
Krуstiаn B.

Krуstiаn B. "Lepsze wrogiem
dobrego"

Temat: Przesyłanie danych

Witold (Witek) W.:
zalecałbym rezygnację z wysłania własnych danych, chyba że jest Nam obojętne gdzie i do kogo trafiają...
Tak też uczyniłem (nie wysłałem danych) :)

Mam też pytanie na temat przepisów dot. ochrony danych - czy możecie polecić jakieś opracowanie omawiające wszystkie zagadnienia oraz zarazem możliwe do przeczytania i zrozumienia?Krуstіаn В. edytował(a) ten post dnia 24.09.08 o godzinie 15:20
Link do wypowiedziLink

konto usunięte

Temat: Przesyłanie danych

Krуstіаn В.:
Witold (Witek) W.:
zalecałbym rezygnację z wysłania własnych danych, chyba że jest Nam obojętne gdzie i do kogo trafiają...
Tak też uczyniłem (nie wysłałem danych) :)

Mam też pytanie na temat przepisów dot. ochrony danych - czy możecie polecić jakieś opracowanie omawiające wszystkie zagadnienia oraz zarazem możliwe do przeczytania i zrozumienia?Krуstіаn В. edytował(a) ten post dnia 24.09.08 o godzinie 15:20

naści...
http://www.giodo.gov.pl/411/j/pl/
Link do wypowiedziLink
Krуstiаn B.

Krуstiаn B. "Lepsze wrogiem
dobrego"

Temat: Przesyłanie danych

Dziękuję :D
Link do wypowiedziLink
Michał Filip Sobański

Michał Filip Sobański boer en sy roer

Temat: Przesyłanie danych

To ja mam jeszcze pytanie, jeżeli byłoby to szkolenie dla firm, to czy taka klauzula jest potrzebna? Dane firmy typu nip, regon sa jawne. Ale ktoś podaje swojego maila, bo jednak trzeba z kims się skontaktować w tej firmie.
Drugą sprawa jest ustawa o VAT, która zezwala na kolekcjonowanie tych danych, po prostu potrzebnych do wystawienia faktury.
pozdr. mfsMichał Filip Sobański edytował(a) ten post dnia 24.09.08 o godzinie 16:27
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Przesyłanie danych

Krуstіаn В.:
Tylko dlaczego nie ma klauzuli? Nie musi jej być czy ktoś zapomniał?
Moim zdaniem mamy tu do czynienia z przetwarzaniem danych w celu zawarcia i realizacji umowy.

Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na Ŝądanie osoby, której dane dotyczą,

czyli, klauzula zgody na przetwarzanie danych osobowych nie jest potrzebna.Jarosław Żabówka edytował(a) ten post dnia 24.09.08 o godzinie 16:43
Link do wypowiedziLink

konto usunięte

Temat: Przesyłanie danych

Jarosław Żabówka:
Krуstіаn В.:
Tylko dlaczego nie ma klauzuli? Nie musi jej być czy ktoś zapomniał?
Moim zdaniem mamy tu do czynienia z przetwarzaniem danych w celu zawarcia i realizacji umowy.

Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na Ŝądanie osoby, której dane dotyczą,

czyli, klauzula zgody na przetwarzanie danych osobowych nie jest potrzebna.Jarosław Żabówka edytował(a) ten post dnia 24.09.08 o godzinie 16:43

przesłanka dopuszczalności przetwarzania nie implikuje w żaden sposób środków zabezpieczających...zwłaszcza w procesie zbierania danych...zwłaszcza, gdy do ich przesyłu używamy środków komunikacji elektronicznej...w zasadzie zabezpieczenie danych podczas ich przesyłu (a więc praktycznie zbierania przez ADO) to chyba kompletna dowolność... mylę się? :)
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Przesyłanie danych

Zabezpieczenia powinny być „adekwatne”. Dla mnie oznacza to przeprowadzenie analizy, czy komuś będzie się opłacało przełamywać stosowane zabezpieczenia, żeby z zabezpieczaną informacją się zapoznać.
Taki formularz zgłoszenia na szkolenie nie powinien zawierać więcej niż dane kontaktowe zgłaszającego się i informacje o szkoleniu. Czy wartość tych informacji uzasadnia stosowanie wyrafinowanych technik kryptograficznych?

Nie zapominajmy też o prawie telekomunikacyjnym i tajemnicy telekomunikacyjnej. Rozporządzenie zobowiązuje nas jedynie do zastosowania środków kryptograficznych wobec danych wykorzystywanych do uwierzytelnienia. Myślę, że w tym wypadku, firma szkoleniowa miała prawo uznać, że bezpieczeństwo gwarantowane przez tajemnicę telekomunikacyjną jest wystarczające (nie rozważam tutaj aspektów takich jak np. poprawa wizerunku firmy dbającej o bezpieczeństwo danych swoich klientów, itd.).
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Przesyłanie danych

Jarosław Żabówka:
czyli, klauzula zgody na przetwarzanie danych osobowych nie jest potrzebna.Jarosław Żabówka edytował(a) ten post dnia 24.09.08 o godzinie 16:43
zapomniałem dodać, że powinien jednak zostać spełniony obowiązek informacyjny - czyli na stronie powinny znajdować się informacje wymagane przez art.24 uodo

Tak naprawdę, to powinniśmy jeszcze wziąć pod uwagę, że można na szkolenie zgłaszać inną osobę fizyczną, a to jest już art.25 uodo...
Link do wypowiedziLink
Krуstiаn B.

Krуstiаn B. "Lepsze wrogiem
dobrego"

Temat: Przesyłanie danych

Tutaj znajduje się przykład formularza do rekrutacji na szkolenie. Czy Waszym zdaniem komunikacja przy przesyłaniu tylu danych nie powinna być w jakiś sposób zabezpieczona?Krуstіаn В. edytował(a) ten post dnia 23.10.08 o godzinie 12:31
Link do wypowiedziLink

konto usunięte

Temat: Przesyłanie danych

Krystian - mam takie male pytanie: ty tak z przyjemnosci czy obowiazku obywatelskiego? Planujesz podsylac tu kazda firme do ktorej masz jakies zastrzezenia?

Jezeli chcesz wiedziec co jest w porzadku a co nie, to zapoznaj sie z ustawami i rozporzadzeniem, a bedziesz wiedzial duzo sam. Pytania ktore zadajesz zostaly juz wyjasnione na tym forum (moze nie te casy, ale te same problemy) i po przeczytaniu dokumentow ustawowo/rozporzadzeniowych bedziesz duzo wiedzial.

A odpowiadajac na pytanie: moim zdaniem jest to zle zabezpieczone - przydaloby sie uzyc https
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj