Ochrona danych osobowych Wskazwki Andrzej Wodarczyk O czym
Ochrona danych osobowych Wskazówki Andrzej Włodarczyk
O czym będzie mowa 1. Dane osobowe - kontekst - łączenie kontekstów - stopniowanie danych 2. Przekazywanie danych - minimalizacja przy przekazywaniu - szyfrowanie - sprawdzanie adresatów - działania po błędnym przesłaniu - ocena naruszenia 3. Hasła - zmiana haseł - tworzenie hasła - mocne hasła także prywatnie - zły przykład prezydenta USA 4. Chronimy swoje dane osobowe - BIK - FB - karty lojalnościowe - udzielanie zgód - żądanie ograniczenia - kto jest AD tych namolnych telefonów - jak zablokować namolnych konsultantów
Dane osobowe (1) • Zawsze ma znaczenie kontekst w jakim przetwarzamy dane osobowe: • - dane w urzędach – w zależności od typu urzędu – inne jako mieszkaniec w urzędzie gminy, inne w skarbowym, inne w ZUS • - dane w sądach – dochodzą dane dotyczące skazań ( „wrażliwe”) • - dane przy zakupach ( raty, dowóz, zamówienia na odbiór w sklepie) • - dane w Internecie ( ciasteczka, nasze lajki, komentarze, nasze zdjęcia) • - dane zdrowotne („wrażliwe”)
Dane osobowe (2) • Szeroka dostępność Internetu, wykorzystanie IT do przetwarzania danych rodzi niebezpieczeństwo łączenia kontekstów występowania i wtedy z cząstkowych danych osobowych osoby nieuprawnione mogą uzyskać nasz „pełen obraz”. • Dlatego tak ważne jest dla nas jako pracowników przekazywanie danych tylko wymaganych prawem i w sposób bezpieczny. • W korespondencji minimum danych. • Dane prywatne – uważajmy, gdzie zostawiamy nasze dane cząstkowe
Dane osobowe (3) • Z punktu widzenia ewentualnych naruszeń pogrupujmy dane: • - dane ogólnodostępne lub podstawowe ( imię, nazwisko, telefon, adres) – ujawnienie ich może prowadzić do szkody dla tych osób, ale są to dane zwykłe • - jeśli dołożymy PESEL, nr dowodu, inne dokumenty, zdjęcie – to już takie dane mogą doprowadzić do przejęcia tożsamości • - przetwarzanie danych dotyczących zdrowia może doprowadzić do naruszenia prywatności • - przetwarzanie danych w sądach – różne w zależności od wydziału - cywilny – ogólne narażenie danych osobowych, stan majątkowy - karny – utrata dobrego imienia - rodzinny – zagrożenie dla dzieci
Dane osobowe (4) • Dlatego w sądach należy szczególnie chronić dane spoza zwykłego zakresu. • Ujawnienie danych z sądów z zasady może doprowadzić do większych szkód. • Należy sprawdzać jakie dane i komu wysyłamy ( szczególnie elektronicznie - wtedy szyfrowanie jest niezbędne) • Bardzo ważna jest szybka reakcja na naruszenie i szybkie naprawienie błędów
Przekazywanie danych (1) • Dane osobowe między instytucjami muszą być przekazywane • Dane przekazujemy na pisemne żądanie • Żądanie musi być poparte uzasadnieniem • W razie wątpliwości możemy odmówić przekazania ( ktoś dokładniej uzasadni) • Przekazujemy tylko te dane których żąda odbiorca
Przekazywanie danych (2) • Jeśli dane przesyłamy Pocztą Polską: - tylko minimum danych ( w razie zaginięcia jeśli mało danych to naruszenie mniej istotne) - dane spoza żądanego zakresu powinny być zanonimizowane - sprawdźmy adresata i treść przesyłki - jeśli długo nie otrzymujemy zwrotki to prześledźmy drogę przesyłki zanim minie 60 dni kiedy możemy przesyłkę uznać za zaginioną - można podjąć próbę kontaktu, by upewnić się czy przesyłka doszła
Przekazywanie danych (3) • Przesyłanie mailem: - upewniajmy się czy adres mailowy prawidłowy - może adresy da się pogrupować ( oddzielnie adwokaci, oddzielnie tłumacze itp. ) - minimum danych - jeśli danych więcej lub są wrażliwe – to bezwzględne szyfrowanie danych ( pakowanie z hasłem)
Przekazywanie danych (4) • Coś źle poszło ? : - sprawdzamy co zostało wysłane ( dane zwykłe, ile tych danych, a może dane wrażliwe) - dzwońmy, prośmy o zwrot lub zniszczenie - oceńmy kto te dane otrzymał ( „zwykła” osoba, instytucja, adwokat? ) - oceńmy jak szybko „możemy posprzątać” - wspólnie z kierownikiem sekretariatu oceńmy sytuację - bez względu na „wagę” naruszenia konsultujemy się Inspektorem Ochrony Danych - ocena stopnia naruszenia należy do IOD - ostateczna decyzja „czy zgłaszamy” do UODO należy do Prezesa Sądu
Przekazywanie danych (5) • Przykład z życia: - Sąd Rejonowy. Odbyła się rozprawa w wydziale karnym. Oskarżonych trzech cudzoziemców. Za między innymi włamania zapadł wyrok. Odpis wyroku zamiast do tłumacza przysięgłego został mailem wysłany do niezwiązanego z tą sprawą adwokata. Dokument nie był zaszyfrowany. • Co Państwo o tym sądzą – czy było naruszenie, jakie zasady nie zostały spełnione, czy ta sprawa wymaga zgłoszenia do Prezesa UODO ? ( opis dalszego postępowania na następnym slajdzie)
Przekazywanie danych (6) • Przykład z życia – szczegóły: - mail został wysłany w piątek o 11: 15, o 13: 00 adwokat odpisał mailem, że to nie do niego, o 13: 48 pracownica poprosiła o usunięcie wiadomości, także zadzwoniła i upewniła się, że adwokat na pewno usunie, poprosiła o mailowe potwierdzenie usunięcia, adwokat odpisał mailowo w poniedziałek o 8: 15 i potwierdził usunięcie.
Przekazywanie danych (7) • Przykład z życia – analiza: - jest to na pewno naruszenie, ale była szybka reakcja i bardzo krótki czas „utraty kontroli” nad danymi - adwokat wie, jakie są zasady ochrony danych osobowych i na pewno ich nie ujawni - występuje też kłopot „obcokrajowca” – zgłoszenie do UODO wiąże się nierozerwalnie z powiadomieniem osób, których dane uległy naruszeniu – czyli znów tłumaczenia
Przekazywanie danych (8) • Przykład z życia –decyzja: - IOD rekomendował Prezesowi Sądu niezgłaszanie tego naruszenia - szybka reakcja na zdarzenie oraz fakt że dane zostały wysłane do adwokata pozwoliły ocenić, że wystąpiło niskie ryzyko naruszenia dóbr tych osób mimo że wystąpiły dane wrażliwe - przypadek opisano i dołączono do dokumentacji RODO - prowadzona jest analiza dlaczego dokument nie został zaszyfrowany przed wysyłką ( gdyby był zaszyfrowany nie byłoby problemu) - rozważana jest też możliwość grupowania adresatów w poczcie elektronicznej by ewentualne ograniczyć błędy
Przekazywanie danych (9) • Przykład z życia – z życia szkół: – pedagog w szkole na służbowym komputerze kliknął na link albo wypełnił jakiś formularz – następnego dnia komputer „nie wstał” i pojawił się komunikat, ze komputer zablokowany, a za odblokowanie trzeba zapłacić okup – sprawa zgłoszono do IOD – IOD ocenił, że nastąpiła tylko chwilowa utrata dostępu do danych, bo całość dokumentacji jest w formie papierowej – trzeba tylko „zresetować” system i wpisać dane- jeśli potrzebujemy – niestety nie została wcześniej sporządzona kopia ważnych danych na nośniku zewnętrznym – RÓBMY KOPIE DANYCH
Hasła dostępu (1) • W pracy systemy wymuszają zmianę haseł – niedopuszczalne jest zapisywanie haseł i pozostawianie w widocznym miejscu ( jeśli już to częściowo zaszyfrowane – minimalnie zmieniony zapis w stosunku do prawdziwego hasła) • Nie wkopiowujemy haseł – czasami systemy dopuszczają • Po każdym ujawnieniu hasła – zmiana jest konieczna
Hasła dostępu (2) • Jak tworzyć hasło – propozycja ( z wierszyka): • Wszystkie mądre polskie kozy by je zliczyć nie mam siły • Wmpkbjznms – to osnowa, a potem zmieniamy i dodajemy cyfry i znaki specjalne • W? pżbjzn 314 --- ? – bo wątpię w mądrość; ż – a może żaby; ostatnie litery na cyfry • Ile wierszyków, wierszy, piosenek, cytatów znamy – łatwo zapamiętać, a po modyfikacjach nie do odgadnięcia ssasmbpns – z „samych swoich” nwtbl – z „sexmisji”
Hasła dostępu (3) • Mocne hasła używajmy także prywatnie, bo jak pokażemy na FB, że mamy pieska Reksia i dziecko urodziło się 11 września, to hasło „Reksio 1109” – nie stanowi żadnej zagadki dla hakera • Zróbmy „rachunek haseł” – zmieńmy na mocniejsze i trudniejsze do odgadnięcia ( systemy sprawdzają tylko liczbę znaków i czy mamy duże litery, cyfry i znaki specjalne i uspokojenie przez jakiś portal, że mamy mocne hasło to iluzja – np. !Alamakota 5)
Hasła dostępu (4) • Holenderski ekspert ds. bezpieczeństwa zgadł hasło (prezydenta) Trumpa na Twitterze. Drugi raz • Holender wszedł na twitterowe konto prezydenta USA, które obserwuje 87, 3 mln osób. Ekspert niczego na koncie nie zmienił, ale sprawę opisał w mediach. • Victor Gevers zgadł hasło prezydenta USA za piątym podejściem. Brzmiało ono: "maga 2020!". MAGA to skrót od "Make America Great Again" (ang. "Uczyń Amerykę Znowu Wielką"). To hasło wyborcze kampanii Trumpa i znak rozpoznawczy jego zwolenników.
Chrońmy swoje dane (1) • Na Facebooku minimum „twardych” danych • Jak najmniej danych na ogólnodostępnej części • Nie traktujmy FB jako medium kontaktu – w razie wątpliwości zadzwońmy, wyślijmy maila. • • Nie dopuszczamy do kserowania naszych dowodów
Chrońmy swoje dane (2) • Można zapisać się do BIK ( Biuro Informacji Kredytowej) • Wszystkie „porządne” firmy pożyczkowe i banki muszą zapytać o naszą zdolność kredytową – wtedy BIK poinformuje o takim pytaniu • Nie zablokuje, ale my mamy czas na reakcję • Kosztuje to 24 złote rocznie • Otrzymujemy komunikat: ( następny slajd)
Chrońmy swoje dane (3) • W ciągu ostatnich 30 dni nie odnotowaliśmy prób wyłudzenia na Twoje dane. • Skąd o tym wiemy? W tym czasie: żadna instytucja finansowa nie sprawdzała w BIK Twojej historii kredytowej, aby zdecydować o udzieleniu Ci kredytu lub pożyczki w rejestrze dłużników BIG Info. Monitor nie pojawiły się informacje, które mogłyby świadczyć o próbie bezprawnego wykorzystania Twoich danych BIK nie otrzymał informacji o nowym kredycie ani pożyczce zaciągniętych na Twoje dane • Alerty BIK czuwają 24/7, możesz więc spać spokojnie. Zawsze, jeśli zajdzie któreś z powyższych zdarzeń, otrzymasz od nas powiadomienie. • Przypominamy, że wszystkie otrzymane Alerty możesz też sprawdzić po zalogowaniu do Twojego konta na www. bik. pl. Tam też możesz zdecydować, jakimi kanałami chcesz otrzymywać powiadomienia.
Chrońmy swoje dane (4) • Można zablokować swój PESEL w firmach pożyczkowych i w bankach, ale : - firm pożyczkowych jest 500 - a banków też koło 500 z bankami spółdzielczymi • Blokujmy więc „przy okazji”, gdy ktoś przyśle reklamę
Chrońmy swoje dane (5) • Niestety BIK nie obejmuje „kiepskich” firm pożyczkowych ogłaszających się „na płocie” – „pożyczki bez BIK”, ”pożyczki na PESEL” • Z zabezpieczeń tutaj tylko mamy do dyspozycji blokadę naszych danych • Ale nad tymi firmami nie ma kontroli, powstają, znikają.
Chrońmy swoje dane (6) • Z zabezpieczeń tych danych „cząstkowych”: - żadnych kart lojalnościowych - nie zbierajmy punktów w różnych promocjach - ograniczmy aktywność na FB, na forach, świat obejdzie się bez naszych komentarzy - przez telefon przekazujmy jak najmniej danych - „słucham Andrzej Włodarczyk” – to mało rozsądne, ale z kolei grzeczne, no i przy firmie raczej pożądane - upewniamy się z kim rozmawiamy
Chrońmy swoje dane (7) • Te nachalne telefony: - jak mówią „dodzwoniłam się do Paryża prawda” – mówimy „nie do Londynu” - jak mówią „mam ofertę dla osób między 40 a 60 lat” – mówimy o to nie dla mnie, mam 25 lat - pytamy kto jest administratorem danych osobowych i mówimy chwileczkę zapiszę, dopytajmy o szczegóły - nasz telefon też jest daną osobową i powinni przekazać nam klauzule inf. - no i prosimy o wykreślenie naszych danych z bazy danych - postraszmy, że też nagrywamy
Chrońmy swoje dane (8) • Te nachalne telefony: pytajmy o administratora danych jak podadzą to zapisać i maila wysyłamy ( do biura do ich IOD) mniej więcej o treści: • Posiadają Państwo co najmniej mój numer telefonu wraz z lokalizacją lub adresem. Korzystając z prawa przewidzianego w RODO domagam się podania zakresu moich danych osobowych jakimi Państwo dysponują, podania skąd mają Państwo moje dane oraz usunięcia moich danych osobowych z Państwa bazy danych oraz domagam się poinformowania o żądaniu usunięcia moich danych kontrahentów, którym przekazali Państwo moje dane. Państwa konsultanci dzwonią do mnie wielokrotnie i mimo wyraźnych żądań z mojej strony, by usunąć mój telefon z Państwa bazy te telefony powtarzają się. Domagam się realizacji moich praw. Proszę o informacje oraz powiadomienie mnie o ostatecznym usunięciu moich danych. Od tej chwili wszystkie telefony od Państwa będą zapisywane. W przypadku braku odpowiedzi oraz dalszych nękań telefonami powiadomię Prezesa UODO o łamaniu moich praw.
Chrońmy swoje dane (9) • Te nachalne telefony: a wtedy przy odrobinie szczęścia otrzymamy: • w odpowiedzi na pytanie informuję, że Spółka wykorzystuje numery telefonów, znajdujące się w pakietach, które każdorazowo nabywa od współpracującego ze spółką podmiotu – spółki PERSON GLOBAL Spółka z ograniczoną odpowiedzialnością z siedzibą w Urzgorodzie (Ukraina) przy ulicy Gagarina 101 lok. 107, 88000 Urzgorod (Ukraina), który to zapewnił Spółkę o legalności źródła pochodzenia pierwotnej bazy danych, z której udostępniane są Spółce pakiety. Spółka nabywa pakiety, w których znajdują się numery telefonów wytypowane w oparciu o kryterium geograficzne. Oznacza to, że udostępniane spółce numery telefonów pochodzą z każdorazowo znanego konsultantowi obszaru geograficznego, na terenie którego organizowany jest dany pokaz, niemniej nie zna on ich geolokalizacji. Pragnę podkreślić i zapewnić, iż w trakcie wykonywania połączeń telefonicznych, przedstawiciele spółki posiadają do swojej dyspozycji wyłącznie numer telefonu, bez przyporządkowanych do niego jakichkolwiek danych osobowych właściciela lub użytkownika. Informuję iż, wskazany numer telefonu został usunięty z naszej bazy, tym samym, nie będzie on używany w celu wykonywania połączeń przez Exxxx Cxxxx Spółka z ograniczoną odpowiedzialnością.
Koniec • To taka zastępcza forma szkolenia. • W razie pytań jestem do dyspozycji
- Slides: 29