| poprzedni wątek | następny wątek | pl.soc.prawo |
| 2008-08-20 14:14 | niedostateczne zabezpieczenie danych osobowych - interwencja | Dr Dex |
| Witam Szanownych Grupowiczow ! Mam nastepujacy problem: Pol roku temu podpisalem umowe z firma X. Wybralem ja miedzy innymi dlatego ze jako jedyna w swojej branzy chwalila sie ze w ciagu paru miesiecy uruchomi serwis www za pomoca ktorego bedzie mozna na bierzaco przegladac historie transakcji, swoje konto itp itd. Serwis zostal uruchomiony miesiac temu. Logujac sie na niego moge przegladac: - swoje imie i nazwisko - swoje dane teleadresowe - historie wplat za okreslone uslugi slowem: dane ktore (w/g mnie) niekoniecznie powinny byc dostepne dla osob trzecich. Jak juz powiedzialem, serwis www zostal uruchomiony jednak dziala w zwyklych polaczeniach zamiast szyfrowanych (http zamiast https). Przejecie loginu i hasla a co za tym idzie uzyskanie dostepu do mojego konta w tak niezabezpieczonym serwisie jest zdecydowanie latwiejsze niz w przypadku witryn https. Chcialbym napisac do tej firmy pismo w ktorym "delikatnie" zasugerowalbym aby wyzej opisany fakt zmienili. W zwiazku z tym mam pare pytan: - Czy w takim pismie moge powolac sie na jakies akty prawne (ustawa o ochronie danych osobowych - jesli tak to na co dokladnie, jakies inne dokumenty) mowiace o tym ze tego typu serwisy powinny posiadac - moim zdaniem - elementarne zabezpieczenie ? Czy dane ktore wymienilem na poczatku kwalifikuja sie jako dane osobowe a przez to powinny byc chronione ? Czy firma udostepniajaca takie dane musi je chronic (np. za pomoca https) czy raczej nie musi a moze ? Przejscie z http na https to dla osoby ze srednia znajomoscia konfiguracji serwerow 10-15 min roboty + ewentualny koszt zakupu certyfikatu (ok. 300zl/rok) wiec nie wydaje mi sie zeby to byl jakis problem dla firmy X z gory dziekuje za wszystkie sugestie. -- "Everything should be made as simple as possible, but not simpler" - A. Einstein |
||
| 2008-08-20 15:10 | Re: niedostateczne zabezpieczenie danych osobowych - interwencja | Troll |
Uzytkownik "Dr Dex" news:g8h1s5$f6l$1@news.onet.pl... > Witam Szanownych Grupowiczow ! > > Mam nastepujacy problem: > > > Pol roku temu podpisalem umowe z firma X. Wybralem ja miedzy innymi > dlatego > ze jako jedyna w swojej branzy chwalila sie ze w ciagu paru miesiecy > uruchomi serwis www za pomoca ktorego bedzie mozna na bierzaco przegladac > historie transakcji, swoje konto itp itd. > > Serwis zostal uruchomiony miesiac temu. Logujac sie na niego moge > przegladac: > - swoje imie i nazwisko > - swoje dane teleadresowe > - historie wplat za okreslone uslugi > > slowem: dane ktore (w/g mnie) niekoniecznie powinny byc dostepne dla osob > trzecich. > > Jak juz powiedzialem, serwis www zostal uruchomiony jednak dziala w > zwyklych > polaczeniach zamiast szyfrowanych (http zamiast https). nie osmieszaj sie jak GIODO z nasza klasa, szyfrowanie ma sens w serwisach typu bank, gdzie wlamanie sie komus moze przyniesc istotna korzysc. P. -- http://wspolna-flaszka.pl - a Ty z kim dzisiaj pijesz? :-) |
||
| 2008-08-20 15:19 | Re: niedostateczne zabezpieczenie danych osobowych - interwencja | kjonca |
| On 20 Sie, 14:14, Dr Dex [...] > Czy firma udostepniajaca takie dane musi je chronic (np. za pomoca https) > czy raczej nie musi a moze ? Jedyne co mi przychodzi do głowy to: Dz. U. z 2004 r. Nr 100, poz. 1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Ale nie wiem czy ma to zastosowanie do Twojego przypadku. KJ |
||
| 2008-08-20 15:21 | Re: niedostateczne zabezpieczenie danych osobowych - interwencja | Dr Dex |
| Troll wrote: > > nie osmieszaj sie jak GIODO z nasza klasa, szyfrowanie ma sens w serwisach > typu bank, gdzie wlamanie sie komus moze przyniesc istotna korzysc. zdefiniuj termin "istotna korzysc" ? -- "Everything should be made as simple as possible, but not simpler" - A. Einstein |
||
| 2008-08-20 16:29 | Re: niedostateczne zabezpieczenie danych osobowych - interwencja | Troll |
Uzytkownik "Dr Dex" news:g8h5on$rmq$1@news.onet.pl... > Troll wrote: > >> >> nie osmieszaj sie jak GIODO z nasza klasa, szyfrowanie ma sens w >> serwisach >> typu bank, gdzie wlamanie sie komus moze przyniesc istotna korzysc. > > zdefiniuj termin "istotna korzysc" ? taka ktora powoduje ze ktos moze miec chec dorbania sie do danych(w tym twojego hasla), np konta bankowego (internetowego) z ktorego sobie moze przelac pieniadze. P. |
||
| 2008-08-20 17:49 | Re: niedostateczne zabezpieczenie danych osobowych - interwencja | Rentier |
| Dr Dex pisze: > Serwis zostal uruchomiony miesiac temu. Logujac sie na niego moge > przegladac: > - swoje imie i nazwisko > - swoje dane teleadresowe > - historie wplat za okreslone uslugi > slowem: dane ktore (w/g mnie) niekoniecznie powinny byc dostepne dla osob > trzecich. Słusznie.Ale czy są? > Jak juz powiedzialem, serwis www zostal uruchomiony jednak dziala w zwyklych > polaczeniach zamiast szyfrowanych (http zamiast https). > Przejecie loginu i hasla a co za tym idzie uzyskanie dostepu do mojego konta > w tak niezabezpieczonym serwisie jest zdecydowanie latwiejsze niz w > przypadku witryn https. Ale mimo to serwis jest zabezpieczony.Wprawdzie w w minimalny sposób, ale jest. > Chcialbym napisac do tej firmy pismo w ktorym "delikatnie" zasugerowalbym > aby wyzej opisany fakt zmienili. Mozesz. > W zwiazku z tym mam pare pytan: > - Czy w takim pismie moge powolac sie na jakies akty prawne (ustawa o > ochronie danych osobowych - jesli tak to na co dokladnie, To podstawa, ale szczegółów tam nie znajdziesz.Wg tego co piszesz dane są chronione. jakies inne > dokumenty) mowiace o tym ze tego typu serwisy powinny posiadac - moim > zdaniem - elementarne zabezpieczenie ? Login i hasło, np. minimum 6 znakowe- jest takim zabezpieczeniem > Czy dane ktore wymienilem na poczatku kwalifikuja sie jako dane osobowe a > przez to powinny byc chronione ? Zdecydowanie tak. > Czy firma udostepniajaca takie dane musi je chronic (np. za pomoca https) > czy raczej nie musi a moze ? Nie musi, ale może.To zależy jaką mają politykę bezpieczeństwa w firmie. Na podstawie Rozp,MSWiA w sprawie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, powinni stworzyć _adekwatny_system ochrony D.O. > Przejscie z http na https to dla osoby ze srednia znajomoscia konfiguracji > serwerow 10-15 min roboty + ewentualny koszt zakupu certyfikatu (ok. > 300zl/rok) wiec nie wydaje mi sie zeby to byl jakis problem dla firmy X Pewnie. W takich sprawach GIODO moze być wyrocznią ale nie musi. > > z gory dziekuje za wszystkie sugestie. > |
||
| 2008-08-20 19:18 | Re: niedostateczne zabezpieczenie danych osobowych - interwencja | Dr Dex |
| Rentier wrote: >> slowem: dane ktore (w/g mnie) niekoniecznie powinny byc dostepne dla osob >> trzecich. > Słusznie.Ale czy są? moga byc i to w latwy sposob. Czy to nie wystarcza ? > Ale mimo to serwis jest zabezpieczony.Wprawdzie w w minimalny sposób, > ale jest. > czym - haslem ? Nie wazne czy haslo bedzie mialo 2 czy 202 znaki - jest ono wysylane tekstem jawnym i przechodzi przez szereg urzadzen zarzadzanych przez osoby trzecie. Dostep do takich urzadzen = dostep do hasla a co za tym idzie i konta. Dla przykladu: powiedzmy ze lacze sie z internetem przez siec osiedlowa ktora zarzadza osoba ktora ma wobec mnie zle zamiary, albo nawet nie ma ale nie chcialbym aby wiedziala ze miesiac w miesiac przelewam na jakies konto po kilka tysiecy zlotych. W takim wypadku zdobycie hasla zajmie jej 2 minuty > >> W zwiazku z tym mam pare pytan: >> - Czy w takim pismie moge powolac sie na jakies akty prawne (ustawa o >> ochronie danych osobowych - jesli tak to na co dokladnie, > To podstawa, ale szczegółów tam nie znajdziesz.Wg tego co piszesz dane są > chronione. na jakiej podstawie tak sadzisz ? Bo w/g mnie wlasnie nie sa > Login i hasło, np. minimum 6 znakowe- jest takim zabezpieczeniem patrz wyzej > >> Czy dane ktore wymienilem na poczatku kwalifikuja sie jako dane osobowe a >> przez to powinny byc chronione ? > Zdecydowanie tak. czyli jednak mam prawo domagac sie aby byly chronione ? -- "Everything should be made as simple as possible, but not simpler" - A. Einstein |
||
| 2008-08-20 23:10 | Re: niedostateczne zabezpieczenie danych osobowych - interwencja | Rentier |
>>> slowem: dane ktore (w/g mnie) niekoniecznie powinny byc dostepne dla osob >>> trzecich. >> Słusznie.Ale czy są? > moga byc i to w latwy sposob. Czy to nie wystarcza ? To bardzo indywidualne.Co oznacza "łatwo?" dla informatyka tak, a dla twojego sasiada rencisty, który chciałby wiedzieć o tobie więcej - już jest czarna magia >> Ale mimo to serwis jest zabezpieczony.Wprawdzie w w minimalny sposób, >> ale jest. > czym - haslem ? Nie wazne czy haslo bedzie mialo 2 czy 202 znaki - jest ono Ważne. > wysylane tekstem jawnym i przechodzi przez szereg urzadzen zarzadzanych > przez osoby trzecie. Dostep do takich urzadzen = dostep do hasla a co za > tym idzie i konta. W tym sensie rzeczywiście ilość znaków jest nieistotna. Ale mogę zawsze powiedzieć(będąć adwokatem diabła) że twój komputer nie jest należycie zabezpieczony przed ulotem elektromagnetycznym,a wówczas spec ze sprzętem "łatwo" wszystko przechwyci. Z tym,że musisz wziąć pod uwagę adekwatność zabezpieczeń i zdrowy rozsądek. Jeżeli wygrasz jakikolwiek proces z firmą o odszkodowanie, to zawsze byłoby ono niższe niż koszt zabezpieczenia sprzętu jak do przetwarzania informacji np. niejawnych To oczywiście tylko przykład. Masz rację,wprowadzenie zabezpieczeń o 1 stopień wyższych od obecnych nie narazi firmy na znaczne koszty. >>> W zwiazku z tym mam pare pytan: >>> - Czy w takim pismie moge powolac sie na jakies akty prawne (ustawa o >>> ochronie danych osobowych - jesli tak to na co dokladnie, >> To podstawa, ale szczegółów tam nie znajdziesz.Wg tego co piszesz dane są >> chronione. > na jakiej podstawie tak sadzisz ? Bo w/g mnie wlasnie nie sa Ocenić to może GIODO. I tylko w tym konkretnym przypadku. A bazując na informacjach od ciebie, prawdopodobnie nie nakaże zastosować lepszych zabezpieczeń. Tu sporo czynników jest istotnych: jeżeli to internetowy sklep z guzikami i włóczką, to pewnie nic nie wskórasz, ale np. internetowy sex shop, to zapewne mógłbyś wygrać.Czujesz różnice? > czyli jednak mam prawo domagac sie aby byly chronione ? Żeby były _lepiej_chronione. Napiszesz do firmy swoje prośby/żądania.Ona albo uzna, albo nie.Jeżeli nie wal skargę do GIODO. |
||
| 2008-08-21 10:57 | Re: niedostateczne zabezpieczenie danych osobowych - interwencja | Piotr [trzykoty] |
Uzytkownik "Dr Dex" > Jak juz powiedzialem, serwis www zostal uruchomiony jednak dziala w > zwyklych > polaczeniach zamiast szyfrowanych (http zamiast https). Jest rozporzadzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadac urzadzenia i systemy informatyczne sluzace do przetwarzania danych osobowych: jak jest internet to ma byc https przy dostepie do danych (uwierzytelnianiu). Z tym, ze nie wiem czy w Twoim mozna mówic o uwierzytelnianiu sie do systemu przetwarzania danych, wszak masz dostep nie do zbioru, a jedynie do swoich danych. Bo idadc tym tokiem to praktycznie logujac sie gdzieklowiek nalezalony dawac https, bo ma sie dostep do swoich danych osobowych. A tak nie jest. Wydaje sie, ze logujac na wlasne konta nie ma sie dostepu do danych, wiec to wymaganie nie jest konieczne. Ale trzeba poszukac w interpretacjach GIODO lub oficjalnie tam spytac. |
||
| 2008-08-21 21:01 | Re: niedostateczne zabezpieczenie danych osobowych - interwencja | ML |
| Na początku zaznaczę, że nie jestem prawnikiem, ale może ma tu zastosowanie ustawa o świadczeniu usług drogą elektroniczną? Art. 7. Usługodawca zapewnia działanie systemu teleinformatycznego, którym się posługuje, umożliwiając nieodpłatnie usługobiorcy: 1) w razie, gdy wymaga tego właściwość usługi: a) korzystanie przez usługobiorcę z usługi świadczonej drogą elektroniczną, w sposób uniemożliwiający dostęp osób nieuprawnionych do treści przekazu składającego się na tę usługę, w szczególności przy wykorzystaniu technik kryptograficznych odpowiednich dla właściwości świadczonej usługi, |
||
| nowsze | 1 2 | starsze |
| Tytuł | Autor | Data |
|---|---|---|
Udostepnianie danych osobowych |
Daroot | 2006-01-08 16:30 |
ustawa o danych osobowych |
Anna LT | 2006-06-07 10:10 |
ujawnianie danych osobowych |
pablo | 2006-08-05 13:53 |
kradziez danych osobowych |
BJ | 2006-10-09 18:53 |
ochrona danych osobowych |
Argonn | 2006-12-12 21:02 |
baza danych i problrm z ochrona danych osobowych |
Paluch | 2007-02-23 23:27 |
Przechowywanie danych osobowych |
SOCAR | 2007-05-17 17:08 |
Przetwarzanie danych osobowych |
Krzysztof 'kw1618' z Wars | 2007-11-01 23:18 |
T.U. i ochrona danych osobowych |
Prezes | 2008-01-15 21:56 |
Ustawa o ochronie danych osobowych a księgi kościelne[bazy danych] i konkordat |
Sky | 2008-05-12 12:00 |