Aplikacja wszystko ci powie…

Z niedowierzaniem patrzyłam na zaktualizowane zdjęcie profilowe koleżanki, rzeczywiście wyglądała jak ona tylko za jakieś 30 lat, ale tak realnie, że wprawiało to w osłupienie.

W tym samym czasie dr Maciej Kawecki pisał: “czy naprawdę wiedza o tym jak będziemy wyglądać za 50 lat jest tak cenna by sprzedawać za nią zasoby do wszystkich naszych danych w telefonie!? I jeszcze do Rosji…”.

No właśnie tylko kto się nad tym w ogóle zastanawia instalując i korzystając z apliakcji typu FaceAppe, kto myśli o danych osobowych, które przy okazji udostępnia. Zaryzykuję stwierdzeniem, że prawie nikt…

  Aplikacja FaceAppe dzięki której można zobaczyć swój wizerunek z przyszłości, została stworzona przez firmę działającą w Rosji. Dane są przechowywane w chmurze a FaceApp jest produktem w segmencie aplikacji chmurowych dostępnych przez przeglądarkę internetową.

Niestety nie jest jasne, do jakiego stopnia pracownicy FaceApp mają dostęp do tych zdjęć i nie do końca wiadomo, co dzieje się dalej z przesłanymi twarzami.

Jak pisze dr Kawecki korzystając z rosyjskiej FaceApp, pozwalamy na modyfikowanie zawartości karty, pełny dostęp do sieci i odbieranie danych z internetu! Oczywiście za zgodą, gdyż instalacja aplikacji wymaga zgody użytkownika na udostępnienie danych.

Taki zakres danych udostępniany aplikacji stwarza potencjalnie duże zagrożenie dla dóbr użytkowników przy wykorzystaniu ich w sposób sprzeczny z prawem.

Czy zaspokojenie ciekawości o tym, jak będziemy wyglądać za kilkadziesiąt lat lub o kilkanaście kilogramów mniej lub jak nam w kolorze blond, warte jest udostępniania tak szerokiego zakresu danych. W szczególności, gdy niejasne jest, jak te dane będą przetwarzane.

Na koniec pragnę dodać, że wokół FaceApp wywiązała się prawdziwa burza. Jedni aplikację krytykują posądzając wręcz o szpiegowanie, inni natomiast zdecydowanie bronią wskazując, iż na przykład Facebook czy Twitter przetwarza więcej danych o swoich użytkownikach.

Zespół CERT Polska przeanalizował to oprogramowanie, aby sprawdzić, czy faktycznie umożliwia ono “kradzież” danych. Jest to bardzo ciekawa i merytorczyna analiza, która rozwiewa w mojej ocenie największe wątpliwości w szczególności w odniesieniu do “kradzieży danych”. Całe opracowanie znajdziesz pod linkiem: https://www.cert.pl/news/single/faceapp-analiza-aplikacji-oraz-rekomendacje-dotyczace-zachowania-prywatnosci/?fbclid=IwAR17n1D4_WDT3VZtyVbMHosoUzF0SqHXie1PB0tOmJ3sAmIjee7iXRoJV1c .

Niemniej jednak własne analizy prowadzi również Departament Zarządzania Danymi w Miniesterstwie Cyfryzacji i od ich wyników zależy czy zostaną podjęte formalne kroki związane z aplikacją.

Wdrażanie RODO – Zabezpieczenia

Każdy administrator danych odpowiedzialny jest za bezpieczeństwo i ochronę przetwarzanych danych osobowych przede wszystkim przed przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

RODO jednak nie zawiera szczegółowych wymogów w zakresie środków technicznych i organizacyjnych, które powinny być przez administratorów wdrażane w celu odpowiedniego zabezpieczenia danych. Decyzja o zastosowaniu odpowiednich środków będzie należała do administratora danych.

Dobierając odpowiednie zabezpieczenia administrator danych powinien przede wszystkim uwzględnić ryzyko związane z przetwarzaniem danych w swojej organizacji wynikające np. z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Środki organizacyjne i techniczne stosowane w celu zapewnienia bezpieczeństwa danym aktualnie mogą pozostać aktualne również po 25 maja 2018 r., jeśli oczywiście administrator danych uzna, że zapewnią one zgodność przetwarzania danych z wymogami RODO.

Więcej na zasygnalizowany temat przeczytasz na stronach GIODO Tutaj.

Reforma prawa ochrony danych osobowych i świadomość przedsiębiorców a ryzyka

Jedną z głównych przyczyn reformowania prawa ochrony danych osobowych była wola stworzenia bezpiecznego i jednolitego rynku cyfrowego. Wymiana dóbr i usług przez internet lub za jego pośrednictwem jest nieodzownym elementem naszych czasów, ale pomimo zalet niesie też istotne zagrożenia.

W chwili obecnej prowadzenie biznesu bez internetu i możliwości, które on daje  jest prawie niemożliwe.  Z drugiej strony sami konsumenci są istotnym uczestnikiem internetowej wymiany dóbr i usług coraz więcej kupując przez internet, korzystając z różnego rodzaju portali społecznościowych, grup dyskusyjnych czy aplikacji mobilnych.

Wymiana pomiędzy usługodawcami a usługobiorcami wymaga wchodzenia w relacje biznesowe i prawne, z którymi związana jest często konieczność przetwarzania danych osobowych. Nowe technologie w swojej dynamice nieustannie dostarczają nowych sposobów przetwarzania danych.

Technologie nie są już jedynie wykorzystywane do obsługi prostej transakcji sprzedaży, ale też do innych celów takich jak na przykład monitorowanie czy profilowanie usługobiorców na podstawie dostępnych danych. Najogólniej profilowanie polega na obserwacji zachowań użytkownika w internecie i na tej podstawie przewidywaniu jego zachowań, preferencji czy decyzji.

Wielość operacji na danych osobowych związana z rozwojem nowych technologii jest nieograniczona i trudna do przewidzenia. Z tym rozwojem nieodłącznie związana jest ingerencja w prywatność osób fizycznych. Dla zapewnienia bezpieczeństwa tym osobom, ktore uczestniczą w cyfrowej wymianie dóbr i usług zostało powołane rozporządzenie o ochronie danych osobowych osób fizycznych.

Z moich obserwacji wynika, iż świadomość reformy prawa ochrony danych osobowych stale się zwiększa, ale jest wciąż bardzo mała.  W dalszym ciągu obserwowuję podjeście do ochrony danych osobowych jako kwestii mniejszej wagi, często niezrozumiałej i abstrakcyjnej.

Nowe rozporządzenie wprowadza jako istotnę novum podejście oparte na ryzyku, co oznacza, że to administrator danych po ocenie ryzyka dla przetwarzania danych będzie odpowiedzialny za dobór odpowiednich środków zapewniających bezpieczeństwo danych w jego organizacji. Skalowanie ryzyka dla przetwarzania danych nie oznacza jednak skalowania odpowiedzialności, gdyż odpowiedzialność dla wszystkich podmiotów jest taka sama.

Zgodnie z rozporządzeniem operacje na danych z użyciem nowych technologii czy polegające na monitorowaniu czy tworzeniu profili z reguły stwarzają ryzyko dla przetwarzania danych. Z tego powodu dla tych operacji rozporządzenie przewiduje szereg mechanizmów prawnych, których celem jest zapewnienie bezpieczeństwa dla przetwarzania danych.

Rok 2017 jest rokiem, w którym wymagania nowego prawa ochrony danych osobowych powinny być wdrażane przez organy tak prywatne jak i publiczne. W szczególności dotyczy to nowych projektów, wdrażania nowych systemów informatycznych czy aplikacji, gdyż już na etapie projektowania powinny być wdrażane środki służące ochronie danych osobowych osób fizycznych. Umożliwiłoby to w przyszłości administratorom danych korzystającym z takich narzędzi wywiązywanie się z obowiązków rozporządzenia.

System Informacji Medycznej nadciąga

System informacji medycznej (SIM) to ogromne przedsięwzięcie finansowe, organizacyjne, informatyczne, ale też i mentalne. Założę się, że przeciętny obywatel nie ma o nim pojęcia. I upłynie pewnie wiele czasu, gdy obywatele zrozumieją, że cyfryzacja w ochronie zdrowia to fakt i to fakt, który dotyczy ich bezpośrednio. Kampanię informacyjne, komunikaty przekazywane w przystępnej formie to jedna strona medalu. Druga to taka mniej wygodna dotycząca bezpieczeństwa danych medycznych przetwarzanych przez SIM.

Aktualnie trwa budowa systemu P1 („Elektroniczna Platforma Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych”). Platforma będzie sercem SIM, docelowo zintegrowana z systemami informatycznymi usługodawców, umożliwiająca organom administracji publicznej i obywatelom gromadzenie, analizę i udostępnianie zasobów cyfrowych o zdarzeniach medycznych, zgodnie z ustawą o systemie informacji w ochronie zdrowia.

W Systemie P1 będzie znajdowała się informacja o zdarzeniach medycznych wszystkich obywateli Polski niezależnie od płatnika, a także obywateli Unii Europejskiej i innych krajów, którzy skorzystają ze świadczeń zdrowotnych na terenie Polski.

Zaplanowane do wdrożenia w ramach Projektu P1 rozwiązania zakładają:

  • Tworzenie, gromadzenie, analizowanie i udostępnianie elektronicznej dokumentacji medycznej pacjentów.
  • Elektroniczną obsługę recept, skierowań oraz wsparcia rezerwacji na porady lekarskie.
  • Udostępnienie podmiotom nadzorującym i kontrolującym sektor ochrony zdrowia w Polsce wiarygodnych i aktualnych informacji statystycznych pozwalających monitorować i planować działania w tej dziedzinie.
  • Wymianę niezbędnych danych medycznych pomiędzy różnymi systemami poszczególnych krajów Unii Europejskiej.

Realizacja Projektu ma na celu utworzenie rozwiązań informatycznych, które umożliwią gromadzenie i przetwarzane wiarygodnych danych o zdarzeniach medycznych. Dane te będą mogły być dalej wykorzystywane do celów profilaktyki i leczenia pacjenta, jak również do celów planowania opieki zdrowotnej i zarządzania kryzysowego.

System ma przyczynić się do poprawy jakości obsługi pacjentów przez wzmocnienie jakości świadczeń zdrowotnych poprzez podniesienie jakości i dostępności informacji o stanie zdrowia pacjenta i jego danych medycznych.

Dodatkowo ma nastąpić usprawnienie obsługi pacjenta poprzez umożliwienie realizacji elektronicznych usług związanych ze świadczeniem usług medycznych i ich rozliczaniem (np. elektroniczna recepta, elektroniczne skierowanie czy elektroniczne zwolnienie lekarskie) oraz telemedycyną.

Z punktu widzenia, który mnie interesuje System Informacji Medycznej będzie przetwarzał dane i to dane te najbardziej wrażliwe, bo dotyczące zdrowia i udzielanych w związku z jego ochroną świadczeń. Informatyzacja w ochronie zdrowia oczywiście jest zgodna z duchem czasu i co do zasady dobra. Dla pacjentów może to oznaczać oszczędność czasu, szybki i zdalny dostęp do danych przetwarzanych w dokumentacji medycznej. Nie zapominajmy jednak, że przy tego rodzaju danych wrażliwych kluczową kwestią jest zapewnienie odpowiedniego poziomu bezpieczeństwa, zapewnienia środków technicznych i organizacyjnych do zapewnienia tego poziomu, ale także podniesienia świadomości w tym zakresie u wszystkich podmiotów, osób, które w procesie przetwarzania danych będą uczestniczyć.

Świadomość wagi przetwarzanych danych medycznych ważna jest u samych pacjentów, którzy powinni być bezpośrednio zainteresowani zapewnieniem odpowiedniego bezpieczeństwa dla ich wrażliwych danych medycznych. Tymczasem według danych przedstawionych przez GIODO polscy obywatele wyżej cenią sobie informacje na temat danych ich identyfikujących jak imię i nazwisko niż dotyczące ich stanu zdrowia. Wydaje się to nieprawdopodbne a jednak.

Usługodawcy usług medycznych, pracownicy medyczni przetwarzający dane medyczne w związku z udzielaniem pacjentom świadczeń również muszą znać zasady zgodnego z prawem przetwarzania danych medycznych w systemach informatycznych. Jest to o tyle istotne, że spoczywa na nich szeroko pojęta odpowiedzialność prawna za zgodne z prawem przetwarzanie.

Niniejszy artykuł ma na celu wprowadzenie w bardzo szeroki temat informatyzacji w ochronie zdrowia i związane z tym przetwarzanie wrażliwych danych medycznych wszystkich obywateli. Temat ten postaram się na łamach mojego bloga stopniowo zgłębiać.

Kradzież danych osobowych tysięcy klientów Orange

Gigant telefonii komórkowej sieć Orange w tarapatach…

Dane osobowe tysięcy klientów tego operatora oferowano do sprzedaży przez internet…  

Uzyskane dotychczas przez funkcjonariuszy policji informacje mogą być jedynie wierzchołkiem góry lodowej. Z informacji uzyskanych przez Puls Biznesu wynika, że dane osobowe abonentów Orange były oferowane przez zatrzymanych od kilku miesięcy.

Co na to wszystko przedstawiciele operatora?  Orange nie komentuje tłumacząc to dobrem śledztwa. Rzecznik prasowy informuje, że nie można mówić o wycieku danych, ale o ich kradzieży.

Policja zatrzymała trzy osoby szukające w sieci kupców na dane osobowe abonentów telekomunikacyjnego giganta – czytamy w Pulsie Biznesu.

  Imiona i nazwiska, numery telefonów, PESEL, NIP i dokumentów tożsamości oraz adresy tradycyjne i e-mail. Z ustaleń Pulsu Biznesu wynika, że wszystkie te dane osobowe setek tysięcy abonentów Orange od kilku miesięcy można było kupić w internecie. Już nie można. Jeden z potencjalnych nabywców bazy danych zawiadomił łódzką policję, a ta zatrzymała trzech mężczyzn zamieszanych w proceder.

Zatrzymani usłyszeli zarzut z artykułu 267 kodeksu karnego,dotyczący kradzieży danych.

Grozi im do dwóch lat więzienia — potwierdza Joanna Kącka, rzecznik komendanta wojewódzkiego policji w Łodzi.

Czego boimy się w sieci…

 Tym razem trochę statystyki. Wyniki ankiety Eurobarometru o wpływie cyberprzestępczości, w której uczestniczyło ponad 27 tys. osób ze wszystkich państw członkowskich.

Użytkownicy internetu w UE bardzo zaniepokojeni zagrożeniami dla bezpieczeństwa w internecie – jak ujawniono w opublikowanym badaniu Eurobarometru. 76% badanych – więcej niż w podobnym badaniu z 2012 r. – uznaje, że ryzyko stania się ofiarą cyberprzestępczości wzrosło w ostatnim roku.  Już 12% internautów doświadczyło włamania na swoje konto poczty elektronicznej lub profil w portalu społecznościowym.   W badaniu, w którym uczestniczyło ponad 27 tys. osób ze wszystkich państw członkowskich, wykazano ponadto, że:

 87% respondentów unika ujawniania w internecie informacji osobistych (nieco mniej niż 89% w 2012 r.);

 większość badanych nadal nie czuje się dobrze poinformowanymi o zagrożeniach cyberprzestępczości (52% w tym roku w porównaniu z 59% w 2012 r.);

 7% padło ofiarą internetowego oszustwa bankowego lub dotyczącego karty kredytowej;

 znacznie wzrosła liczba osób korzystających z internetu za pomocą smartfona (35%, rok temu 24%) bądź tabletu (14%, w zeszłym roku 6%).

Badanie przeprowadzono w maju i czerwcu bieżącego roku