Materiały dla Uczestników XII Konwentu Ochrony Danych i Informacji
Proste to RODO jako patron medialny wydarzenia, pragnie w imieniu własnym oraz organizatorów XII Konwentu Ochrony Danych i Informacji podziękować Państwo za udział w wydarzeniu. Z tego też powodu podjęliśmy decyzję o przekazaniu dla Państwa małej niespodzianki w postaci, możliwości pobrania bezpłatnych egzemplarzy Komentarza do RODO autorstwa dr Jakuba Rzymowskiego oraz kuponu rabatowego pozwalającego na uzyskanie 50% rabatu na zakup materiałów w naszym Sklepie RODO
Komentarz Tom I
dr Jakub Rzymowski
„Prawodawca zapisuje przepis, prawnik odczytuje treść przepisu i ustala jego znaczenie, ustala je w sposób możliwie bliski temu, co w przepisie zapisał prawodawca, jednak jednocześnie jest w stanie ustalić to, co zapisał prawodawca, jedynie dzięki odczytaniu treści przepisu i ustaleniu jego znaczenia. Jak widać, kształtuje się tu swoiste błędne koło, wydaje się jednak, że nie ma możliwości wyjścia poza nie. Zdając sobie z tego sprawę, jedynym co można tu zrobić jest uczciwe, szczegółowe, drobiazgowe i w ogóle jak najbardziej precyzyjne odczytanie przepisu, po to by prawidłowo ustalić jego treść.”
Komentarz Tom II
dr Jakub Rzymowski
„W niniejszej monografii zajmuję się, najogólniej patrząc, odpowiedzią na pytanie o to kiedy przetwarzanie danych osobowych jest zgodne z prawem. Innymi słowy, zajmuję się w monografii odpowiedzią na pytanie o to, jakie należy spełnić warunki, by przetwarzać dane osobowe w sposób zgodny z prawem. Inaczej rzecz ujmując, pierwszym celem monografii jest ustalenie kiedy przetwarzanie danych osobowych jest zgodne z prawem.„
Sklep PTR
Proste to RODO
Kod rabatowy „bonusptr” wykorzystany w trakcie dokonywania zakupów w naszym Sklepie RODO obniża wartość koszyka o 50% jego wartości. Kupo ważny jest do 19 listopada 2023r. Z akcji wyłączone są produkty z kategorii sprzęt oraz wdrożenia IT i oprogramowanie.
Relacja ...
Adam Heartle / Zaufana Trzecia Strona
Poruszył temat związany z problemem ataków z wykorzystaniem ransomware. W swoim wystąpieniu omówił, jak wyglądały pierwsze z prób ataków przybliżając metody działania atakujących, datowane na rok 1989r. Przedstawiając kolejne przykłady rozwiązań stosowanych przez atakujących. Schemat działania pierwotnie sprowadzał się do blokowania komputerów i prób wymuszania okupów. Z czasem ewolucja metod działania doprowadziła do rozwoju i zróżnicowana metod działania. Przestępcy zaczęli organizować się w swojej przestępczej działalności. Na bazie przekazanych informacji zobrazowano różne metody działania, jak również kierunki rozwoju. Zaprezentowano także źródła zagrożeń, które istotnie przyczyniały się do tego, iż przeprowadzane ataki okazywały się skuteczne. Prowadzący zwrócił uwagę na fakt, tworzenia tzw. karteli informujących świat o skutecznych próbach ataków ransomware. Zagrożeniem jest już nie tylko szyfrowanie, ale także innego rodzaju próby wywierania presji na klientów, na personel pracujący. Te nowe kierunki działania wykorzystują nawet bezpośrednie kontakty telefoniczne z personelem przedsiębiorstw. Prowadzący zwrócił uwagę, na większą determinację w działaniu przestępców, aniżeli działów odpowiedzialnych za bezpieczeństwo systemów teleinformatycznych. Uwaga, są też dobre wieści … również w grupach przestępczych dochodzi do kłótni, które skutkują publikacją np. materiałów szkoleniowych pozwalających na podejmowanie zdecydowanych działań zaradczych. Przyszłość, niestety będzie gorzej, to konkluzja prowadzącego.
Michał Grobelny / NASK
Prowadzący wskazał na konieczność podejmowania zdecydowanych działań, do których zaliczył przede wszystkim inwestowanie w wiedzę i technologię. Problemem jest trudność w przekonaniu kadry zarządzającej, iż cyberbezpieczeństwo to nie tylko koszt, ale inwestowanie w cyberbezpieczeństwo może okazać się ich zyskiem. Przeprowadzanie szczegółowych i regularnych testów systemu teleinformatycznego powinno stać się codziennością. Prowadzący także zwraca uwagę na braki w działaniach uświadamiających personel. Prowadzący przybliża nam ścieżkę postępowania, w sytuacji, kiedy padniemy ofiarą ransomware. Po pierwsze radzi, aby nie panikować. Następnie podjąć działania polegające na odizolowaniu systemów, aby starać zatrzymać się rozprzestrzenianie oprogramowania. Można podjąć próby zidentyfikowania ransomware, pod kątem pozyskania klucza deszyfrującego. Kolejnym etapem powinna być analiza źródła infekcji. Należy także przeprowadzić działania polegające na ustaleniu zakresu powstałych szkód, w szczególności poprzez ustalenia tego, czy dane aby nie zostały wyekstrahowane. Prowadzący zwrócił także uwagę na element, jaki powinien wystąpić po ataku skuteczny, przegląd po zdarzeniu.
Mirosław Gumularz, Tomasz Izydorczyk / AI w kontekście RODO, GPT, Bard.
Prowadzący zwracają uwagę na konieczność określenia faktycznego modelu biznesowego, który przyjęty zostanie, jako decydujący przy tworzeniu, albo wykorzystaniu rozwiązań AI. Ustalenie tego elementu powinno doprowadzić do odpowiedzi na pytania o to, jakie dane, skąd zaczerpnięte, posłużą na wdrożenie rozwiązań AI, jak będą poprawiane i weryfikowane wyniki działalności algorytmu. Prowadzący zwracają uwagę na istotny problem, jakim jest chęć bezkrytycznego użytkowania rozwiązań AI przy jednoczesnym braku poczucia obowiązku zapoznania się np. z warunkami świadczenia takiej usługi. Zasygnalizowano także na rodzącą się tendencję. Tendencję polegającą na próbach regulowania zasad korzystania z rozwiązań AI przez pracodawców. Opracowywane są liczne polityki takiego wykorzystywania nowych rozwiązań w przedsiębiorstwach. Podano także przykład firmy Microsoft która pierwotnie zakazała pracownikom korzystania z takich rozwiązań, z czasem jednak wycofała się ze swojej decyzji. Prowadzący zwracają uwagę także na zagrożenia związane z korzystaniem z AI m.in. zachowanie szczególnej ostrożności co do proponowanych odpowiedzi generowanych z wykorzystaniem AI, które de facto pozostawać mogą w konflikcie z prawdą, rzetelnością, w szczególności w kontekście ich wykorzystywania w aspekcie zagadnień prawnych. Prowadzący podkreślają także, iż wprowadzanie danych do algorytmu, z określoną powtarzalnością, skutkuje tym, iż wyniki jego „wypowiedzi wyjściowych” będą oparte na „danych wprowadzonych”, które należy mieć tego świadomość mogą zostać zaburzone ze względu na niepoprawne dane wprowadzane. Prowadzący podkreślają także istnienie zjawiska jakim jest brak świadomości użytkowników korzystających z różnego rodzaju rozwiązań technologicznych np. tłumacza internetowego, iż decydując się na przetłumaczenie danego tekstu w przykładzie było to CV kandydata de facto udostępniają te dane algorytmowi tłumaczeniowemu, który wykorzysta je nie tylko do tego, aby wykonać usługę tłumaczenia, ale także do tego, aby uczyć się poprawności działania. De facto prowadzący podkreślają, iż w takim przypadku mamy do czynienia ze zmianą celu przetwarzania danych. Finalnie prowadzący radzą, aby monitorować warunki korzystania z rozwiązań AI poprzez zapoznawanie się z politykami prywatności dedykowanymi dla tych rozwiązań. Ponadto sugerują, iż warto jest opracowywać zasady korzystania z rozwiązań GPT dla użytkowników. Warto także, aby opracowana został lista zakazów, czyli innymi słowy opracowanie tego wykazu, jakie dane wejściowe nie mogą być wprowadzane do AI. Prowadzący sygnalizują, iż należy odpowiednio oznaczać treści utworzone opracowane przy wykorzystaniu AI.
Piotr Kawczyński
Prowadzący trafnie podnosi problem zaniechania we włączaniu IOD w procesy opiniowania, sygnalizując iż przy projektowaniu aplikacji mobilnych również takie zjawisko występuje. Dodatkowo podnosi, iż pośpiech jest elementem, który zastępuje racjonalne podejmowanie decyzji. Prowadzący podkreśla, to iż w specyfikacji powstających aplikacji obowiązkowo należy ujmować także kwestie związane z bezpieczeństwem danych. Prowadzący wskazuje najczęstsze zagrożenia dla aplikacji mobilnych, ataki na weryfikację danych, na uwierzytelniania, ataki kryptograficzne, ataki autoryzacyjne. Omówiono modelowy proces projektowania i tworzenia aplikacji mobilnych, zwracając przy tym szczególną uwagę na powstawanie aplikacji przy pomocy, których przetwarzane są dane szczególnej kategorii. Prowadzący zwrócił także szczególną uwagę na zasadność wdrażania rozwiązań zakładających szyfrowanie danych, a w szczególności zachowanie zasady minimalizacji danych. Podniósł także kwestie związane z zaniechaniami w zakresie transparentności i przygotowanie kanału do obsługi żądań użytkowników, ze zwróceniem uwagi, iż może on zostać wykorzystany także do kontaktu podmiotu danych, chcącego zrealizować przysługujące mu prawa na gruncie RODO.
Katarzyna Witkowska- Nowakowska
Skuteczny inspektor, to taki, który zna swoją organizację, który jest aktywny w organizacji. IOD ma wspierać, szkolić, podnosić świadomość, monitorować, współpracować z organem nadzorczym, pełnić funkcję punktu kontaktowego. IOD ma być swego rodzaju silnikiem, który wspiera ADO w poszukiwaniu prawidłowych rozwiązań. Należy sobie uświadomić, podnosi prowadzącą, iż ochrona danych osobowych nie jest celem biznesowym jest wtórna do pewnych celów które organizacja chce osiągać, wtórna do pewnych założeń biznesowych. Jak IOD może budować swoją pozycję, przede wszystkim poprzez wiedzę i praktykę. Wiedza nie powinna ograniczać się wyłącznie do przepisów RODO. IOD skutecznie działający musi poszerzać swoje kompetencje o przepisy w oparciu o które działalność swoją prowadzi ADO. Kompetencje, jakimi zdaniem prowadzącej powinien IOD: komunikacja, niezależność i odpowiedzialność, zrozumienie potrzeb organizacji, umiejętność identyfikacji ryzyka. Ochrona danych osobowych w organizacji to gra zespołowa, podnosi prowadząca, wskazując na potrzebę takiego właśnie podchodzenia do tematu. Skuteczny IOD nie może także bać się odpowiedzialności za swoje decyzje. Prowadząca podnosi, iż rolą IOD budującego świadomość w organizacji jest prowadzenie licznych kampanii informacyjnych, szkoleń, stosowanie list kontrolnych, organizowanie spotkań. Kluczem do skuteczności działań IOD może być budowanie świadomości u najwyższego kierownictwa organizacji.
Kamil Wojciechowski
Nowe technologie w branży medycznej, jako coraz śmielej stosowane rozwiązania, niestety nie zawsze zastosowania te oparte są o przepisy prawa, również sposoby eksploatacji sprzętu nie są odpowiednie. Wszystko to wymaga ponadprzeciętnego zaangażowania IOD w procesy, jakie zachodzą w ADO. Prowadzący podnosi kwestie związane z trendem łączenia, coraz to większych zbiorów danych, a w konsekwencji osiągany jest efekt w postaci możliwości identyfikacji konkretnych osób, de facto na bazie danych, które przed ich połączeniem nie dawały takiego efektu. Prowadzący raz jeszcze sygnalizuje, iż zasoby wyjściowe AI mogą nie być rzetelne i nie można nimi zastępować wymogu posiadania adekwatnej wiedzy przez IOD. IOD powinien aktualizować na bieżąco wiedzę swoją w zakresie nowych technologii i powstających gałęzi prawa.
Mariusz Stasiak vel Stasek, Artur Markiewicz
Cyber Sk@ut oraz ISSA Polska. Prowadzący przybliżyli idee, jakie realizują za sprawą prowadzonej działalności. Mariusz Stasiak Vel Stasek pokazuje, jak istotnym elementem w komunikacji z dzieckiem, jest właśnie prowadzenie rozmowy z nim, ale prowadzenie rozmowy w sposób ciekawy, taki aby zainteresować, zaangażować dziecko w daną tematykę. Jako przykład przedstawia tematykę AI, którą wykorzystywana jest nagminnie przez dzieci. Prowadzący zwraca uwagę na to, że należy dzieciom uświadamiać kwestie związane z wadami i zaletami korzystania z rozwiązań AI. Mariusz Stasiak Vel Stasek zwraca także uwagę na problem wykorzystywania gier w technologii online, co generuje dodatkowe, nowe ryzyka dla dzieci. Artur Markiewicz natomiast podnosi, jakiego rodzaju są to ryzyka sugerując iż cyberprzestępcy chętnie ukradną konto gracza, skradną itemy, zainfekują urządzenie końcowe, uświadamia także iż tego typu interakcje prowadzić mogą do poważnych przestępstw na tle seksualnym. Nie należy w żadnym wypadku bagatelizować problemów, jakie wygenerowane zostały, w związku z ww. nowymi technologiami komunikacyjnymi. Prowadzący starają się przekazać rzecz bardzo istotną, iż edukacja w zakresie cyberbezpieczeństwa, dzieci przyczynić może się do poprawy ich przyszłego dorosłego życsia, przez edukację bowiem przygotowujemy dzieci do ich późniejszej roli, jaką będą realizowały za sprawą swojej działalności, jako dorosłe już osoby.
Projekt UL – warsztaty z cyberbezpieczeństwa dla dzieci, celem ich jest zwiększenie kali edukacji dzieci i młodzieży, także poprzez podniesienie kompetencji dorosłych uczestników biorących udział w warsztatach.