W liście datowanym 15 grudnia 2013 (13:06:56) napisano:
Powiem tak, znajdzcie mi czlowieka, a ja na niego znajde paragraf. Zaden z nas - i mowie to z 100% przekonaniem - nie stosuje literalnie prawa w 100% przepisow, ktore go dotyczą. Gdyby chciec byc takim swietym to trzeba byloby byc niezyciowym, miec mega skomplikowane procedury, ktorych zaden smiertelnik nie zrozumie i w sumie przestac prowadzic dzialalnosc skupiajac sie tylko na wlasciwym, pelnym i literalnym stosowaniu obowiazaujacych przepisow. Panstwo chce uregulowac prawem kazda dziedzine naszego zycia i nad tym ubolewam bo gdzie trzeba to trzeba ale oni przeginaja, tylko czekac az pierdniecie bedzie uregulowane jakas ustawa.
M> Otrzymałem odpowiedź od Pana, który prowadził prelekcję. Pan ten jest M> prezesem firmy, która zajmuje sie bezpieczeństwem danych osobowych, M> mają odpowiednie certyfikaty z ABW i innych trójliterowych instytucji. M> Oto co mi napisał:
M> "Problem, który Pan porusza dotyczy przesyłania (zwykłą) pocztą M> elektroniczną z wykorzystaniem publicznej sieci telekomunikacyjnej, M> faktur klientom przedsiębiorcy telekomunikacyjnego (abonentom).
M> Faktura zawiera dane osób fizycznych (imię nazwisko, adres, nip).
M> Oznacza to, że są to dane osobowe, które przetwarza przedsiębiorca M> telekomunikacyjny, który jest administratorem tych danych osobowych.
M> Jeśli tak, to administrator danych osobowych odpowiada za M> bezpieczeństwo danych osobowych w trakcie całego procesu przetwarzania M> danych osobowych, począwszy od momentu pozyskania ich od abonenta do M> np. ich usunięcia z systemu, do momentu dostarczenia ich abonentowi M> itp.
M> Bezpieczeństwa danych osobowych to zachowanie m. in. poufności M> (zapewnienie, że informacja nie jest udostępniana lub ujawniana M> nieautoryzowanym osobom, podmiotom lub procesom).
M> Przesyłanie informacji pocztą elektroniczną (najprościej opisując) M> polega na tym, że informacja taka przekazywana jest z komputera M> nadawczego do serwera nadawczego, następnie do serwera odbiorczego i M> dalej do komputera odbiorczego. Przesyłane dane są zgromadzone w co M> najmniej czterech miejscach. Zarówno dane osobowe (faktura) jak i dane M> wykorzystywane do uwierzytelnienia (hasła dostępu do e-maila) M> przesyłane są w sieci publicznej w żaden sposób nie zabezpieczone M> przed ich ujawnieniem.
M> Obowiązkiem administratora danych osobowych jest obowiązany „dołożyć M> szczególnej staranności w celu ochrony interesów osób, których dane M> dotyczą” (Art. 26 ust. 1. Ustawy o ochronie danych osobowych). M> Obowiązek ten można realizować na kilka sposobów. Ochrona M> kryptograficzna jest jednym z nich.
M> Administrator danych osobowych stosuje środki kryptograficznej ochrony M> wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane M> w sieci publicznej. (Rozporządzenie Ministra Spraw Wewnętrznych i M> Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji M> przetwarzania danych osobowych oraz warunków technicznych i M> organizacyjnych, jakim powinny odpowiadać urządzenia i systemy M> informatyczne służące do przetwarzania danych osobowych)
M> Przepisy nie nakładają jednoznacznego obowiązku zastosowania M> konkretnej metody zabezpieczenia danych przesyłanych zwykłym mailem. M> Nakładają jednak obowiązek zapewnienia ich bezpieczeństwa. Metod M> rozwiązania tego problemu jest kilka. Jednak najprostszym sposobem M> zapewnienia bezpieczeństwa jest spowodowanie aby dane osobowe M> przesyłane mailem były niedostępne (nieczytelne) przez osoby M> postronne. Taką możliwość daje zabezpieczenie kryptograficzne. Pewnym M> jest to, że przesyłanie danych osobowych pocztą elektroniczną (zwykłą) M> nie "wyczerpuje normy prawnej "dołżenia szczególnej staranności" ... i M> za to ADO może być pociągnięty do odpowiedzialności."
M> Jak widać, pod jeden artykuł możemy podpisać wiele, jednym słowem M> wysyłając maile nie zabezpieczone nie dokładamy szczególnych starań M> przed dostępem osób trzecich.
M> Kryptowanie PGP jest wręcz nie możliwe, bo musielibyśmy mieć publiczne M> klucze wszystkich klientów, ale możemy: M> 1. zaprzestać dorzucać fakturę do maila - jak to zaczęli robić Ci M> wielcy, informując jedynie klienta o dostępności faktury w panelu M> użytkownika M> 2. zabezpieczyć plik pdf hasłem (pin usera) - tak jak robi CitiBank
M> Jeśli zabezpieczymy pdf hasłem to dołożymy szczególnych starań i nie M> będą mogli sie do nasz przyczepić. Da się to łatwo z poziomu php M> zrobić?
M> W dniu 14 grudnia 2013 14:05 użytkownik Radosław Maślanek M> radoslaw.maslanek@gmail.com napisał:
przestańcie wysyłać faktury w załączniku, zostawcie je w panelu i niech klient pobiera - wysyłajcie samo powiadomienie że jest faktura panelu i ew. historię operacji... tak robi Netia, Play, Orange itd...
Był taki czas że faktury leżały w załącznikach maili - ale jakoś wszyscy duzi gracze od tego odchodzą. Po co się upierać i kombinować?
W dniu 12 grudnia 2013 23:06 użytkownik Przemyslaw Frasunek przemyslaw@frasunek.com napisał:
W dniu 2013-12-12 20:01, Marcin pisze:
Witam Ostanio się dowiedziałem, że wysyłanie faktur w nie zaszyfrowanym mailu podchodzi pod złamanie ustawy o ochronie danych osobowych. Nie można zwykłym mailem wysyłać jakich kolwiek danych osobowych. Dało mi to do myślenia i zaprzestałem wysyłać maile z fakturami w postaci nie zaszyfrowanej. Moje pytanie, czy da się łatwo w skrypcie lms-sendinvoices.php zaimplementować szyfrowanie pgp?
Przynajmniej trzy różne banki wysyłają do klientów wyciągi z rachunków w postaci nieszyfrowanych maili (z załącznikiem HTML lub PDF). Wątpię, ażeby nasze faktury z LMS przyciągnęły czyjąkolwiek uwagę.
lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
-- serdecznie pozdrawiam, Radosław Maślanek _______________________________________________ lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms