lms-sendinvoices i ochrona danych osobowych
Witam Ostanio się dowiedziałem, że wysyłanie faktur w nie zaszyfrowanym mailu podchodzi pod złamanie ustawy o ochronie danych osobowych. Nie można zwykłym mailem wysyłać jakich kolwiek danych osobowych. Dało mi to do myślenia i zaprzestałem wysyłać maile z fakturami w postaci nie zaszyfrowanej. Moje pytanie, czy da się łatwo w skrypcie lms-sendinvoices.php zaimplementować szyfrowanie pgp?
Czesc,
I co kazdy klient bedzie musial posiadac Twoj klucz publiczy, zeby moc odszyfrowac maila? Z tego co wiem, wystarczy podpisywac maila ceryfikatem wystawionym przez jakies uprawnione do tego CA. I nie, nie udalo mi sie tego zaimplementowac w moim LMSie.
W dniu 12.12.2013, 20:01, Marcin pisze:
Witam Ostanio się dowiedziałem, że wysyłanie faktur w nie zaszyfrowanym mailu podchodzi pod złamanie ustawy o ochronie danych osobowych. Nie można zwykłym mailem wysyłać jakich kolwiek danych osobowych. Dało mi to do myślenia i zaprzestałem wysyłać maile z fakturami w postaci nie zaszyfrowanej. Moje pytanie, czy da się łatwo w skrypcie lms-sendinvoices.php zaimplementować szyfrowanie pgp?
Masz jakąś podstawę prawną tych rewelacji?
W dniu 12 grudnia 2013 20:01 użytkownik Marcin marcin@nicram.net napisał:
Witam Ostanio się dowiedziałem, że wysyłanie faktur w nie zaszyfrowanym mailu podchodzi pod złamanie ustawy o ochronie danych osobowych. Nie można zwykłym mailem wysyłać jakich kolwiek danych osobowych. Dało mi to do myślenia i zaprzestałem wysyłać maile z fakturami w postaci nie zaszyfrowanej. Moje pytanie, czy da się łatwo w skrypcie lms-sendinvoices.php zaimplementować szyfrowanie pgp?
-- Pozdrawiam Marcin / nicraM _______________________________________________ lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
W dniu 12 grudnia 2013 20:36 użytkownik Rafał Ramocki rafal.ramocki@gmail.com napisał:
Masz jakąś podstawę prawną tych rewelacji?
właśnie dokładnie szukam. tą rewelację usłyszałem na konferencji KIKE i później sam zacząłem dyskutowac, bo prowadzący użył sformuowania "wysłać bezpiecznym kanałem", tu od razu zadałem pytanie: czy jak ja wyślę normalnego maila używając ssl to czy jest to szyfrowany kanał? odpowiedział mi, że tak a ja brnąłem dalej i powiedziałem, że już serwery nie rozmawiają ze sobą po sslu i wiadomość dalej idzie czystym tekstem, o odbiorcy nie wspomnę, że nie musi używać ssl, ale ja wysłałem wiadomość "bezpiecznym kanałem". Biedny aż musiał zajrzeć do ustawy i przeczytał iż wiadomość nie może być odczytana przez osoby postronne, co zmieniło postać rzeczy. rozmowa była o wysyłaniu wiadomości z danymi osobowymi dla policji, prokuratury, przy czym dodał, że wysyłanie maili z fakturami też jest wysyłaniem danych osobowych w postaci elektronicznej.
W liście datowanym 12 grudnia 2013 (20:54:04) napisano:
Ludzie, nie dajcie sie zwariowac oszolomom. To, ze mamy glupia ustawe o ochronie danych osobowych nie znaczy, ze mamy tak samo glupio postepowac. W mysl tego co piszesz wyslanei faktury listem jakimkolwiek tez podlega pod ustawe bo to nie jest bezpieczny kanal i do korespondencji moze zajrzec listonosz lub sasiad wkladajac reke do skrzynki. Bezpieczenie w rozumieniu ustawy oznacza, ze nie wywalasz faktur na glownej stronie www bez auth, gdzie kazdy moze sobie do nich zagladnac.
Gdyby to co piszesz polegalo na prawdzie, ustawa ta dawno sparalizowala by to Panstwo.
M> W dniu 12 grudnia 2013 20:36 użytkownik Rafał Ramocki M> rafal.ramocki@gmail.com napisał:
Masz jakąś podstawę prawną tych rewelacji?
M> właśnie dokładnie szukam. M> tą rewelację usłyszałem na konferencji KIKE i później sam zacząłem M> dyskutowac, bo prowadzący użył sformuowania "wysłać bezpiecznym M> kanałem", tu od razu zadałem pytanie: czy jak ja wyślę normalnego M> maila używając ssl to czy jest to szyfrowany kanał? odpowiedział mi, M> że tak a ja brnąłem dalej i powiedziałem, że już serwery nie M> rozmawiają ze sobą po sslu i wiadomość dalej idzie czystym tekstem, o M> odbiorcy nie wspomnę, że nie musi używać ssl, ale ja wysłałem M> wiadomość "bezpiecznym kanałem". Biedny aż musiał zajrzeć do ustawy i M> przeczytał iż wiadomość nie może być odczytana przez osoby postronne, M> co zmieniło postać rzeczy. rozmowa była o wysyłaniu wiadomości z M> danymi osobowymi dla policji, prokuratury, przy czym dodał, że M> wysyłanie maili z fakturami też jest wysyłaniem danych osobowych w M> postaci elektronicznej.
W dniu 12 grudnia 2013 21:01 użytkownik Arkadiusz Szlękowski arek@gigabit.info.pl napisał:
W liście datowanym 12 grudnia 2013 (20:54:04) napisano:
Ludzie, nie dajcie sie zwariowac oszolomom. To, ze mamy glupia ustawe o ochronie danych osobowych nie znaczy, ze mamy tak samo glupio postepowac. W mysl tego co piszesz wyslanei faktury listem jakimkolwiek tez podlega pod ustawe bo to nie jest bezpieczny kanal i do korespondencji moze zajrzec listonosz lub sasiad wkladajac reke do skrzynki. Bezpieczenie w rozumieniu ustawy oznacza, ze nie wywalasz faktur na glownej stronie www bez auth, gdzie kazdy moze sobie do nich zagladnac.
Gdyby to co piszesz polegalo na prawdzie, ustawa ta dawno sparalizowala by to Panstwo.
Wiesz, jako mały przedsiębiorca (w sumie niewolnik firmy :)) wolałbym uniknąć jakichś kar z tym związanych, bo komuś się nie spodoba, że jego faktura przyszła mailem, gdze "każdy po drodze" mógł do niej zajrzeć. Wiem, ze mamy porąbane prawo, ale to nie zwalnia nas z jego przestrzegania :/
W dniu 12 grudnia 2013 21:45 użytkownik Marcin marcin@nicram.net napisał:
Wiesz, jako mały przedsiębiorca (w sumie niewolnik firmy :)) wolałbym uniknąć jakichś kar z tym związanych, bo komuś się nie spodoba, że jego faktura przyszła mailem, gdze "każdy po drodze" mógł do niej zajrzeć.
Nie mógł. Po pierwsze systemy pocztowe często rozmawiają ze sobą w SSL'u. Przypuszczam, że możesz to wymusić. Tak jak zostało tu podniesione list z fakturą tez można otworzyć. I to i to będzie złamaniem prawa (art 267 kk). Nie wskazałeś względem jakiego konkretnie przepisu masz obiekcje. Słowo "kanał" nie występuje w ustawie o ochronie danych osobowych :)
Wiem, ze mamy porąbane prawo, ale to nie zwalnia nas z jego przestrzegania :/
W dniu 12 grudnia 2013 21:59 użytkownik Rafał Ramocki rafal.ramocki@gmail.com napisał:
Nie mógł. Po pierwsze systemy pocztowe często rozmawiają ze sobą w SSL'u.
optymista :)
Przypuszczam, że możesz to wymusić. Tak jak zostało tu podniesione list z fakturą tez można otworzyć. I to i to będzie złamaniem prawa (art 267 kk). Nie wskazałeś względem jakiego konkretnie przepisu masz obiekcje. Słowo "kanał" nie występuje w ustawie o ochronie danych osobowych :)
rozmowa była na temat wysyłania danych osobowych dla policji, prokuratury. Dz.U. 2011 nr 287 poz. 1687 Art.20c paragraf 5b mówi: " zabezpieczenie techniczne i organizacyjne uniemożliwiające osobie nieuprawnionej dostęp do danych" czyli musi być podpisane pgp obu stron. tu właśnie został wtrącony wątek, iż wysyłanie faktur mailem to też wysyłanie danych osobowych.
W liście datowanym 12 grudnia 2013 (22:32:04) napisano:
czyli wracaajc do przykladu poczty to odpada bo tam listonosz i cala banda innych ludzi ma dostep wiec organizacyjnie odpada. Zatem jesli gliny chca dane to sobie same po to przychodza i tyle :-)
piep^&*^&* to :)
Przypuszczam, że możesz to wymusić. Tak jak zostało tu podniesione list z fakturą tez można otworzyć. I to i to będzie złamaniem prawa (art 267 kk). Nie wskazałeś względem jakiego konkretnie przepisu masz obiekcje. Słowo "kanał" nie występuje w ustawie o ochronie danych osobowych :)
M> rozmowa była na temat wysyłania danych osobowych dla policji, prokuratury. M> Dz.U. 2011 nr 287 poz. 1687 Art.20c paragraf 5b mówi: M> " zabezpieczenie techniczne i organizacyjne uniemożliwiające osobie M> nieuprawnionej dostęp do danych" M> czyli musi być podpisane pgp obu stron. M> tu właśnie został wtrącony wątek, iż wysyłanie faktur mailem to też M> wysyłanie danych osobowych.
W dniu 12 grudnia 2013 22:36 użytkownik Arkadiusz Szlękowski arek@gigabit.info.pl napisał:
W liście datowanym 12 grudnia 2013 (22:32:04) napisano:
czyli wracaajc do przykladu poczty to odpada bo tam listonosz i cala banda innych ludzi ma dostep wiec organizacyjnie odpada. Zatem jesli gliny chca dane to sobie same po to przychodza i tyle :-)
tak, tu przyznaję rację. ale jak to się ma do danych zawartych w fakturze wysyłanych nie szyfrowanym mailem? czy można to wogóle podpisać pod "udostępnianie danych osobowych"? de facto dane te wysyłamy do osoby/firmy, której to dotyczy, czyli danych nie udostępniamy. no ale gość gwoździa zabił :/
Na podstawie samego tego przepisu żaden gwóźdź. Po prostu ten przepis nie ma tu najmniejszego zastosowania. Masz jakiś inny który może mieć wpływ na wysyłanie faktur mailem?
W dniu 12 grudnia 2013 22:41 użytkownik Marcin marcin@nicram.net napisał:
W dniu 12 grudnia 2013 22:36 użytkownik Arkadiusz Szlękowski arek@gigabit.info.pl napisał:
W liście datowanym 12 grudnia 2013 (22:32:04) napisano:
czyli wracaajc do przykladu poczty to odpada bo tam listonosz i cala banda innych ludzi ma dostep wiec organizacyjnie odpada. Zatem jesli gliny chca dane to sobie same po to przychodza i tyle :-)
tak, tu przyznaję rację. ale jak to się ma do danych zawartych w fakturze wysyłanych nie szyfrowanym mailem? czy można to wogóle podpisać pod "udostępnianie danych osobowych"? de facto dane te wysyłamy do osoby/firmy, której to dotyczy, czyli danych nie udostępniamy. no ale gość gwoździa zabił :/
-- Pozdrawiam Marcin / nicraM _______________________________________________ lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
W dniu 12 grudnia 2013 23:00 użytkownik Rafał Ramocki rafal.ramocki@gmail.com napisał:
Na podstawie samego tego przepisu żaden gwóźdź. Po prostu ten przepis nie ma tu najmniejszego zastosowania. Masz jakiś inny który może mieć wpływ na wysyłanie faktur mailem?
qrde, temat wysyłania faktur mailem nie był dalej drążony. Też nie mogę znaleźć takiego przepisu, który nakazuje szyfrowanie wiadomości z załączoną faktrurą. Chyba najporściej bedzie, jak napiszę do gościa maila, co wtedy miał na myśli.
Ale ten przepis ma się nijak do faktur:
5. Udostępnienie Policji danych telekomunikacyjnych może nastąpić za pośrednictwem sieci telekomunikacyjnej jeżeli: 1) wykorzystywane sieci telekomunikacyjne zapewniają: a) możliwość ustalenia osoby uzyskującej dane, ich rodzaju oraz czasu, w którym zostały uzyskane, b) zabezpieczenie techniczne i organizacyjne uniemożliwiające osobie nieuprawnionej dostęp do danych;
Zresztą, jeżeli jesteś pewien adresu i faktu, że Twój system pocztowy komunikował się będzie z ich systemem pocztowym po SSL'u to to w mojej ocenie wystarczy.
W dniu 12 grudnia 2013 22:32 użytkownik Marcin marcin@nicram.net napisał:
W dniu 12 grudnia 2013 21:59 użytkownik Rafał Ramocki rafal.ramocki@gmail.com napisał:
Nie mógł. Po pierwsze systemy pocztowe często rozmawiają ze sobą w SSL'u.
optymista :)
Przypuszczam, że możesz to wymusić. Tak jak zostało tu podniesione list z fakturą tez można otworzyć. I to i to będzie złamaniem prawa (art 267
kk).
Nie wskazałeś względem jakiego konkretnie przepisu masz obiekcje. Słowo "kanał" nie występuje w ustawie o ochronie danych osobowych :)
rozmowa była na temat wysyłania danych osobowych dla policji, prokuratury. Dz.U. 2011 nr 287 poz. 1687 Art.20c paragraf 5b mówi: " zabezpieczenie techniczne i organizacyjne uniemożliwiające osobie nieuprawnionej dostęp do danych" czyli musi być podpisane pgp obu stron. tu właśnie został wtrącony wątek, iż wysyłanie faktur mailem to też wysyłanie danych osobowych.
-- Pozdrawiam Marcin / nicraM _______________________________________________ lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
W dniu 2013-12-12 21:01, Arkadiusz Szlękowski pisze:
W liście datowanym 12 grudnia 2013 (20:54:04) napisano:
Ludzie, nie dajcie sie zwariowac oszolomom. To, ze mamy glupia ustawe o ochronie danych osobowych nie znaczy, ze mamy tak samo glupio postepowac. W mysl tego co piszesz wyslanei faktury listem jakimkolwiek tez podlega pod ustawe bo to nie jest bezpieczny kanal i do korespondencji moze zajrzec listonosz lub sasiad wkladajac reke do skrzynki. Bezpieczenie w rozumieniu ustawy oznacza, ze nie wywalasz faktur na glownej stronie www bez auth, gdzie kazdy moze sobie do nich zagladnac.
Gdyby to co piszesz polegalo na prawdzie, ustawa ta dawno sparalizowala by to Panstwo.
M> W dniu 12 grudnia 2013 20:36 użytkownik Rafał Ramocki M> rafal.ramocki@gmail.com napisał:
Masz jakąś podstawę prawną tych rewelacji?
M> właśnie dokładnie szukam. M> tą rewelację usłyszałem na konferencji KIKE i później sam zacząłem M> dyskutowac, bo prowadzący użył sformuowania "wysłać bezpiecznym M> kanałem", tu od razu zadałem pytanie: czy jak ja wyślę normalnego M> maila używając ssl to czy jest to szyfrowany kanał? odpowiedział mi, M> że tak a ja brnąłem dalej i powiedziałem, że już serwery nie M> rozmawiają ze sobą po sslu i wiadomość dalej idzie czystym tekstem, o M> odbiorcy nie wspomnę, że nie musi używać ssl, ale ja wysłałem M> wiadomość "bezpiecznym kanałem". Biedny aż musiał zajrzeć do ustawy i M> przeczytał iż wiadomość nie może być odczytana przez osoby postronne, M> co zmieniło postać rzeczy. rozmowa była o wysyłaniu wiadomości z M> danymi osobowymi dla policji, prokuratury, przy czym dodał, że M> wysyłanie maili z fakturami też jest wysyłaniem danych osobowych w M> postaci elektronicznej.
ale po co zaglądać? przecież na kopercie musi być imię nazwisko i adres, żeby list dotarł ;)
W dniu 2013-12-12 20:01, Marcin pisze:
Witam Ostanio się dowiedziałem, że wysyłanie faktur w nie zaszyfrowanym mailu podchodzi pod złamanie ustawy o ochronie danych osobowych. Nie można zwykłym mailem wysyłać jakich kolwiek danych osobowych. Dało mi to do myślenia i zaprzestałem wysyłać maile z fakturami w postaci nie zaszyfrowanej. Moje pytanie, czy da się łatwo w skrypcie lms-sendinvoices.php zaimplementować szyfrowanie pgp?
Przynajmniej trzy różne banki wysyłają do klientów wyciągi z rachunków w postaci nieszyfrowanych maili (z załącznikiem HTML lub PDF). Wątpię, ażeby nasze faktury z LMS przyciągnęły czyjąkolwiek uwagę.
przestańcie wysyłać faktury w załączniku, zostawcie je w panelu i niech klient pobiera - wysyłajcie samo powiadomienie że jest faktura panelu i ew. historię operacji... tak robi Netia, Play, Orange itd...
Był taki czas że faktury leżały w załącznikach maili - ale jakoś wszyscy duzi gracze od tego odchodzą. Po co się upierać i kombinować?
W dniu 12 grudnia 2013 23:06 użytkownik Przemyslaw Frasunek przemyslaw@frasunek.com napisał:
W dniu 2013-12-12 20:01, Marcin pisze:
Witam Ostanio się dowiedziałem, że wysyłanie faktur w nie zaszyfrowanym mailu podchodzi pod złamanie ustawy o ochronie danych osobowych. Nie można zwykłym mailem wysyłać jakich kolwiek danych osobowych. Dało mi to do myślenia i zaprzestałem wysyłać maile z fakturami w postaci nie zaszyfrowanej. Moje pytanie, czy da się łatwo w skrypcie lms-sendinvoices.php zaimplementować szyfrowanie pgp?
Przynajmniej trzy różne banki wysyłają do klientów wyciągi z rachunków w postaci nieszyfrowanych maili (z załącznikiem HTML lub PDF). Wątpię, ażeby nasze faktury z LMS przyciągnęły czyjąkolwiek uwagę.
lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
Otrzymałem odpowiedź od Pana, który prowadził prelekcję. Pan ten jest prezesem firmy, która zajmuje sie bezpieczeństwem danych osobowych, mają odpowiednie certyfikaty z ABW i innych trójliterowych instytucji. Oto co mi napisał:
"Problem, który Pan porusza dotyczy przesyłania (zwykłą) pocztą elektroniczną z wykorzystaniem publicznej sieci telekomunikacyjnej, faktur klientom przedsiębiorcy telekomunikacyjnego (abonentom).
Faktura zawiera dane osób fizycznych (imię nazwisko, adres, nip).
Oznacza to, że są to dane osobowe, które przetwarza przedsiębiorca telekomunikacyjny, który jest administratorem tych danych osobowych.
Jeśli tak, to administrator danych osobowych odpowiada za bezpieczeństwo danych osobowych w trakcie całego procesu przetwarzania danych osobowych, począwszy od momentu pozyskania ich od abonenta do np. ich usunięcia z systemu, do momentu dostarczenia ich abonentowi itp.
Bezpieczeństwa danych osobowych to zachowanie m. in. poufności (zapewnienie, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom).
Przesyłanie informacji pocztą elektroniczną (najprościej opisując) polega na tym, że informacja taka przekazywana jest z komputera nadawczego do serwera nadawczego, następnie do serwera odbiorczego i dalej do komputera odbiorczego. Przesyłane dane są zgromadzone w co najmniej czterech miejscach. Zarówno dane osobowe (faktura) jak i dane wykorzystywane do uwierzytelnienia (hasła dostępu do e-maila) przesyłane są w sieci publicznej w żaden sposób nie zabezpieczone przed ich ujawnieniem.
Obowiązkiem administratora danych osobowych jest obowiązany „dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą” (Art. 26 ust. 1. Ustawy o ochronie danych osobowych). Obowiązek ten można realizować na kilka sposobów. Ochrona kryptograficzna jest jednym z nich.
Administrator danych osobowych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. (Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)
Przepisy nie nakładają jednoznacznego obowiązku zastosowania konkretnej metody zabezpieczenia danych przesyłanych zwykłym mailem. Nakładają jednak obowiązek zapewnienia ich bezpieczeństwa. Metod rozwiązania tego problemu jest kilka. Jednak najprostszym sposobem zapewnienia bezpieczeństwa jest spowodowanie aby dane osobowe przesyłane mailem były niedostępne (nieczytelne) przez osoby postronne. Taką możliwość daje zabezpieczenie kryptograficzne. Pewnym jest to, że przesyłanie danych osobowych pocztą elektroniczną (zwykłą) nie "wyczerpuje normy prawnej "dołżenia szczególnej staranności" ... i za to ADO może być pociągnięty do odpowiedzialności."
Jak widać, pod jeden artykuł możemy podpisać wiele, jednym słowem wysyłając maile nie zabezpieczone nie dokładamy szczególnych starań przed dostępem osób trzecich.
Kryptowanie PGP jest wręcz nie możliwe, bo musielibyśmy mieć publiczne klucze wszystkich klientów, ale możemy: 1. zaprzestać dorzucać fakturę do maila - jak to zaczęli robić Ci wielcy, informując jedynie klienta o dostępności faktury w panelu użytkownika 2. zabezpieczyć plik pdf hasłem (pin usera) - tak jak robi CitiBank
Jeśli zabezpieczymy pdf hasłem to dołożymy szczególnych starań i nie będą mogli sie do nasz przyczepić. Da się to łatwo z poziomu php zrobić?
W dniu 14 grudnia 2013 14:05 użytkownik Radosław Maślanek radoslaw.maslanek@gmail.com napisał:
przestańcie wysyłać faktury w załączniku, zostawcie je w panelu i niech klient pobiera - wysyłajcie samo powiadomienie że jest faktura panelu i ew. historię operacji... tak robi Netia, Play, Orange itd...
Był taki czas że faktury leżały w załącznikach maili - ale jakoś wszyscy duzi gracze od tego odchodzą. Po co się upierać i kombinować?
W dniu 12 grudnia 2013 23:06 użytkownik Przemyslaw Frasunek przemyslaw@frasunek.com napisał:
W dniu 2013-12-12 20:01, Marcin pisze:
Witam Ostanio się dowiedziałem, że wysyłanie faktur w nie zaszyfrowanym mailu podchodzi pod złamanie ustawy o ochronie danych osobowych. Nie można zwykłym mailem wysyłać jakich kolwiek danych osobowych. Dało mi to do myślenia i zaprzestałem wysyłać maile z fakturami w postaci nie zaszyfrowanej. Moje pytanie, czy da się łatwo w skrypcie lms-sendinvoices.php zaimplementować szyfrowanie pgp?
Przynajmniej trzy różne banki wysyłają do klientów wyciągi z rachunków w postaci nieszyfrowanych maili (z załącznikiem HTML lub PDF). Wątpię, ażeby nasze faktury z LMS przyciągnęły czyjąkolwiek uwagę.
lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
-- serdecznie pozdrawiam, Radosław Maślanek _______________________________________________ lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
W liście datowanym 15 grudnia 2013 (13:06:56) napisano:
Powiem tak, znajdzcie mi czlowieka, a ja na niego znajde paragraf. Zaden z nas - i mowie to z 100% przekonaniem - nie stosuje literalnie prawa w 100% przepisow, ktore go dotyczą. Gdyby chciec byc takim swietym to trzeba byloby byc niezyciowym, miec mega skomplikowane procedury, ktorych zaden smiertelnik nie zrozumie i w sumie przestac prowadzic dzialalnosc skupiajac sie tylko na wlasciwym, pelnym i literalnym stosowaniu obowiazaujacych przepisow. Panstwo chce uregulowac prawem kazda dziedzine naszego zycia i nad tym ubolewam bo gdzie trzeba to trzeba ale oni przeginaja, tylko czekac az pierdniecie bedzie uregulowane jakas ustawa.
M> Otrzymałem odpowiedź od Pana, który prowadził prelekcję. Pan ten jest M> prezesem firmy, która zajmuje sie bezpieczeństwem danych osobowych, M> mają odpowiednie certyfikaty z ABW i innych trójliterowych instytucji. M> Oto co mi napisał:
M> "Problem, który Pan porusza dotyczy przesyłania (zwykłą) pocztą M> elektroniczną z wykorzystaniem publicznej sieci telekomunikacyjnej, M> faktur klientom przedsiębiorcy telekomunikacyjnego (abonentom).
M> Faktura zawiera dane osób fizycznych (imię nazwisko, adres, nip).
M> Oznacza to, że są to dane osobowe, które przetwarza przedsiębiorca M> telekomunikacyjny, który jest administratorem tych danych osobowych.
M> Jeśli tak, to administrator danych osobowych odpowiada za M> bezpieczeństwo danych osobowych w trakcie całego procesu przetwarzania M> danych osobowych, począwszy od momentu pozyskania ich od abonenta do M> np. ich usunięcia z systemu, do momentu dostarczenia ich abonentowi M> itp.
M> Bezpieczeństwa danych osobowych to zachowanie m. in. poufności M> (zapewnienie, że informacja nie jest udostępniana lub ujawniana M> nieautoryzowanym osobom, podmiotom lub procesom).
M> Przesyłanie informacji pocztą elektroniczną (najprościej opisując) M> polega na tym, że informacja taka przekazywana jest z komputera M> nadawczego do serwera nadawczego, następnie do serwera odbiorczego i M> dalej do komputera odbiorczego. Przesyłane dane są zgromadzone w co M> najmniej czterech miejscach. Zarówno dane osobowe (faktura) jak i dane M> wykorzystywane do uwierzytelnienia (hasła dostępu do e-maila) M> przesyłane są w sieci publicznej w żaden sposób nie zabezpieczone M> przed ich ujawnieniem.
M> Obowiązkiem administratora danych osobowych jest obowiązany „dołożyć M> szczególnej staranności w celu ochrony interesów osób, których dane M> dotyczą” (Art. 26 ust. 1. Ustawy o ochronie danych osobowych). M> Obowiązek ten można realizować na kilka sposobów. Ochrona M> kryptograficzna jest jednym z nich.
M> Administrator danych osobowych stosuje środki kryptograficznej ochrony M> wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane M> w sieci publicznej. (Rozporządzenie Ministra Spraw Wewnętrznych i M> Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji M> przetwarzania danych osobowych oraz warunków technicznych i M> organizacyjnych, jakim powinny odpowiadać urządzenia i systemy M> informatyczne służące do przetwarzania danych osobowych)
M> Przepisy nie nakładają jednoznacznego obowiązku zastosowania M> konkretnej metody zabezpieczenia danych przesyłanych zwykłym mailem. M> Nakładają jednak obowiązek zapewnienia ich bezpieczeństwa. Metod M> rozwiązania tego problemu jest kilka. Jednak najprostszym sposobem M> zapewnienia bezpieczeństwa jest spowodowanie aby dane osobowe M> przesyłane mailem były niedostępne (nieczytelne) przez osoby M> postronne. Taką możliwość daje zabezpieczenie kryptograficzne. Pewnym M> jest to, że przesyłanie danych osobowych pocztą elektroniczną (zwykłą) M> nie "wyczerpuje normy prawnej "dołżenia szczególnej staranności" ... i M> za to ADO może być pociągnięty do odpowiedzialności."
M> Jak widać, pod jeden artykuł możemy podpisać wiele, jednym słowem M> wysyłając maile nie zabezpieczone nie dokładamy szczególnych starań M> przed dostępem osób trzecich.
M> Kryptowanie PGP jest wręcz nie możliwe, bo musielibyśmy mieć publiczne M> klucze wszystkich klientów, ale możemy: M> 1. zaprzestać dorzucać fakturę do maila - jak to zaczęli robić Ci M> wielcy, informując jedynie klienta o dostępności faktury w panelu M> użytkownika M> 2. zabezpieczyć plik pdf hasłem (pin usera) - tak jak robi CitiBank
M> Jeśli zabezpieczymy pdf hasłem to dołożymy szczególnych starań i nie M> będą mogli sie do nasz przyczepić. Da się to łatwo z poziomu php M> zrobić?
M> W dniu 14 grudnia 2013 14:05 użytkownik Radosław Maślanek M> radoslaw.maslanek@gmail.com napisał:
przestańcie wysyłać faktury w załączniku, zostawcie je w panelu i niech klient pobiera - wysyłajcie samo powiadomienie że jest faktura panelu i ew. historię operacji... tak robi Netia, Play, Orange itd...
Był taki czas że faktury leżały w załącznikach maili - ale jakoś wszyscy duzi gracze od tego odchodzą. Po co się upierać i kombinować?
W dniu 12 grudnia 2013 23:06 użytkownik Przemyslaw Frasunek przemyslaw@frasunek.com napisał:
W dniu 2013-12-12 20:01, Marcin pisze:
Witam Ostanio się dowiedziałem, że wysyłanie faktur w nie zaszyfrowanym mailu podchodzi pod złamanie ustawy o ochronie danych osobowych. Nie można zwykłym mailem wysyłać jakich kolwiek danych osobowych. Dało mi to do myślenia i zaprzestałem wysyłać maile z fakturami w postaci nie zaszyfrowanej. Moje pytanie, czy da się łatwo w skrypcie lms-sendinvoices.php zaimplementować szyfrowanie pgp?
Przynajmniej trzy różne banki wysyłają do klientów wyciągi z rachunków w postaci nieszyfrowanych maili (z załącznikiem HTML lub PDF). Wątpię, ażeby nasze faktury z LMS przyciągnęły czyjąkolwiek uwagę.
lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
-- serdecznie pozdrawiam, Radosław Maślanek _______________________________________________ lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
Hej ! Was z tą poprawnością polityczno-prawno-starocerkiewno-słowiańsko to trochę palce nie swędzą? Można - wysłać klientowi tylko info o fakturze, a pin i nr klienta nadać raz, pozwalający na logowanie do panelu. (ma to większy sens, bo wie się, że klient się zalogował a więc i - pobrał fakturę !). Adresy email, klienci zmieniają jak rękawiczki, podobnie (choć mniej) nr telefonów. Rozwiązanie pod tytułem faktury są w panelu jest o niebo lepsze i tyle. Można zapytać czy klient chce fakturę jako załącznik. Czy wiecie że - w większości "największych" naszych operatorów (zarówno ISP jak i - sprzedawców prądu czy gazu!) - wystarczy znajomość nr pesel i nazwiska aby zrobić, dosłownie wszystko przez "infolinię". Jak ktoś ma chęci, czas, środki to owszem, można się bawić w audyty bezpieczeństwa, certyfikaty, zewnętrznych ADO/ABI itp itd etc Ważniejsze jest raczej: losowe PINy, hasła, tam gdzie można protokoły z "s" na końcu. Pytanie ile % operatorów ma wykupiony podpis pod certyfikatem na https z "zaufanego i dobrze znanego CA" ? Bez przesady Panowie. Skoro banki - na wyraźną zgodę klientów - wysyłają "plain text" z danymi o przelewach to, któż się przyczepi o fakturę jako załącznik do email? A jak się przyczepi to można tylko powiadomienie, a faktury w panelu, to mały ISP też może. Czy ktoś miał już - z tego powodu jakiekolwiek doświadczenia? Jak nie, to trochę szkoda czasu. A nie wiem czy wiecie, że banki wysyłają "open text" nawet opisy przelewów w SMSach - np "wykonano zdefiniowany przelew: kochanka Zosia Nowak - ul. Zielona 30 - kwota 50zł" to o wiele więcej niż f/vat za internet :D BTW: u większości ISP warunkiem skorzystania z promocji jest zgoda na fakturę bez papieru, ale nadal - jest to świadoma zgoda abonenta a nie przymus (!).
W liście datowanym 15 grudnia 2013 (18:32:12) napisano:
KD> Was z tą poprawnością polityczno-prawno-starocerkiewno-słowiańsko to KD> trochę palce nie swędzą? KD> Można - wysłać klientowi tylko info o fakturze, a pin i nr klienta KD> nadać raz, pozwalający na logowanie do panelu. (ma to większy sens, bo KD> wie się, że klient się zalogował a więc i - pobrał fakturę !). KD> Adresy email, klienci zmieniają jak rękawiczki, podobnie (choć mniej) KD> nr telefonów. Rozwiązanie pod tytułem faktury są w panelu jest o niebo KD> lepsze i tyle.
Dla mnie osobiscie sprawa jest dosyc prosta. Nie pozwalam zadnej firmie na faktury elektroniczne jesli maja byc dostepne przez jakis system. Zgadzam sie jedynie wowczas, kiedy potrafia wyslac mailem. Maile czytam regularnie i stale sie nimi posluguje, w du...e mam czy ktos zobaczy po drodze moja fakture czy nie. Wracajac natomiast do systemow do ktorych trzeba sie zalogowac to ja nie mam czasu by na koniec miesiaca logowac sie do kilkunastu roznych systemow, z rozna polityka hasel. Jedne wymagaja znakow specjalnych inne przeciwnie itd. kazdy wyglada inaczej itd. Mam ciekawsze rzeczy do zobienia pod koniec miesiaca niz sleczenie przed monitorem i logowanie sie do nastu systemow.
pozdrawiam, Arkadiusz Szlekowski
Trudno się nie zgodzić z Arkadiuszem, koniec miesiąca trzeba by spędzić na pobieraniu faktur z różnych systemów. Co do samej prywatności danych ktoś wcześniej wspomniał, że "wielcy gracze" wysyłają tylko informacje o fakturze i wymienił wśród tych firm Orange. Nic bardziej mylnego, osobiście dostaję od Orange mail a w załączniku fakturę. Oczywiście dane tj. Imię, nazwisko czy adres znajdują się tam bez problemu.
Można by zapewne zautomatyzować szyfrowanie faktur (rar z hasłem najprostszą opcją, nie wiem na ile PDF pozwala szyfrować plik bez użycia dodatkowych wtyczek) i jako hasło ustawiać PIN klienta, ale zapewne spora część osób nie ogarnie takich czarów.
W dniu 15 grudnia 2013 20:01 użytkownik Arkadiusz Szlękowski < arek@gigabit.info.pl> napisał:
W liście datowanym 15 grudnia 2013 (18:32:12) napisano:
KD> Was z tą poprawnością polityczno-prawno-starocerkiewno-słowiańsko to KD> trochę palce nie swędzą? KD> Można - wysłać klientowi tylko info o fakturze, a pin i nr klienta KD> nadać raz, pozwalający na logowanie do panelu. (ma to większy sens, bo KD> wie się, że klient się zalogował a więc i - pobrał fakturę !). KD> Adresy email, klienci zmieniają jak rękawiczki, podobnie (choć mniej) KD> nr telefonów. Rozwiązanie pod tytułem faktury są w panelu jest o niebo KD> lepsze i tyle.
Dla mnie osobiscie sprawa jest dosyc prosta. Nie pozwalam zadnej firmie na faktury elektroniczne jesli maja byc dostepne przez jakis system. Zgadzam sie jedynie wowczas, kiedy potrafia wyslac mailem. Maile czytam regularnie i stale sie nimi posluguje, w du...e mam czy ktos zobaczy po drodze moja fakture czy nie. Wracajac natomiast do systemow do ktorych trzeba sie zalogowac to ja nie mam czasu by na koniec miesiaca logowac sie do kilkunastu roznych systemow, z rozna polityka hasel. Jedne wymagaja znakow specjalnych inne przeciwnie itd. kazdy wyglada inaczej itd. Mam ciekawsze rzeczy do zobienia pod koniec miesiaca niz sleczenie przed monitorem i logowanie sie do nastu systemow.
pozdrawiam, Arkadiusz Szlekowski
lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
Wiem o czym pisałem - w moim przypadku sytuacja dotyczy faktur na telefony stacjonarne, ale może inaczej ma się sytuacja w przypadku komórek - z mojego doświadczenia wiem że żaden z większych operatorów nie wysyła mi już faktur w załączniku do maila.
Ja osobiście wolę nie ryzykować kary od strony np. GIODO za to że chciałem ułatwić ludziom życie, dlatego klient loguje się do panelu raz w miesiącu - chyba że faktur nie potrzebuje... A jak bardzo pragnie mieć papierową wersję to za nią płaci przez utratę ulgi 5zł (jak np. w Netii) i po problemie :)
Nie róbmy problemu o przerażającej skali z rzeczy prostych - w myśl wcześniej zacytowanej wykładni prawniczej, skoro ktoś chce to robić (załączać nieszyfrowane faktury) to robi to na własne ryzyko...
Co do samej prywatności danych ktoś wcześniej wspomniał, że "wielcy gracze" wysyłają tylko informacje o fakturze i wymienił wśród tych firm Orange. Nic bardziej mylnego, osobiście dostaję od Orange mail a w załączniku fakturę.
W liście datowanym 15 grudnia 2013 (20:44:10) napisano:
AW> prywatności danych ktoś wcześniej wspomniał, że "wielcy gracze"
i jeszcze jedno ... mozemy sie wiele nauczyc od "wielkich graczy" ale ale mamy byc lepsi od nich ... inni ... inni w ten sposob by to wlasnie nas klienci wybrali :) Tak wiec argumenty, ze wielcy gracze to ... to zaden argument.
pozdrawiam,
uczestnicy (9)
-
"Czerepuk, Łukasz (JPK)" -
Adam Wicherek -
Arkadiusz Szlękowski -
Daniel Kulesza -
Krzysztof Drewicz -
Marcin -
Przemyslaw Frasunek -
Radosław Maślanek -
Rafał Ramocki