Odpowiedzialność projektanta systemu

Wstęp

prawie 10 lat temu pisałem:

Często spo­ty­kam się z róż­ny­mi meto­da­mi uwzględ­nia­nia pra­wa w doku­men­ta­cji wyma­gań. Jakim wyma­ga­niem jest zgod­ność z obo­wią­zu­ją­cym pra­wem? I trud­niej­sze pyta­nie: czy zmia­na pra­wa to zmia­na wyma­gań? Inny aspekt pro­ble­mu to ana­li­za i defi­ni­cja (opis) tej zgod­no­ści z pra­wem. Spotkać moż­na się z meto­dą pole­ga­ją­cą na trak­to­wa­niu każ­de­go (mają­ce­go wpływ na sys­tem) para­gra­fu np. usta­wy jako wyma­ga­nia. Problem zgod­no­ści opro­gra­mo­wa­nia z pra­wem ma dwa aspekty. Zgodność opro­gra­mo­wa­nia z pra­wem pole­ga na tym, że ??opro­gra­mo­wa­nie nie może ogra­ni­czać sto­so­wa­nia pra­wa to jest nie może  wymu­szać swo­imi ogra­ni­cze­nia­mi dzia­łań nie­zgod­nych z prawem?. Ja oso­bi­ście reko­men­du­ję roz­cią­gnię­cie tej defi­ni­cji na ??ani nie powin­no pozwa­lać na łama­nie pra­wa?.  Tu jed­nak wie­lu uwa­ża, że ??zama­wiam narzę­dzie i uży­wam jak chcę, na swo­ja odpo­wie­dzial­ność?. Coś w tym jest, war­to jed­nak zosta­wić ??włącz­nik?.  (źr.: Prawo a wymagania … )

Dzisiaj czytam:

To administrator odpowiada za zabezpieczenia systemów, a więc także za to, że pracownik zdołał skopiować dane osobowe na zewnętrzny nośnik. […] W ocenie WSA w toku postępowania PUODO prawidłowo ustalił, iż w SGGW dopuszczono się licznych uchybień, w szczególności nie przeprowadzono właściwej analizy ryzyka i oceny zagrożeń już na etapie projektowania systemów (privacy by design) oraz nie wdrożono odpowiednich środków zapewniających bezpieczeństwo danych, w tym przed możliwością wyeksportowania danych z systemu na zewnątrz.(źr.: Odpowiedzialność administratora za naruszenie zasady privacy by design)

Rzecz w tym, że administrator, w rozumieniu prawa, to także podmiot zlecający powstanie oprogramowania, które go wspiera w realizacji jego obowiązków, a jednym z tych obowiązków jest egzekwowanie ustalonych zasad. Dzisiaj o tym, że zbieranie “podpisów pod oświadczeniami” to nie jest bezpieczeństwo.

(więcej…)

Czytaj dalejOdpowiedzialność projektanta systemu

Dokument i jego struktura jako metoda zarządzania danymi

[toc]

Wprowadzenie

Bardzo wiele problemów w toku wdrożeń IT rodzą wadliwie zaprojektowane struktury dokumentów. Dotyczy to w szczególności zarządzania dostępem do treści, a patrząc szerzej: do informacji. Ostatnie lata to między innymi problemy urzędów z udzielaniem dostępu do informacji publicznej, od dwóch lat dodatkowo problemy stwarza RODO. Źródłem problemów jest treść dokumentów, rozumiana jako pytanie: “Czy te informacje muszą być zawarte w tym dokumencie”. Najpierw opiszę mechanizm powstawania przyczyn problemów i sposób ich rozwiązania. W podsumowaniu wskażę jak i gdzie sobie z tym radzić.

(więcej…)

Czytaj dalejDokument i jego struktura jako metoda zarządzania danymi

RODO ? dokumenty czyli co?

Poprzedni artykuł o RODO, jego część metodyczną, kończyłem słowami: I tu pojawia się bardzo ważne pojęcie: egzemplarz. Dotyczy ono wyłącznie bytów materialnych: informacje nie mają egzemplarzy, bo treść (to co zrozumiał człowiek) jest z zasady niematerialna. Tak więc wymiana jabłek to wymiana materialnych przedmiotów, oddając jabłko tracimy je (przestajemy je mieć). Wymiana informacji prowadzi wyłącznie do powiększenia stanu wiedzy, udostępniając informacje nie tracimy już posiadanych, pozyskujemy zaś nowe. Prawa materialne do treści (np. autorskie prawa majątkowe) to prawo dysponowania nią, a konkretnie prawo do ograniczania korzystania z tej treści, ale…

Czytaj dalejRODO ? dokumenty czyli co?

RODO – blaski i cienie. Cz.II

[toc] 1Poprzedni artykuł o RODO kończył się słowami: Co przed nami? W RODO np. czytamy, że ?Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej? ale już trzy akapity dalej czytamy, że ?Prawo do ochrony danych osobowych nie jest prawem bezwzględnym;?, więc mamy to prawo czy go nie mamy?  Dokument Rozporządzenie 2016/679 o ochronie danych osobowych (RODO) ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem…

Czytaj dalejRODO – blaski i cienie. Cz.II

RODO Ochrona danych osobowych czyli ochrona czego? Cz. I

Temat ochrony danych osobowych chodzi za mną od dłuższego czasu, do tej pory mówiłem sobie: jutro napiszę. I mówiłem tak codziennie rano od kilku lat :). Jednak nadchodzi RODO1, postanowiłem więc zając się tym bliżej, tym bardziej, że dotychczasowe przepisy już nastręczały wielu problemów. Dzisiaj o obecnym stanie prawnym, na dniach o RODO...   Generalnie prawo to normy prawne czyli reguły. Reguły w każdym języku budowane są z pojęć o określonym znaczeniu i predykatów. Tym razem postanowiłem wskazać przyczyny problemów jakie są z obecnym prawem i jakie nadchodzą, ze stosowaniem…

Czytaj dalejRODO Ochrona danych osobowych czyli ochrona czego? Cz. I

Koniec treści

Nie ma więcej stron do załadowania