Re: [Czuwaj] Spis zhp - jestem więc za ACTA!!!

Mateusz Cebula mateusz.cebula w zhp.net.pl
Pon, 13 Lut 2012, 23:12:24 CET


Nic dodać, nic ująć - ten mail należałoby wysłać do chorągwi i hufców, żeby
ludzie to przeczytali i przestali wygadywać bzdury nt. ewidencji, bo aż
głowa boli od tego (kradzież danych osobowych, konieczność zgód,
niebezpieczeństwo, wymysł złej GKi, zmarnowane (w domyśle duże) pieniądze
itd. itp.).

Bo niestety więcej winy jest po stronie ludzi, organizacji, a nie systemu.
On sam w sobie ma jakieś niedoskonałości (b. dobrze, że poprawiano je na
bieżąco), ale to standard, nie da się zrobić czegoś 100% działającego bez
najmniejszych zarzutów.

Na pierwszym wykładzie od pewnego profesora usłyszałem, że "komputer nie
zmienia znaku", tylko potęguje pewne zjawiska. Jeśli wprowadza się jakieś
rozwiązanie informatyczne do firmy/instytucji/organizacji i generalnie
działa ona OK, to komputery tylko to spotęgują i pomogą. A jesli coś jest
nie tak w samym miejscu implementacji systemu, to komputery bezwzględnie
obnażą słabości firmy/instytucji/organizacji.

I zdaje się, że mamy raczej tą drugą opcję - niezrozumiały opór, zaburzenia
komunikacji wewnątrz organizacji, w jakimś tam stopniu jedynie fizyczną
obecność na szkoleniach (bez cienia zrozumienia tego, co się mówi/pokazuje).

Pozdrawiam
cebul

W dniu 13 lutego 2012 13:12 użytkownik jotkaf <jotkaf w gmail.com> napisał:

>
> Długo zastanawiałem się czy pisać...
>
> Zajrzałem na Listę jak Druhna Katarzyna prosiła i czytam... no i trochę oczy
> ze zdumienia przecieram, że na ogólnie publicznie liście dyskusyjnej do
> której każdy z poza ZHP się może zapisać - toczy się dyskusja o
> przetwarzaniu danych w ZHP w zakresie ich ochrony.
>
> Chciałbym prosić więc o trochę wyrozumiałości dla mojej skromnej osoby -
> jako kogoś kto tu raczej nie bawił i doświadczenie w dyskusjach tego typu
> ma doświadczenie małe - i proszę by w moich wypowiedziach -pewnie
> niezdarnych jak na nowicjusza przystało - zakładać zawsze dobrą intencje.
> Ponieważ starałem się przez chwilę uważnie na liście skupić postaram się
> poruszyć kilka spraw.
> 1.      ZHP nie potrzebuje zgody od swoich członków na przetwarzanie ich
> danych osobowych. Zgoda jest tylko jedną z przesłanek którą każdy
> administrator danych musi spełnić by móc dane przetwarzać. ZHP powołuje się
> na przesłankę nr 5: Jest to niezbędne dla wypełniania prawnie
> usprawiedliwionych celów realizowanych przez administratorów danych albo
> odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której
> dane dotyczą.
> ZHP ma usprawiedliwiony cel - ustawa o stwarzaniach nakazuje mu
> prowadzenie rejestru członków. Warto tu pamiętać, ze nie ma to znaczenia
> dla formy przetwarzania danych. Formalnie trzeba mieć mandat do
> przetwarzania danych zarówno w formie papierowych jak i tych w systemach
> informatycznych.
>
> 2.      Danymi osobowymi są wszelkie dane osobowe, które pozwalają na
> identyfikację osoby. Posiadanie samych peseli nie pozwala na identyfikację
> - potrzebna jest jeszcze możliwość sprawdzenia danych w jakimś rejestrze, a
> tą nie każdy ma. Dla potrzeb tej dyskusji przyjmijmy oczywiście, że w
> Ewidencji ZHP pesel jest uznawany za daną chronioną. Podobnie jak adres
> email. Dożo bardziej się obawiam, że mój adres stanowi łakomy kąsek niż mój
> pesel.
>
> 3.      Co to jest PESEL: Mój PESEL to: 720215-0197-4 Specjalnie napisałem
> go właśnie w takiej formie. Pierwszych 6 cyfr to data urodzenia -
> pozostałem 4 cyfry to kolejność przyjęcia do rejestracji w danym dniu
> urodzenia, z tym, że przyjęto numery nieparzyste przydzielane mężczyznom, a
> kobiety mają przydzielane numery parzyste. Ostatnia cyfra to cyfra
> kontrolna wyliczana według matematycznego wzoru - by móc kontrolować czy
> wprowadzając pesel się nie pomyliliśmy. Czy więc informacja o tym, że
> zostaliśmy zarejestrowani jako 197 osoba w tym dniu naprawdę jest takim
> problemem? Mając numer pesel nie wyrządzimy komuś krzywdy. Nie da się na
> pesel wziąć za kogoś kredyt, nie da się na infolinii w banku niczego
> załatwić.  To tylko ciąg cyfr mających na celu określenie, ze ta osoba to
> ta osoba. I oczywiście nie oznacza to, że należy numerami PESEL wytapetować
> korytarz w GK, ale jeżeli go widzą osoby upoważnione do przetwarzania
> danych to już chyba nie jest to jakaś wielka zbrodnia.
>
> 4.      Upoważnienia - każda osoba dostająca dostęp do aplikacji powinna
> być upoważniona do przetwarzania danych i przeszkolona z zakresu ochronnych
> tych danych osobowych. I znów nie ma tu znaczenia, czy przetwarza je w
> książce pracy drużyny czy w systemie informatycznym. Pytanie czy wszystkie
> hufce spełniają wymogi ustawowe i szkolą swoich drużynowych w tym zakresie?
> Czy każdy drużynowy podpisał stosowne zobowiązanie wymagane przepisami
> prawa? Oczywiście zrozumiem cisnące się na usta to ile jeszcze ten
> drużynowy pracujący społecznie może znieść, ilu się przepisów musi nauczyć,
> ile zobowiązań podpisać... kiedyś się brało drużynę i jechało na biwak, obóz
> - kopało latrynę, rozpalało ognisko a teraz..... teraz jest HACCP... Warto
> pamiętać, że system przy nadawaniu uprawnień generuje odpowiednie
> zobowiązanie - wystarczy je dać podpisać...
>
> 5.      Ustawa o ochronie danych osobowych istniej już 15 lat. Ale w ZHP
> dostrzeżono ją dopiero jak powstawał system Ewidencyjny. To dobrze, że tak
> się stało. Lepiej później niż wcale. Dwa lata temu jeździłem z Arturem
> Sarnowski po KCH i szkoliłem zarówno komendantów hufców jak i
> administratorów lokalnych z ochrony danych osobowych. Wyjaśnialiśmy wówczas
> wiele niejasności, rozwiewaliśmy wiele wątpliwości i tłumaczyliśmy, ze
> ustawa nie jest po to, by nie przetwarzać danych osobowych, a jedynie po to
> by robić to w sposób odpowiedzialny. Trudno nazwać zachowaniem
> odpowiedzialnym dawanie drużynowemu dostępu do systemu bez przeszkolenia go
> w tym zakresie, czy nie wzięciem od niego zobowiązania do ochrony danych
> osobowych. Nawet najlepiej zaprojektowany system nic nie poradzi jak
> wpuścimy do niego osobę niekompetentną lub chcącą działać z premedytacją na
> szkodę systemu.
>
> 6.      Z analizy sytuacji wynika, że osoby, które wykorzystały ostatnio
> funkcję przepisywania członków ZHP niezgodnie z przeznaczeniem, to te,
> które jednocześnie mówią, że jest to źle zabezpieczona baza danych.
> Drużynowi tego nie robią. Co ciekawsze ta funkcja dotychczas była dostępna
> dla administratorów lokalnych na poziomie hufca i wzwyż. Ktoś przecież musi
> mieć dostęp do tej bazy i móc wykonywać na nich operacje. Dlaczego więc
> skoro taka funkcja istnieje właściwie od początku teraz jest taki szum? Bo
> może to zrobić drużynowy a nie instruktor hufca? Dlaczego nagle drużynowi
> to mogą robić? Bo instruktorzy hufca nie robili. Nie reagowali na prośby
> swoich drużynowych. W systemy było 25% danych, które wymagały interwencji -
> czy to przeniesienia, czy usunięcia z jednostek. Co ciekawsze drużynowi
> skorzystali z tej funkcjonalności bardzo rozsądnie. Nie odnotowaliśmy
> znaczącego problemu z działaniem aplikacji w tym zakresie. Mam trochę
> wrażenie, że lepiej zdali egzamin dojrzałości z pracy z tą aplikacją niż
> większość z nas. Oni po prostu wpisali dane swoich członków i poszli
> prowadzić zbiórki.
>
> 7.      Warto również pamiętać, że nie jest błędem aplikacji to, że
> pozwala na pracy na danych osobowych i stara się pozwala użytkownikowi na
> to, co jest mu potrzebne. Problemem jest to, że struktura nie wsparła go w
> tym by był do tego przygotowany. Z przykrością przeczytałem, że drużynowy
> nie jest świadomy, że nie podpisał odpowiedniego zobowiązania.  Takie
> nawoływanie, że to, że ktoś może niezgodnie z przeznaczeniem używać funkcji
> przenoszenie członków pomiędzy jednostkami jest trochę tematem zastępczym.
> Równie dobrze można zgłaszać postulat by nikt nie nosił broni - wszak to
> narzędzie zbrodni. Jednak nikt zdrowo rozsądkowy nie wymaga by policja jej
> nie nosiła, choć jak wiadomo, znaczna część samobójstw policjantów to
> metoda z użyciem broni palnej. Przykład oczywiście przejaskrawiony, ale
> chodzi mi o to, że problem jest gdzieś indziej. Problem w świadomości kadry
> instruktorskiej co do zapisów ustawy ochronie danych osobowych. Jeszcze do
> dziś spotykam się, że twierdzeniem, że nie podam danych osobowych, bo
> rodzice mojego harcerza nie wyrazili na to zgody. Ciekawe, czy nie wyrażają
> zgody jak zapisują dziecko do klubu sportowego, czy na zajęcia z
> Angielskiego.  U mnie w sekcji sprawa była prosta - nie odpowiadają Ci
> zasady jakie panują w sekcji - tu obok są zajęcia z malarstwa - spróbuj
> może tam Ci się będzie podobać.
>
> 8.      Chciałbym być dobrze zrozumiany. Nie chodzi o to by nie podnosić
> bezpieczeństwa danych osobowych naszych członków, ale chciałbym by dyskusja
> na ten temat nie toczyła się na otwartych forach. Nie twierdzę, ze nie
> należy chronić danych - ale to nie zwalnia z obowiązku ich podania.
> Chciałbym przede wszystkim by taka dyskusja toczyła się w atmosferze
> zdrowego rozsądku, bez populizmu i z użyciem konkretnych argumentów.
> Chciałbym by ktoś pochylił się nad systemem podnoszenia świadomości kadry
> instruktorskiej, by do kursów na każdym poziomie włączono zajęcia z tego
> zakresu, tak by każdy drużynowy, komendant hufca nie poruszał się w
> obszarze -  ze gdzieś dzwoni - a miał świadomość co te przepisy mówią
> faktycznie.
>
> Na koniec to moje drobne przemyślenie. Jak w 2005r. przyszli do mnie
> informatycy chorągwiani z pomysłem by stworzyć aplikację ewidencyjną
> działającą przez WWW (uwaga pomysł ewidencji nie wyszedł z GK tylko od
> środowisk) - powiedziałem że ten Związek technologicznie i mentalnie przez
> co najmniej trzy lata nie będzie gotowy na taką rewolucyjną zmianę. Życie
> pokazało, że obie strony się myliły. Są środowiska i ludzie, którzy byli
> gotowi już wówczas i są jeszcze tacy co nadal potrzebować będą jeszcze co
> najmniej trzech lat.
>
> Pozdrawiam
>
> Jacek Kaflowski
>
>
> --
> _______________________________________________
> Grupa dyskusyjna Czuwaj
> Czuwaj w listy.czuwaj.net
> http://listy.czuwaj.net/mailman/listinfo/czuwaj
> -----------------------------------------------
> Aby zrezygnowac z subskrybcji wyslij list na adres
> Czuwaj-request w listy.czuwaj.net o temacie unsubscribe
>


Więcej informacji o liście dyskusyjnej Czuwaj