Wyniki wyszukiwania - BazTech

1

The applicability of the GDPR to artificial intelligence and the resulting threats to national information security

Guta Tomasz

Studia Bezpieczeństwa Narodowego

|

2022

|

R. 12, Nr 24

25--46

EN

Both national security and information security are closely associated with and connected to the emerging field of artificial intelligence. In this regard, following the presumed axioms of the anticipated proliferation of AI systems within modern society and its expected widespread implementation in vital public and private institutions and furthermore the extensive application of AI systems within personal data processing, possible threats to national and information security within the European Union - with an emphasis on Poland and the Polish legal system - are explored. On the basis of an overview of the theoretical basis of the concepts of national and information security and artificial intelligence, the emergence of AI within personal data processing in the context of the GDPR legal framework is discussed. At least one potential conflict between the implications of the hypothetical scenario of the emergence of the so-called strong form of artificial intelligence and both the Polish data privacy legal framework (based, interalia, on the GDPR) and the Polish information security is being identified in this context. The academic article draws the conclusion that the emergence of so-called “strong AI” may lead to a number of real and probable threats to the system of personal data protection and information security in Poland (and possibly in the other EU Member States as well). The paper finally concludes by outlining and discussing the negative impact of the identified conflict, in particular on Polish information security, and calls for efforts to address these issues in future studies in the academic literature.

PL

Zarówno bezpieczeństwo narodowe, jak i bezpieczeństwo informacji są ściśle związane z rozwijającą się współcześnie dziedziną sztucznej inteligencji (SI). W związku z tym, kierując się założonym w pracy aksjomatem oczekiwanego rozprzestrzeniania się systemów SI we współczesnym społeczeństwie oraz ich spodziewanego szerokiego wdrożenia w istotnych instytucjach publicznych i prywatnych, a także szerokiego zastosowania systemów SI w ramach przetwarzania danych osobowych, przeanalizowano w tejże pracy niektóre możliwe zagrożenia dla bezpieczeństwa narodowego i informacyjnego w Unii Europejskiej z naciskiem na Polskę i na podstawie Polski i polskiego systemu prawnego. Na podstawie przeglądu teoretycznych podstaw koncepcji bezpieczeństwa narodowego i informacyjnego oraz koncepcji sztucznej inteligencji omówiono w tejże pracy pojawienie się SI w ramach procesów przetwarzania danych osobowych w kontekście ram prawnych RODO. W tym kontekście zidentyfikowany zostanie przynajmniej jeden potencjalny konflikt między implikacjami (hipotetycznego) scenariusza pojawienia się tzw. silnej odmiany sztucznej inteligencji a polskim porządkiem prawnym dotyczącym ochrony danych osobowych (opartym m.in. na RODO) oraz polskim bezpieczeństwem informacji. W tym artykule naukowym sformułowano wniosek, iż pojawienie się tzw. silnej odmiany SI może prowadzić do szeregu prawdopodobnych zagrożeń dla systemu ochrony danych osobowych i bezpieczeństwa informacji w Polsce (a potencjalnie także w innych państwach członkowskich UE). We wnioskach artykułu przedstawiono i omówiono negatywny wpływ wcześniej w nim zidentyfikowanego konfliktu, w szczególności na bezpieczeństwo informacji w Polsce, a także postulowano podjęcie wysiłków w celu rozwiązania tych kwestii w przyszłych rozważaniach i opracowaniach w literaturze naukowej przedmiotu.

2

The role of codes of conduct in the eu data protection framework

Drobek Piotr

GIS Odyssey Journal

|

2022

|

Vol. 2, no. 2

129--146

EN

The paper presents the legal nature and functions of codes of conduct in EU data protection law. The General Data Protection Regulation (GDPR) contains much more extensive provisions on codes of conduct than previous Directive 95/46/EC, giving them a potentially much more significant role in the EU data protection regime. The GDPR specifies codes of conduct as co-regulatory instruments whose compliance by controllers and processors has significant legal consequences. They are primarily intended to facilitate compliance with the GDPR by controllers and processors from a specific sector or to perform similar processing operations. It is, therefore, essential to identify the legal nature of the codes of conduct, the legal consequences of adhering to them, and their function in the EU data protection model. The theoretical analysis of EU data protection codes of conduct considers legal and regulatory theory perspectives.

3

Naruszenie ochrony danych osobowych. Obowiązki administratora

Smolarska Marzena

Systemy Wspomagania w Inżynierii Produkcji

|

2021

|

Vol. 10, iss. 1

11--19

PL

W artykule przedstawiono wytyczne unijnego rozporządzenia oraz stanowisko polskiego organu nadzorczego dotyczące naruszeń ochrony danych osobowych i sposobu postępowania z nimi. Zdefiniowano obowiązki administratora oraz określono jak należy rozpatrywać incydenty bezpieczeństwa informacji i jak należy definiować naruszenie bezpieczeństwa danych osobowych osób fizycznych. Przedstawiono przesłanki naruszenia ochrony danych osobowych, opisano typy naruszeń oraz wymieniono przykładowe naruszenia. Jak istotna dla administratora danych jest dokumentacja w postaci procedur i ewidencji naruszeń. W artkule przedstawiono również proces zgłaszania naruszeń oraz opisano przypadki w których dochodzi do naruszenia danych. Zwrócono uwagę na konieczność zindywidualizowanego podejścia do wyjaśniania incydentów bezpieczeństwa informacji. Incydenty bezpieczeństwa w wyniku przeprowadzonej analizy ryzyka i określeniu poziomu tego ryzyka, mogą okazać się naruszeniem, zagrażającym przysługującym prawom, wolności lub możliwości sprawowania kontroli nad danymi osób fizycznych. Przedstawiono jak ogromne znaczenie ma ciągły monitoring zastosowanych środków bezpieczeństwa poprzez cykliczne audyty i analizę ryzyka. Jaką wartość ma dobrze przeprowadzone postępowanie wyjaśniające incydentu bezpieczeństwa danych osobowych.

EN

The article presents the guidelines of the EU regulation and the position of the Polish supervisory authority regarding personal data breaches and the manner of dealing with them. The article points out Controller’s responsibilities, manners to handle information about security incidents and ways to define a personal data breach. The article also presents reasons that cause violation of personal data protection, the types of violations and examples of such violations. Importance of documentation and the form of procedures is pointed, as a basic obligation for the Controller (for ex. records of violations). The article also covers the breach notification process and describes the cases of data breaches. The necessity of an individualized approach to explaining information security incidents was emphasized. Security incidents as a result of the conducted risk analysis and determination of the level of this risk may turn out to be a violation, that threatens the rights, freedoms or the ability to exercise control over the data of natural persons. It is accentuated how important is the continuous monitoring of the applied security measures through periodic audits and risk analysis. What is the value of a well-conducted investigation of a personal data security incident.

4

Personal data in the aspect of IT usage – the end of anonymity

Zawierucha Katarzyna

Scientific Journal of the Military University of Land Forces

|

2021

|

Vol. 53, No. 1(199)

164--177

EN

Information technologies are now a vital element of social life. Their task is to introduce people to a better tomorrow, catch up with the most developed countries, broaden horizons, and increase the standard of living. However, the rapid development of technology, access to data, and the possibility of managing it are still dependent on the human being, who determines whose data, when, and for what purpose it will be obtained and utilized. Nonetheless, indeed, all the data once found on the Internet remains there forever. Huge data banks are built based on personal data and account profiling. Besides, these banks are strongly guarded and secured with the most modern alarm systems, and only a small group of trained IT specialists has access to them. By information provided on own preferences, purchases made, applications downloaded, shared information, photos, and likes on social networks, one can specify the sexual preferences, education, political and religious views, evaluate assets, or determine the marital status of the user. Even small amounts of information shared reveal the deeply hidden interests of online account users, and the benefits of information technology are designed to share personal information while forgetting about the risks automatically.

PL

Technologie informatyczne stanowią obecnie bardzo istotny element życia społecznego. Mają one za zadanie wprowadzać ludzi w lepsze jutro, dorównywać krajom najbardziej rozwiniętym, poszerzać horyzonty i zwiększać standard życia. Szybki rozwój technologii, dostęp do danych i możliwość zarządzania nimi są jednak ciągle zależne od człowieka, to od niego zależy czyje dane, kiedy i w jakim celu będą pozyskane i wykorzystane. Pewne jest jednak, że wszystkie dane, które raz trafią do Internetu pozostają tam na zawsze. Ogromne banki danych są tworzone na podstawie danych osobowych oraz na podstawie profilowania kont. Dodatkowo banki te są silnie strzeżone i zabezpieczone najnowocześniejszymi systemami alarmowymi, a dostęp do nich ma jedynie mała grupa przeszkolonych informatyków. Poprzez określenie własnych preferencji, dokonywanych zakupów, pobieranych aplikacji, udostępnianych informacji, zdjęć, polubień na portalach społecznościowych można określić, preferencje seksualne, wykształcenie, poglądy polityczne i religijne, wycenić majątek użytkownika, czy też określić stan cywilny. Nawet małe ilości udostępnianych informacji ukazują głęboko ukryte zainteresowania użytkowników kont internetowych, a korzyści oferowane przez technologie informatyczne mają na celu automatyczne udostępnianie danych osobowych przy równoczesnym zapominaniu o zagrożeniach.

5

The right to be forgotten as an element of the personal data protection system in the organisation

Odlanicka-Poczobutt Monika, Szyszka-Schuppik Aleksandra

Organizacja i Zarządzanie : kwartalnik naukowy

|

2020

|

nr 3

57--71

EN

Introduction/background: The protection of personal data, as the protection of information on natural persons by entities which hold it, is currently a topic of considerable interest. Proper protection of personal data is closely related to the way the organisation is managed. Lack of management awareness of the dangers of inappropriate procedures in this respect can lead to abuse and even crime, e.g. identity theft. In the light of doubts as to whether to rely on existing solutions or build a system from scratch, there are many research problems in this area. Aim of the paper: The cognitive goal of this article is to analyse the basics of building a system of personal data protection in the scope of creating new internal regulations and to indicate the role of the Data Protection Officer, while the utilitarian goal is to analyse the case of a request to erase the processed data. Materials and methods: A selected organisation was studied, where a process map with a detailed description of actions was drawn up on the basis of participant observation and direct interviews. Results and conclusions: The conclusions indicate that the Data Protection Officer may perform the function of a person responsible for the system. However, their activities must be supported by information obtained from within the organisation. Therefore, it is important to involve the highest management in the development of the personal data protection system. The foundations for creating a procedure to handle the request for erasure of personal data were also indicated.

6

Towards an Auditable Cryptographic Access Control to High-value Sensitive Data

Kanciak Krzysztof, Wrona Konrad

International Journal of Electronics and Telecommunications

|

2020

|

Vol. 66, No. 3

449--458

EN

We discuss the challenge of achieving an auditable key management for cryptographic access control to high-value sensitive data. In such settings it is important to be able to audit the key management process - and in particular to be able to provide verifiable proofs of key generation. The auditable key management has several possible use cases in both civilian and military world. In particular, the new regulations for protection of sensitive personal data, such as GDPR, introduce strict requirements for handling of personal data and apply a very restrictive definition of what can be considered a personal data. Cryptographic access control for personal data has a potential to become extremely important for preserving industrial ability to innovate, while protecting subject’s privacy, especially in the context of widely deployed modern monitoring, tracking and profiling capabilities, that are used by both governmental institutions and high-tech companies. However, in general, an encrypted data is still considered as personal under GDPR and therefore cannot be, e.g., stored or processed in a public cloud or distributed ledger. In our work we propose an identity-based cryptographic framework that ensures confidentiality, availability, integrity of data while potentially remaining compliant with the GDPR framework.

7

Ochrona danych osobowych w praktyce zarządcy nieruchomości

Przybycień Mariusz

Budownictwo i Prawo

|

2020

|

R. 23, nr 4

32--36

PL

Zarządzanie nieruchomościami jest zawodem wymagającym multidyscyplinarnej wiedzy z wielu obszarów, m.in. prawa budowlanego czy ekonomii. Zmieniające się otoczenie gospodarcze, konieczność zapewnienia profesjonalnej obsługi na rzecz klientów oraz zabezpieczenie własnych działalności rodzi konieczność nieustannej aktywizacji zarządcy na rynku. Niniejszy artykuł dotyczy sfery ochrony danych osobowych, praw i obowiązków osób, których akty te dotyczą, a także odpowiedzialności profesjonalnych podmiotów świadczących usługi zarządzania nieruchomościami.

EN

Real estate management is a profession that requires multidisciplinary knowledge in many areas, including construction law and economics. The changing economic environment, the need to provide professional service to clients and to secure one’s own business, all these factors necessitate the constant activation of the manager in the market. This article concerns the sphere of personal data protection, rights and obligations of the persons concerned, as well as liability of professional entities providing property management services.

8

Analiza danych osobowych przetwarzanych w systemach telekomunikacyjnych klasy IP PBX oraz metod ich anonimizacji za pomocą systemów SBC

Jereczek Aleksandra, Kaczmarek Sylwester, Gorajdowski Marek, Hawrylik Bogdan

Przegląd Telekomunikacyjny + Wiadomości Telekomunikacyjne

|

2019

|

nr 12

818--823

PL

Opisano wyniki realizacji pracy, dotyczącej analizy systemu telekomunikacyjnego, opartego na technologii VoIP, pod względem wymagań prawnych powstałych wraz z wejściem w życie przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Przedstawiono w nim wyniki analizy przykładowego systemu IP PBX Asterisk oraz wykorzystywanego w nim protokołu sygnalizacyjnego SIP, w kontekście przetwarzania danych osobowych, a także metody ich ochrony przez implementację usług prywatności na urządzeniu SBC, kontrolującym sesje komunikacyjne w sieciach opartych na protokole internetowym IP.

EN

In this article, there are described the results of research concerning the analysis of telecommunication system, based on VoIP technology, in the context of the legal requirements introduced by General Data Protection Regulation (GDPR). There are presented the analysis results of sample IP PBX system, called Asterisk, and SIP signalling protocol used in this system, paying special attention to personal data processing. There are also shown the methods of data protection by implementing of privacy services on the SBC device which controls communication sessions in networks based on Internet Protocol.

9

Wybrane aspekty wdrażania RODO

Pólkowski Z.

Zeszyty Naukowe Uczelni Jana Wyżykowskiego. Studia z Nauk Technicznych

|

2018

|

Nr 7

9--20

PL

Globalizacja i rozwój technologii informacyjnych i komunikacyjnych (ICT) spowodowały istotne zmiany w administracji publicznej i biznesie w Unii Europejskiej. Wprowadzone 25 maja 2018 r. ogólne rozporządzenie o ochronie danych (RODO) uwzględnia zachodzące zmiany, rozsądnie regulując aspekty przetwarzania i ochrony danych. RODO stosuje nowe podejście do oceny ryzyka. Celem niniejszego artykułu jest przedstawienie wybranych zagadnień związanych z wdrażaniem RODO. W pierwszej części artykułu przedstawiono podstawowe założenia RODO. W kolejnej zawarto analizę literatury i przepisów prawnych. Ostatnia część pracy koncentruje się na omówieniu wybranych rekomendacji dotyczących RODO. Opracowanie zawiera zalecenia, które wynikają z przeprowadzonych przez Autora działań związanych z wdrażeniem RODO i pełenieniem funkcji Inspektora Ochrony Danych Osobowych. Zawarte w pracy treści mogą być bezpośrednio wykorzystane zarówno przez osoby odpowiedzialne za ochronę danych, menadżerów, jak i informatyków. Ponadto opracowanie może być przydatne dla wykładowców i studentów podczas zajęć dydaktycznych na wielu kierunkach studiów.

EN

Globalization and development of Information and Communication Technology (ICT) have caused significant changes in public administration and business in the European Union. The General Data Protection Regulation (GDPR), introduced on 25 May 2018, takes into account the implemented changes, reasonably regulating the aspects of data processing and protection. The GDPR applies a new approach to risk assessment. The purpose of this article is to present selected issues related to the implementation of the GDPR. The first part of the article presents the basic assumptions of the GDPR. The next contains an analysis of literature and legal provisions. The last part of the work focuses on discussing selected recommendations regarding the GDPR. The study contains recommendations that result from the activities carried out by the author related to the implementation of the GDPR and his experience as the Inspector of Personal Data Protection. The content contained in the work can be directly used by persons responsible for data protection, managers as well as IT specialists. In addition, the study may be useful for lecturers and students during didactic classes in many fields of study.

10

Co wolno w przetargach publicznych w świetle RODO?

Zwolińska M.

Nawierzchnie Asfaltowe

|

2018

|

Nr 1-2

25--31

PL

Od kilku już tygodni obowiązuje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), czyli tzw. RODO. W ślad za wejściem w życie tej głośnej zmiany prawnej pojawiły się praktyczne problemy związane z jej obowiązywaniem i stosowaniem.

11

RODO jest już blisko

Królikowski J., Wardziak A.

Geodeta : magazyn geoinformacyjny

|

2018

|

nr 5

9--12

12

Anonymization, tokenization, encryption : how to recover unrecoverable data

Dzięgielewska O

Computer Science and Mathematical Modelling

|

2017

|

No. 6

9--13

EN

The data privacy is currently vastly commented topic among all the organizations which process personal data due to the introduction of the European Union’s General Data Protection Regulation. Existing methods of data protection are believed to be sufficient as they meet the risk-based approach requirements in every mature organization, yet the number of publicly known data breaches confirms that this assumption is false. The aftermath of such incidents in countless cases prove that the risk-based approach failed as the reputational and financial consequences by far exceed the original estimations. This paper stressed the importance of the data layer protection from the planning, through design, until maintenance stages in the database lifecycle, as numerous attack vectors originating from the insider threat and targeting the data layer still sneak through unnoticed during the risk analysis phase.

PL

Prywatność danych jest obecnie szeroko komentowana wśród wszystkich organizacji przetwarzających dane osobowe w związku z wprowadzeniem Rozporządzenia o Ochronie Danych Osobowych. Często zakłada się, że istniejące metody ochrony danych są wystarczające, ponieważ spełniają wymagania podejścia opartego na analizie ryzyka, w którym to koszt metod ochrony nie może przekroczyć wartości zasobu, w tym przypadku danych. Jednak liczba publicznie znanych przypadków wycieków danych potwierdza, że założenie to jest niepoprawne. Następstwa tego rodzaju incydentów bezpieczeństwa w niezliczonych przypadkach dowodzą, że podejście oparte na ryzyku nie spełniło swojej roli, ponieważ konsekwencje związane z utratą reputacji i stratami finansowymi znacznie przekraczają pierwotne szacowania. W artykule podkreśla się znaczenie ochrony warstwy danych od planowania, przez projektowanie, aż do etapów utrzymania w cyklu życia bazy danych, ponieważ liczne wektory ataku mające źródło wewnątrz organizacji i skierowane na warstwę danych wciąż przechodzą niezauważone podczas analizy ryzyka.