пропозиції роботи
Wypowiedzi
-
To proste. Wystarczy zrezygnować z dobrodziejstw internetu, przejść na analogowy telefon, a dokumenty prowadzić w formie papierowej...
-
Teraz to już scenariusz będzie zależał od prokuratury w zależności od tego czy dopatrzy się znamion przestępstwa czy nie. Ja bym na miejscu koleżanki poszukał dobrej kancelarii specjalizującej się w tym obszarze. Myślę, że podstawowe pytanie brzmi jak to się stało i dlaczego dane znalazły się na prywatnej skrzynce pocztowej. I drugie pytanie jakie rozwiązania i procedury wprowadził bank aby zapobiec takim sytuacjom.
-
Ciekawy jest jeszcze jeden wątek. Wychodzi na to, że w banku nie ma systemu do przetwarzania danych do którego mają dostęp pracownicy tylko baza przesyłana jest mailem. Czyli dane przetwarzane są pewnie w Excelu. A Excel przesyłany jest bez hasła pracownikom. Moim zdaniem propozycja będzie "rozwiązanie umowy za porozumieniem stron". Dlaczego? Ano dlatego, że jeśli dojdzie do sprawy sądowej może okazać się, że bank narusza podstawowe procedury bezpieczeństwa, a wina koleżanki spowodowana jest niedbałością działu bezpieczeństwa tudzież IT. Możliwość korzystania z prywatnych maili w sieci bankowej też jest dyskusyjne. Niwątpliwie doszło do incydentu naruszenia bezpieczeństwa - jednakże moim zdaniem odpowiedzialność leży po obu stronach.
-
Jak to mawiano w Rzymie - prawo cywilne jest dla uważnych
-
Może niech Pan przeczyta tytuł Rozdziału 1:
"Dokumentowanie podjęcia pracy przez pracownika" -
Moim zdaniem jednak nie wystarczy. Proszę zwrócić uwagę, że z punktu widzenia szerszego czyli ochrony informacji stanowiącej część większej struktury procesów, ochrona danych osobowych stanowi istotny element ryzka prawnego. Dlatego też, moim zdaniem, o ile pewna kolejność czynności z biznesowego punktu widzenia jest logiczna o tyle brak zgodności z obowiązującym prawem jednak będzie naruszeniem jednego z tych procesów :-)
A zatem umowa o poufności w mojej ocenie stanowi istotny krok w kierunku zabezpieczenia interesów organizacji. Jednak nie organizacja jest tutaj na pierwszym miejscu ale prawo do ochrony prywatności osób fizycznych, których dane firma przetwarza. Tak więc jeśli czynność wykonywana przez serwisantów mieści się w definicji przetwarzania wymagana będzie umowa powierzenia. Takie jest moje zdanie. -
Ze zgodą jest jeszcze jeden problem. Zwykle w takim wypadku słyszę, że albo zgadzam się na nagrywanie albo mogę się rozłączyć :-) Moją wątpliwość rodzi w związku z tym dobrowolnośc takiej zgody. Szczególnie jeśłi właściwie nie ma innej możliwości załatwienia sprawy, bo procedury zakładają kontakt przez infolinięTen post został edytowany przez Autora dnia 15.09.13 o godzinie 08:31
-
Tylko że problem (a w zasadzie całe szczęście) jest w tym że Kodeks Pracy jasno określa jakich danych pracodawca może od pracownika żądać i o zdjęciu tam nie ma nawet słowa... Zgoda pracownika byłaby jak najbardziej niezbędna i do tego łatwo ją podważyć wymuszeniem ze strony pracodawcy... Legitymację służbową spokojnie można wystawić bez zdjęcia, tak by zawierała tylko te dane które pracodawca ma prawo przetwarzać zgodnie z kodeksem pracy.
Jak Pan w takim razie zinterpretuje art. 1 ust. 1 pkt 1 powołanego przeze mnie rozporzadzenia?
"Pracodawca może żądać od osoby ubiegającej się o zatrudnienie złożenia następujących dokumentów:
1. wypełnionego kwestionariusza osobowego wraz z niezbędną liczbą fotografii"
I idąc dalej - w jakim celu pracodawca może te fotografie przetwarzać? -
Jeśli rzeczywiście znalazłoby to uzasadnienie w bezpieczeństwie to pradopodobnie tak. Chociaż według mnie jest różnica pomiędzy udostępnieniem zdjęcia ochronie a okazywaniem go przez osobę zainteresowaną.Ten post został edytowany przez Autora dnia 12.09.13 o godzinie 15:49
-
Owszem nie ma nic o wizerunku. Ale mając podstawę prawną do sporządzenia legitymacji i zapis w regulaminie pracy określający wzór identyfikatora, można przyjąć, że zdjęcie przetwarzane jest w celach identyfikacyjnych na podstawie prawnie usprawiedliwionego celu administratora danych czyli. art. 23 ust.1 pkt. 5 UoODO. Czyli inaczej mówiąc regulacje wewnętrzne pracodawcy wymagają aby dla bezpieczeństwa pracownik identyfikował się poprzez identyfikator ze zdjęciem.
-
Umieszczenie zdjęcia na identyfikatorze, moim zdaniem, nie wymaga odrębnej zgody pracownika. Art. 4 rozporządzenia w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika
"Jeżeli zachodzi taka potrzeba, pracodawca w związku z zatrudnieniem pracownika wystawia legitymację służbową, przepustkę albo inny dokument upoważniający pracownika do przebywania na terenie zakładu pracy lub załatwiania spraw służbowych poza zakładem". -
W mojej opinii należy kierować się przede wszystkim właściwym zabezpieczeniem danych osobowych, adekwatnym do zagrożeń. Oczywiście w granicach określonych w ustawie. Niestety dość powszechny jest pogląd, że właściwe rozwiązania to te, które dobrze wypadną podczas kontroli GIODOTen post został edytowany przez Autora dnia 05.09.13 o godzinie 13:17
-
Może Pan upoważnić. Różnica polega na tym, że przy dużych podmiotach są różni serwisanci lub też wykonują oni pracę zdalnie tworząc na swoje potrzeby na przykład kopie, które mają na swoich serwerach. Problem w tym, że trudno jest nad tym zapanować - nie wiadomo kto ma dostęp do danych w jakim zakresie - a może nad przypadkiem pracuje dwóch serwisantów? Dlatego lepiej w takim przypadku powierzyć i pzostawić zabezpieczenie serwisowi. Oczywiście nie zwalnia to Pana i tak z odposiwdzialności. Dlatego moim zdaniem jeśli serwis nie chce podpisać powierzenia to dopuszczanie go do własnych zasobów jest ryzykowne. Po prostu nie dba on o bezpieczeństwo danych swoich klientów. Jeśli korzysta Pan z usług np. osoby prowadzącej działalność - powierzenie faktycznie może nie mieć sensu lepiej wydać upoażnienie i wciągnąć tą osobę do ewidencji osób upoważnionych. Tak samo jśli jest wyznaczony jeden serwisant do obsługi Pana firmy. Wybór rozwiązania zależy od tego, które z rozwiązań będzie bezpieczniejsze dla Pana zbiorów.
-
Proszę zwrócić uwagę na definicję "przetwarzania" (art. 7 ust 2) są to jakiekolwiek operacje wykonywane na danych osobopwych takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostepnianie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Jeśłi serwisant ma usunąć usterkę w programie w którym są przetwarzane dane osobowe - to automatycznie wykonuje na nich pewne operacje. Chociażby tworzy kopię danych na wypadek niepowodzenia operacji (jeśli tego nie robi - to chyba lepiej zmienić serwis :-)), a więc przetwarza dane osobowe. W związku z tym konieczna jest umowa powierzenia. W praktyce widziałem rozwiązania polegające np. na czasowym wydaniu upoważnienia dla serwisanta. Procedura nadania powinna być oczywiście opisana w Polityce Bezpieczeństwa.
-
W mojej ocenie jest to książkowy przykład łamania zasady adekwatności. Ilośc posiadanych informacji o osobach fizycznych powinna być adekwatna do celu w jakim zostały zebrane. Do rozliczenia wystarczą dane głównego loikatora. Niestety często zdarza się, że dane są gromadzone "na wszelki wypadek" lub przy okazji. W mojej wspólnocie usłyszałem, że taki jest formularz i oni nic na to nie poradzą :-) Myślę, że jest to podstawa do złożenia skargi do GIODO.
-
Andrzej B.:
Robert B.:
Odbiegając od tego o czym ja napisałem - autor topiku założył bardzo ciekawą tezę. Też jestem ciekaw co mądrzejsi ode mnie w sprawie DO mają do powiedzenia - czyli co w przypadku gdy do nas trafią dane, które może się okazać utworzą "bazę" choć z założenia nie taki był cel. Przykładem może być oczywiście "user agent" i logi serwera ;)
Dla mnie kluczową tezą jest pytanie na jakiej podstawie mam zakładać, że jakakolwiek informacja przesłana mi przez użytkownika jest daną osobową. Pomijam sytuację, gdzie tworzę regulamin, który wymaga podania prawdziwych danych.
Z mojego punktu widzenia (który jest mocno techniczny w tym kontekście), dopóki nie zweryfikuję danych podesłanych przez użytkownika to można tylko domniemywać, że to są dane osobowe (a skoro mamy domniemywać, to musimy tak robić o każdych danych).
Bardzo jestem ciekaw czy da się obalić taką tezę.
Pytanie pomocnicze jakie mi się nasunęło - to czy podawane dane mają kogoś identyfikować. Jeśli tak to są dane osobowe. -
Usuwanie to już przetwarzanie a przetwarzanie wymaga zgody.
Chciałbym tylko zwrócić uwagę, że art. 23 ust. 1 pkt. 1 mówi o tym, że przesłanka zgody nie dotyczy usunięcia danychTen post został edytowany przez Autora dnia 06.08.13 o godzinie 10:53 -
Moim zdaniem jeśli gromadzi Pan dane na potrzeby serwisowe to podstawą prawną jest art. 23 ust. 1 pkt. 3 UoODO czyli realizacja umowy serwisowej. Innymi słowy dane są niezbędne w procesie realizacji usługi serwisowej. Reasumując nie ma potrzeby uzyskiwania zgody. Ma Pan jednak obowiązek poinformowania klientów zgodnie z art. 24.
Przesłanka wystawienia faktury dotyczy zwolnienia z rejestracji zbioru na podstawie art. 43 ust. 1 pkt. 8 UoODO. Jednakże ustawa wskazuje na cele wyłącznie związane z wytsaieniem faktury, rachunku czy prowadzenia sprawozdawczości finansowej. Jeśli zatem dane te są wykorzystywane np. w celu rozpatrzenia ewentualnych rklamacji - należy zbiór zarejestrować.
Art. 23 ust. 1 pkt. 5 wprowadza przesłankę tzw. prawnie uprawiedliwionego celu administratora danych, którym jest między innymi marketing własnych produktów i usług. Oznacza on, że ma Pan prawo przekazać tym osobom informacje o charakterze marketingowym. Nie ma konieczności uzyskiwania zgody - jest za to obowiązek rejestracyjny i informacyjny. -
W mojej ocenie w tym wypadku nadal kryteriun pozostaje cel (a precyzyjniej podstawa prawna przetwarzania) a nie fakt dostępu z tej czy innej strony organizacji. Marketing własnych produktów i usług najprawdopodobniej dotyczyć będzie osób, które są już klientami i oferowane sa im kolejne usługi. Drugim zbiorem może być zbiór potencjaknych klientów przetwarzany na przykład na podstawie zgody osoby zainteresowanej lecz takiej, która zakupów jeszcze nie dokonała.
Dołącz do GoldenLine
Oferty pracy
Sprawdź aktualne oferty pracy
Aplikuj w łatwy sposób
Aplikuj jednym kliknięciem
