пропозиції роботи
Wypowiedzi
-
Właśnie dotarłem do pewnego dylematu. Otóż zastanawiam się nad problemem wyznaczenia obszaru przetwarzania odnośnie laptopów.
W/g wytycznych GIODO "W przypadku, gdy dane osobowe przetwarzane sa w systemie informatycznym, do którego dostep poprzez siec telekomunikacyjna posiada wiele podmiotów, wówczas w polityce bezpieczenstwa informacje o tych podmiotach(nazwa podmiotu,siedziba, pomieszczenia, w których przetwarzane sa dane) powinny byc również wymienione jako obszar przetwarzania"
Przetwarzanie jest każdą czynnością jaką można wykonać na danych osobowych a więc także dostęp do nich poprzez komputer przenośny. Obszarem przetwarzania będą niewątpliwie pokoje w których stoją komputery stacjonarne z dostępem do bazy danych. A jeśli dostęp jest spoza organizacji to miejsca w których znajdują się komputery z dostępem do bazy. No i co w takiej sytuacji właściwie zrobić z laptopem? Jak go zakwalifikować? Jeśli np. jadę pociągiem i grzebię sobie w danych osobowych klientów przez GPRS-a i VPN?
Może ma ktoś jakiś pomysł? -
To umowa mieszana, Z jednej strony pracodawca udostępnił ubezpieczycielowi dane osób ubezpieczonych z drugiej ubezpieczyciel powierzył przetwarzanie danych ze swojego zbioru (tych samych osób) w celu rozliczeń. Pracodawca miał wgląd tylko w dane swoich pracowników. Wątpliwości budzi nieco rozliczanie. No bo jeśli osoba mająca wgląd w składki jest biegła w cenniku ubezpieczyciela to na podstawie rozliczeń (wysokości składki za dany okres) może dojść z jakich świadczeń ubezpieczony korzystał czyli otrzeć się o dane wrażliwe.
-
Grzegorzu:)
Jak tak się zastanowiłem w drugim przypadku z którym się nie zgadzasz też można dokonac pewnego rozłożenia w zależności od tego w jaki sposób administrator danych korzysta z systemu procesora. Zetknąłem się z sytuacją dodatkowych ubezpieczń pracowników. Pracodawca przekazał dane osobowe osób do ubezpieczenia które znalazły się w systemie ubezpieczyciela. Otrzymał login i hasło do systemu w którym mógł podejrzeć jakie składki ma zapłacić wraz ze wszystkimi danymi osób ze swojego zbioru. No i pytanie czy pracodawca przetwarza dane ze swojego zbioru ubezpieczonych w formie elektronicznej czy korzysta ze zbioru ubezpieczyciela któremu udostępnił wcześniej dane? W tej konkretnej sytuacji ubezpieczyciel akurat powierzył dane w swoim zbiorze w zakresie obsługi składek pracowników. -
Moim zdaniem można tu wyróżnić dwie sytuacje.
1. Przetwarzam zbiór w formie papierowej i powierzam określone czynności na danych podmiotowi zewnętrznemu. W ramach tych czynności procesor przetwarza dane osobowe w swoich systemach informatycznych ponieważ dla wykonania zlecenia jest mu, dajmy na to, łatwiej pracować na danych w formie elektronicznej. Ma zatem obowiązek zabezpieczenia tych systemów ale nadal pozostje to baza danych (system informatyczny) procesora do której nie mam dostępu. W takim wypadku zgłoszenie (jeśli bedzie konieczne) obejmie zbiór w formie papierowej oraz dane podmiotu zewnętrznego. (np. zewnętrzne biuro rachunkowe)
2. Przetwarzam zbiór w formie papierowej a zlecone czynności obejmują także korzystanie z systemów informatycznych procesora. W takiej sytuacji system informatyczny procesora stanie się także jak gdyby moim systemem informatycznym a więc wymaga opisania w dokumentacji i uwzglednienia we wniosku rejestracyjnym. Np. zlecenie zebrania danych studentów w ramach prowadzonego projektu z możliwością podgladu i edycji zebranych informacji. System pozostaje systemem procesora jednakże jako administrator danych mam do niego dostęp.
Reasumuąc logiczne wydaje mi się właśnie kryterium korzystania z systemu informatycznego bezpośrednio przez administratora danych. Ale mogę się mylić :-)Filip Turyk edytował(a) ten post dnia 26.06.11 o godzinie 08:27 -
To wszystko prawda. Jednak Zarząd decydując się na powierzenie nadzoru nad danymi osobowymi oczekuje najczęściej jakiegoś "załatwienia" tej sprawy a najlepiej w taki sposób żeby więcej nic już o danych osobowych nie słyszeć. A już na pewno nie ponosić niepotrzebnej odpowiedzialności. Chociaż nie jest to regułą i bywa, że działalnia ABI mają duże poparcie. Dla mnie zawsze najtrudniejszym etapem jest wdrożenienie procedur w życie. Niektóre dobrze utarte ścieżki załatwiania spraw, istniejące od zarania przedsiębiorstwa są wręcz nie do obejścia. Szczególnie gdy w danym podmiocie nikt nigdy ochroną danych osobowych się szczególnie nie przejmował. Zawsze napotykam na "bunt" ze strony użytkownków mniej lub bardziej uzasadniony, mniej lub bardziej intensywny. Mało kto chce zrezygnować ze swoich przyzwyczjeń, podważana jest zasadność polityk, raporty do przełożonych, przedstawiane argumenty finansowe. Wspomniany Excel bywa wszechobecny a zakresy informacji w nim opisywane wołają o prokuratora. Tym niemniej po pewnym czasie, szkoleniach, cierpliwym uświadamianiu i zabiegach dyplomatycznych sytuacja daje się opanować. I wszyscy są zadowoleni. Niestety najskuteczniejszym narzędziem są kary finansowe dotykające bezpośrednio osoby łamiącej obowiązujące zasady. Tak jak Pan wspomniał przepisy karne nie robią na nikim wrażenia. Co najwyżej po szkoleniu pracownicy kupuja "pasiak" prezesowi :-))
-
Wypada mi się z Panem zgodzić. Zetknąłem się wielokrotnie z sytuacją gdy wdrożone procedury powodowały konflikt interesów. Handlowiec mający do wyboru ochronę danych osobowych i wzrost sprzedaży nie będzie się zastanawiał. Sęk w tym żeby stworzyć takie procedury które życia nie utrudniają. Polityka czystych biurek jest akurat łatwa do opanowania. Wystarczy trochę pomysłowości i pokazania w praktyce do czego prowadzi zostawianie ważnych dokumentów bez opieki :-)
-
Ma Pan rację. Oczywiście, że niezgodne z prawem byłoby wykorzystanie danych do własnych celów. Ale niezawarcie umowy powierzenia jest także doprowadzeniem do udostępnienia danych podmiotowi nieupoważnionemu sankcjonującym przestępstwo karne z
art. 51 "Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku."
art. 52 "Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku"
Wybór należy już do administratora danych... -
"Ludzkie podejście" kończy się zazwyczaj wraz z incydentem naruszenia bezpieczeństwa danych. Inaczej wyglądać będzie sytuacja zginięcia CD z danymi wysłanego bezpieczną kopertą przez kuriera a inaczej kradzież bazy pracowników z serwera firmy hostingowej z którą nie podpisano umowy powierzenia. W gruncie rzeczy jest to dobry sposób na pozyskiwanie danych - w końcu jeśli otrzymuję od kogoś bazę danych bez wyraźnej instrukcji co z nią zrobić to mogę sobie zaadaptować dane do własnych potrzeb ot choćby zrobienia małego mailingu.Filip Turyk edytował(a) ten post dnia 20.06.11 o godzinie 10:09
-
Wydaje mi się, że przyjęcie, iż celem "nie jest przetwarzanie danych" może być zbyt szerokie. Jeśli np. korzystamy z usług zewnętrznej firmy IT to celem nie jest "przetwarzanie danych" a np. zapewnienie "ciągłości funkcjonowania systemu informatycznego i bieżąca obsługa IT". Nie zmienia to faktu, że zewnętrzny informatyk w ramach swoich czynności dane w formie elektronicznej jednak przetwarza. Nawet jeśli to uczciwa osoba która solennie przyrzekła nie zaglądać do plików i podpisała ku temu stosowny dokument :-)
-
Moim zdaniem jednak definicja "przetwarzania" mówi jasno, że są to "wszelkie czynności" jakie wykonywane na danych. W przypadku sklepików internetowych kwestię tą reguluje wspomniana ustawa o świadczeniu usług drogą elektroniczną. Z kolei wysyłanie listu poczta prawo pocztowe. Poza tym jeśli przepisy innych ustaw nakładają dalej idącą ochronę na przetwarzane dane to stosowane są przepisy tych ustaw. Hostingodawca teoretycznie nie ma dostępu do baz danych. Z drugiej strony jednak administrator serwera ma jak najbardziej dostęp do zasobów serwera. W szczególności posiada administracyjne hasła do np. baz SQL w których często dane są przechowywane mimo, iż teoretycznie w ramach hostingu wydzielamy sobie swoją odrębną bazę danych.
-
Jeśli korzysta Pan z usług firmy hostingowej, a hosting obejmuje jakąkolwiek czynność związaną z danymi osobowymi (wystarczy przechowywanie lub tworzenie backupów) to ma Pan obowiązek zawarcia pisemnej umowy powierzenia zgodnie z art 31 Ustawy o ochronie danych osobowych.
-
A więc można by się pokusić o konkluzję, nie będzie mowy o danych osobowych tylko w przypadku gdy odciski palca są zbierane na chybił trafił od przypadkowych kupujących bez jakichkolwiek innych informacji - czyli teza przykładam palec i dostaję anonimowy kupon rabatowy. W takiej interpretacji linie papilarne stają się zbiorem (układem) linii o wartości raczej artystycznej. Aczkolwiek ryzykowne to przedsięwzięcie opierające się na przesłance nadmiernych kosztów i działań. Poza tym jednak np. pracownicy sklepu mogą wskazać który odcisk należy do którego klienta.
-
Nie wiem co gromadzą tutaj zgoda:-) Zgoda również co do kuponu rabatowego. Taka interpretacja pozwala na przyjecie, że kupon rabatowy nie jest daną osobową - bo i nie jest. Ale kupon rabatowy nie identyfikuje osoby fizycznej a odcisk palca tak. Przyporządkowanie kuponu do linii papilarnych może prowadzić do identyfikacji - pytanie czy okazując kupon muszę się podpisać odciskiem palca? Tego nie wiemy. Loterie typu "każdy wygrywa" jakoś nie wzbudzają mojego zaufania. Jeśli "każdy wygrywa" to po co loteria? No i nie wiem w jakim celu przykładam palec to skanera linii papilarnych?
-
A mi sie wydaje, że gromadzenie odcisków palców w celu przeprowadzenia loterii jednak będzie przetwarzaniem danych osobowych. W końcu pozostawiony odcisk palca (jak rozumiem z ulotki) ma właśnie posłużyć identyfikacji osoby która wygrała. Czyli zostawiam swój odcisk palca (czyli analogicznie mogę pozostawić imię i nazwisko, albo numer telefonu albo adres, albo PESEL itd.) i za jakiś czas na podstawie informacji biometrycznej zostaję zidentyfikowany jako zwycięzca. Dodatkowo jeśli prowadzony jest np. monitoring CCTV to możliwe jest przyporządkowanie momentu pozostawiania odcisku z zapisem z kamer. Nie będzie to wcale trudne do wykonania.
-
Nie ma jednoznacznej odpowiedzi na to pytanie:-) Jeśli sam chce Pan tworzyć dokumentację koszty są wymierne do ilości pracy. Jeśli chciałby Pan skorzystać z usług firmy zewnętrznej - koszt osoby zaangażowanej x ilość czasu/pracy x współczynnik złożoności problemów + koszty szkolenia + koszty delegacji ;-) Myślę, że zmienne są negocjowalne w ramach każdej firmy.
-
W Ustawie ani rozporządzeniu nie ma podanych limitów ilości kopii zapasowych. Wymagane jest natomiast opisanie w dokumentacji: systemu backupowania, sposobu przechowywania kopii oraz oprogramowania służącego do tego celu. Celem jest zapobieganie usunięciu bądź uszkodzeniu przechowywanych danych.
-
Michał Geilke:
Moim zdaniem MS Word i MS Excel nie są częścią systemu operacyjnego Windows tylko programami (czy też aplikacjami) pracującymi w środowisku systemu operacyjnego Windows. Możemy przecież równie dobrze użyć darmowej aplikacji Open Office. Efekt będzie podobny. Osobiście wydaje mi się, że prościej jest uruchomić makro zabezpieczające na pliku dajmy na to Excela i umieszczeniu go jako aplikacji w Polityce bezpieczeństwa. Nie jestem przekonany czy można skonfigurować domenę windowsową na tyle precyzyjnie aby wskazać na konkretny plik pakietu biurowego, odnotowywać usera i datę pierwszego wprowadzenia danych do systemu. Poza tym wygląda na to, że byłaby to aplikacja której korzystałby tylko jeden użytkownik (komputera) a więc wogóle logowanie usera byłoby zbędne. No i problematyczne byłoby sporządzenie czytelnego raportu zawierającego wymienione informacje. A w jaki sposób tworzone byłyby kopie zapasowe (całego systemu informatycznego czy tylko pliku?) No bo w sumie dane są w pliku więc powiedzmy codzienny backup całości danych na komputerze (wraz z Windowsem i wszystkim innym) byłby cokolwiek bez sensu.
Witam,
Pozwolę sobie napisać mój punkt widzenia na ta sprawę.
Czy to nie jest aby tak:
Po pierwsze SYSTEM INFORMATYCZNY jak już wcześniej zostało napisane to: „zespół współpracujących urządzeń, PROGRAMÓW, PROCEDUR i NARZĘDZI PROGRAMOWYCH służących do przetwarzania danych osobowych”
I teraz MS WORD i MS EXCEL po instalacji są częścią SYSTEMU OPERACYJNEGO WINDOWS.
-
Moim zdaniem aby rozwikłać tą sytuację należy zastanowić się czy tworzymy zbiór danych osobowych czy nie. Zgodnie z defnicją zbiorem jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny w/g określonych kryteriów niezależnie czy jest rozproszony czy podzielony funkcjonalnie. Oznacza to, że jeśli w jakiś sposób stworzymy zestawienie np. w Excelu, zawierające dane osobowe odbiorców (osób fizycznych)to będzie to zbiór w rozumieniu Ustawy a Excel - systemem informatycznym w którym są one przetwarzane. Pojedyńcza np. Umowa w Wordzie zbiorem nie będzie ale nie zmienia to faktu, iż dane osobowe tam zawarte i tak podlegają ochronie UoDO a Word i tak jest częścią systemu informatycznego w którym przetwarzane są dane osobowe. Oczywiście nie będzie tutaj mowy o systemie jako "aplikacji". Dobre praktyki bezpieczeństwa wskazują, że należy raczej zawężać ilość produkowanych dokumentów niż mnożyć je w wielu kopiach i w wielu miejscach. Tym bardziej, że może zdarzyć się sytuacja w której mimo, że pierwotnie nie mieliśmy do czynienia ze zbiorem ktoś gdzieś w organizacji taki zbiór stworzy. Moim zdaniem dobrze jest opisać taką sytuację w Polityce i Instrukcji aby nie budzić wątpliwości co do interpretacji.
-
To ja tylko wrócę do Pana pierwotnego pytania :-) Word i Excel jak najbardziej są częścią systemu informatycznego...
-
Wojciech K.:
W pracy zawodowej liczy sie zaufanie. Absurdem wydaje sie zakladanie, ze tylko wowczas mozna wyniesc dane osobowe z firmy, jesli przetwarza sie w systemie, ktory nie pozwala na odnotowanie np kto dane wprowadzil do systemu lub je zmienil... Zakladajac spiskowa teorie dziejow, najlpeiej nikogo nie upowazniach, nikomu nie dawac pracy, bo ktos cos moze wyniesc...
...pytanie kto ponosi odpowiedzialność, jeśli taka sytuacja się zdarzy?
Polecam lekturze Decyzję GIODO DIS/DEC 1089/39969/09 Dot. DIS-K-421/141/09
punkty 3-10 dotyczące uchybień polegających na: cyt
3. Niezabezpieczeniu bieżącą kopią zapasową danych przetwarzanych w systemie informatycznym (pliku o nazwie „urlop.xls”); niezabezpieczeniu wcześniejszych kopii zapasowych przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem; nieusunięciu wcześniejszych kopii zapasowych po ustaniu ich użyteczności (art. 36. ust. 1 ustawy w związku z częścią A pkt IV ust. 3 i ust. 4 załącznika do rozporządzenia).
4. Braku polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (art. 36 ust. 2 ustawy w związku z § 3 ust. 1 rozporządzenia).
5. Nienadaniu osobom przetwarzającym dane osobowe upoważnień do przetwarzania ww. danych (art. 37 ustawy).
6. Braku ewidencji osób upoważnionych do przetwarzania danych osobowych (art. 39 ustawy).
7. Niezapewnieniu aby system informatyczny (plik o nazwie „urlop.xls”) umożliwiał odnotowanie
daty pierwszego wprowadzenia danych do systemu (§ 7 ust. 1 pkt 1 rozporządzenia).
8. Niezapewnieniu aby system informatyczny (plik o nazwie „urlop.xls”) umożliwiał odnotowanie identyfikatora użytkownika wprowadzającego dane do systemu (§ 7 ust. 1 pkt 2 rozporządzenia).
9. Niezapewnieniu aby system informatyczny (plik o nazwie „urlop.xls”) umożliwiał sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje dotyczące daty pierwszego wprowadzenia danych i identyfikatora użytkownika wprowadzającego dane do systemu (§ 7 ust. 3 rozporządzenia).
10. Umożliwieniu dostępu do systemu informatycznego (pliku o nazwie „urlop.xls”) bez wprowadzenia identyfikatora i dokonania uwierzytelnienia (część A pkt II ust. 1 i ust. 2 lit. a i b załącznika do rozporządzenia.Filip Turyk edytował(a) ten post dnia 24.01.11 o godzinie 00:48
Dołącz do GoldenLine
Oferty pracy
Sprawdź aktualne oferty pracy
Aplikuj w łatwy sposób
Aplikuj jednym kliknięciem
