Temat: Exell vs roporządzenie MSWiA

Witam,

W ramach wprowadzania systemu bezp inf- zgodność z UODO, jak poradziliście sobie ze zbiorami DO w arkuszach kalkulacyjnych Exella?

Odnosząc się do wiadomego rozporządzenia MSWiA ten system nie spełnia wymagań określonych w roporządzeniu dot. systemu przetwarzania DO, a dokładnie sprawa logowania nazwa usr oraz hasło oraz par. 7. ust 2

Ciekaw jestem Waszych opini i pomysłów w tym dość cieżkim dla wielu użytkowników xls temacie.

Z góry dziękuję za wszelkie opinie

Pozdrawiam

Temat: Exell vs roporządzenie MSWiA

Art. 7 uodo
[...]
2a. systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
2b. zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,

Z naciskiem na wytłuszczone :)
Zgodnie z tym:
- logujemy sie do systemu (windows/linux) i w tym momencie ustalamy hasło dla każedego użytkownika na poziomie zasobów.
- w procedurach opisujemy, że przy wstawianiu danych do excela nalezy wypelniać wymagane w art. 7 rozporzadzenia dane.
Czyli, jeżeli nie mamy możliwości zapewnienia technicznie robimy to organizacyjnie.

To tak na szybko

Temat: Exell vs roporządzenie MSWiA

DziękujęGrzegorz --- edytował(a) ten post dnia 19.12.09 o godzinie 15:57

Temat: Exell vs roporządzenie MSWiA

podobno jest jakaś nakładka na excela umożliwiająca autoryzację :)
do tego dałbym szyfrowanie ;)

Temat: Exell vs roporządzenie MSWiA

A co z automatyką?Grzegorz --- edytował(a) ten post dnia 19.12.09 o godzinie 15:58

Temat: Exell vs roporządzenie MSWiA

Na zdrowy rozsadek liczymy u kontrolera. :) Uzytkownik i procedura, jako czes systemu informatycznego AUTOMATYCZNIE dopisuje te dane. :) Tam to wlasnie mam w jednym miejscu, ale ADO zostal powiadomionuy, ze nie jest to do konca zgodnie z prawem
W drukim miejscu, w excelu nie przetwarzamy danych, ktore sa danymi wrazliwymi i w nadmiernych ilościach. Sa to male zbiory danych tworzone tymczasowo.
Nie oszukujmy sie, ale excel nie nadaje sie do przetwarzania danych osobowych, jako program glowny, natomist czesto sa tworzone zbiory tymczasowe, ktore po wygaśnięcie potrzeby sa kasowane.
Mozna oczywiscie probwac napisac makro, ktore bedzie realizowalo te czynnosci automatycznie, ale nie spotkalem sie z tym

Temat: Exell vs roporządzenie MSWiA

Kiedyś pytałem o to jednego z kontrolerów GIODO na dniach otwartych GIODO. Konkretnie chodziło mi o przetwarzanie danych za pomocą Excella. W rozporządzeniu jest definicja poufności i rozliczalności, co prawda nigdzie nie jest napisane, że system to gwarantuje ale zgodnie z wykładnią jaką wtedy usłyszałem ma gwarantować. A w samym programie Excell raczej nie da się tego zrealizować. Ta sama osoba powiedziała mi, że zdaje sobie sprawę z trudności jakich przysparza rozporządzenie i stworzenie dokumentacji i powiedziała, że podczas kontroli jeśli ADO wykaże, że "panuje" nad tym jak przetwarza dane, czyli wie jak to się dokładnie odbywa i gdzie co się znajduje, to przymykają oczy na pewne trudne do zrealizowania wymagania. Nie wiem na ile to prawda ale myślę, że jednak tak strasznie skrupulatni nie są jeśli wykaże się rozsądek i dobre chęci.

Teraz jak ja to widzę. Musimy odróżnić dwa pojęcia, system i program. Zgodnie z definicją ustawową system to bardzo pojemna definicja i składa się on właśnie z programów. Tak jak napisał ktoś powyżej w szczególnych przypadkach można nawet uznać, że logowanie do stacji roboczej to logowanie do systemu. O to zresztą też pytałem pana z GIODO i potwierdził, że można przyjąć takie założenie. Odróżnić należy też dwa przypadki, pierwszy kiedy uzyskujemy dostęp do danych przez logowanie do specjalnego programu a za jego pomocą, potem przetwarzamy dane a drugi kiedy dostajemy dane, np. w formie raportu, i przetwarzamy je za pomocą powszechnie dostępnego oprogramowania np. Excell. Taki raport bardziej podchodzi pod zbiór danych osobowych (nie mówię teraz o ustawowej definicji zbioru) takiego jak np. wydruk komputerowy. Można wtedy przyjąć, że dane są przetwarzane doraźnie a potem wprowadzane do systemu właściwego i na tym etapie odbywa się już zapisanie kto dograł te dane. Nie widzę więc problemu, żeby generować raporty do Excella poprawiać je i wprowadzać do programu właściwego. Problem pojawia się kiedy chcemy pracować tylko na plikach Excell i pracować ma więcej niż jedna osoba. Ale to też można uregulować. Ważne jest, żeby dokładnie określić w wewnętrznych aktach prawnych i dokumentacji co to jest system, gdzie się kończy i gdzie zaczyna, kto ma do niego i jakie uprawnienia i jak odbywa się przetwarzanie informacji.

Temat: Exell vs roporządzenie MSWiA

Grzegorz Makara:
Zostawmy już logowanie do systemu :-)

Pozostaje nadal par 7. ust. 2. Rozporządzenia, które precyzuje czynności z ust. 1. pkt 1. oraz 2. jako czynności AUTOMATYCZNE, czyli realizowane przez system a nie użytkownika systemu.

Jak do tego podejść zdroworozsądkowo? Jak Wy podeszliście do tego?Grzegorz Makara edytował(a) ten post dnia 09.04.09 o godzinie 16:31

Excell się raczej nie nadaje do tego typu pracy ale na upartego da się to zrobić. Nie wiem jak pracujecie w firmie ale zakładam, że jest kilka osób i wprowadzają one dane do plików Excell. Można to zrobić w następujący sposób. Każda osoba wprowadza dane do oddzielnego pliku Excell raz na dzień przesyła je do kogoś kto kopiuje dane od wszystkich do jednego arkusza a uzyskane pliki pozostawia do celów dowodowych, czyli kto i kiedy wprowadził dane. Na upartego możesz jeszcze zainstalować PGP albo GPG i kazać im podpisywać przesyłane pliki, masz rozliczalność, poufność i automatyczne odnotowywanie kto wprowadził dane. Nie wiem czy to cię urządza bo nie napisałeś jak przetwarzacie dane.

Temat: Exell vs roporządzenie MSWiA

Wymyśliłem sobie takie rozwiązanie:
-Zbiór jest przetwarzany w formie tradycyjnej
-Tworzone są zbiory doraźne, które są przetwarzane w systemie informatycznym – w arkuszu Excell
-Po wprowadzeniu wszystkich danych, plik jest drukowany, a następnie usuwany.

Do zbioru doraźnego stosuje jedynie przepisy rozdziału 5, tworzę instrukcję zarządzania, itd.
Wątpliwości pojawiają mi się gdy dochodzimy do zgłoszenia zbioru. W systemie informatycznym, przetwarzany będzie jedynie zbiór doraźny, ale w rzeczywistości, będzie on stanowił stworzoną ze względów technicznych kopię części zgłaszanego zbioru, dlatego zaznaczenie pola mówiącego, że zbiór danych jest prowadzony wyłącznie w formie papierowej, wydaje mi się niezgodne z prawdą.
Z drugiej strony zgłaszam zbiór w formie papierowej, a nie zbiór doraźny... Jak Waszym zdaniem powinno wyglądać zgłoszenie?