Temat: Ciekawe praktyczne pytania z życia wzięte ...

Witam serdecznie.
Z ochroną danych osobowych zmagam się od początku roku i właśnie jestem na etapie zakończenia opracowywania polityki bezpieczeństwa i innych niezbędnych dokumentów.

Podczas opracowywania tych dokumentów nasunęły mi się pytania na które niestety nie znalazłem odpowiedzi w internecie, radca prawny też niewiele pomógł, stąd moja prośba do was wszystkich.

1. Pobieranie i zwrot kluczy do pomieszczeń - Czy niezbędna jest rejestracja pobrań i zwrotów kluczy wraz z podpisem osoby pobierającej i zwracającej? Czy niezbędne jest przechowywanie kluczy po zakończonej pracy w wyznaczonym miejscu? Czy pracownik może zabrać ze sobą taki klucz do domu? W jaki sposób zabezpieczyć klucze zapasowe ? Czy należy upoważnić kogoś do wydawania kluczy czy może to robić np sekretarka czy dowolny pracownik firmy?

2. Czy ABI może podpisywać upoważnienia do przetwarzania danych osobowych czy musi to robić ADO ? - (dodam, że ABI wyznaczony jest na podstawie zarządzenia wydanego przez dyrektora - zaś informacja o tym, że ABI wydaje upoważnienia zawarta jest w polityce bezpieczeństwa, stanowiącą załącznik do zarządzenia (w tym samym zarządzeniu wyznaczony jest ABI)

3. Co w sytuacji gdy ABI (nie jest to samodzielne stanowisko) podlega służbowo pod swojego kierownika. Czy ABI wystawia upoważnienie dla swojego kierownika (czyli pracownik niższy szczeblem wystawia upoważnienie dla pracownika szczebla wyższego)?

4. Czy ABI i ADO muszą mieć wystawione upoważnienia do przetwarzania danych osobowych, czy może dostają je automatycznie wraz z pełnionymi funkcjami ? W sytuacji, że załóżmy ABI musi mieć wystawione upoważnienie to kto wtedy je wystawia?

5. Co zrobić w sytuacji gdy bezpośredni przełożony wypełnia wniosek dla swojego podwładnego o nadanie loginu do systemu informatycznego - jak się to ma do dyrektora zakładu ? Czy dla kierowników danych działów z takim wnioskiem do ABI musi wystąpić sam Dyrektor zakładu?

6. Przypadek kluczy do szaf z aktami zawierającymi dane osobowe - czy wystarczy aby pracownik składał je po zakończonej pracy w znanym tylko sobie miejscu?

7. Co w sytuacji, gdy w jednym pokoju siedzi 6 osób - 3 z nich są upoważnione do przetwarzania danych osobowych (ale każda do innego zbioru danych) a pozostałe 3 pracują razem z nimi ale nie mają upoważnień do przetwarzania, gdyż nie zajmują się danymi osobowymi. Czy jeśli wszystkie upoważnione osoby wyjdą z pokoju to czy te nieupoważnione mogą przebywać w tym pokoju (de facto w swoim miejscu pracy...)

8. Czy np wysyłanie informacji do klienta fizycznego (zawierającej jego dane osobowe) poprzez pocztę elektroniczną wymusza aby przesyłane dane były w postaci zaszyfrowanej? Jeśli tak, to jak to sprawnie zrealizować aby klient mógł odczytać wysłany do niego e-mail (w załączniku do rozporządzenia MSWiA pisze żeby stosować S/MIME - aczkolwiek to wymaga aby np każdy z klientów do którego wysyłamy dany mail miał utworzony klucz publiczny, którym my jako firma będziemy szyfrować wysyłany do klienta e-mail - nijak się to ma do praktyki, gdyż nie możemy nikogo zmusić aby każdy klient tworzył sobie klucz publiczny..)

Uff, spisałem się trochę ale mam nadzieję, że przedyskutujemy to razem a post będzie pomocny dla innych osób borykających się z problemami takimi jak ja.

Zapraszam do dyskusji i pozdrawiam:)

Temat: Ciekawe praktyczne pytania z życia wzięte ...

Tom Z:
Witam serdecznie.
Z ochroną danych osobowych zmagam się od początku roku i właśnie jestem na etapie zakończenia opracowywania polityki bezpieczeństwa i innych niezbędnych dokumentów.

Podczas opracowywania tych dokumentów nasunęły mi się pytania na które niestety nie znalazłem odpowiedzi w internecie, radca prawny też niewiele pomógł, stąd moja prośba do was wszystkich.

1. Pobieranie i zwrot kluczy do pomieszczeń - Czy niezbędna jest rejestracja pobrań i zwrotów kluczy wraz z podpisem osoby pobierającej i zwracającej? Czy niezbędne jest przechowywanie kluczy po zakończonej pracy w wyznaczonym miejscu? Czy pracownik może zabrać ze sobą taki klucz do domu? W jaki sposób zabezpieczyć klucze zapasowe ? Czy należy upoważnić kogoś do wydawania kluczy czy może to robić np sekretarka czy dowolny pracownik firmy?

ADO musi wprowadzić rozwiązania zapewniające ochronę odpowiednią do zagrożeń. Przeprowadź ocenę jakie rozwiązanie będzie najlepsze i jakie są zagrożenia i wybierz odpowiednią ochronę. Zajrzyj do normy 27002

2. Czy ABI może podpisywać upoważnienia do przetwarzania danych osobowych czy musi to robić ADO ? - (dodam, że ABI wyznaczony jest na podstawie zarządzenia wydanego przez dyrektora - zaś informacja o tym, że ABI wydaje upoważnienia zawarta jest w polityce bezpieczeństwa, stanowiącą załącznik do zarządzenia (w tym samym zarządzeniu wyznaczony jest ABI)

ABI nadzoruje ADO. Skoro upoważnienia nadaje ADO to nie może tego robić ABI bo potem sam musiałby się nadzorować. To samo tyczy się prowadzenia ewidencji upoważnionych. W praktyce najlepiej jeśli robiłaby to kadrowa.

3. Co w sytuacji gdy ABI (nie jest to samodzielne stanowisko) podlega służbowo pod swojego kierownika. Czy ABI wystawia upoważnienie dla swojego kierownika (czyli pracownik niższy szczeblem wystawia upoważnienie dla pracownika szczebla wyższego)?

Dla wszystkich stanowisk upoważnienia powinien wydawać ADO ewentualnie osoba wyznaczona przez ADO do tego działania, tak jak wyżej, najlepiej wyznaczyć kadrową. Dla stanowisk znajdujących się nad kadrową upoważnienia powinna wydawać osoba kierująca podmiotem. ABI ma nadzorować ADO i w tym zakresie nie powinien podlegać nikomu, co nie zmienia faktu, że w innym może podlegać, np. w zakresie prawa pracy.

4. Czy ABI i ADO muszą mieć wystawione upoważnienia do przetwarzania danych osobowych, czy może dostają je automatycznie wraz z pełnionymi funkcjami ? W sytuacji, że załóżmy ABI musi mieć wystawione upoważnienie to kto wtedy je wystawia?

ADO jest upoważniony do przetwarzania z mocy prawa. ABI powinien mieć upoważnienie. Przy czym nie ma problemu, żeby wynikało ono z mocy przepisów wewnętrznie obowiązujących. W ogóle możliwy jest zapis, że np. nadanie uprawnień w systemie jest jednoznaczne z nadaniem upoważnienia do przetwarzania danych osobowych w tym samym zakresie co rola nadana w systemie.

5. Co zrobić w sytuacji gdy bezpośredni przełożony wypełnia wniosek dla swojego podwładnego o nadanie loginu do systemu informatycznego - jak się to ma do dyrektora zakładu ? Czy dla kierowników danych działów z takim wnioskiem do ABI musi wystąpić sam Dyrektor zakładu?

To samo co z upoważnieniami. O nadanie uprawnień w systemie powinien wystąpić bezpośredni przełożony, on najlepiej wie co pracownik będzie robił w systemie. Jeśli chodzi o osobę kierującą cały podmiotem to nie ma problemu żeby sama wnioskowała dla siebie o nadanie uprawnień.

6. Przypadek kluczy do szaf z aktami zawierającymi dane osobowe - czy wystarczy aby pracownik składał je po zakończonej pracy w znanym tylko sobie miejscu?

Znowu zabezpieczenia odpowiednie do zagrożeń, ewentualnie patrz norma.

7. Co w sytuacji, gdy w jednym pokoju siedzi 6 osób - 3 z nich są upoważnione do przetwarzania danych osobowych (ale każda do innego zbioru danych) a pozostałe 3 pracują razem z nimi ale nie mają upoważnień do przetwarzania, gdyż nie zajmują się danymi osobowymi. Czy jeśli wszystkie upoważnione osoby wyjdą z pokoju to czy te nieupoważnione mogą przebywać w tym pokoju (de facto w swoim miejscu pracy...)

Mogą przebywać, nie mogą tylko zaglądać w dane do których nie są upoważnione. Jeśli zajrzą to znaczy, że przetwarzały a więc podlegają pod karę grzywny ograniczenia pozbawienia wolności do lat dwóch. Tak samo zresztą jak osoba, która nie zabezpieczyła przed nimi tych danych.

8. Czy np wysyłanie informacji do klienta fizycznego (zawierającej jego dane osobowe) poprzez pocztę elektroniczną wymusza aby przesyłane dane były w postaci zaszyfrowanej? Jeśli tak, to jak to sprawnie zrealizować aby klient mógł odczytać wysłany do niego e-mail (w załączniku do rozporządzenia MSWiA pisze żeby stosować S/MIME - aczkolwiek to wymaga aby np każdy z klientów do którego wysyłamy dany mail miał utworzony klucz publiczny, którym my jako firma będziemy szyfrować wysyłany do klienta e-mail - nijak się to ma do praktyki, gdyż nie możemy nikogo zmusić aby każdy klient tworzył sobie klucz publiczny..)

Znowu zabezpieczenie odpowiednie do zagrożeń.

Uff, spisałem się trochę ale mam nadzieję, że przedyskutujemy to razem a post będzie pomocny dla innych osób borykających się z problemami takimi jak ja.

Zapraszam do dyskusji i pozdrawiam:)

Temat: Ciekawe praktyczne pytania z życia wzięte ...

Moje propozycje:

2. Czy ABI może podpisywać upoważnienia do przetwarzania danych osobowych czy musi to robić ADO ? - (dodam, że ABI wyznaczony jest na podstawie zarządzenia wydanego przez dyrektora - zaś informacja o tym, że ABI wydaje upoważnienia zawarta jest w polityce bezpieczeństwa, stanowiącą załącznik do zarządzenia (w tym samym zarządzeniu wyznaczony jest ABI)

ABI sporządza dokument i podsuwa do podpisu ADO

3. Co w sytuacji gdy ABI (nie jest to samodzielne stanowisko) podlega służbowo pod swojego kierownika. Czy ABI wystawia upoważnienie dla swojego kierownika (czyli pracownik niższy szczeblem wystawia upoważnienie dla pracownika szczebla wyższego)?

ABI podlega bezpośrednio Administratorowi DO. ABI powinien kontrolować wszystkich pod kątem stosowania przepisów dot. ochrony DO również swojego przełożonego w hierarchii służbowej. Tu jest chora sytuacja no bo jak kontrolować i dyscyplinować swojego przełożonego? Najlepszym rozwiązaniem jest takie kiedy ABI również w schemacie organizacyjnym podlega bezpośrednio ADO. Tak... to czasem trudne do osiągnięcia. ;)

6. Przypadek kluczy do szaf z aktami zawierającymi dane osobowe - czy wystarczy aby pracownik składał je po zakończonej pracy w znanym tylko sobie miejscu?

Zorganizować woreczki na klucze. Wszystkie szafy zamykamy, klucze od szaf zamykamy w ostatniej szafce a ostatni klucz razem z kluczem od drzwi ląduje w woreczku.

7. Co w sytuacji, gdy w jednym pokoju siedzi 6 osób - 3 z nich są upoważnione do przetwarzania danych osobowych (ale każda do innego zbioru danych) a pozostałe 3 pracują razem z nimi ale nie mają upoważnień do przetwarzania, gdyż nie zajmują się danymi osobowymi. Czy jeśli wszystkie upoważnione osoby wyjdą z pokoju to czy te nieupoważnione mogą przebywać w tym pokoju (de facto w swoim miejscu pracy...)

Jeśli spadnie kartka z biurka a usłużna koleżanka podniesie, rzuci okiem, odłoży... Już przetwarzała dane osobowe. Proponuję wydać upoważnienia wszystkim osobom pracującym w obszarze przetwarzania danych. Na upoważnieniu zapisać klauzulę typu "zapoznałem się z procedurami dot. ochrony danych osobowych obowiązujących w ...., zrozumiałem je i zobowiązuję się do ich przestrzegania". To samo dałbym sprzątaczkom. Przedtem oczywiście przeszkolić wszystkich, również na okoliczność przypadkowego znalezienia dokumentu z danymi osobowymi...

Temat: Ciekawe praktyczne pytania z życia wzięte ...

Czy u was wszystkich problem zwrotu kluczy od pomieszczeń jest rozwiązany tak, że są one zdawane na portierni ? Ponawiam pytanie - czy jeśli przetwarza się dane osobowe czy jest możliwe aby pracownik brał ze sobą do domu klucz od pomieszczenia służbowego ?

A odnośnie tego, aby dać wszystkim pracownikom upoważnienia do przetwarzania danych osobowych to nie jest to takie proste - u nas w firmie w jednym pomieszczenie pracują osoby z dwóch różnych działów - w jednym dziale przetwarza się dane osobowe - w drugim już nie. Natomiast na wydawanych przez nas upoważnieniach będzie lista zbiorów danych do których dana osoba jest upoważniona. Z tego co wiem, nie jest zgodne z prawem wydanie "ogólnego" upoważnienia, bez podania zakresu przetwarzanych zbiorów...Sami widzicie jakie to wszystkie jest zamieszane ...Tom Z edytował(a) ten post dnia 30.04.09 o godzinie 14:24

Temat: Ciekawe praktyczne pytania z życia wzięte ...

Tom Z:
Czy u was wszystkich problem zwrotu kluczy od pomieszczeń jest rozwiązany tak, że są one zdawane na portierni ? Ponawiam pytanie - czy jeśli przetwarza się dane osobowe czy jest możliwe aby pracownik brał ze sobą do domu klucz od pomieszczenia służbowego ?

Istnieje coś takiego co nazywa się "polityka czystego biurka". Każdemu pracownikowi dajesz szafę/kontenerek itp. oraz klucz. Po skończonej pracy ma obowiązek pochować wszystkie dokumenty do wydzielonego mebla i zamknąć go na klucz. Jeśli są to dokumenty szczególnie wrażliwe to kupujesz mu metalową szafę a jak masz totalną paranoję to sejf. Jeden klucz nosi ze sobą drugi jest zamknięty np. w bezpiecznej kopercie u szefa. I problem rozwiązany. Piszesz, że w jednym pokoju pracuje kilka osób więc jedyny sposób na w miarę skuteczny nadzór kto i kiedy wchodził do pokoju to zdawanie jednego klucza na portierni, jeśli każdy będzie miał swój klucz to nigdy nie dojdziesz kto kiedy wchodził. Ale jak znam życie potem te klucze lądują w super pancernej szafce na recepcji, potem przychodzi sprzątaczka, nawleka je wszystkie na wielkie metalowe koło i wchodzi do tych wszystkich pokoi i sprząta. Jeśli ktoś zostawił jakieś papiery to przy okazji przejedzie mu po nich mokrą szmatą. Jedyny jej ślad obecności to zacieki po ścierze. No ale wszystko jest super bezpiecznie bo klucze zdane i każdy się podpisał w zeszycie. Na twoim miejscu martwiłbym się bardziej o zamykanie dokumentów w szafach po godzinach pracy, to skuteczniejsze rozwiązanie.

A odnośnie tego, aby dać wszystkim pracownikom upoważnienia do przetwarzania danych osobowych to nie jest to takie proste - u nas w firmie w jednym pomieszczenie pracują osoby z dwóch różnych działów - w jednym dziale przetwarza się dane osobowe - w drugim już nie. Natomiast na wydawanych przez nas upoważnieniach będzie lista zbiorów danych do których dana osoba jest upoważniona. Z tego co wiem, nie jest zgodne z prawem wydanie "ogólnego" upoważnienia, bez podania zakresu przetwarzanych zbiorów...Sami widzicie jakie to wszystkie jest zamieszane

Nie jest zamieszane, jest bardzo proste. Każdy ma mieć dostęp tylko do takich dokumentów/informacji jakie są mu niezbędne do wykonania obowiązków. Nie bądźmy dziećmi, jeśli ktoś ma swoje biurko i swoje rzeczy to nimi się zajmuje a nie rzeczami innych. Piszesz jakby takie wymagania ustawowe to była uciążliwość podczas gdy jest to argument, którym możesz się posługiwać. Jak komuś powiesz, że nie ma się interesować pracą innych bo takie są zasady bezpieczeństwa to nie brzmi tak przekonująco jak powiesz, że nie ma się interesować bo grozi mu za to kara grzywny ograniczenia pozbawienia wolności do lat dwóch.