GoldenLine
Zaloguj się
Michał Pe

Michał Pe początkujący abi

Temat: firma informatyczna - zdalny pulpit

To fakt.
Link do wypowiedziLink
Bartosz Olszewski

Bartosz Olszewski ABI, Sp. ds
kontroli,
AUTO-HANDEL-CENTRUM

Temat: firma informatyczna - zdalny pulpit

Czy w zaistniałej sytuacji nie wystarczy tylko umowa o zachowaniu poufności ?
Link do wypowiedziLink
Grzegorz R.

Grzegorz R. Linux | DevOps |
Bezpieczeństwo
Informacji/IT |
VMware | ...

Temat: firma informatyczna - zdalny pulpit

Drodzy Państwo,

w całych tych rozważaniach zamknięto się tylko na interpretowaniu "słów i przecinków" ustawy o ODO.
Na cała sprawę spojrzałbym z szerszej perspektywy, mianowicie z punktu widzenia biznesu tej organizacji, która dopuszcza taką firmę zewnętrzną do działania. Przede wszystkim należy przeprowadzić analizę ryzyka bezpieczeństwa informacji dla tej sytuacji i w zależności od zagrożeń i ewentualnych wcześniejszych incydentów związanych z jakąkolwiek stroną trzecią (w kontekście informacji, danych osobowych, ...) należy podjąć działania minimalizujące ewentualne ryzyko. Przecież organizacja zawsze może ubezpieczyć się od płynącego zagrożenia lub może przenieść skutki ewentualnego ryzyka na inną stronę.
Takie podejście jest najbardziej zdrowe w takiej sytuacji, gdyż waga ryzyka i negatywnych skutków płynących z jego wystąpienia będzie dopiero wskazywać jakie kroki podjąć, czy podpisywać masę klauzul ze stroną trzecią, czy podpisać tylko jeden dokument.
Zauważmy, że ochrona danych osobowych, to tylko jeden z wielu składników bezpieczeństwa informacji w organizacji i podstawą tworzenia dokumentów w tym umów dot. bezpieczeństwa powinna być zawsze analiza ryzyka.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: firma informatyczna - zdalny pulpit

Oczywiście - z punktu widzenia przedsiębiorstwa w pierwszej kolejności chodzi o ochronę interesów, a zgodność z ustawą pojawia się później. Gdybym był przedsiębiorcą - zawarłbym dobrą umowę o zachowaniu informacji (w tym także danych osobowych) w poufności z karami za ich ujawnienie, etc. Umową powierzenia martwiłbym się w drugiej kolejności. Należy zauważyć, że za brak umowy powierzenia na piśmie nie ma jakiejś szczególnej kary - jest jedynie odpowiedzialność administracyjna, co w praktyce przekłada się na nakazanie przedsiębiorcy zawarcia takiej umowy.

W przypadku zdalnego pulpitu umowa o zachowaniu poufności powinna wystarczyć plus dodatkowe środki "bezpieczeństwa" jak np. obowiązek wyświetlenia komunikatu, że ktoś będzie przejmował pulpit oraz nakaz zamknięcia wszystkich systemów, w których przetwarza się dane osobowe oraz obowiązek nadzorowania takiego zdalnego serwisowania.
Link do wypowiedziLink
Krzysztof K.

Krzysztof K. Analityk ds spraw
trudnych

Temat: firma informatyczna - zdalny pulpit

Bartosz O.:
Czy w zaistniałej sytuacji nie wystarczy tylko umowa o zachowaniu poufności ?

Po co?
art. 266 §1 kk obowiązuje każdą firmę i każdą osobę. Wystarczy nawet ustnie poinformować.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: firma informatyczna - zdalny pulpit

Art. 266 § 1. Kodeksu Karnego:
Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia
lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Zgadza się . Upoważnienie do przetwarzania danych osobowych także można nadać "ustnie". A jednak większość woli formę materialną - papier albo email. To pomaga to dowieść, że rzeczywiście to się zrobiło - stanowi swojego rodzaju materiał dowodowy. I dlatego umowę o zachowaniu poufności zawierałbym jednak na piśmie.
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: firma informatyczna - zdalny pulpit

Czyli reasumując?
Nie ma konieczności podpisania umowy o powierzeniu, wystarczy umowa o zachowaniu poufności?
Link do wypowiedziLink
Filip Turyk

Filip Turyk właściciel, Idcon
ochrona danych
osobowych

Temat: firma informatyczna - zdalny pulpit

Moim zdaniem jednak nie wystarczy. Proszę zwrócić uwagę, że z punktu widzenia szerszego czyli ochrony informacji stanowiącej część większej struktury procesów, ochrona danych osobowych stanowi istotny element ryzka prawnego. Dlatego też, moim zdaniem, o ile pewna kolejność czynności z biznesowego punktu widzenia jest logiczna o tyle brak zgodności z obowiązującym prawem jednak będzie naruszeniem jednego z tych procesów :-)
A zatem umowa o poufności w mojej ocenie stanowi istotny krok w kierunku zabezpieczenia interesów organizacji. Jednak nie organizacja jest tutaj na pierwszym miejscu ale prawo do ochrony prywatności osób fizycznych, których dane firma przetwarza. Tak więc jeśli czynność wykonywana przez serwisantów mieści się w definicji przetwarzania wymagana będzie umowa powierzenia. Takie jest moje zdanie.
Link do wypowiedziLink
Katarzyna F.

Katarzyna F. Procesy....

Temat: firma informatyczna - zdalny pulpit

Wojciech C.:
Może jestem w błędzie i niepotrzebnie się "kłócę", ale nadal uważam, że nie jest to powierzenie.
Dla mnie powierzenie występuje wtedy, gdy procesor otrzymuje zbiór/dostęp do zbioru w celu pracowania na nim. Za taką natomiast pracę uważam (na przykład) wystawianie faktur, obsługa księgowa/kadrowa/marketing itp.
Zdalny serwis oprogramowania nie mieści się w moich ramach powierzania danych osobowych do pracy na nich.
Dla mnie serwis ma usunąć usterkę i na tym zakończyć pracę. ZWŁASZCZA gdy baza DO znajduje się na moim serwerze a nie gdzieś na wynajmowanym hoście czy w chmurze.


W zupełności się z Tobą zgadzam. Jeżeli mamy wdrożoną politykę bezpieczeństwa, to każdy z pracowników ją zna (przynajmniej powinien) i podpisuje dokument, że nie będzie udostępniał (w tym wypadku - skupię się na tym przypadku) komputera. Jeżeli jesteśmy w domenie to i tak dane fizycznie nie "siedzą" na twardym dysku komputera, a na wydzielonym miejscu na serwerze. Jeżeli potrzebujemy wsparcia zdalnego i naprawy usterki na naszym komputerze, czy też instalacji jakiegoś oprogramowania (za uzyskaną zgodą oczywiście), to serwisant loguje się na naszym kompie przez np. team viewer i mamy obowiązek być przy komputerze i obserwować co się dzieje - zgodnie z dokumentem/procedurą, którą podpisaliśmy (to tak jakby serwisant przyszedł do nas osobiście i naprawiał przy nas usterkę). Nie widzę w tym wypadku w ogóle przetwarzania danych osobowych. Bo jakie dane są przetwarzane? Czy otwiera on konkretne pliki etc? przecież nie jest od tego aby formuły w excellu pisać, w którym jest masa danych osobowych. Nawet jeżeli instaluje program, który będzie słuzył do przetwarzania danych osobowych (np. jakiś interface), to on (spec od IT) nie będzie osobiście tych danych przetwarzał. Oczywiście z serwisem trzeba mieć klauzulę poufności etc. i ich odpowiedzialność i najlepiej gdyby również podpisali politykę bezpieczeństwa. Ale powierzenie danych osobowych, to zupełna abstrakcja dla tego usług serwisowych. Idąc tym tropem, to musielibyśby podpisać umowę na powierzenie nawet z serwisantem, który przychodzi do skanera (maszyna, z której automatem możemy wysłać sobie mailem skan) naprawić maszynę. Co innego by było, gdyby zabierał część tej maszyny, która tymczasowo przechowuje "obrazy" - ale to już znowu oddzielny temat i nie związany z przetwarzaniem danych a z czym innym. Może łatwiej napisać o zepsutym komputerze. Padł dysk. Jest nie do naprawienia. Firma serwisowa powinna podpisać z nami umowę i wziąć pełną odpowiedzialność za zniszczenie nie tyle danych, ale całego dysku (z klauzula, że po zniszczeniu danych na pewno nie da się odzyskać).

Wierzę, że za bardzo nie namieszałam.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj