Urszula Piątkowska

Urszula Piątkowska samodzielny
referent, ZEASiP

Temat: forma prowadzenia zbioru danych

Może pytanie głupie ale proszę o rozwianie wątpliwości
mam zbiór danych zawarte umowy. Generalnie prowadzony jest w formie papierowej ale niektóre z tych umów sporządzam na komputerze wpisując w nie dane stron umowy - czy mam uznać że jest on też prowadzony w formie elektronicznej i jako program wpisać np MS Office?
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: forma prowadzenia zbioru danych

Pewnie myślisz o rejestracji/wpisaniu zbioru do rejestru ABI... Zacznijmy od tego jakie to umowy... Zerknij czy przypadkiem nie spełniają art 43 1. 4) lub 9)... 12) bym wykluczył ponieważ: "art 7. 2a) systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych; ". Tak w skrócie później może rozwinę...

Temat: forma prowadzenia zbioru danych

Programy typu MS Office nie spełniają wymogów dla atrybutów bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych (§2.7, 8, 10 Rozp MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Dz.U.2004.100.1024). Zatem nie mogą być podstawą przetwarzania danych osobowych w formie elektronicznej.

Na komputerach można przechowywać szablony umów i pism dla programu MS Office itp. Po wygenerowaniu i wydrukowaniu umowy nie ma potrzeby zapisywania jej w formie pliku. Sam fakt generowani i drukowania (bez zapisywania) umowy czy pisma nie jest rozumiany jako przetwarzanie danych osobowych.

Jeśli z jakiś względów istnieje potrzeba zapisania w formie pliku MS Office treści umowy, można to zrobić po uprzedniej animizacji danych osobowych.
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: forma prowadzenia zbioru danych

DIS/DEC-201/12/15307 Do poczytania...
Urszula Piątkowska

Urszula Piątkowska samodzielny
referent, ZEASiP

Temat: forma prowadzenia zbioru danych

Dziękuję. jak zawsze pomocni:)
Najgorsze będzie przestawić panie Krysie Zdzisie i inne że nie ma zapisywania wszystkiego co się da na dysku komputera, bo się przyda.... A są różne cuda - wypełnione zapisane umowy o pracę, zestawienia danych pracowników, przesyłanie sobie mailem zestawień do funduszu socjalnego.... Jak ktoś zna złoty środek żeby to ogarnąć to się chyba Nobel należy....
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: forma prowadzenia zbioru danych

Zintegrowane systemy zarządzania obejmujące programy kadrowo-płacowe, finansowo - księgowe oraz elektroniczny obieg dokumentów. Istnieją fajne rozwiązania, ale trzeba zainwestować pieniądze, czas i zorganizować szkolenia dla kadry...

Tańsze rozwiązania to programy oparte na bazie danych firebird w relacji klient serwer z odpowiednimi uprawnieniami i zakaz przesyłania dokumentów mailem... Takie rozwiązanie raczej nie przekroczy 10k. Dodatkowo w niektórych programach możesz konfigurować jakie dane chcesz przedrukować w raportach... Nobel nie jest potrzebny, wystarczy się rozejrzeć ;)

Temat: forma prowadzenia zbioru danych

Paweł L.:
Zintegrowane systemy zarządzania obejmujące programy kadrowo-płacowe, finansowo - księgowe oraz elektroniczny obieg dokumentów. Istnieją fajne rozwiązania, ale trzeba zainwestować pieniądze, czas i zorganizować szkolenia dla kadry...
Nawet najbardziej zintegrowane systemy nie wyeliminują starych nawyków . Dale j rzeczone Krysie, Zdzisie będą wklepywać w edytorach czy arkuszach kalkulacyjnych dane osobowe.

Nakłady finansowe na program, który uwzględni specyfikę konkretnej firmy to wydatki rzędu dziesiątek-setek tysięcy.

ps.
Daleki byłbym od opierania się na podanym rozstrzygnięciu GIODO. Było ono w konkretnej sytuacji i z konkretnym zarzutem. Wystarczy, że osoba, której dane są przetwarzane zażąda raportu spełniającego wymogi §7.2. cytowanego rozporządzenia MSWiA i decyzja regulatora (albo sądu) może być inna.

Przywołana decyzja może być przydatna jako ew. linia obrony.Ten post został edytowany przez Autora dnia 31.03.16 o godzinie 13:53
Urszula Piątkowska

Urszula Piątkowska samodzielny
referent, ZEASiP

Temat: forma prowadzenia zbioru danych

na szczęście nie muszę wybiegać aż tak daleko bo ani nie jestem ABI ani nie jestem ADO. Niestety zrzucono na mnie opracowanie polityki bezpieczeństwa więc staram sobie jakoś przyzwoicie z tym poradzić. Bardzo chciałabym żeby to wyglądało wszystko na cacy ale uwierzcie Panowie w niektórych miejscach w Polsce mamy średniowiecze i niestety mowy nie ma o tak kosztownych rozwiązaniach.
W każdym razie wdzięczna jestem za pomoc bo dzięki Wam jakoś udaje mi się odnaleźć w tych zagmatwanych przepisach.... Pozdrawiam

Temat: forma prowadzenia zbioru danych

Skoro zrzucono na Ciebie obowiązek opracowania polityki bezpieczeństwa informacji - PBI, to wykonujesz obowiązek ADO i ABI (art.35.2; art. 36a.2.1b uodo) ;)
Od tego jak jest opracowana PBI wiele zależy czy pracownicy i pracodawca (ADO) będą chronieni przed przepisami karnymi. Dobrze by i osoby tworzące dokument i przetwarzające dane osobowe miały świadomość sankcji:
art.49 i 54a uodo dotyczy każdej osoby przetwarzającej dane osobowe - Krysi i Zdzisi też;
art.51-54 uodo skierowane są na ADO.
PBI (i instrukcja jeśli używacie komputerów do przetwarzania danych osobowych) winny być tak opracowane by ich przestrzeganie chroniło przed odpowiedzialnością z w/w sankcji.

Osoby tworzące dokument - to wszystkie osoby, o których wiesz, że przetwarzają dane osobowe; również kierownicy komórek. To kierownicy komórek organizacyjnych winni mieć największą wiedzę kto i w jaki sposób przetwarza dane. Tylko dzięki dokładnym odpytaniu ich będziesz mogła zorientować się jaki jest stan faktyczny. Jeśli używacie komputerów, to informatyk również musi w tym uczestniczyć. Bez udziału wszystkich zainteresowanych PBI nie spełni swojego zadania.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: forma prowadzenia zbioru danych

Radosław Z.:
Na komputerach można przechowywać szablony umów i pism dla programu MS Office itp. Po wygenerowaniu i wydrukowaniu umowy nie ma potrzeby zapisywania jej w formie pliku. Sam fakt generowani i drukowania (bez zapisywania) umowy czy pisma nie jest rozumiany jako przetwarzanie danych osobowych.
Jeśli z jakiś względów istnieje potrzeba zapisania w formie pliku MS Office treści umowy, można to zrobić po uprzedniej animizacji danych osobowych.

Bardzo rygorystyczne stanowisko. Moim zdaniem nieuzasadnione. Poprawki w treści dokumentu bardzo często wprowadza się jeszcze po wydrukowaniu dokumentu, niekiedy kilka dni po.

W przypadku zestawień roboczych przygotowywanych w edytorze tekstu w celu udostępnienia na piśmie na każde żądanie, zmiany w treści wprowadza się na bieżąco.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: forma prowadzenia zbioru danych

Radosław Z.:
Nawet najbardziej zintegrowane systemy nie wyeliminują starych nawyków . Dale j rzeczone Krysie, Zdzisie będą wklepywać w edytorach czy arkuszach kalkulacyjnych dane osobowe.

I trzeba to zaakceptować.
Nakłady finansowe na program, który uwzględni specyfikę konkretnej firmy to wydatki rzędu dziesiątek-setek tysięcy.

Tym bardziej.

Temat: forma prowadzenia zbioru danych

Paweł G.:
Bardzo rygorystyczne stanowisko. Moim zdaniem nieuzasadnione. Poprawki w treści dokumentu bardzo często wprowadza się jeszcze po wydrukowaniu dokumentu, niekiedy kilka dni po.
Ideą ochrony danych osobowych jest ich przetwarzanie w sposób przewidywalny i zabezpieczenie. Ustawa wymusza by firma XYZ dostosowała się do prawa - zmieniła organizację pracy na taką, by była zgodna z przepisami (§9 wcześniej cytowanego Rozporządzenia).

PBI oraz IZSI ma chronić pracowników by działali zgodnie z prawem, a nie narażać ich "na strzał". Stanowisko to wynika z Rozporządzenia w §7.1. "Dla każdej osoby, której dane są przetwarzane w systemie informatycznym (patrz art.7.2a uodo) - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie -... " Prawo dopuszcza, w systemach typu MS Office, wyłącznie edycję danych osobowych, bez możliwości ich zapisania/przechowywania. Rygoryzm wymuszają też zapisy §7.2 i 3 Rozporządzenia.
Jeśli umowa została podpisana, to po co i w jaki sposób zmieniać jej treść? Taka zmiana może być uznana (w skrajnych przypadkach) za fałszowanie dokumentów.
W przypadku zestawień roboczych przygotowywanych w edytorze tekstu w celu udostępnienia na piśmie na każde żądanie, zmiany w treści wprowadza się na bieżąco.
Koleżanka Ula zadała konkretne pytanie w konkretnej sytuacji. Nic nie pisze o roboczych zestawieniach. Tak więc fraza o tym, to wykroczenie poza obszar. Niemniej, robienie zestawień roboczych z danych osobowych musi wynikać z przepisu i w ramach prawa.

Należy mieć na względzie, że w przypadku incydentu, panie Zosie i Krysie tłumaczyć się będą, że przecież powiedziano im, iż mogą zapisywać, przesyłać między sobą dane osobowe w plikach MS Office. A jeśli byłoby to wręcz zapisane w PBI to ... nie chciałbym być w skórze Uli.

Co prawda jest możliwość instalacji i pracy w EZD/EOD (elektroniczny zbiór dokumentów/elektroniczny obieg dokumentów), jednak robienie tego tylko dla umów to nieporozumienie.Ten post został edytowany przez Autora dnia 04.04.16 o godzinie 07:48
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: forma prowadzenia zbioru danych

Przesyłanie danych w formacie edytowalnej z programu Excel nawet w formie zaszyfrowanej nie jest mile widziane. Natomiast jeżeli Zosia przesyła do Krysi zaszyfrowany dokument Excel jako wersję ostateczną bezpiecznym łączem, podpisany elektronicznie to nie widzę problemu.

Jeżeli jednak mówimy o wspólnej pracy na jednym dokumencie kilku osób to nie ma nawet takiej opcji. Excel nie określi ci który użytkownik dokonał jakich zmian, a to jest wymóg. Ma natomiast narzędzia, które pozwolą zidentyfikować kto jest autorem dokumentu, jak również uniemożliwienie zmian przez inne osoby poprzez danie 'uprawnień'.

Nie można od razu odrzucić rozwiązania, ponieważ w niektórych sytuacjach dokument Excel może spełnić warunki. Poza tym takie zestawienie może być tworzone jako dokument techniczny i tak w tym momencie je traktuję...
Paweł G.:
Radosław Z.:
Nawet najbardziej zintegrowane systemy nie wyeliminują starych nawyków . Dale j rzeczone Krysie, Zdzisie będą wklepywać w edytorach czy arkuszach kalkulacyjnych dane osobowe.

I trzeba to zaakceptować.
>

Byłbym ostrożny z akceptowaniem widzimisię pracowników...
To pracownicy mają się dostosowywać do nowych wymogów prawnych. Pamiętaj, że w instytucjach publicznych wymogiem jest znajomość prawa, w szczególności tego, które dotyczy twojej pracy. Regulacji wewnętrznych w szczególności. Jeżeli pracownik się nie stosuje, to ADO powinien przeszkolić Zosię/Krysię, a jeżeli mimo to twierdzą, że nie potrafią stosować regulacji może odsunąć je od części obowiązków, funkcji do czasu uzupełnienia wiedzy... Oczywiście może też zatrudnić nowego pracownika, ale to już w ostateczności...

Pamiętaj, że pracownicy oprócz przywilejów mają również obowiązki...
Paweł G.

Paweł G. IOD, podmiot danych

Temat: forma prowadzenia zbioru danych

GIODO sam zdaje sobie sprawę z absurdalności par. 7 rozp. techniczno-organizacyjnego w odniesieniu do programów biurowych. Tak odbieram te łamańce interpretacyjne w przywoływanej decyzji. Na szczęście po wejściu w życie RODO ten nasz prawny potworek z 2004 r. odejdzie do lamusa.

A tymczasem interpretujmy prawo z głową. Nie wyobrażam sobie zabronić pracownikom użytkowania programów biurowych i nie wyobrażam sobie zabronić wspólnej pracy nad projektami dokumentów.

Przede wszystkim nie widzę w tym obszarze ryzyk, którymi trzeba by się zająć. Jeżeli ktoś te ryzyka dostrzega, to na ten temat podyskutujmy.
Paweł L.:
Excel nie określi ci który użytkownik dokonał jakich zmian, a to jest wymóg.
Który dokładnie przepis prawa masz na myśli?Ten post został edytowany przez Autora dnia 04.04.16 o godzinie 14:51
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: forma prowadzenia zbioru danych

Paweł G.:
Paweł L.:
Excel nie określi ci który użytkownik dokonał jakich zmian, a to jest wymóg.
Który dokładnie przepis prawa masz na myśli?

W zasadzie ten, który wspomniałeś - § 7. Zakładamy oczywiście, że dany dokument nie jest wyjątkiem określonym w § 7. 1. Określony jest też wymóg dotyczący automatycznego odnotowywania - § 7. 2.

Jeżeli chodzi natomiast o 'absurdalność' rozporządzenia, to uważam, że to za dużo powiedziane. Rozporządzenie jest po prostu stare, stworzone w czasach, gdy były inne realia. Najprostszym przykładem jest poziom zabezpieczeń. W tej chwili określony w rozporządzeniu poziom wysoki nie łapałby się nawet na podstawowy wg dzisiejszych realiów. Rozporządzenie powinno być aktualizowane co najmniej raz na dwa lata, żeby nadążyć za postępem IT, a nie raz na n-lat...

Temat: forma prowadzenia zbioru danych

Paweł G.:
A tymczasem interpretujmy prawo z głową.

Na jakiej podstawie uważasz, że możemy interpretować prawo? ABI jest od wykonywania i egzekwowania prawa. Nikt nie zabrania wspólnej pracy nad projektami dokumentów. Ma to się jednak odbywać w określonych ramach prawnych. Dobry ABI podpowie jak organizować pracę by był 'i wilk syty i owca cała'.
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: forma prowadzenia zbioru danych

Paweł G.:
Przede wszystkim nie widzę w tym obszarze ryzyk, którymi trzeba by się zająć. Jeżeli ktoś te ryzyka dostrzega, to na ten temat podyskutujmy.

Serio nie widzisz ryzyk w związku z przetwarzaniem danych osobowych w programie, który nie odnotowuje kto jakie zmiany wprowadził, kto miał wgląd do tych danych osobowych oraz czy i gdzie informacje zostały exportowane?

Widzę, że bardzo ufasz pracownikom, zazdroszczę ci takich koleżanek i kolegów w pracy, którzy znają ustawy i rozporządzenia oraz się do nich stosują nie mając żadnych wątpliwości...

Jako ABI powinieneś zawsze podchodzić z rezerwą do wiedzy i umiejętności pracowników...

Zgadzam się z Radosławem, że nie jesteśmy od interpretacji prawa, ale od pilnowania, by było przestrzegane...

Edit: zmiana kontekstu zdania na prawidłowy :PTen post został edytowany przez Autora dnia 05.04.16 o godzinie 08:39
Paweł G.

Paweł G. IOD, podmiot danych

Temat: forma prowadzenia zbioru danych

Paweł L.:
Serio nie widzisz ryzyk w związku z przetwarzaniem danych osobowych w programie, który nie odnotowuje kto jakie zmiany wprowadził, kto miał wgląd do tych danych osobowych
Przecież chodzi wyłącznie o projekty dokumentów i ich kopie robocze. Dlaczego Waszym zdaniem nie wystarczy rozliczalność na poziomie systemu operacyjnego?
gdzie informacje zostały eksportowane?
Nie wystarczy rozliczalność w sieci wewnętrznej?
Zgadzam się z Radosławem, że nie jesteśmy od interpretacji prawa, ale od pilnowania, by było przestrzegane...
Stosowanie prawa polega na uprzedniej jego wykładni.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: forma prowadzenia zbioru danych

Radosław Z.:
Dobry ABI podpowie jak organizować pracę by był 'i wilk syty i owca cała'.
A Ty jaki masz na to patent? Jakie rozwiązanie stosujesz?
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: forma prowadzenia zbioru danych

Paweł G.:
Paweł L.:
Serio nie widzisz ryzyk w związku z przetwarzaniem danych osobowych w programie, który nie odnotowuje kto jakie zmiany wprowadził, kto miał wgląd do tych danych osobowych
Przecież chodzi wyłącznie o projekty dokumentów i ich kopie robocze. Dlaczego Waszym zdaniem nie wystarczy rozliczalność na poziomie systemu operacyjnego?

Ponieważ pracuje nad dokumentem więcej niż jedna osoba
gdzie informacje zostały eksportowane?
Nie wystarczy rozliczalność w sieci wewnętrznej?

Rozwiń w jaki sposób, ponieważ nie widzę związku
Zgadzam się z Radosławem, że nie jesteśmy od interpretacji prawa, ale od pilnowania, by było przestrzegane...
Stosowanie prawa polega na uprzedniej jego wykładni.

Od czego mamy wyroki...?



Wyślij zaproszenie do