Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Adam Buciński:
P.S. A nawet nie jestem ABI u siebie w urzędzie. A jeszcze trochę (jak nie już) a będę się lepiej orientował w temacie od obecnego.

Niestety częsta przypadłość ABI-ch - bycie :)

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Adam Buciński:
Niestety nie mam zapytania do MRR. Wysyłał to Urząd Marszałkowski, a ja podejrzewam, że nie do końca one było ok.

No to nieco trudno wprost stwierdzić, że tematy dotyczą tego samego. Mimo podobieństwa odpowiedzi.

Bo w odpowiedzi mamy o zwolnieniu z zawierania umów o powierzenie danych osobowych - tak ogólnie. Natomiast wcale nie o to w tym chodzi i też nie uważam, że słuszne byłoby zwolnienie pcpr w ogóle od zawieranie takich umów - mamy przecież kwestię takie jak np. ewaluacja czy audyt, gdzie na pewno trzeba taką umowę zawrzeć.

Ewaluacja programu? Szkolenia? I audyt - czego konkretnie?

Właśnie to pan podkreślił "odpowiednio do zagrożeń". Ja w tym konkretnym przypadku szkoleń uważam, że jest ona nadmierna.

Panie Adamie... zaraz zapędzimy się nieco za daleko. Zapraszam na szkolenie z analizy zagrożeń czy jakąkolwiek konferencję Instytutu. Nie chodzi o reklamę (wybaczcie moderzy prawie-krypto-reklame), a o pewne podejście do zrozumienia poczucia bezpieczeństwa. Mała zajawka - na dole o modelu Freia:
http://ibii.eu/felietony-czyli-naszym-zdaniem/88-odwag...

Generalnie żaden specjalista bez wiedzy o przyjętym modelu nie powinien krytykować wyniku szacowania ryzyka (zagrożeń i ich skutków). A już na pewno nie przesądza o tym, czy coś jest celowe czy nie.

Proszę mi wierzyć, ale tak się po prostu nie robi, bo się można mocno potknąć. Nie pracuję jakoś powalająco długo w bezpieczeństwie informacji, 12 lat dopiero (przy całym bezpieczeństwie 17) ale to naprawdę nie Pan i nie ja odpowiadamy za dane osobowe i ich zabezpieczenie w zbiorach MRR. Mają od tego swoich ludzi i co najważniejsze, nawet nie oni decydują. Decyduje minister, jako ADO, który przyjmuje określony poziom ryzyka jako akceptowalny.

W modelu Freia może to być nawet obsesja, ale odpowiedzialność nadal jest po stronie ADO, więc niezależnie od wszystkiego i tak jedyną osobą, jakiej przysługuje prawo przyjęcia określonego poziomu ryzyka jest on sam.

Analogia - nam konsultantom od bezpieczeństwa często się zdarza nie zgadzać z Klientem. Choć częściej z powodu fałszywego poczucia bezpieczeństwa ze strony Klienta (zagrożenia duże, postrzeganie na niskim poziomie). I tu jest rola szacowania ryzyka. Nie jest prosto przekonać. A jak nie uda nam się przekonać, to przyjmujemy jako punkt wyjścia poziom określony jako akceptowalny przez Klienta.

Również dlatego, że my jako specjaliści od bezpieczeństwa również postrzegamy nieco inaczej pewien stan zagrożeń. Z racji pewnych urazów ze służby, chętnie wszystkich funkcjonariuszy na ulicy i wszędzie pełniących służbę ubierałbym w kamizelkę kuloodporna i odporną na przecięcia- ale czy ma to sens?

MRR to jest w ogóle ciekawe instytucja - ja ich nie podejrzewam o analizę konkretnych przypadków. Znając życie to wszystko do jednego wora wrzucili. Dlaczego - bo tak im wygodniej i to niech beneficjenci się martwią. A jak tak sobie coraz więcej dowiaduje (za co dziękuje) to, powinna być analiza co do konkretnych grup beneficjentów, konkretnej grupy docelowej w ramach sprecyzowanego Poddziałania PO KL. I to najlepiej w konsultacjach z GIODO (jako MRR to mogą coś takiego zrobić). Teraz to już na to jest nawet za późno, bo realizacja projektów jako taka się kończy.
Pozdrawiam
P.S. A nawet nie jestem ABI u siebie w urzędzie. A jeszcze trochę (jak nie już) a będę się lepiej orientował w temacie od obecnego.

Od obecnego być może. Ale równajmy w górę ;-))))Grzegorz K. edytował(a) ten post dnia 02.07.12 o godzinie 18:38

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Dziękuję za zaproszenie na szkolenie.
Przydałoby się, bo dawno przechodziłem.
Tak tylko wyjaśniająco: można robić ewaluacje całego projektu lub poszczególnych jego części (np. tylko szkoleń). Podobnie z audytem.
Ciekawe musiał mieć Pan doświadczenia. Ja jakoś pomimo 8 lat pracy z klientem i to często trudnym, nie mam takich odczuć. Chociaż policję zdarzyło się wzywać.
Natomiast sprawa się wyjaśniła. Ogólnie okazało się, że trochę byłi nadgorliwi wcześniej. Tak w skrócie na szkoleniu dla pracowników kontroli (którzy kontrolują projekty) kwesta imienia i nazwisko została przedstawiona następująco:
1. Przekazania samego imienia i nazwiska nie wymaga umowy o powierzenie przetwarzania.
2. Przekazania imienia i nazwiska +nazwa projektu= sprawa dyskusyjna.
Wg prowadzącego te szkolenia dla UM (IP) to już przekazanie danych osobowych. Natomiast nie wiadomo jak nazwa projektu miałaby ułatwić identyfikacje osoby, jeżeli dane uczestników projektów nie są łatwo dostępne (dla takiego podmiotu zewnętrznego to w ogóle nie są dostępne).
Mam nadzieje, że te szkolenie ktoś z GIODO prowadził.
Pozdrawiam

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Panie Adamie - druga część definicji danych osobowych. Proszę nie skupiać się na IDENTYFIKACJI jako kluczowym kryterium, bo drugie kryterium, to dane dotyczące ZIDENTYFIKOWANEJ osoby.

A doświadczenia ciekawe miałem. Poza bezpośrednimi, formułowałem konkluzje pod notatkami z wnioskiem o wszczęcie, ale i mnie też ścigali z wnioskami i raz nawet z aktem oskarżenia (sędzia wyśmiał). Także doświadczenie i ostrożność mam już nabytą. Z tego wynika ogromny dystans do ocen subiektywnych na bazie tylko "kwitologii". Bo ładnie wszystko z dystansu wynika, nieco mniej ładnie z bliskiego kontaktu a już wcale nieładnie jak się ma zarzuty.

Dlatego w pełni rozumiem ostrożnościowe podejście MRR i wielu innych instytucji. Bo dane są przekazywane do wielu podmiotów - umowa powierzenia wiąże się z pewnym zobowiązaniem, a co najmniej "zajawką" że cos jeszcze trzeba zrobić. Czego przy takim normalnym przekazaniu niestety nie ma. Wiele firm szkoleniowych nawet dokumentacji nie ma, nie mówiąc o ustanowieniu i utrzymaniu rzeczywistego systemu ochrony danych osobowych (czy zarządzaniu bezpieczeństwem).

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Nie ukrywam, że zmagania ze zbiorami danych i ewentualnymi umowami pod rządami MRR nie są łatwe. Jak jednak wskazuje orzeczenie Trybunału Sprawiedliwosci UE w zblizone sprawie z zakresu wspólnej polityki rolnej jest o co sie kłócić. Rzeczywicie dzis już trochę późno na działania do tej perspektywy programów pomocowych ... ale ... może warto zrobić (rynek + GIODO) podsumowanie na koniec 2013 i wskazać jak radzić sobie z danymi w nowej perspektywie

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Wojciech Rafał Wiewiórowski:

wskazać jak radzić sobie z danymi w nowej perspektywie

Trochę się w tym specjalizuję i mogę powiedzieć , że dla MRR takie podsumowanie było by bardzo cenne i przydatne, ponieważ cały czas mam wrażenie że ma problemy z tą materią (choć zmiany idą w dobrym kierunku)Przemysław C. edytował(a) ten post dnia 04.07.12 o godzinie 06:07

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Panie Grzegorzu
A kiedy osoba jest zidentyfikowana? Po prostu nie rozumiem, co w kontekście ochrony danych osobowych może firmie szkoleniowej dać wyłącznie posiadanie imienia i nazwiska osoby w celu jakiegokolwiek wykorzystania powiedzmy w sposób "niedozwolony"? Co im da, że zgłosił się do nich Adam Buciński (sam znalazłem ze 3).
Po drugie to przepraszam, ale jeżeli nastąpiła identyfikacja osoby w firmie szkoleniowej to ona jest odpowiedzialna za przetwarzanie danych tylko, że to jest kwestia wewnętrzna tej firmy i stosunku między uczestnikiem a firmą szkoleniową. Ja wcale nie mam ochoty brać za nich odpowiedzialności, bo i tak nie będę miał kontroli co oni zrobią z danymi osoby.
"Bo dane są przekazywane do wielu podmiotów - umowa powierzenia wiąże się z pewnym zobowiązaniem, a co najmniej "zajawką" że coś jeszcze trzeba zrobić. Czego przy takim normalnym przekazaniu niestety nie ma. Wiele firm szkoleniowych nawet dokumentacji nie ma, nie mówiąc o ustanowieniu i utrzymaniu rzeczywistego systemu ochrony danych osobowych (czy zarządzaniu bezpieczeństwem)."
A i owszem tak jest tylko dlaczego to ma być mój problem, a nie firmy szkoleniowej. I dlatego nie mam ochoty zawierać z nimi umowy o powierzenie przetwarzania danych osobowych, gdyż w moim odczuciu dam im zbyt "duże" uprawnienia. Przy czym cel przetwarzania danych przez PCPR a firmę szkoleniową jest odmienny.
Wie Pan to nie tylko moje odczucie. Znam przykład z MOPSu, gdzie po prostu ich pracownik jest na szkoleniu i sprawdza listę obecności (ale to mały projekt na kilka osób).
Wg mojego rozumowania w moim przypadku to mamy tak:
Firma szkoleniowa otrzymuje od osoby skierowanie (nawet my osobiście jej imienia i nazwiska nie przekazujemy) i żeby się upewnić, iż jest to uczestnik faktycznie przez nas skierowany musi uzyskać od niej dodatkowe dane - czyli rozpoczyna się przetwarzanie danych osobowych w firmie szkoleniowej (czyli musi uzyskać zgodę osoby, z resztą i tak musi jeżeli chce jakieś sensowne zaświadczenie wystawić).
Uprzedzając ja jako zlecający szkolenie niczego nie narzucam. Jak nie tą osobę przeszkoli to już jej problem, najwyżej im nie zapłacę.
Pytanie po co miałbym zawierać umowę o powierzenie przetwarzania danych osobowych, jeżeli i tak przetwarzanie danych osobowych następuje na podstawie zgody osoby (i w przyzwoitych firmach tak jest).
Panie Grzegorzu cały czas Pan zapomina, że ja te szkolenie realizuje nie na podstawie umowy o dofinansowanie projektu tylko na podstawie ustawy o pomocy społecznej. A to ma bardzo duże znaczenie. Mniej więcej z tego powodu GIODO wydał taką, a nie inną interpretację w przypadku PUP (tak się domyślam).

Panie Wojciechu oj przydałoby się coś porządnego zrobić. I ostatecznie wyjaśnić większość kwestii. Ale to całkiem spora robota ze względu na różnorodność działań i warunków realizacji projektów w samym PO KL. Mi się na przykład na dzień dobry nie do końca podoba ten łańcuszek podpowierzania (tak jakoś wewnętrznie), gdyż robi się on w pewnym momencie po prostu za długi.

Panie Przemysławie a w jakim dobrym kierunku idą ostatnio zmiany w MRR? Jakoś nie zauważyłem, chyba że chodzi o to, że w ogóle zaczęli się zastanawiać nad kwestią ochroną danych osobowych.
Pozdrawiam
P.S. Żebym to miał jeszcze więcej czasu, aby pisać. Niestety walczę ostatnio z przetargiem na szkolenia.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Adam Buciński:

Panie Przemysławie a w jakim dobrym kierunku idą ostatnio zmiany w MRR? Jakoś nie zauważyłem, chyba że chodzi o to, że w ogóle zaczęli się zastanawiać nad kwestią ochroną danych osobowych.

Myślę że zawsze się zastanawiali a dobry kierunek to zmiany po 1 stycznia 2012.