Temat: IOD w administracji publicznej

Michał S.:

;)

Czytam te wytyczne grupy art 29 WP 243 pkt. 3.5 a tam:

użycie na forum ;) oznacza emotikona - z przymrużeniem oka. Następnym razem postaram się zapisać to wprost.

Reasumując, co do zasady to niczego nie jestem już pewien!

I to jest (z przymrużeniem oka) celna puenta.

Temat: IOD w administracji publicznej

Zgodzę się, że wszystko zależy od szczegółowego zakresu obowiązków, ale moim zdaniem większość kierowników, w szczególności HR, odpada z samego faktu, że odpowiadają za swoich pracowników, którzy biorą czynny udział w procesie przetwarzania. Jak podałem w przykładzie wyżej... nie można monitorować użytkowników, za których, z racji 'przełożoności', się odpowiada.

Temat: IOD w administracji publicznej

Monitoruje przestrzeganie prawa ;-)
Szymon czy wasz POIN nadzoruje przestrzeganie UOIN? Jednocześnie też realizując wymagania z UOIN, jako dopuszczony?

Temat: IOD w administracji publicznej

Hmm... częściowo realizuje i jak najbardziej nadzoruje. Ale jeśli miałbym to rozwinąć to IOD w takim odniesieniu powinien nadzorować i realizować pisząc chociażby PB i układając cały system. obiegu upoważnień. Pani z kadr nadal bym w to nie wciskał.

Temat: IOD w administracji publicznej

Bardziej mi chodzi o uświadomienie, że to nie jest takie proste. Znasz moje podejście do pewnej grupy zawodowej. I właśnie wpisywanie takich wytycznych jasnych i wprost (że ten może tamten nie może) po prostu mnie irytuje.

Z jednej strony RODO stawia ogólne wytyczne, wymagając poprzez swoją konstrukcję myślenia. Czyli podstawy naprawdę dobrych systemów zarządzania bezpieczeństwem. A z drugiej interpretatorzy znów wymyślają jakieś "must be", wyłączając to myślenie.

Stanowiska trzeba przeanalizować. Zobaczyć, co jest w zakresie, bo to zakres obowiązków, realnie wykonywany ma nie powodować konfliktu, a nie nazwa stanowiska. Bo podobnie, jak prawnicy nie są specami od IT, nie są też specami od HR.

Przykładem, który aż bije po oczach. Identyfikator internetowy, rozwijany jako IP. Przez ostatni rok specjalnie na to zwracałem uwagę. W Liverpoolu byłem w biurze (cooworking), gdzie nawet się nie zalogowałem. Po prostu hot-desk, konto gościa. Bez żadnej dodatkowej rejestracji sprawdziłem loty, nawet sobie je wydrukowałem. W Poznaniu w hotelu, wpadłem do znajomego. Nawet nie byłem zameldowany. Też potrzebowałem wydrukować coś. Wydrukowałem... i znów na koncie gościa. I znów nie byłem nigdzie zarejestrowany.

Ale jak mantrę słyszę od początku uchwalenia RODO, że IP będzie daną osobową. I teraz będzie, bo tak przepis stanowi.

Reasumując. RODO wprowadza, a raczej próbuje wprowadzić zasadę myślenia opartego o ryzyko. Ale żeby... to trzeba przejść wiele kroków, aby je włączyć. A określanie, że jakiś dyr HR, co do którego nawet nie do końca wiemy co robi, będzie miał konflikt interesów, jest właśnie wyłączeniem myślenia opartego o ryzyko, a włączeniem ryzyka opartego "bo tak ktoś powiedział". A przecież to my będziemy odpowiadać, jako administratorzy.

Temat: IOD w administracji publicznej

Reasumując. RODO wprowadza, a raczej próbuje wprowadzić zasadę myślenia opartego o ryzyko.

Niestety troszkę przeczy temu nowa UODO ostatnio opublikowana przez ministerstwo. Jest tam zapis:
"Prezes Urzędu udostępnia na swojej stronie podmiotowej BIP standardowe klauzule umowne [...], przyjęte standardowe klauzule ochrony danych [...], rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienie bezpieczeństwa przetwarzania danych osobowych".

Poniekąd będzie się to sprowadzało w pewnym sensie do zasady zastosuj to co opublikował Urząd to masz większe szanse uniknięcia kary.

Osobiście wolałbym aby opublikowali rekomendowane metody wyznaczania ryzyka, bo przecież urzędnik też może "wymyślić" swoją.

Swoją drogą jak myślicie czy dopuszczalne będzie pewne "obejście" poprzez podpisanie z pracownikiem osobnej umowy zlecenia na pełnienie obowiązków IOD? Obecnie często słyszę na szkoleniach i spotkaniach, że nowi/przyszli ABI dostają taką propozycje od pracodawców.Ten post został edytowany przez Autora dnia 22.03.18 o godzinie 19:25

Temat: IOD w administracji publicznej

Krzysztof F.:

Swoją drogą jak myślicie czy dopuszczalne będzie pewne "obejście" poprzez podpisanie z pracownikiem osobnej umowy zlecenia na pełnienie obowiązków IOD? Obecnie często słyszę na szkoleniach i spotkaniach, że nowi/przyszli ABI dostają taką propozycje od pracodawców.

Ale kt przepisy w ten sposób obejdą?
Jeśli dana osoba jest pracownikiem na podstawie umowy o prace na innym stanowisku a dodatkowo podpisuje się z nim umowę na zlecenie w zakresie ABI - to nadal jest pracownikiem - pomijam już w tym miejscu kwestie prawa pracy i możliwości i konsekwencji zawierania z własnymi pracownikami umów o zlecenia a zwrócę tylko uwagę na to że w opinii Grupy Roboczej Art 29 za "pracownika" należy rozumieć również osoby zatrudnione na podstawie umów cywilnoprawnych . Więc takie wybiegi , moim zdaniem, nie wiele dadzą.
Chyba że masz na myśli sytuacje w kt ABI przestanie być pracownikiem i jedynym stosunkiem prawnym łączącym go z ADO będzie umowa zlecenia , ale chyba nie o to chodziło.
Pozdrawiam