GoldenLine
Zaloguj się
Adam Kostowki

Adam Kostowki Informatyk

Temat: IODO - dostęp do danych chronionych ?

Dzień dobry,

Z definicji IODO powinien "sprawować nadzór nad przestrzeganiem zasad ochrony przetwarzania danych osobowych" ale czy jest to jednoznaczne z dostępem do danych osobowych?

Pytam bo spotkałem się z dziwnymi przypadkami IODO którzy:

- wchodzi sobie sobie do pomieszczeń biurowych i żądali dostępu do segregatorów w których znajdowały się dane osobowe pracowników i przeglądali sobie te dane.

- chodzili po firmie i "sprawdzali" komputery przeglądając zawartość dysków na których znajdują się dane osób korzystających z usług w danej firmie.

Pozdrawiam
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: IODO - dostęp do danych chronionych ?

Adam K.:
Dzień dobry,

Z definicji IODO powinien "sprawować nadzór nad przestrzeganiem zasad ochrony przetwarzania danych osobowych" ale czy jest to jednoznaczne z dostępem do danych osobowych?

Pytam bo spotkałem się z dziwnymi przypadkami IODO którzy:

- wchodzi sobie sobie do pomieszczeń biurowych i żądali dostępu do segregatorów w których znajdowały się dane osobowe pracowników i przeglądali sobie te dane.

- chodzili po firmie i "sprawdzali" komputery przeglądając zawartość dysków na których znajdują się dane osób korzystających z usług w danej firmie.

Pozdrawiam

IOD-ocentryzm, jednostka chorobowa, której jednym z objawów jest samozajebistość. Coś jak BHP-ocentryzm, gdzie gość na inspekcji "NIE MUSI BYĆ POINFORMOWANY NO RYZYKACH" bo się przecież zna.

Nie, nie jest to prawidłowe. I na pewno nie ma nic wspólnego z profesjonalizmem.
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: IODO - dostęp do danych chronionych ?

Adam K.:
Z definicji IODO powinien "sprawować nadzór nad przestrzeganiem zasad ochrony przetwarzania danych osobowych"
JODa nie ma uprawnień nadzorczych. (wówczas byłby odpowiedzialny za ochronę danych w organizacji)
Zgodnie z rodo (art. 39) do jego obowiązków należy: informowanie ADO ..., monitorowanie przestrzegania rodo...., udzielanie na żądanie zaleceń...., współpraca z PUODO...
ale czy jest to jednoznaczne z dostępem do danych osobowych?
Tak. Przepisy art. 38.1. nakazują niezwłoczne włączanie JODy we wszystkie sprawy dotyczące ochrony danych osobowych. Z kolei art. 38.2. nakazuje ADO (...) do zapewnienie niezbędnych zasobów do wykonania zadań opisanych w art. 39 oraz dostęp do danych osobowych i operacji przetwarzania.

Pytam bo spotkałem się z dziwnymi przypadkami IODO którzy:

- wchodzi sobie sobie do pomieszczeń biurowych i żądali dostępu do segregatorów w których znajdowały się dane osobowe pracowników i przeglądali sobie te dane.
Ma takie prawo ale w ograniczonym zakresie (ochrony danych osobowych). A kierownik komórki organizacyjnej ma obowiązek domagania się protokołu, ew. samemu sporządzić notatkę służbową z wykonanych czynności.

- chodzili po firmie i "sprawdzali" komputery przeglądając zawartość dysków na których znajdują się dane osób korzystających z usług w danej firmie.
Jeśli osoba przetwarzająca dane dopuszcza by, nawet JODa, na jej loginie i haśle przeszukiwał komputer, to .... jest incydent. Co innego gdy JODa prosi obsługującą osobę o wyświetlenie określonych plików lub folderów.
ps.
Jest możliwe, że JODa posiada specjalne uprawnienia przypisane do jego loginu. Wówczas mógłby "sprawdzać" komputery i zawartość dysków. Jednak SI winien odnotować kiedy, gdzie i jakie czynności wykonano na loginie JODy.
Link do wypowiedziLink
Paulina S.

Paulina S. Inspektor ochrony
danych

Temat: IODO - dostęp do danych chronionych ?

Grzegorzu to nie IOD-ocentryzm tylko przekroczenie uprawnień.
Nie wyobrażam sobie wpaść np. do księgowości i żądać dostępu do wszystkiego, BO TAK. Ale nie wyobrażam sobie, również, że w trakcie kontroli zaakceptowanej przez ADO ktoś odmawia mi wglądu do dokumentów, też BO TAK.
Link do wypowiedziLink
Przemysław Dorszewski

Przemysław Dorszewski

Temat: IODO - dostęp do danych chronionych ?

Nie znamy całego kontekstu historii, czyli po co ten IOD tam zaglądał i co tam sprawdzał na komputerze. Mamy relację informatyka i jak on to widzi od swojej strony. Według niego jest to dziwne, a według kogoś innego może nie być dziwne. Więc na ferowanie wyroków i ostatecznych opinii jest chyba za wcześnie lub mamy za mało szczegółów.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: IODO - dostęp do danych chronionych ?

Adam K.:
Pytam bo spotkałem się z dziwnymi przypadkami IODO którzy:
- wchodzi sobie sobie do pomieszczeń biurowych i żądali dostępu do segregatorów w których znajdowały się dane osobowe pracowników i przeglądali sobie te dane.
- chodzili po firmie i "sprawdzali" komputery przeglądając zawartość dysków na których znajdują się dane osób korzystających z usług w danej firmie.
Dlaczego te przypadki uważasz za "dziwne"? Wydaje się oczywiste i intuicyjnie logiczne, że IOD musi mieć dostęp do danych osób, żeby sprawdzić, czy prawa tych osób są przestrzegane, nie sądzisz?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: IODO - dostęp do danych chronionych ?

To ja tak tylko przypomnę. ROZLICZALNOŚĆ.

IOD w trakcie takiej... pseudo-kontroli ma dostęp do danych. Art 29 - panowie i panie mają pomysł? Skoro kontrolowany pracownik nie ma o tym wiedzy, znaczy że nie zna procedury dostępu. Stąd blisko do 33.

Dla przypomnienia: Na polecenie i z upoważnienia.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: IODO - dostęp do danych chronionych ?

Paulina S.:
Grzegorzu to nie IOD-ocentryzm tylko przekroczenie uprawnień.
Nie wyobrażam sobie wpaść np. do księgowości i żądać dostępu do wszystkiego, BO TAK. Ale nie wyobrażam sobie, również, że w trakcie kontroli zaakceptowanej przez ADO ktoś odmawia mi wglądu do dokumentów, też BO TAK.

No więc:
1. Okazuje się upoważnieniem
2. Kontrolowany dostaje info.

Jak nie - to co mamy? Wpada ktoś, mówi że jest IOD i wiska teczki. Sorry, z którejś strony leży. Albo ten co udostępnia (tu na pewno, ja bym gościa wywalił jakby nie okazał mi kwitów, że to robi z polecenia admin), albo ten co kontroluje (bo się role i funkcje pomieszały).
Link do wypowiedziLink
Paulina S.

Paulina S. Inspektor ochrony
danych

Temat: IODO - dostęp do danych chronionych ?

Grzegorz K.:
No więc:
1. Okazuje się upoważnieniem
2. Kontrolowany dostaje info.

Jak nie - to co mamy? Wpada ktoś, mówi że jest IOD i wiska teczki. Sorry, z którejś strony leży. Albo ten co udostępnia (tu na pewno, ja bym gościa wywalił jakby nie okazał mi kwitów, że to robi z polecenia admin), albo ten co kontroluje (bo się role i funkcje pomieszały).
Dokładnie o to mi chodzi. Z jednej strony mamy przekroczenie kompetencji a z drugiej nieznajomość procedur. Konia z rzędem temu kto powie co jest gorsze.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: IODO - dostęp do danych chronionych ?

Paulina S.:
Grzegorz K.:
No więc:
1. Okazuje się upoważnieniem
2. Kontrolowany dostaje info.

Jak nie - to co mamy? Wpada ktoś, mówi że jest IOD i wiska teczki. Sorry, z którejś strony leży. Albo ten co udostępnia (tu na pewno, ja bym gościa wywalił jakby nie okazał mi kwitów, że to robi z polecenia admin), albo ten co kontroluje (bo się role i funkcje pomieszały).
Dokładnie o to mi chodzi. Z jednej strony mamy przekroczenie kompetencji a z drugiej nieznajomość procedur. Konia z rzędem temu kto powie co jest gorsze.

Plus jeśli to był test ochrony ( o czym założyciel wątku już powienien wiedzieć, bo niedociągnięcie spore) to MUSI być scenariusz lub coś podobnego, bo znów jest to przetwarzanie danych. A więc NA POLECENIE. A nie tylko z upoważnienia.
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: IODO - dostęp do danych chronionych ?

Kontrola zapowiedziana (najlepiej zgodnie z planem), wydane upoważnienie przez ADO, odpowiednie zapisy w regulaminie o kontrolach sprzętów, notatka ze sprawdzenia, jakieś zalecenia pokontronle i "why not". Tylko tak jak wskazują wszyscy należy iść formalną drogą.
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: IODO - dostęp do danych chronionych ?

Pojawiająca się argumentacja o kontroli lub przetwarzaniu przez JODę z upoważnienia i na polecenie ADO trudno uznać za słuszną.

Ogólnie, legalne przetwarzanie d.o. może odbywać się na kilka sposobów:
1) z przepisu prawa,
2)z upoważnienia i na polecenie ADO,
3) bez polecenia ADO i bez przepisu prawa (nie dotyczy wątku ale podałem dla porządku).
JODa przetwarza na podstawie delegacji prawnej (a więc nie z upoważnienia ADO). Przesądza o tym art. 39 który opisuje zadania jego zadania, a przepis art. 38.3. zd. pierwsze (zakaz otrzymywania instrukcji) wręcz wyklucza stosowanie sposobu 2). Przywoływanie art. 29 jako podstawy działania JODy jest więc wadliwe, a wręcz sprzeczne z RODO.

JODa nie przeprowadza kontroli ochrony danych osobowych. Gdyż kontrola, to działanie z upoważnienia i na polecenie (przedmiot i zakres kontroli, podmioty kontrolowane, tryb i czas kontroli), czemu sprzeciwia się cytowany art. 38.3.zd.pierwsze. JODa nie może być kontrolującym w zakresie odo, albowiem nie może być ograniczony otrzymanymi instrukcjami od ADO.
dla porządku JODa może być kontrolującym w zakresie innym niż odo (zgodnie z art. 38.6.)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj