konto usunięte

Temat: kontrola

czy jakiś inny urząd może przeprowadzić kontrole dotyczącą także ochrony danych osobowych tzn, czy może zarządać wglądu do polityki bezpieczeństwa i innych dokumentów dotyczących danych osobowych?Hanna Jakubowska edytował(a) ten post dnia 08.03.10 o godzinie 12:13
Przemysław Osiak

Przemysław Osiak zarządzanie w IT /
project management/
project portfolio
...

Temat: kontrola

Hanna Jakubowska:
czy jakiś inny urząd może przeprowadzić kontrole dotyczącą także ochrony danych osobowych tzn, czy może zarządać wglądu do polityli bezpieczeństwa i innych dokumentów dotyczących danych osobowych?

Zakres uprawnień kontrolnych zawsze wynika z przepisów prawa.
Jeżeli ma Pani wątpliwości czy kontrolerzy są uprawnieni do kontroli w danym obszarze najlepiej będzie po prostu zapytać o podstawę prawną.
Bez informacji jaki Urząd Panią kontroluje trudno powiedzieć coś więcej.
Krzysztof K.

Krzysztof K. Analityk ds spraw
trudnych

Temat: kontrola

Przemysław Osiak:

Jeżeli ma Pani wątpliwości czy kontrolerzy są uprawnieni do kontroli w danym obszarze najlepiej będzie po prostu zapytać o podstawę prawną.
Bez informacji jaki Urząd Panią kontroluje trudno powiedzieć coś więcej.

najszersze uprawnienia ma policja, każdy policjant... jednak w większości spraw potrzebuje nakaz prokuratorski lub sądowy, na szybko może to "papier" od kierownika jednostwki, a w sprawach niecierpących zwłoki - wystarczy "na legitymację", czego raczej unikają policjanci, bo jesli się pomyli, to może pożegnać się ze służbą za przekroczenie uprawnień
Sławomir G.

Sławomir G. Inspektor Ochrony
Danych (DPO), Prezes
Stowarzyszenia,
wy...

Temat: kontrola

Do kontroli zasad i prawidłowości przetwarzania danych osobowych wskazany w ustawie jest wprost GIODO,

Art. 14.
W celu wykonania zadań, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor,
zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura,
zwani dalej „inspektorami”, mają prawo:
1) wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upoważnienia
i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany
jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza
zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności
kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,
2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać
osoby w zakresie niezbędnym do ustalenia stanu faktycznego,
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni
związek z przedmiotem kontroli oraz sporządzania ich kopii,
4) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych
służących do przetwarzania danych,


Zapisy te traktowałbym jako jedyne słuszne, wprost określające jednostkę kontrolną w tym zakresie.

Jak najbardziej do takiej kontroli ma prawo policja czy prokuratura, jak wspomniał mój przedmówca. Oczywiście muszą mieć podstawę prawną. Nie może prokurator czy policjant tak po prostu nas skontrolować w tym zakresie - musi to być wynik jakiegoś postępowania.

Spotkałem się też z wymogiem posiadania przez firmę X polityki bezpieczeństwa, co było warunkiem do uzyskania funduszy z UE na przeprowadzenie określonego projektu - wówczas w takiej sytuacji to urząd, który pośredniczy w tych dotacjach staje się jednostką kontrolną, jednak nie w takim stopniu jak GIODO i prokuratura. Urząd w tym przypadku sprawdzał tylko, czy takie dokumenty zostały wdrożone...

Może jeśli udzielisz szerszych informacji, to będziemy mogli w stanie bardziej precyzyjnie odpowiedzieć.

konto usunięte

Temat: kontrola

To Urząd Komunikacji Elektronicznej z tego względu że przestaliśmy być operatorem telewizji....
Katarzyna Nowakowska

Katarzyna Nowakowska specjalista ds. IT

Temat: kontrola

najszersze uprawnienia ma policja, każdy policjant...

Policja, a już zwłaszcza policjant, nie ma żadnych uprawnień kontrolnych w zakresie ochrony danych osobowych.

UKE również nie ma uprawnień do kontroli w zakresie ochrony danych osobowych.
Krzysztof C.

Krzysztof C. Specjalista IT

Temat: kontrola

I nie wspomnieliscie o tzw. policji skarbowej, urzedzie celnym, komornika z wyrokiem sadowym w reku etc etc etc
Katarzyna Nowakowska:

Policja, a już zwłaszcza policjant, nie ma żadnych uprawnień kontrolnych w zakresie ochrony danych osobowych.
I tu sie nie zgodze, proponuje poczytac ustawe o policji. Cos o tym wiem z autopsji, sam uczestniczylem w kilku tego typu "nalotach". Moze, a wrecz musi jesli zachodzi podejrzenie o popelnieniu przestepstwa. Ale faktycznie jest tak, ze na przypal nigdy tego nie robia, a raczej staraja sie przychodzic ze swistkiem w reku od prokuratora, badz swojego przelozonego. Ot takie polskie realia.Krzysztof C. edytował(a) ten post dnia 25.03.10 o godzinie 07:13
Katarzyna Nowakowska

Katarzyna Nowakowska specjalista ds. IT

Temat: kontrola

Krzysztof C.:
I nie wspomnieliscie o tzw. policji skarbowej, urzedzie celnym, komornika z wyrokiem sadowym w reku etc etc etc
I tu sie nie zgodze, proponuje poczytac ustawe o policji.

A to proszę wskazać przepis z ustawy o policji, który daje policjantowi uprawnienia do kontroli zasad ochrony danych osobowych. ;-)

Wykonywanie czynności operacyjno-śledcze, administracyjno-porządkowe lub też czynności procesowe, które wykonuje policja (policjant) nie może być mylone z kontrolą. To są zupełnie inne porządki - mimo, że potocznie może się wydawać, że jeśli ktoś ma prawo, żeby czegoś zażądać to już ma uprawnienia kontrolne. ;-)

Temat: kontrola

Katarzyna Nowakowska:

A to proszę wskazać przepis z ustawy o policji, który daje policjantowi uprawnienia do kontroli zasad ochrony danych osobowych. ;-)

Wykonywanie czynności operacyjno-śledcze, administracyjno-porządkowe lub też czynności procesowe, które wykonuje policja (policjant) nie może być mylone z kontrolą. To są zupełnie inne porządki - mimo, że potocznie może się wydawać, że jeśli ktoś ma prawo, żeby czegoś zażądać to już ma uprawnienia kontrolne. ;-)


Zgadzam sie z tym, że działanie policjanta to nie forma kontroli - możemy tak mówić w języku potocznym.
Ale zwracam uwagę także na fakt, że ochrona danych osobowych w U.O.D.O. jest postawiona bardzo wysoko - każde przestępstwo z tej ustawy jest przestępstwem ściganym z urzędu, a więc funkcjonariusz organu ścigania ma wręcz obowiązek podjęcia czynności w przypadku uzyskania informacji o podejrzeniu popełnienia przestępstwa. Może więc wykonywać czynności zbliżone do działań kontrolnych nawet przed formalnym wszczęciem postępowania przygotowawczego, a których celem będzie zebranie materiału dowodowego uzasadniającego wszczęcie takiego postępowania lub wydanie postanowienia o odmowie wszczęcia takiego postępowania.
A zakres działań mogących być traktowane jako przestępstwo jest bardzo szeroki - np. brak polityki bezpieczeństwa można byłoby podciągać jako naruszenie obowiązków zabezpieczenia danych spenalizowanych w art.52 uodo.
"Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku."
Przemysław Osiak

Przemysław Osiak zarządzanie w IT /
project management/
project portfolio
...

Temat: kontrola

Jak widać kwestia definicji pojęcia "kontrola" jest tutaj dosyć istotna.
Podobne rozważania były już prowadzone w innym wątku: http://www.goldenline.pl/forum/abi/1128028/s/1#22174814
Pojawiła się tam następująca definicja:
"kontrolą jest obserwowanie, ustalanie, czy wykrywanie stanu faktycznego — porównywanie rzeczywistości z zamierzeniami, występowanie przeciwko zjawiskom niekorzystnym i sygnalizowanie
kompetentnym jednostkom o dokonanych spostrzeżeniach"
(J. Starościak, Elementy nauki w administracji, Warszawa 1957, s. 137.)
Ja jednak tak zdefiniowałbym pojęcie audytu. Zwłaszcza kiedy autor odnosi się do "porównania z zamierzeniami" oraz do "sygnalizowania".

Kontrola, moim zdaniem, poza elementami wymienionymi w cytowanej definicji, musi zakładać element uprawnień nakazowych podmiotu kontrolującego. Samo "występowanie przeciwko zjawiskom niekorzystnym i sygnalizowanie" jest niewystarczające, aby mówić o kontroli.
Dodatkowo, powyższa definicja niewystarczająco odnosi się do przedmiotu kontroli - mówi się tutaj o "porównaniu rzeczywistości z zamierzeniami". W sensie formalnym istota kontroli zakłada jednak porównanie rzeczywistości z zadanymi normami. Przedmiotem kontroli jest zatem porównanie stanu faktycznego ze stanem założonym w odpowiedniej normie (lub normach).

Jeżeli przyjąć taką definicję kontroli to czynności policyjne nie mieszczą się w niej. Spełniona będzie tutaj tylko jedna przesłanka - porównania stanu faktycznego z normą. Nie występuje natomiast uprawnienie nakazowe do zaprzestania łamania normy. Takie uprawnienia ma GIODO. Policja natomiast może jedynie "wnioskować" o sankcje.

PeOx Consulting

konto usunięte

Temat: kontrola

Przemysław Osiak:
Kontrola, moim zdaniem, poza elementami wymienionymi w cytowanej definicji, musi zakładać element uprawnień nakazowych podmiotu kontrolującego. Samo "występowanie przeciwko zjawiskom niekorzystnym i sygnalizowanie" jest niewystarczające, aby mówić o kontroli.

To już w doktrynie prawa administracyjnego nosi nazwę nadzoru. Taka jest zresztą różnica pomiędzy kontrolą, a nadzorem - kontrola nie zawiera uprawnień władczych w stosunku do podmiotu kontrolowanego i nie umożliwia kontrolującemu podjęcia władczych działań celem usunięcia stwierdzonych nieprawidłowości.

Temat: kontrola

Paweł Litwiński:
Przemysław Osiak:
Kontrola, moim zdaniem, poza elementami wymienionymi w cytowanej definicji, musi zakładać element uprawnień nakazowych podmiotu kontrolującego. Samo "występowanie przeciwko zjawiskom niekorzystnym i sygnalizowanie" jest niewystarczające, aby mówić o kontroli.

To już w doktrynie prawa administracyjnego nosi nazwę nadzoru. Taka jest zresztą różnica pomiędzy kontrolą, a nadzorem - kontrola nie zawiera uprawnień władczych w stosunku do podmiotu kontrolowanego i nie umożliwia kontrolującemu podjęcia władczych działań celem usunięcia stwierdzonych nieprawidłowości.

Dlatego też należy wyraźnie stwierdzić, że prawo nadzoru nad przestrzeganiem zasad przetwarzania danych osobowych ma wyłącznie GIODO, natomiast prawo kontroli tych zasad może przysługiwać także innym podmiotom jeżeli działają w ramach nadanych im uprawnień.
Przypadki te należy jednak rozpatrywać precedensowo, bowiem działania te bedą uzależnione od wielu różnorodnych czynników.
Zwracam uwagę na to, że pojęcia "Dane osobowe" oraz "Przetwarzanie" są pojęciami bardzo szerokimi i jednocześnie praktycznie występującymi w niemal każdej działalności - zwłaszcza biznesowej.

A ponieważ zaczeliśmy od pojęcia polityki bezpieczeństwa, to pozwole sobie zauważyć, że polityka bezpieczenstwa odnosi się nie tylko do kwestii danych osobowych (choć trzeba przyznać, że są to pierwsze przepisy polskiego prawa, które nakładają obowiązek posiadania takich dokumentów}.
Jest to pojęcie dotyczące całego procesu ochrony informacji oraz bezpieczenstwa biznesu, a ich opis znajdziemy w szeregu normach ISO, nie tylko w zakresie bezpieczeństwa.Krzysztof Jan Jakubski edytował(a) ten post dnia 26.03.10 o godzinie 10:47
Przemysław Osiak

Przemysław Osiak zarządzanie w IT /
project management/
project portfolio
...

Temat: kontrola

Paweł Litwiński:

kontrola nie zawiera uprawnień władczych w stosunku do podmiotu
kontrolowanego i nie umożliwia kontrolującemu podjęcia władczych działań celem usunięcia stwierdzonych nieprawidłowości.

Tego nie twierdzę.
Nie mniej jednak z kontrolą (zwłaszcza w kontekście administracyjnym) nieodzownie związane są uprawnienia wysuwania żądań usunięcia nieprawidłowości. W praktyce przyjęło to formę "wniosków pokontrolnych", do których uwzględnienia podmiot kontrolowany jest zobowiązany.
Nie nazwałbym tego "dziełaniami władczymi" ale na pewno też nie można tego nazwać "sygnalizowaniem".

konto usunięte

Temat: kontrola

Pełna zgoda. Kontrola oznacza wnioski pokontrolne, wystąpienia i inne takie. A nadzór znaczy możliwość podjęcia działań przez organ nadzorczy celem usunięcia stwierdzonych nieprawidłowości.
Krzysztof C.

Krzysztof C. Specjalista IT

Temat: kontrola

Katarzyna Nowakowska:
A to proszę wskazać przepis z ustawy o policji, który daje policjantowi uprawnienia do kontroli zasad ochrony danych osobowych. ;-)
Przeciez napisalem wyraznie, ze jesli istnieje podejrzenie o popelnieniu przestepstwa, a to juz kwestia wtorna, czy faktycznie tak jest, czy tylko policjantowi sie wydawalo. Ludzie czytajcie ze zrozumieniemKrzysztof C. edytował(a) ten post dnia 27.03.10 o godzinie 13:20
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: kontrola

Uzasadnione dodaj. Bo jak samo podejrzenie - to do pozamiatania jest pan polucjant.
Krzysztof C.

Krzysztof C. Specjalista IT

Temat: kontrola

Grzegorz Krzemiński:
Uzasadnione dodaj. Bo jak samo podejrzenie - to do pozamiatania jest pan polucjant.
Alez oczywiscie, zgadzam sie z Toba w 100%
Katarzyna Nowakowska

Katarzyna Nowakowska specjalista ds. IT

Temat: kontrola

Krzysztof C.:
Katarzyna Nowakowska:
A to proszę wskazać przepis z ustawy o policji, który daje policjantowi uprawnienia do kontroli zasad ochrony danych osobowych. ;-)
Przeciez napisalem wyraznie, ze jesli istnieje podejrzenie o popelnieniu przestepstwa, a to juz kwestia wtorna, czy faktycznie tak jest, czy tylko policjantowi sie wydawalo. Ludzie czytajcie ze zrozumieniem

Czyli mam rozumieć Pana wypowiedź w następujący sposób: fakt, że Pan napisał "ze jesli istnieje podejrzenie o popelnieniu przestepstwa" zwalnia Pana z obowiązku udowodnienia prawdziwości Pana twierdzeń?
Otóż nie!
A przepisu Pan nie wskazał, bo w ustawie o policji nie ma takowego.
Przypomnę Panu, że dyskusja dotyczy kontroli zasad ochrony danych osobowych. Proszę czytać ze zrozumieniem ;-)
A w kontekście tego co powyżej napisano o kontroli Pana wypowiedź to po prostu skucha.Katarzyna Nowakowska edytował(a) ten post dnia 29.03.10 o godzinie 12:53

Temat: kontrola

Grzegorz Krzemiński:
Uzasadnione dodaj. Bo jak samo podejrzenie - to do pozamiatania jest pan polucjant.
Alez oczywiscie, zgadzam sie z Toba w 100%

W przypadku spraw związanych z przestępstwami z u.o.d.o. znależc uzasadnione podejrzenie zachowania wskazującego na podejrzenie popełnienia przestępstwa wcale nie jest trudno. Proszę zwrócic uwagę na to, że w większości przypadków odpowiada się za działania nieumyślne. Całe szczęscie w tym przypadku jest to, że tej ustawy w części karnej nie znają dobrze policjanci i nie ma lobbystów (jak w przypadku praw autorskich), by wskazać, gdzie tak samo łatwo poprawić sobie statystyki.

Temat: kontrola

Katarzyna Nowakowska:

A przepisu Pan nie wskazał, bo w ustawie o policji nie ma takowego.
Przypomnę Panu, że dyskusja dotyczy kontroli zasad ochrony danych osobowych.

Wskazywałem już treść art. 52 uodo, ale zwracam uwagę także na art. 51 uodo.
Przykład - policjant otrzymuje informacje wskazujące na to, że obiekt jest źle zabezpieczony, a w obiekcie przetwarzane są dane osobowe (znowu zwracam uwage, że od 2004 r. chronione są dane osobowe, a nie zbiory danych osobowych, więc na marginesie znajdzcie mi drodzy Państwo jakąkolwiek działalnośc biznesową, gdzie nie trzeba byłoby przetwarzać danych osobowych). Informacją taką może być chociażby notatka o otwartym oknie w obiekcie lub stwierdzenie słabo zamkniętych drzwi przez patrol prewencji lub żle działającego portiera.
Mam więc uzasadnione podejrzenie, że administrator danych umożliwia dostęp do danych.
Proszę zwrócić uwagę, że dla bytu przestępstwa z art. 51 uodo nie musi nastąpić skutek w postaci ujawnienia lub wykorzystania danych osobowych, karanych jak informacja wg przepisów kodeksu karnego - penalizowane jest zachowanie w postaci umożliwienia dostępu do tych danych - nie musi nastąpić skutek w postaci ujawnienia, również nieumyślne.
W art. 52 uodo karane jest naruszenie choćby nieumyślnie obowiązku zabezpieczenia i znowu proszę zwrócić uwagę przed czym - 1/ przed zabraniem przez osobę nieuprawnioną, 2/ uszkodzeniem, 3/ zniszczeniem. Znajdzcie mi Państwo jakikolwiek inny przepis który karałby mnie za uszkodzenie lub zniszczenie własnego mienia.

I tu wróce do roli policjanta (agenta CBA itd.itp. funkcjonariusza organu uprawnionego do prowadzenia postępowania przygotowawczego) - otrzymującego taką informację oraz mającego czas na papierkową zabawę albo inny powód działania (statystyka, inne potrzeby...) - przychodzi on do administratora danych osobowych i żada okazania polityki bezpieczeństwa i instrukcji wymaganych przez uodo oraz przepisy wykonawcze. Ponadto może przepytać lub nawet przesłuchać osoby odpowiedzialne za przetrzeganie zasad ochrony danych osobowych (ABI napewno, inne osoby wg potrzeb). Jeżeli tylko rozpyta i przejrzy dokumenty - możemy mówić o kontroli zasad przetwarzania danych. Jeżeli rozpocznie czynności procesowe, to będą to dzialania procesowe.

A podstawa prawna - dla policji: art. 14 ust. 1 w zw z art. 1 ust. 2 pkt. 4 ustawy o policjiKrzysztof Jan Jakubski edytował(a) ten post dnia 29.03.10 o godzinie 22:46



Wyślij zaproszenie do