GoldenLine
Zaloguj się
Marcin W.

Marcin W.
TI/IT/VM/HT/PC/XP/AD
/SE/XL/XE/AS/TB/CP/J
S/JV

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

Witam,

Ponieważ mamy ostatnio dużą rotację na stanowiskach w firmie i "zrodziła się" potrzeba nadawania nowych loginów przez ABI - czy ABI może w imieniu ADO takie upoważnienia podpisywać, jeżeli dana osoba ma już podpisane upoważnienie do przetwarzania d.o. ?
Link do wypowiedziLink
Adam Adamowski

Adam Adamowski ABI

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

No trochę pomieszałeś różne pojęcia. Ustawa o ochronie danych osobowych przewiduje nadawanie upoważnień do przetwarzania danych osobowych. W systemie nadaje się uprawnienia. Proces powinien wyglądać w następujący sposób. Nowy pracownik przechodzi szkolenie z zakresu ochrony danych osobowych, a po pozytywnym ukończeniu zostaje mu nadane upoważnienie do przetwarzania danych osobowych. Przełożony pracownika, który zna zakres obowiązków pracownika i uprawnienia w systemie jakie będą niezbędne do wykonywania tych obowiązków, zleca nadanie uprawnień w systemie. ABI potwierdza kwalifikacje pracownika (odbycie szkolenia) przez zatwierdzenie zlecenia przełożonego. Po otrzymaniu zlecenia nadania uprawnień, potwierdzonego przez ABI, administrator systemu nadaje uprawnienia.
Link do wypowiedziLink
Sławomir G.

Sławomir G. Inspektor Ochrony
Danych (DPO), Prezes
Stowarzyszenia,
wy...

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

Marcin MaW W.:
czy ABI może w imieniu ADO takie upoważnienia podpisywać
Ja odpowiem nieco krócej, pomijając wszystkie formalności o których wspomniał Marcin...
Otóż tak, ABI może nadawać upoważnienia w imieniu ADO, jednakże w tym celu ADO powinien nadać ABI'emu stosowne upoważnienie do nadawania upoważnień!
Link do wypowiedziLink

konto usunięte

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

Sławomir G.:
Otóż tak, ABI może nadawać upoważnienia w imieniu ADO, jednakże w tym celu ADO powinien nadać ABI'emu stosowne upoważnienie do nadawania upoważnień!

Wg mnie jest to troszkę zbyt pochopne stwierdzenie, art. 37 uodo jasno stanowi, iż do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie ADO. Regulacje wewnętrzne (bo o takie rozwiązanie Sławku zapewne Ci chodzi) w hierarchii stoją poniżej ustawy.

Z drugiej strony jeśli w grę wchodzi art. 31 bądź art. 31a uodo takie rozwiązanie wydaje się być dopuszczalne. Powiernik (art. 31) czy Przedstawiciel (art. 31a) mogą wydawać upoważnienia do przetwarzania danych osobowych gdyż działają w tym zakresie w imieniu ADO.

Tylko czy słusznym jest rozciągnięcie takiego rozumowania na sytuacje nie mające nic wspólnego z tymi dwoma artykułami (31/31a)?
Link do wypowiedziLink
Olga Reyzz - Rubini

Olga Reyzz - Rubini Head of Internal
Audit, CIA

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

Nie wydaje mi się, żeby ADO nie mógł dać upoważnienia/pełnomocnictwa do dokonywania takich czynności w jego imieniu. Tak jak w przypadku wielu innych czynności, które zgodnie z KC może powierzyć innym osobom w ten sposób.
Link do wypowiedziLink

konto usunięte

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

Olga Reyzz - Rubini:
Nie wydaje mi się, żeby ADO nie mógł...

No właśnie ja też nie mam pewności, a chciałbym ją mieć, dlatego prowokuje do głębszej analizy. Może ktoś potrafi jednoznacznie to stwierdzić, jednocześnie gruntownie argumentując ;)
Link do wypowiedziLink
Olga Reyzz - Rubini

Olga Reyzz - Rubini Head of Internal
Audit, CIA

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

Bez gruntownej argumentacji..., ale moim zdaniem przepisy KC dotyczące wydawania pełnomocnictw zupełnie wystarczą:)
Link do wypowiedziLink

konto usunięte

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

Olga Reyzz - Rubini:
Bez gruntownej argumentacji..., ale moim zdaniem przepisy KC dotyczące wydawania pełnomocnictw zupełnie wystarczą:)

To drążę dalej ;) A co jeśli jakiś 'podmiot' będący ADO nie jest objęty zakresem stosowania KC?

Poza powyższym, skąd wniosek że KC jest lex specialis wobec UODO?
(no jeszcze jakoś bym to zaakceptował gdyby fakt ustanowienia takiego pełnomocnictwa tworzył dalej idącą ochronę danych, ale tak wg mnie nie jest)Wojciech Kogut edytował(a) ten post dnia 05.10.09 o godzinie 17:30
Link do wypowiedziLink

konto usunięte

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

A żeby było jeszcze śmieszniej, upoważnienie do przetwarzania danych osobowych to nie jest pełnomocnictwo z KC. Dlaczego? Ano dlatego, że pełnomocnictwo to upoważnienie do dokonywania czynności prawnych w imieniu mocodawcy, a upoważnienie do przetwarzania danych osobowych to upoważnienie do wykonywania czynności faktycznych ;-)
Link do wypowiedziLink
Przemysław Osiak

Przemysław Osiak zarządzanie w IT /
project management/
project portfolio
...

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

Wojciech Kogut:
Olga Reyzz - Rubini:
Bez gruntownej argumentacji..., ale moim zdaniem przepisy KC dotyczące wydawania pełnomocnictw zupełnie wystarczą:)

To drążę dalej ;) A co jeśli jakiś 'podmiot' będący ADO nie jest objęty zakresem stosowania KC?

Poza powyższym, skąd wniosek że KC jest lex specialis wobec UODO?


Czy byłby Pan tak uprzejmy i wyjaśnił co ma na myśli pisząc powyższe?
Czy pytanie dotyczyło możliwości wydania przez ADO upoważnienia dla ABI do podpisywania w jego imieniu upoważnień dostępu do danych osobowych, czy może czegoś nie doczytałem?
Link do wypowiedziLink

konto usunięte

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

Przemysław Osiak:
Czy pytanie dotyczyło możliwości wydania przez ADO upoważnienia dla ABI do podpisywania w jego imieniu upoważnień dostępu do danych osobowych

Dokładnie o tym dyskutujemy

-------------------------------------------------------------
Paweł Litwiński:
A żeby było jeszcze śmieszniej, upoważnienie do przetwarzania danych osobowych to nie jest pełnomocnictwo z KC. Dlaczego? Ano dlatego, że pełnomocnictwo to upoważnienie do dokonywania czynności prawnych w imieniu mocodawcy, a upoważnienie do przetwarzania danych osobowych to upoważnienie do wykonywania czynności faktycznych ;-)

Pawle to poproszę jeszcze o Twoje stanowisko względem mojego pierwszego wpisu w tym temacie ;)Wojciech Kogut edytował(a) ten post dnia 05.10.09 o godzinie 17:50
Link do wypowiedziLink
Przemysław Osiak

Przemysław Osiak zarządzanie w IT /
project management/
project portfolio
...

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

To drążę dalej ;) A co jeśli jakiś 'podmiot' będący ADO nie jest objęty zakresem stosowania KC?

Proszę wybaczyć mi moją dociekliwość, ale nie wyjaśnił Pan co ma na myśli pisząc powyższe.
Link do wypowiedziLink

konto usunięte

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

Wojciech Kogut:

Pawle to poproszę jeszcze o Twoje stanowisko względem mojego pierwszego wpisu w tym temacie ;)Wojciech Kogut edytował(a) ten post dnia 05.10.09 o godzinie 17:50

Bazując wyłącznie na brzmieniu ustawy, upoważnienia może nadawać tylko administrator danych i nie może nikogo upoważnić do nadawania ich w swoim imieniu. Wynika to z: a) brzmienia przepisu ("nadane przez administratora danych", czy jakoś tak), b) charakteru prawnego upoważnienia, które nie jest pełnomocnictwem, więc i o substytutach mowy być nie może.

Ale praktyka - powszechna - jest odmienna. Otóż przyjmuje się, że administrator danych może upoważnić inną osobę do nadawania upoważnień w swoim imieniu. Uzasadnia się to główne względami zdroworozsądkowymi - bo jak prezes ma nadać upoważnienia kilku tysiącom pracowników? Zdaje się, że taką praktykę aprobuje (choćby milcząco) GIODO.
Link do wypowiedziLink
Przemysław Osiak

Przemysław Osiak zarządzanie w IT /
project management/
project portfolio
...

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

Znajduję tutaj ukryte założenie, że ADO jest osobą fizyczną.
W takim przypadku faktycznie można rozważać, czy ADO może, czy też nie może upoważnić inną osobę do wydawania w swoim imieniu upoważnień do przetwarzania danych osobowych.
Czy nie uważają Panowie jednak, że jeśli ADO jest osobą prawną, np. spółką prawa handlowego to w jego imieniu działają jakieś osoby fizyczne (prezesi zarządów, członkowie zarządów lub inne osoby upoważnione do reprezentowania spółki)? I czy w takim przypadku osoba, która pełni jednocześnie funkcję ABIego może wykonywać w imieniu "ADO-osoby prawnej" czynności polegające na wydawaniu upoważnień do przetwarzania danych osobowych?

PeOx ConsultingPrzemysław Osiak edytował(a) ten post dnia 31.12.09 o godzinie 12:54
Link do wypowiedziLink

konto usunięte

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

Nie ma żadnego ukrytego założenia. Administrator danych będący osobą prawną działa przez swoje organy - ale może też udzielić pełnomocnictwa innej osobie prawnej/fizycznej, a to są dwie różne rzeczy.
Link do wypowiedziLink
Sławomir G.

Sławomir G. Inspektor Ochrony
Danych (DPO), Prezes
Stowarzyszenia,
wy...

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

Wojciech Kogut:
No właśnie ja też nie mam pewności, a chciałbym ją mieć, dlatego prowokuje do głębszej analizy.
Wojtku, głębsza analiza to nie będzie, ale powiem Ci skąd się wzięła moja wiedza w tym zakresie - otóż "podróżując" po różnych szkoleniach, dwukrotnie zadawałem to pytanie - Wykładowcy (Pan Jarosław F., oraz Grzegosz S.) odpowiedzieli mi, że oczywiście można bez problemu rozwiązanie takie zastosować.
Przyznaję, że te dwa głosy mi wystarczyły i (aż mi wstyd) nie skłoniły (póki co) do głębszej analizy...
Link do wypowiedziLink

konto usunięte

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

Tylko niezbyt profesjonalnym jest udzielić odpowiedzi na pytanie: "A dlaczego tak można?" zdaniem: "A bo Pan X i Pan Y tak powiedzieli". Stawiam na milczące przyzwolenie GIODO, jeśli ktoś mnie o to zapyta ;)

Jednocześnie podtrzymując opinie, że jest to jasno dozwolone tylko w przypadku art. 31 i art. 31a. Jeśli tylko nadmiar upoważnień nie będzie wyprowadzał ADO z równowagi nie będę szedł na skróty.Wojciech Kogut edytował(a) ten post dnia 06.10.09 o godzinie 09:10
Link do wypowiedziLink
Sławomir G.

Sławomir G. Inspektor Ochrony
Danych (DPO), Prezes
Stowarzyszenia,
wy...

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

Wojciech Kogut:
Tylko niezbyt profesjonalnym jest udzielić odpowiedzi: "A dlaczego > tak można?" zdaniem: "A bo Pan X i Pan Y tak powiedzieli".
W 100% masz rację, podzieliłem się tylko swoją wiedzą i jej źródłem ;)
Link do wypowiedziLink
Adam Adamowski

Adam Adamowski ABI

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

W przeważającej liczbie przypadków administratorem danych nie jest osoba fizyczna ale inny podmiot, który wykonuje działalność za pomocą swoich pracowników. A skoro tak to istnieje spora dowolność w zakresie kształtowania struktury organizacyjnej i przyznawania obowiązków pracowniczych, również w obszarze danych osobowych. Moim zdaniem możliwe jest wyznaczenie pracowników odpowiedzialnych za wykonywanie określonych obowiązków administratora danych i może być to kilka, a nawet kilkanaście osób. Jednak przy wyznaczaniu takich osób należy sięgnąć do definicji administratora danych, zgodnie z którą administrator danych decyduje o celach i sposobach przetwarzania danych. Co za tym idzie można powierzyć konkretne obowiązki administratora danych odpowiednim pracownikom o ile pracownicy ci będą decydować o celach i sposobach przetwarzania tych danych co ogranicza w pewien sposób krąg pracowników. Przede wszystkim skutecznie wyklucza z tej roli ABIego. W komentarzach podkreśla się, że akt upoważnienia nie jest tylko formalnością i zobowiązaniem do przestrzegania tajemnicy danych ale raczej pewnego rodzaju ogólnym obowiązkiem posłuszeństwa względem administratora ("Ochrona danych osobowych - komentarze", Zakamycze 2004, str. 676), administratora który decyduje o celach i sposobach przetwarzania danych. Tymczasem ABI pełni nadzór nad przestrzeganiem zasad ochrony danych osobowych, a więc nie decyduje o celach i sposobach przetwarzania. Co więcej jednym z obszarów nadzoru jaki musi sprawować ABI jest proces upoważniania do przetwarzania oraz prowadzenia dokumentacji związanej z tym procesem, a więc przy proponowanym rozwiązaniu ABI musiałby nadzorować samego siebie. Podsumowując, zamiarem ustawodawcy nie było wprowadzenia możliwości upoważnienie dowolnej osoby (np. ABI ale także sprzątaczki) do upoważniania do przetwarzania danych osobowych. Możliwość nadawania upoważnień powinna wynikać z obowiązków służbowych, a jednocześnie z możliwości decydowania o celach i sposobach przetwarzania danych. Moim zdaniem nic nie stoi na przeszkodzie, żeby na przykład dyrektor departamentu kadr nadawał upoważnienia do przetwarzania danych w zbiorze kadrowym, jednak powinien to robić wykonując w pewnym zakresie obowiązki administratora, a nie działając na podstawie udzielonego przez administratora upoważnienia. Być może o takim rozwiązaniu mówili Pan Jarosław F., oraz Grzegosz S.
Link do wypowiedziLink

konto usunięte

Temat: Nadawanie upoważnień do logowania w systemie przez ABI

Ciekawy wątek a przycichł.

Co jest zatem zgodne z UODO i praktyczne zarazem?

Ostatnia wypowiedź (bardzo ciekawa) sugeruje realizację obowiązku ADO (dot. osoby prawnej) samodzielnie przez władze/reprezentację ADO (Zarząd) lub przez jego pracowników (np szefowie departamentów) w oparciu o zlecone im obowiązki (opisane w zakresie obowiązków) bez dedykowanego formalnego upoważnienia do nadawania dalszych upoważnień.
Takie stanowisko Zarządu można wtedy wprowadzić jednym rozporządzeniem wewnętrznym i przydzielić taki obowiązek danej roli/stanowisku (np dyrektor departamentu) niezależnie od tego, kto go zajmuje (czyli nieimiennie)

Czy uważacie, że takie rozwiązanie stanowi odpowiedź na postawione na początku pytanie?

Pozdrawiam
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

zbiory podlegajace rejestra...




Wyślij zaproszenie do
Anuluj