GoldenLine
Zaloguj się
Filip Turyk

Filip Turyk właściciel, Idcon
ochrona danych
osobowych

Temat: Obszar przetwarzania danych osobowych a komputery przenośne

Właśnie dotarłem do pewnego dylematu. Otóż zastanawiam się nad problemem wyznaczenia obszaru przetwarzania odnośnie laptopów.

W/g wytycznych GIODO "W przypadku, gdy dane osobowe przetwarzane sa w systemie informatycznym, do którego dostep poprzez siec telekomunikacyjna posiada wiele podmiotów, wówczas w polityce bezpieczenstwa informacje o tych podmiotach(nazwa podmiotu,siedziba, pomieszczenia, w których przetwarzane sa dane) powinny byc również wymienione jako obszar przetwarzania"

Przetwarzanie jest każdą czynnością jaką można wykonać na danych osobowych a więc także dostęp do nich poprzez komputer przenośny. Obszarem przetwarzania będą niewątpliwie pokoje w których stoją komputery stacjonarne z dostępem do bazy danych. A jeśli dostęp jest spoza organizacji to miejsca w których znajdują się komputery z dostępem do bazy. No i co w takiej sytuacji właściwie zrobić z laptopem? Jak go zakwalifikować? Jeśli np. jadę pociągiem i grzebię sobie w danych osobowych klientów przez GPRS-a i VPN?

Może ma ktoś jakiś pomysł?
Link do wypowiedziLink
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Obszar przetwarzania danych osobowych a komputery przenośne

Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w § 4 pkt 1 rozporządzenia, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.

(Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku. Część A pkt V załącznika)

To po prostu szczególny przypadek przetwarzania danych osobowych poza obszarem zdefiniowanym w Polityce Bezpieczeństwa. W takiej Polityce należy wspomnieć o ochronie kryptograficznej danych w przypadku korzystania z laptopów, o przeszkoleniu użytkowników i pouczeniu ich o szczególnych środkach ostrożności, które powinni wypełniać.
Link do wypowiedziLink
Filip Turyk

Filip Turyk właściciel, Idcon
ochrona danych
osobowych

Temat: Obszar przetwarzania danych osobowych a komputery przenośne

No to prawda zakładając, że dane przechowywane są na laptopie. A mi chodzi o sytuację gdy laptop używany jest tak samo jak komputer stacjonarny. Bardziej obrazowo - czy jesli komputer stacjonarny z firmy umieszczę w domu to czy mieszkanie stanie się częścią obszaru? No bo jeśli będę miał dostęp do baz danych z innej np., firmy to pomieszczenie z którego się łączę z bazą danych stanie się częścią obszaru przetwarzania. I teraz zakłdając, że posiadam dużego laptopa do pracy na co dzień w firmie. Pokój biurowy w którym laptop jest używany stanowi część obszaru. Czy ten sam laptop należy potraktować jako komputer stacjonarny (i wtedy obszarem jest pokój biurowy) czy też jako przenośny ale to z kolei prowadzi do błędnej moim zdaniem tezy, iż w firma posiadająca wyłącznie komputery przenośne nie posiada obszaru przetwarzania (poza powiedzmy serwerownią)
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Obszar przetwarzania danych osobowych a komputery przenośne

A ja uważam że jeżeli cel przetwarzania danych osobowych uzasadnia że dostęp musi być mobilny z rożnych miejsc - wpisał bym to do polityki, przez co ADO sankcjonuje takie działanie oraz pokazuje świadome działanie ze szczególnym opisem sytuacji kiedy taki dostęp jest możliwy i szczególną uwagę skupiłbym na bezpiecznym dostępie, jednoznacznym uwierzytelnieniu, szyfrowaniu transmisji danych , szyfrowanie dysków w laptopach oraz analizę ryzyka takiego dostępu do danych.
A co do miejsca przetwarzania danych osobowych - wpisał bym ogólny zapis np biuro klienta z uwzględnieniem procedury bezpieczeństwa dostępów mobilnych.
Zaczyna się zabawa że np laptop w firmie służy do wszystkiego w tym do zabawy popołudniem dzieci szefa - ale to tylko świadomość ADO.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Obszar przetwarzania danych osobowych a komputery przenośne

Obszaren przetwarzania danych jest każde miejsce gdzie ten proces się odbywa.

Jeżeli urzytkownik korzysta z laptopa i przetwarza dane osobowe zjandujżce się na nim lub na serwerze do którego jest zdalnie podłączony to jego miejsce gdzie aktualnie pracuje będzie obszrem przetwarzania danych.

Miałem podobny problem paręnaście lat temu (1997 rok). Wtedy określiłem jako obszar przetwarzaia danych ogólnie jako wszystkie otwarte biura firmy lub miejsca pracy pracowników. Już wówczas mieliśmy kilku pracowników, którzy pracowali zdalnie z systemem nie zawsze z biura.

Oczywiście poza tym ogólnikiem podałem aktualne adresy firmy. Ale ponieważ fima jest międzynarodową korporacją nie można było podać wszystkich lokalizacji. Ponadto jak wspomniałem już wówczas mieliśmy osoby pracujące zdalnie na laptopach lub "biura" tworzone ad hoc na 2 - 3 dni w związku z akcjami marketingowymi.

Wtedy GIODO nie miało żadnych zastrzeżeń do tak określonego obszru przetwarzania danych. Myślę że obecnie taka definicja w przyapdku dyżych lub mobilnych firm tym bardziej jest do przyjęcia w związku z rozwoojem techniki.

Oczywiście taka definicja wymaga podania dokładnego adresu biur "stacjonarnych" i opisania postępowania z urządzeniami mobilnymi w instrukcji zarządzania systemem informatycznym oraz oczywiście wdrożenia odpowiednich narzędzi zabezpieczających sprzęt mobilny i dane na nim zapisane nie tylko przed wyciekiem danych w czasie przetwarzania ale również w przypadku utraty sprzętu w przypadku kradzieży.
Link do wypowiedziLink

konto usunięte

Temat: Obszar przetwarzania danych osobowych a komputery przenośne

Czyli co w sytuacji, gdy na laptopie dane są przechowywane, a praca na laptopie odbywa się w różnych miejscach (biuro, dom, pociąg, itd.)? Określić obszar właśnie tak ogólnie, jako wszystkie miejsca pracy pracowników?
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Obszar przetwarzania danych osobowych a komputery przenośne

Tak. Należy wyminić tem miejsca w których odbywa sie przetwarzanie "stacjonarne" i dodać że sa to również aktulane miejsca pracy pracowników mobilnych.
Link do wypowiedziLink

konto usunięte

Temat: Obszar przetwarzania danych osobowych a komputery przenośne

Bardzo dziękuję!
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Komputer jako termina, a ob...




Wyślij zaproszenie do
Anuluj