GoldenLine
Zaloguj się
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pesel jako identyfikator w systemie informatycznym

Odpowiedź jest prosta. Ale nie jest ... dobrą odpowiedzią. Brak przesłanek do przekazania numeru, który poza identyfikacją dostarcza informacji o wieku (z daty urodzenia) i płci. Plus .. co za tym idzie - jak tam z ukrytymi znaczeniami? ;-)

Wiem, nie pomagam.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pesel jako identyfikator w systemie informatycznym

Pomagasz, ale rozumiem to ja. Nie mam sposobu na przetłumaczenie tego IN. Nie mają ABI, argumenty trafiają w próżnię, wobec mojego ADO stosują rozwiązania "siłowe".
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Pesel jako identyfikator w systemie informatycznym

Poinformuj, żeby wysłali ci wniosek z podstawą prawną. Do tego niech zbiorą zgody na przetwarzanie danych osobowych od twoich pracowników w oparciu o podstawę prawną i zarejestrują u GIODO zbiór 'osób z innych instytucji' podając cel przetwarzania na wniosku rejestracyjnym. Po uzyskaniu zgody, niech ci je przedstawią. Na tej podstawie rozpatrzysz wniosek, jak uzyska aprobatę to udostępnisz im dostęp do danych przez Twoich pracowników. Poinformuj też, że w przypadku powołania się na możliwość podpisania umowy (art 31) masz prawo do kontrolowania zgodności przetwarzania danych przez IN. Powinno im się odechcieć ;)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pesel jako identyfikator w systemie informatycznym

Ja to może już nudny będę z tym KK ;-)

Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Na moje oko nie mają uprawnienia do przetwarzania daty urodzin i płci.

Oraz jako, że nakłaniają do:
Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

W związku z:
Art. 18. § 1. Odpowiada za sprawstwo nie tylko ten, kto wykonuje czyn zabroniony sam albo wspólnie i w porozumieniu z inną osobą, ale także ten, kto kieruje wykonaniem czynu zabronionego przez inną osobę lub wykorzystując uzależnienie innej osoby od siebie, poleca jej wykonanie takiego czynu.
§ 2. Odpowiada za podżeganie, kto chcąc, aby inna osoba dokonała czynu zabronionego, nakłania ją do tego.

I proste pytanie - czy już złożyć, czy jednak zaczekać, aż nakłonią ;-)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pesel jako identyfikator w systemie informatycznym

A i zapomniałem powiedzieć. Działa. Wyleczyłem już kilka osób, w tym w jednej z agencji ochrony zleceniodawcę, któremu się wydawało, że skoro płaci to wymaga i może dostać wyciągi z rejestru skazanych.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pesel jako identyfikator w systemie informatycznym

Ja to wszystko wiem, ale będą się mścić inaczej i kiedy indziej na moim ADO, a na stosie ofiarnym zostanie złożony ... ;)
Czy rysuje się w ogóle w takiej sytuacji szansa jakiegoś kompromisu?
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Pesel jako identyfikator w systemie informatycznym

Dopiero Grzegorzu mówiłeś, żeby nie straszyć ;)
Ale skoro już straszymy, to na groźby też są paragrafy ;)

Kompromisu nie osiągniesz. Nie możesz wydać numerów PESEL, ponieważ IN nie ma podstaw prawnych do żądania ich od ciebie. Udostępniając je jej naruszyłbyś prawo. Jeżeli nie zrozumieją po ludzku, to przechodzisz do sposobu Grzegorza.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pesel jako identyfikator w systemie informatycznym

Jestem po rozmowie z prawnikiem mojego ADO i on niestety te przepisy karne w tej sytuacji nieco bagatelizuje tj. wątpi, czy rzeczywiście są znamiona. Mam więc sprzeczne informacje i nie wiem, jakie przyjąć ryzyko.
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Pesel jako identyfikator w systemie informatycznym

Nie rozumiem jak nacisk z góry(ADO IN) mający na celu złamanie prawa (art. 49 UODO) może nie mieć znamion "nakłaniania do czynu zabronionego".
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pesel jako identyfikator w systemie informatycznym

Prawnik wątpi, czy są znamiona art. 49.
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Pesel jako identyfikator w systemie informatycznym

W momencie jak IN zacznie przetwarzać dane osobowe, do których nie jest upoważniona odpowiada z art 49.1. Natomiast twój ADO z art. 51.
Tak rozszerzę wypowiedź, ponieważ można było z mojej wypowiedzi błędnie wywnioskować, że to twój ADO odpowiada z art. 49.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pesel jako identyfikator w systemie informatycznym

Wystąpię chyba o opinię prawną, ponieważ prawnik wątpi w te znamiona z art. 49 dla IN, twierdzi, że orzecznictwo jest "nikłe", a przepis "praktycznie martwy".

Na mój gust znamiona są, ale w kontaktach z IN muszę być pewny swego na 200%,
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pesel jako identyfikator w systemie informatycznym

Struktura zapytania do prawnika jest ważna. A więc:
1. Czym jest numer pesel
2. jakie informacje o osobie zawiera numer pesel (WAŻNE - INFORMACJE, nie dane, bo zatrybi)
3. Jakie są podstawy przetwarzania numeru PESEL
4. Jakie są ustawowe organy i instytucje przetwarzające numer PESEL
5. Czy można numer PESEL przetwarzać na podstawie innych przesłanek. Jeśli tak - to jakich.

W sumie ostatnie pytanie wystarczy do rozstrzygnięcia, ale pasjami uwielbiam prawników (sam studiuję prawo karne), więc wiem, że ich trzeba naprowadzić na pewne rozwiązania. Jak odpowie Ci na powyższe - myslę, że przesłanki znajdzie.

A jeśli nie - to konkretne pytanie.

Czy opinia o tym, czy przepis jest martwy, jest podstawą do jego naruszenia? Bo jak na moje oko, temat na skargę do samorządu ;-)

Sorry, ale jak ma być na ostro, to dla mnie. Normalnie zaraz jakieś piwo ogarniemy, bo ja uwielbiam takie tematy ;-)
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Pesel jako identyfikator w systemie informatycznym

Ty się nie martw art. 49.1 dla IN, ciebie ma interesować art. 51 i na tym się skup. Dopiero jak ty złamiesz 51 idzie lawina 49.1 UODO i 18 KK w IN.

A właśnie... jak sądzicie, jak daleko sięgnie 49.1? ;)
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pesel jako identyfikator w systemie informatycznym

Chcę wykluczyć sytuację, że IN nagle jako podstawę prawną przetwarzania znajdzie art. 23 ust. 1 pkt 4 lub 5 uodo, a GIODO przyzna im rację. Że nagle okaże się, że IN nie przetwarza tych danych bezprawnie, a ja robię raban. Nie ufam GIODO.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pesel jako identyfikator w systemie informatycznym

A, i szlag mnie trafia, że to mój ADO, mimo podległości, znajduje się w gorszej sytuacji pod kątem uodo. IN będzie trudno udowodnić umyślność, co najwyżej złą interpretację przepisów, więc wykpią się z zarzutu karnego. A 51 jest też nieumyślne.

Czyli dla IN my stanowimy problem i budzimy irytację. Nie ma jak im uświadomić, że odpowiedzialność może być też po ich stronie.
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Pesel jako identyfikator w systemie informatycznym

Tak, tylko czy rzeczywiście jest to niezbędne? Czy bez tych danych jest możliwe wykonywanie zadań/celów? Podejrzewam, że jest możliwe.

Pamiętaj o jednym. Udostępniasz dane po otrzymaniu pisma (wniosku - warto stworzyć wzór), na którym musisz mieć podstawę prawną żądania, zakres danych i cel ich przetwarzania. Jak nie otrzymasz wniosku zgodnego z wymaganiami lub otrzymasz niekompletny masz podkładkę na podstawie której odrzucasz wniosek.
To oni muszą cię przekonać, że masz im prawo udostępnić, a ty jeżeli uznasz, że podstawa jest prawidłowa i wszystkie warunki spełnione udostępniasz im dane. To, że jest to instytucja 'wyższa' nie oznacza, że mają mieć wgląd do wszystkich informacji.

Jeżeli nie widzisz podstaw odpisz na pismo odmownie informując, że nie ma prawnie uzasadnionych przesłanek do udostępnienia danych osobowych pracowników. Poinformuj też standardowo, że jest możliwość odwołania się od decyzji itp. podając podstawę prawną, zakres, cel. Niech ich radca prawny popracuje a nie twój. Może zmienią zdanie.

I jeszcze jedno. W momencie gdy twój ADO zdaje sobie sprawę lub ma wątpliwości, że wykonując daną czynność złamie prawo, to nie jest działanie nieumyślne.
Link do wypowiedziLink
Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: Pesel jako identyfikator w systemie informatycznym

Mały reset.
IN wdraża nowy system informatyczny. System wymaga unikatowego ID.
Jakakolwiek podstawa prawna sprowadza się do zbadania podstawy faktycznej.
Podstawą faktyczną jest: NOWY SYSTEM.
A więc co się zmieniło. NIC PRÓCZ SYSTEMU.

Czy IN w takim wypadku może dalej sprawnie realizować zadania nadzorcze? Tak, nadając unikatowy identyfikator inny niż PESEL.

A statystyki policyjne (publikowane za lata 1999 do 2011): na tym samym poziomie; około 330 spraw, a w 2011 roku - 40 podejrzanych (minimum), w 2003 roku - 613 podejrzanych (max) ?!?!?!
Co po 2011 roku nie wiadomo. Nie publikują.

Myślę, że czasami lepiej wywołać postępowanie, nawet przed sądem, aby nie zarzucono ADO, że tego nie zainicjował lub wymusił. Krótko, ......że dla ochrony danych mógł coś więcej zrobić, a nie zrobił. Jeżeli zrobił wszystko = brak zawinienia = brak odpowiedzialności.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pesel jako identyfikator w systemie informatycznym

Paweł G.:
A, i szlag mnie trafia, że to mój ADO, mimo podległości, znajduje się w gorszej sytuacji pod kątem uodo. IN będzie trudno udowodnić umyślność, co najwyżej złą interpretację przepisów, więc wykpią się z zarzutu karnego. A 51 jest też nieumyślne.

Czyli dla IN my stanowimy problem i budzimy irytację. Nie ma jak im uświadomić, że odpowiedzialność może być też po ich stronie.

Paweł - chyba już wszystko napisaliśmy w sensie tak po ciemaku. A więc zapraszam do oceny ryzyka - metoda scenariuszowa ;-)

Co będzie jeśli nie przekażecie do IN numerów PESEL?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pesel jako identyfikator w systemie informatycznym

Grzegorz K.:
Co będzie jeśli nie przekażecie do IN numerów PESEL?

ADO dostanie ustne, b. stanowcze, polecenie, żeby nie wstrzymywać wdrażania systemu, bo wszyscy już dane przekazali, tylko my robimy problem. Na pismo w sprawie oficjalnie nie otrzymamy żadnej odpowiedzi.

Piszę, jak jest. Wiem, jak powinno być.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Jaki format identyfikatora ...




Wyślij zaproszenie do
Anuluj