Temat: Polityka bezpieczeństwa raz jeszcze-DYLEMAT

Jako bardzo początkujący ABI, mam pytanko dotyczące Polityki Bezpieczeństwa Informacji, a dokładniej jednego z zapisów funkcjonujących w treści tego dokumentu. W telegraficznym skrócie w czym rzecz:

Stowarzyszenie realizuje projekty w ramach różnych programów tj. projekty współfinansowane ze środków EFS (w ramach Programu Operacyjnego Kapitał Ludzki i tu instytucją "dowodzącą" jest Ministerstwo Rozwoju Regionalnego) oraz projekty w ramach Programu Rozwoju Obszarów Wiejskich (tu instytucją "dowodzącą" jest Ministerstwo Rolnictwa i Rozwoju Wsi).

W ramach powyższych programów Stowarzyszenie przetwarza dane osobowe i tu zaczynają się schody ....Z interpretacji Ministerstwa Rolnictwa i Rozwoju Wsi (program PROW) wynika, iż stowarzyszenie realizujące działania w ramach PROW jest Administratorem Danych Osobowych. Z kolei z zapisów w umowach o dofinansowanie projektów w ramach POKL wynika, iż Stowarzyszenie absolutnie nie jest Administratorem Danych Osobowych przetwarzanych w ramach owych projektów - tu Administratorem Danych Osobowych jest Ministerstwo Rozwoju Regionalnego, a Stowarzyszeniu jedynie powierzono dane do przetwarzania w ramach tzw. Formularza PEFS.

Jaki zatem zapis powinnam zawrzeć w Polityce Bezpieczeństwa Informacji Stowarzyszenia? .... Stowarzyszenie jest w tej sytuacji ADO czy nie?Z jednej strony jest, z drugiej nie jest. Jeśli w PBI zawrę zapis, że Stowarzyszenie jest ADO, wówczas PBI Stowarzyszenia będzie stała w sprzeczności z Polityką bezpieczeństwa dla zbioru podsystemu monitorowania EFS 2007 u beneficjenta programu POKL( jest w niej zapis, iż ADO jest Instytucja Zarządzająca czyli MRR). Jak wybrnąć z tej sytuacji?

Temat: Polityka bezpieczeństwa raz jeszcze-DYLEMAT

Bardzo często są takie sytuacje, że firma jest w stosunku do takich samych danych ADO i jednocześnie procesorem.

Temat: Polityka bezpieczeństwa raz jeszcze-DYLEMAT

Bazując na wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie (sygn. II SA/Wa 605/08, 734-736/08), jasne jest, że w pierwszym przytoczonym wyżej przypadku, ADO jest MRR. Idąc tym samym tokiem rozumowania, wypadałoby przyjąć, że MRiRW również jest ADO, a beneficjenci są procesorami. I w jednym i w drugim wypadku, to ministerstwa decydują o celach i środkach. Chyba, że w przypadku MRiRW wygląda to jakoś diametralnie inaczej?

Temat: Polityka bezpieczeństwa raz jeszcze-DYLEMAT

Dziękuję serdeczne za odpowiedź :-) Precyzując to o co Pan pyta.. Jestem w posiadaniu pisemka MRiRW skierowanego do Urzędu Marszałkowskiego Województwa Pomorskiego dotyczącego ustalenia administratora danych osobowych przetwarzanych w lokalnych grupach działania (stowarzyszenie, o którym pisałam w pierwszym poście to właśnie lokalna grupa działania). Poniżej kluczowe fragmenty, proszę zerknąć... Być może źle je interpretuję.
"Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, każdy administrator danych jest zobowiązany do zgłoszenia do GIODO zbioru danych. Kwestią budzącą wątpliwość staje się ustalenie, któremu z podmiotów uczestniczących w realizacji PROW na lata 2007-2013 należy przypisać status ADO. Czy są to lokalne grupy działania, czy może administratorem danych dla działań delegowanych do Samorządów Województwa w ramach PROW jest Minister Rolnictwa i Rozwoju Wsi lub Samorząd Województwa? (...)

Opinia MRiRW: W pierwszej kolejności należy zauważyć, ze zgodnie z definicją zawartą w art.7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz.926, z późn. zm) za administratora danych uważa się organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 tej ustawy, decydujące o celach i środkach przetwarzania danych osobowych.
Zgodnie ze stanowiskiem wyrażonym przez NSA w wyroku z dnia 8 września 2009 r., sygn. akt I OSK 1378/08 (opubl.CBOSA) administratorem danych osobowych jest jedynie taki dysponent danych, który decyduje o celach i środkach ich przetwarzania. Przywołany wyżej przepis w swej treści posługuje się pojęciem "przetwarzania danych osobowych", a zatem konieczne jest także odwołanie się do ustawowej definicji tego pojęcia, gdyż "cele" i "środki" należy zawsze odnosić do procesu przetwarzania danych osobowych. W świetle art. 7 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zestawiając chronologicznie opisane czynności, przetwarzanie danych osobowych zaczynać się będzie od etapu ich pozyskiwania (zbierania) i przebiegać poprzez utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, kończąc zaś na etapie usunięcia danych.
Na gruncie ustawy z dnia 7 marca 2007 r. o wspieraniu rozwoju obszarów wiejskich (...)(Dz.U.Nr 64, poz. 427, z późń. zm.) działanie "Wdrażanie lokalnych strategii rozwoju" w ramach Programu Rozwoju Obszarów Wiejskich na lata 2007-2013 jest realizowane przez Ministra Rolnictwa i Rozwoju Wsi jako instytucję zarządzającą (art.6 ust.1 tej ustawy) i samorządy województw jako podmioty wdrażające(art. 6 ust.1 tej ustawy). Zgodnie z art.7 ust.3 pkt 1 ww. ustawy z dnia 7 marca 2007 r. podmioty wdrażające pozyskują, gromadzą i opracowują dane związane z wykonywaniem przez nie zadań instytucji zarządzającej.
Z kolei zgodnie z treścią art.31 ust.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Wynika z tego, że zleceniobiorcą danych może być podmiot, któremu -na podstawie pisemnej umowy -powierzono przetwarzanie danych, czyli powierzono pewnie zbiór danych w ściśle określonym celu i zakresie. Zatem aby można było mówić o powierzeniu przetwarzania danych musi istnieć już pewnie zbiór tych danych, który może być takiemu podmiotowi powierzony. Natomiast jeśli proces przetwarzania danych os. rozpoczyna się w momencie ich pozyskiwania, to instytucja zarządzająca ( MRiRW) nie decyduje o celach i środkach przetwarzania danych osobowych, albowiem danych takich (a tym bardziej zbioru danych) po prostu nie ma. Nie jest zatem administratorem danych osobowych, które zebrał (pozyskał) podmiot wdrażający program, a więc decydujący o celach i środkach wszelkich operacji dotyczących danych osobowych. W takim przypadku celem przetwarzania danych jest realizacja obowiązku wykonywania zadań podmiotu wdrażającego nałożonego przez przepisy ww. ustawy z dnia 7 marca 2007 r. Uznać bowiem należy, że w sytuacji gdy cele i środki przetwarzania danych osobowych wynikają z powszechnie obowiązujących przepisów prawa administratorem danych będzie ten podmiot, który decydując o celu przetwarzania danych będzie konkretyzował jego zakres aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego. Skoro zatem to samorząd województwa jest na podstawie art.7 ust.3 ww. ustawy z dnia 7 marca 2007 r. obowiązany do pozyskiwania, gromadzenia i opracowywania danych co jest związane z wykonywaniem zadań instytucji zarządzającej to decyduje również o celach przetwarzania danych. jest zatem ich administratorem w rozumieniu art.7 pkt 4 z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Podobna sytuacja występuje w odniesieniu do działalności lokalnych grup działania. LGD dokonują wyboru operacji, na które przyznawana jest pomoc w ramach przedmiotowego działania( art.12 ust.1 ww. ustawy z dnia 7 marca 2007 r). Zaznaczyć należy, że realizacja lokalnej strategii rozwoju przez LGD odbywa się na podstawie umowy zawieranej między samorządem województwa, a LGD określającej warunki i sposób realizacji tej strategii (art.14 ust.3 tej ustawy). Z kolei procedura wyboru projektów operacji w ramach przedmiotowego działania określona została w przepisach rozporządzenia Ministra Rolnictwa i Rozwoju Wsi z dnia 8 lipca 2008 r. w sprawie szczegółowych warunków i trybu przyznawania oraz wypłaty pomocy finansowej w ramach działania "Wdrażanie lokalnych strategii rozwoju" objętego PROW na lata 2007-2013 (Dz.U. Nr 138,poz. 868 ze zm.). Niewątpliwie realizacja prze LGD tych obowiązków, musi wiązać się z przetwarzaniem danych osobowych, w szczególności ich pozyskiwaniem i utrwaleniem. Albowiem to LGD decydują o celu przetwarzania tych danych (realizacji umów zawieranych z samorządami) jak i środkach ich przetwarzania. W konsekwencji uznać należy, że zarówno SW jak i LGD są administratorami danych, albowiem przetwarzając je decydują samodzielnie o celu i środkach ich przetwarzania. Przy czym dla pierwszych celem jest realizacja obowiązków nałożonych ustawą, zaś dla drugich realizacja zawartych umów."

Temat: Polityka bezpieczeństwa raz jeszcze-DYLEMAT

Na podobny temat dyskutowaliśmy też tutaj - http://www.goldenline.pl/forum/2952668/imie-i-nazwisko...
---------------------------------------------------

Powierzamy przetwarzanie danych – nie musi to być zbiór i tym bardziej, nie musimy mieć jeszcze danych – umowę możemy podpisać zanim rozpoczniemy zbieranie danych, a w szczególnych wypadkach, zanim procesor rozpocznie zbieranie danych w naszym imieniu. Zbieranie danych jest formą przetwarzania i jak najbardziej może zostać powierzone. Dlatego, nie mogę się zgodzić ze zdaniem: „Natomiast jeśli proces przetwarzania danych os. rozpoczyna się w momencie ich pozyskiwania, to instytucja zarządzająca ( MRiRW) nie decyduje o celach i środkach przetwarzania danych osobowych, albowiem danych takich (a tym bardziej zbioru danych) po prostu nie ma”.

Podejrzewam, że odpowiedzi na to, kto jest administratorem danych, trzeba szukać w ustawie o wspieraniu rozwoju obszarów wiejskich. Nie znam jej, więc nie mogę powiedzieć z całą pewnością, ale zdanie „działanie "Wdrażanie lokalnych strategii rozwoju" w ramach Programu Rozwoju Obszarów Wiejskich na lata 2007-2013 jest realizowane przez Ministra Rolnictwa i Rozwoju Wsi jako instytucję zarządzającą” wydaje się wskazywać na MRiRW.

Pytanie pomocnicze – z kiedy pochodzi ta opinia MRiRW?

Temat: Polityka bezpieczeństwa raz jeszcze-DYLEMAT

Witam, opinia MRiRW jest z dnia 19 marca 2012 roku w odpowiedzi na pismo z dnia 14 lutego 2012 r. w sprawie ustalenia administratora danych osobowych przetwarzanych w lokalnych grupach działania (LGD) w związku z wykonywaniem obowiązków w ramach działania "Wdrażanie lokalnych strategii rozwoju" objętego Programem Rozwoju Obszarów Wiejskich na lata 2007-2013.

Panie Jarku, mam w związku z powyższym pytanko: jeśli ani w przypadku PROW ani PO KL Stowarzyszenie nie pełni funkcji ADO to czy mamy zatem obowiązek opracowania PBI? Jeśli powinniśmy opracować taki dokument to kto powinien być wskazany jaki ADO?

Przepraszam z góry jeśli coś niepotrzebnie mieszam, ale mam wrażenie, ze im więcej wiem tym de facto wiem mniej.

Temat: Polityka bezpieczeństwa raz jeszcze-DYLEMAT

W przypadku PO KL MRR udostępnia Politykę Bezpieczeństwa dla zbioru Podsystem monitorowania
europejskiego funduszu społecznego 2007 u beneficjenta PO KL. Czyli coś obok zwykłej PBDO, którą powinien mieć beneficjent u siebie, dla swoich zbiorów.

Temat: Polityka bezpieczeństwa raz jeszcze-DYLEMAT

A nie jest tak, że jedna firma = jedna polityka? Stowarzyszenie posiada "własną" Politykę Bezpieczeństwa, która nie do końca idzie w parze z Polityką dla zbioru Podsystem monitorowania Europejskiego Funduszu Społecznego 2007 u beneficjenta PO KL.

Temat: Polityka bezpieczeństwa raz jeszcze-DYLEMAT

Z tego co udało mi się zaobserwować, dużo ADO realizujących projekty w POKL stosuje taktykę: moje zbiory=moja PBDO + zbiór MRR=PBDO do zbioru

Temat: Polityka bezpieczeństwa raz jeszcze-DYLEMAT

Ania L.:
Panie Jarku, mam w związku z powyższym pytanko: jeśli ani w przypadku PROW ani PO KL Stowarzyszenie nie pełni funkcji ADO to czy mamy zatem obowiązek opracowania PBI? Jeśli powinniśmy opracować taki dokument to kto powinien być wskazany jaki ADO?

Było do Jarka ale odpowiem - Pani Stowarzyszenie podpisując umowę o dofinansowaniu projektu w art 21 umowy zobowiązało się do przetwarzania danych osobowych zgodnie z UODO - w tym również deklarujecie że dane zabezpieczone są zgodnie z art 36-39 UODO - w związku z tym musi być opracowana polityka i instrukcja ( oraz wszystkie pozostałe dokumenty wynikające z umowy i UODO) - powiem więcej teoretycznie takie dokumenty powinniście mieć przed podpisanie projektu - a wynika to tylko z tego że dane osobowe przetwarzane w stowarzyszeniu były wcześniej - dane członków pracowników....Przemysław C. edytował(a) ten post dnia 26.04.13 o godzinie 05:39

Temat: Polityka bezpieczeństwa raz jeszcze-DYLEMAT

Karol F.:
W przypadku PO KL MRR udostępnia Politykę Bezpieczeństwa dla zbioru Podsystem monitorowania
europejskiego funduszu społecznego 2007 u beneficjenta PO KL. Czyli coś obok zwykłej PBDO, którą powinien mieć beneficjent u siebie, dla swoich zbiorów.

Niestety jest to tylko wzór - który po pierwsze jest już niezgodny z obecnie podpisywanymi umowami o dofinansowanie (od 01.01.2012) - zmiana podstawy prawnej przetwarzania danych w POKL.
Na szkoleniach zawsze podkreślam że w jednej firmie powinna być jedna polityka a więc zbiory powierzone do przetwarzania ( w tym również PEFS 2007 powinien znaleźć się w tej dokumentacji) uważam że wzór polityki i instrukcji jest wzorem dla PEFSa ( jako minimalne wymagania) ale nie jest to dokument do przedruku i stosowania w całej firmie ( może posłużyć jedynie jako materiał wyjściowy do stworzenia swojej dokumentacji)

jeżeli potrzeba więcej informacji o danych osobowych przetwarzanych w POKL - zawsze służę pomocą - stało się to trochę moja specjalizacją:):)

Temat: Polityka bezpieczeństwa raz jeszcze-DYLEMAT

Dzięki bardzo Panie Przemku :-)
Jeśli Pan pozwoli miałabym jeszcze jedno pytanko związane z przetwarzaniem danych osobowych w ramach POKL.
W § 20 w UMOWIE O DOFINANSOWANIE PROJEKTU W RAMACH PROGRAMU OPERACYJNEGO KAPITAŁ LUDZKI jest zapis:
6. Beneficjent, w przypadku przetwarzania powierzonych danych osobowych w systemie informatycznym, zobowiązuje się do przetwarzania ich w systemie informatycznym Podsystem Monitorowania Europejskiego Funduszu Społecznego 2007, który Instytucja Wdrażająca (Instytucja Pośrednicząca II stopnia) przekazuje Beneficjentowi.
7. Instytucja Wdrażająca (Instytucja Pośrednicząca II stopnia) dopuszcza przetwarzanie przez Beneficjenta powierzonych danych osobowych dodatkowo także w innym niż Podsystem Monitorowania Europejskiego Funduszu Społecznego 2007 systemie informatycznym, pod warunkiem, że Beneficjent zapewni, że system informatyczny służący do przetwarzania powierzonych danych osobowych spełnia wymagania określone w rozporządzeniu, o którym mowa w ust. 4.

A co z przetwarzaniem danych osobowych w formularzach zgłoszeniowych uczestników do projektu? Są to de facto te same dane,które mamy w PEFS, ale czy możemy je przechowywać w wersji papierowej? skoro mamy "pozwolenie" do ich przetwarzania tylko w systemie informatycznym? generalnie jest to ten sam zbiór danych, czyli w wykazie zbiorów danych ujmuję go 1 raz i wskazuję, że jest jest to zbiór przetwarzany tylko w systemie inf.? czy też jako zbiór w wersji tradycyjnej tj. papierowej?

I drugie pytanko niezwiązane z POKL: czy członkowie Komisji Konkursowych (w organizowanych przez nasze stowarzyszenie konkursach foto) powinni mieć upoważnienie do przetwarzania danych os. uczestników konkursów?
Pozdrawiam serdecznie :-)

Temat: Polityka bezpieczeństwa raz jeszcze-DYLEMAT

Ania L.:
A co z przetwarzaniem danych osobowych w formularzach zgłoszeniowych uczestników do projektu? Są to de facto te same dane,które mamy w PEFS, ale czy możemy je przechowywać w wersji papierowej? skoro mamy "pozwolenie" do ich przetwarzania tylko w systemie informatycznym? generalnie jest to ten sam zbiór danych, czyli w wykazie zbiorów danych ujmuję go 1 raz i wskazuję, że jest jest to zbiór przetwarzany tylko w systemie inf.? czy też jako zbiór w wersji tradycyjnej tj. papierowej?

Niestety MRR nazwał dwie rzeczy tak samo - zbiór danych i "system informatyczny" i generalnie 'system informatyczny PEFS 2007" + dokumentacja papierowa - stanowi zbiór danych PEFS 2007 - należny zwrócić uwagę iż że zapis ust. 6 mówi o tym że "w przypadku przetwarzania..... w systemie informatycznym" ma byc to PEFS 2007 a więc przetwarzamy dane osobowe w formie papierowej w zbiorze PEFS 2007 a system informatyczny słuzący do przetwarzania danych osobowych w zbiorze PEFS 2007 to PEFS 2007 ( bardzo często z tym mają problemy Beneficjenci) dobrze by było aby MRR w następnym okresie zbiór nazwało inaczej niż system informatyczny do przetwarzania danych osobowych w tym zbiorze.

I drugie pytanko niezwiązane z POKL: czy członkowie Komisji Konkursowych (w organizowanych przez nasze stowarzyszenie konkursach foto) powinni mieć upoważnienie do przetwarzania danych os. uczestników konkursów?
Pozdrawiam serdecznie :-)

Maja dostęp do danych osobowych - więc tak (pytanie jak najbardziej związane z POKL - tam również są komisje )
PozdrawiamPrzemysław C. edytował(a) ten post dnia 30.04.13 o godzinie 14:50