GoldenLine
Zaloguj się
Monika Z.

Monika Z. Ochrona danych
osobowych

Temat: Przetwarzanie danych w systemach informatycznych

Witam,
jako nowicjusz w temacie ochrony danych osobowych proszę o pomoc w rozstrzygnięciu takiej kwestii: system informatyczny, do którego ADO wprowadza dane (np. swoich pracowników) i przekazuje je innemu administratorowi, przy czym system ten nie jest narzędziem wybranym przez ADO, a przez tego drugiego administratora (np. ZUS i system Płatnik). Jak potraktować ten system i opisać go w Polityce?
Wydaje się, że taki system nie jest narzędziem ADO, czyli podmiotu, który : "...decyduje o celach i środkach przetwarzania danych". Zresztą ADO nie ma wpływu na rodzaje zabezpieczeń techn. systemu i jego funkcjonalności, więc nie może odpowiadać za spełnienie wymogów rozporządzenia MSW w spr. dokumetacji przetwarzania danych oraz warunków techn. i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Czy wobec tego wskazywać tego rodzaju systemy w swojej Polityce? Wydaje się to konieczne choćby z pkt widzenia opisu przepływu danych. Ale wyszczególniając w Polityce systemy informatyczne jak nazwać takiego Płatnika? Jako system służący do udostępnienia/przekazania danych innemu administratorowi?
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Przetwarzanie danych w systemach informatycznych

Nie wiem, czy dobrze rozumiem pytanie, jeżeli nie, to proszę mnie poprawić.

Systemy, w których przetwarzane są dane osobowe muszą spełniać wymogi rozporządzenia. Jednak hipotetycznie rozważając, gdyby pojawił się system narzucony odgórnie i nie spełniałby wymogów, to wg mojej opinii ADO powinien wnieść zastrzeżenia do systemu i koniecznie wstrzymać się z pracą w nim do momentu przystosowania go do wymogów.

Każdy system, w którym przetwarzane są dane osobowe powinien być wykazany wraz ze sposobem logowania, sposobem i miejscem wykonania kopii i strukturą zbioru w nim przetwarzanego. Nie jest ważne to, czy jest on narzucony odgórnie czy został zakupiony przez jednostkę.

Płatnik jest systemem, gdzie przetwarzane są dane osobowe. Dane te są dalej przekazywane zgodnie z wymogami ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (tekst jednolity - Dz. U. z 2013 r., poz. 1442).
Link do wypowiedziLink
Grzegorz K.

Grzegorz K. ABI

Temat: Przetwarzanie danych w systemach informatycznych

ZUS udostępnia dokument, w którym jest kompletny opis Płatnika. Można go pobrać tu: http://www.platnik.info.pl/v901001a/dok/StrukturyDanyc...
To można, a nawet należy dołączyć do dokumentacji.Ten post został edytowany przez Autora dnia 13.02.15 o godzinie 18:33
Link do wypowiedziLink
Monika Z.

Monika Z. Ochrona danych
osobowych

Temat: Przetwarzanie danych w systemach informatycznych

Dziękuję za Wasze odpowiedzi. Tylko zastanawiam się, nie chcąc oczywiście szerzyć herezji, w jakim zakresie odpowiada dany ADO. A konkretnie: przypadku wspomnianego Płatnika - pracodawca przekazuje dane swoich pracowników do ZUS. W swojej dokumentacji przetwarzania danych ujmuje Płatnika jako system służący przekazywaniu danych, wskazuje jakie dane przekazuje i opisuje ich przepływ, ale czy powinien opisywać procedury nadawania uprawnień użytkownikom w systemie, stosowane metody i środki uwierzytelniania, procedury rozpoczęcia, zawieszenia i zakończenia pracy użytkowników, tworzenie kopii zapasowych etc.? Przecież to wymogi stawiane temu ADO, dla którego system jest narzędziem przetwarzania danych, a tym ADO w przypadku Płatnika jest ZUS. Pracodawcy wiedzę na temat działania systemu istotnie musieliby zaczerpywać od ZUS. Tylko po co? To ZUS odpowiada za spełnianie wymogów w zakresie zabezpieczenia danych w Płatniku jako ich ADO i to ZUS powinien to opisać. Czy powielanie opisu działania Płatnika przez pracodawców, jak sugerujecie, nie jest sztuką dla sztuki? Czy rola pracodawców jako ADO nie kończy się na wprowadzeniu danych do Płatnika (przez upoważnione osoby, w adekwartnym zakresie i merytorycznie poprawnych)?
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Przetwarzanie danych w systemach informatycznych

Wymienione procedury są wewnętrznymi zakładu pracy i jako, że przetwarzane są w tym programie dane osobowe należy dokładnie opisać program. Proszę też pamiętać, że operujemy na naszych danych.
Tak żeby rzucić trochę światła na temat wymogów stawianych przez ustawodawcę, to nawet jeżeli podmiot przetwarza przekazane przez nas dane musi spełniać wymogi prawa i ponosi odpowiedzialność podobnie jak ADO (proszę zerknąć na Art 31. ust. 3-4).

Podam przykładowe informacje jakie mogą być uwzględnione w procedurach:
1. Procedurami nadawania uprawnień do Płatnika nie są kroki podczas zakładania konta. Przez nadawanie uprawnień należy rozumieć nadanie loginu w zakładzie pracy do systemu Płatnik dla konkretnej osoby. Podobnie jak w upoważnieniu do przetwarzania danych osobowych określa się zakres, tutaj - dostępu do systemu.
2. Jako metody i środki uwierzytelniania wpisuje się logowanie przez użytkownika/hasło, wymogi(hasła), autoryzację przez kartę(podpis elektroniczny) itp. Procedury są podobne, ale nie takie same. W programach często jest możliwość konfigurowania częstotliwości zmiany haseł, wymogów długości i ich skomplikowania.
3. Procedury rozpoczęcia, zawieszenia i zakończenia pracy - dotyczą wszystkich pracowników danej firmy i jeżeli godziny pracy we wszystkich systemach są stałe np. 'urzędnicze' 7:30-15:30, to wystarczy je wpisać jako godziny rozpoczęcia pracy w systemie informatycznym. Jeżeli chodzi już o procedury rozpoczęcia pracy w programie to niestety wypadałoby opisać je do każdego programu.
4. Kopią zapasową nie jest tylko archiwizacja z poziomu Płatnika czy innego programu, ale też kopia bazy danych na nośnik/serwer zapasowy. Może być opisana w rozdziale/załączniku do instrukcji zarządzania systemem informatycznym o tworzeniu kopii zapasowych. Nawet gdyby kopie były robione przez firmę zewnętrzną zajmującą się swoim programem dziedzinowym, to potrzebna byłaby wzmianka o tym, że firma x tworzy regularnie kopie z częstotliwością np. raz dziennie itp. Jedyne co trzeba opisać odnośnie programu, to czy ma możliwość archiwizacji, przywracania danych i metody tej archiwizacji.
5. Tak jak napisał Pan Grzegorz dokumentację warto dołączyć, ponieważ zawiera ona opis struktury danych, także odpada część roboty. Dla bardziej ambitnych Ctrl+C, Ctrl+V ;)
Link do wypowiedziLink
Monika Z.

Monika Z. Ochrona danych
osobowych

Temat: Przetwarzanie danych w systemach informatycznych

I wszystko jasne. Serdeczne dzięki.
Link do wypowiedziLink
Tomasz Fibingier

Tomasz Fibingier Inspektor Ochrony
Danych + IT

Temat: Przetwarzanie danych w systemach informatycznych

Paweł wszystko opisał ładnie w punktach, ale jeszcze moim zdaniem ważne jest uzupełnienie do punktu 3 procedury rozpoczęcia, zawieszenia i zakończenia pracy:
godziny pracy ok ale powinny się znaleźć tam informacje:
rozpoczęcie - sprawdzenie wizualnie stanu sprzętu pod kątem nieautoryzowanych zmian sprzętu i stanowiska pracy (np. podłączone nowe dziwne urządzenie), włączenie listew, zasilaczy elektrycznych, uruchomienie komputera, uwierzytelnienie się w systemie operacyjnym za pomocą przyjętej metody (hasło, token, karta) zwracając jednocześnie uwagę na niestandardowe komunikat wskazujące na nieprawidłowości itp., następnie odpalenie właściwej aplikacji
zawieszenie - uaktywnienie wygaszacza/ blokady ekranu chronionego przez hasło
zakończenie - zapisanie pracy (jeśli potrzeba), wylogowanie się z aplikacji, jeśli tak ustalone to zadbanie o wykonanie kopii , wylogowanie z systemu, wyłączenie listew + czyste biurko
do tego można włączyć zapis o właściwym ustawieniu monitorów
to z zapisów ogólnych , co do zasad typowych do płatnika to już można odnieść się od razu lub w wydzielonej dokumentacji/lub części dokumentacji dot. płatnika
ważne aby te procedury opublikować, zatwierdzić, przekazać tam gdzie wymagane, wdrożyć i egzekwować stosowanieTen post został edytowany przez Autora dnia 19.02.15 o godzinie 15:17
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Przetwarzanie danych w systemach informatycznych

Punkty, które wypisałem odnoszą się do pracy w programach i proponowałbym ujęcie opisu dla każdego z nich w osobnym załączniku/rozdziale do instrukcji zarządzania. W ten sposób można wyciągnąć informacje dotyczące konkretnego programu bez zbędnego przeglądania całej instrukcji.
Spotkałem się już z sytuacjami, że były opisywane logowania, kopie i sama struktura baz danych rozdzielnie w osobnych rozdziałach wymieszane razem z innymi programami. Było to nieczytelne i spisane nie w celu zebrania informacji i ich praktycznego wykorzystania, tylko na zasadzie 'bo trzeba'. Dobrym rozwiązaniem jest system załączników z każdym programem opisanym w osobnej teczce jako załącznik do instrukcji po który można szybko sięgnąć w razie potrzeby.

Jeżeli odnieść punkty do całości zarządzania systemem, to każdy punkt należałoby rozbudować i dostosować do potrzeb w firmie. Nie ma 'szablonu', wg. którego można zbudować dokumentacje w każdej firmie, są tylko wytyczne i każdy, kto twierdzi, że można 'zdalnie' bez znajomości firmy napisać całą dokumentację chce naciągnąć firmę(już chyba większość z nas dostała ofertę na napisanie polityki 'od ręki' - ja kolejną dzisiaj).
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Przetwarzanie danych w systemach informatycznych

Paweł L.:
Punkty, które wypisałem odnoszą się do pracy w programach i proponowałbym ujęcie opisu dla każdego z nich w osobnym załączniku/rozdziale do instrukcji zarządzania.

Zgodne z utrzymaniem atrybutu poufności informacji. Nie zawsze jedna osoba będzie miała dostęp do tych samych programów, więc opisy powinny być tak podzielone, żeby nie ujawniać zbyt dużo a już na pewno nie osobie nieuprawnionej.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Przetwarzanie danych osobow...




Wyślij zaproszenie do
Anuluj