GoldenLine
Zaloguj się

konto usunięte

Temat: Pytanie dot. zgłaszania zbioru

Czy zgłaszać:
podpisalismy umowę z firmą zewnętrzną, pracownicy firmy wykonują podobne działania jak nasi pracownicy.
Czy powinniśmy zgłosić ich dane jako nowy zbiór? Czy może traktować je jako dane kadrowe?
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Pytanie dot. zgłaszania zbioru

Trochę za mało szczegółów.
Ustawa mówi, że Administrator Danych nie musi zgłaszać zbiorów: „przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się”.
Wynika z tego, że nie musimy zgłaszać zbiorów zawierających dane _naszych_ pracowników, przetwarzane w celach kadrowych (ale, jeżeli chcemy przetwarzać dane pracowników w innym celu, to taki zbiór musimy oczywiście zgłosić).
Z inną sytuacją mamy do czynienia, jeżeli jeden podmiot otrzymuje listę pracowników innego podmiotu, przykładowo firma sprzątająca przekazuje listę swoich pracowników, firmie na rzecz której będzie świadczyła usługi. Uważam, że zbiór zawierający takie dane powinien zostać zgłoszony do GIODO, ponieważ ustawa mówi „„przetwarzanych w związku z zatrudnieniem u nich”, a nie „przetwarzanych w związku z wykonywaniem pracy u nich”.
Z takiej sytuacji, można czasami wybrnąć posiłkując się zbiorem doraźnym. Przykładowo: wykonawca przekazuje nam co tydzień listę pracowników, którą niszczymy niezwłocznie po otrzymaniu nowej listy.
Link do wypowiedziLink

konto usunięte

Temat: Pytanie dot. zgłaszania zbioru

Absolutnie nie ma potrzeby rejestrować zbioru.
Mogą to być dane pracownicze (kadrowe) i należy stosować Ustawę ale bez rejestracji, lub będą to tzw. dane kontaktowe (np. imię, nazwisko, firma, tel. służbowy), do których co do zasady Ustawę stosuje się w ograniczonym zakresie. Takim zbiorem jest np. służbowa książka telefoniczna.

Rozumiem, że pracownicy podmiotu zewnętrznego będą wykonywać takie same czynności jak obecni pracownicy. Pamiętaj zatem, że musicie zawrzeć umowę powierzenia przetwarzania danych osobowych z podmiotem, który będzie miał dostęp do tych danych. (art 31 UODO).
pozdrawiam
Link do wypowiedziLink
Łukasz Adamczyk

Łukasz Adamczyk menadżer,
projektant,
programista, trener
oraz doradca

Temat: Pytanie dot. zgłaszania zbioru

Piotr R.:
Absolutnie nie ma potrzeby rejestrować zbioru.
Mogą to być dane pracownicze (kadrowe) i należy stosować Ustawę ale bez rejestracji, lub będą to tzw. dane kontaktowe (np. imię, nazwisko, firma, tel. służbowy), do których co do zasady Ustawę stosuje się w ograniczonym zakresie. Takim zbiorem jest np. służbowa książka telefoniczna.

Rozumiem, że pracownicy podmiotu zewnętrznego będą wykonywać takie same czynności jak obecni pracownicy. Pamiętaj zatem, że musicie zawrzeć umowę powierzenia przetwarzania danych osobowych z podmiotem, który będzie miał dostęp do tych danych. (art 31 UODO).
pozdrawiam

Tę sprawę powiniśmy rozpatrywać następująco.

UODO nie jest precyzyjna co więcej jest wiele róznych interpretacji jej przepisów. Osobiście radzę stosować się do bieżącej wykładni GIODO.

Należy postępować zgodnie z prostą zasadą. Czyli rejestrujemy każdy zbiór danych, który nie jest jawnie wykluczony z obowiązku rejestracji. W związku z tym nalezy również zarejestrować dane kadrowe. (wbrew opinni przedmówcy posiadam pisemną odpowiedź z GIODO, że takie zbiory wymagaja rejestracji).

W przypadku kontaktów z GIODO lepiej zgłosić więcej niż mniej...

Pytanie p. Pawła (w moim rozumieniu posta) brzmiało inaczej. Czy należy zgłaszać do GIODO fakt dostępu do danych przez podmiot zewnętrzny (w domyśle zbiór został zgłoszony, a poszerzeniu ulega katalog uprawnionych do dostępu do tych danych).

Na tak postawione pytanie odpowiedź jest jedna. Należy dokonać w GIODO aktualizacji danych dotyczących konkretnego rejestru danych. Trzeba zaznaczyć komu dane będą udostępniane (uwaga w Pana przypadku dostęp do danych będą miały osoby trzecie, w związku z tym musi to być wpisane w zgłoszeniu).

Zgłoszenie zmian odbywa się de facto przez ponowne zgłoszenie tego samego zbioru (należy na wstępie wniosku zaznaczyć, że to aktualizacja danych).
Link do wypowiedziLink
Grażyna P.

Grażyna P. Dyrektor Finansowy,
biegły rewident,
CRiSC

Temat: Pytanie dot. zgłaszania zbioru

Na temat zgłąszania zbiorów danych mam 100 pytań:
1. kto ma decydować które zbiory trzeba zgłaszć i jak ma wyglądać wewnątrz firmy procedura kwalifikacji zbioru ? ABI? Prawnik? Pani kadowa? Prezes jako ADO?
Link do wypowiedziLink

konto usunięte

Temat: Pytanie dot. zgłaszania zbioru

Witam,

jeśli mogę pomóc w odpowiedziach na pytania...

Pani Grażyno - jeśli mają Państwo w firmie wdrożoną Politykę Bezpieczeństwa Danych Osobowych - powinno z niej wynikać kto jest odpowiedzialny za rejestrację zbiorów. Praktyka jest taka: ABI kwalifikuje zbiory, rejestruje, aktualizuje. Prezes (lub inni - patrz pełnomocnictwo) składają podpis na wniosku.
Oczywiście ABI zawsze korzysta z wiedzy osób, pracujących w dziale, którego zbiór dotyczy - m.in. dzięki temu poprawnie wypełni wniosek rejestracyjny.

Panie Pawle - musi podać Pan więcej informacji. Czy to są np. pracownicy tymczasowi? Jaką branżę reprezentuje firma, z którą Państwo podpisali umowę?

pozdrawiam,
Joanna Krzykowska
Link do wypowiedziLink
Grażyna P.

Grażyna P. Dyrektor Finansowy,
biegły rewident,
CRiSC

Temat: Pytanie dot. zgłaszania zbioru

Nie pytam bez przyczyny.
Czyli stwierdzenie w Polityce "Za rejestrację zbiorów.... odpowiadają kierownicy działów lub zakładów" jest bezzasadne? :)
Link do wypowiedziLink

konto usunięte

Temat: Pytanie dot. zgłaszania zbioru


Należy postępować zgodnie z prostą zasadą. Czyli rejestrujemy każdy zbiór danych, który nie jest jawnie wykluczony z obowiązku rejestracji. W związku z tym nalezy również zarejestrować dane kadrowe. (wbrew opinni przedmówcy posiadam pisemną odpowiedź z GIODO, że takie zbiory wymagaja rejestracji).
Oczywiście wszystko jest kwestią interpretacji jednak polecam lekturę art. 46 ust. 1 pkt. 4 UODO - jest to "jawne" stwierdzenie, że takich zbiorów (dane kadrowe) się nie rejestruje.

Być może w tym przypadku opinia GIODO dotyczyła nieco innego charakteru sprawy.

pozdrawiam
Piotr
Link do wypowiedziLink

konto usunięte

Temat: Pytanie dot. zgłaszania zbioru

Grażyna P.:
Nie pytam bez przyczyny.
Czyli stwierdzenie w Polityce "Za rejestrację zbiorów.... odpowiadają kierownicy działów lub zakładów" jest bezzasadne? :)

A jeśli jest jeden zbiór, którego przetwarzanie odbywa się w kilku komórkach organizacyjnych?? Kto wtedy będzie odpowiedzialny za rejestrację?
Tak naprawdę wszystko zależy od wewnętrznych przepisów normatywnych.
Czasami sam zapis w Polityce nie jest wystarczający...
Moim zdaniem wystarczy przeprowadzić (szczątkową) klasyfikację informacji i na jej podstawie określić Właścicieli zbiorów/zasobów danych osobowych. Następnie w Polityce wskazać te osoby jako odpowiedzialne za przetwarzanie danych osobowych w zbiorach za które są odpowiedzialni - w tym i za rejestrację, jeżeli są spełnione przesłanki co do rejestracji.
Link do wypowiedziLink

konto usunięte

Temat: Pytanie dot. zgłaszania zbioru

Grażyna P.:
Nie pytam bez przyczyny.
Czyli stwierdzenie w Polityce "Za rejestrację zbiorów.... odpowiadają kierownicy działów lub zakładów" jest bezzasadne? :)

:) Czyli jest ktoś wskazany :) Pytanie tylko, jak ze świadomością tych ludzi... w kwestii ich obowiązków. Pan Piotr słusznie poddaje pod rozwagę analizę szczątkową. Problem może zaistnieć w samym wykonaniu tej analizy, bo tzw. "zainteresowani" mogą nie być faktycznie zainteresowani rozwiązaniem problemu.
Może jednak dość jasno u Pani Grażyny wynika, kto jest właścicielem zasobu, a kto po prostu tylko korzysta ze zbioru i dość łatwe będzie wskazanie osoby odpowiedzialnej za rejestrację.
Wydaje mi się, że przydałaby się jednak pomoc tym "kierownikom działów lub zakładów" ze strony np. ABI-ego, chociażby w samej kwalifikacji zbioru, wypełnieniu wniosku itp. Nie chce mi się wierzyć, że oni sami posiadają taką wiedzę... Może Państwa ABI ma w swoich obowiązkach nadzór nad takimi procesami...?
Ponieważ nie znam szczegółów, mogę sobie jedynie pogdybać :)

pozdrawiam,
Joanna
Link do wypowiedziLink
Grażyna P.

Grażyna P. Dyrektor Finansowy,
biegły rewident,
CRiSC

Temat: Pytanie dot. zgłaszania zbioru

Joanno, Abi w tamtej firmie ma w kompetencjach: kontrolowanie i karanie, łącznie z wnioskiem o dyscyplinarne zwolnienie. Za każde przekroczenie postanowień Polityki przez pracowników - grożą takiemu kierownikowi wszystkie sankcje wynikające z kodeksu pracy.. Co o tym sądzicie? Czy to jest normalne?
Link do wypowiedziLink

konto usunięte

Temat: Pytanie dot. zgłaszania zbioru

Grażyna P.:
Joanno, Abi w tamtej firmie ma w kompetencjach: kontrolowanie i karanie, łącznie z wnioskiem o dyscyplinarne zwolnienie. Za każde przekroczenie postanowień Polityki przez pracowników - grożą takiemu kierownikowi wszystkie sankcje wynikające z kodeksu pracy.. Co o tym sądzicie? Czy to jest normalne?

hmm, no a kto pomaga? Czy są jakieś szkolenia, warsztaty z ODO dla tych kierowników? Przecież Polityka daje generalne wskazówki, a te osoby muszą wejść w szczegóły klasyfikując zbiór, wypełniając wniosek itd. Rozumiem, iż autor Polityki miał na celu "zmuszenie" pracowników do przeczytania i stosowania założeń Polityki w pracy na co dzień... (stąd kary), ale żeby wymagać - trzeba też nauczyć. Samo przeczytanie Polityki raczej nie pomoże np. w fizycznym rejestrowaniu zbioru. Brakuje mi tu łącznika...
Co do kar. Trudno się wypowiadać. Na pewno nie każde zastosowanie się do założeń Polityki kwalifikuje pracownika do zwolnienia dyscyplinarnego. Natomiast musimy wziąć pod uwagę duże straty, jakie mogą przynieść firmie kary/straty za niestosowanie się do ustawy o ODO (np. nie przedłożenie założeń ODO producentowi systemu do obsługi programu lojalnościowego PRZED zakupem programu) - a takie sytuacje mogą stworzyć pracownicy. Choć powtarzam, że samo przeczytanie Polityki nie rozwiązuje problemu...
Link do wypowiedziLink
Grażyna P.

Grażyna P. Dyrektor Finansowy,
biegły rewident,
CRiSC

Temat: Pytanie dot. zgłaszania zbioru

Problem jak zawsze jest ten sam. Szkolenie było tylko jedno - 4 godz( z zasad bezpieczeństwa, po nim deklaracja o zrozumieniu wszystkiego łącznie z zasadami ODO). Przeprowadzone takim językiem - widziałam notatki - chyba specjalnie żeby nikt nie zrozumiał i nie zadawał pytań. W zawiązku z tym osoby z księgowości zwróciły się do mnie o wytłumaczenie zasad w ich języku. Po krótkiej rozmowie okazało się, że ABSOLUTNIE nic nie zrozumiały, poza tym ze trzeba pamiętać hasła i je zmieniać i ich nikomu nie wyjawiać.
Reszta to czarna magia. I strach przed zwolnieniem, 4 lata przed emeryturą.
Link do wypowiedziLink

konto usunięte

Temat: Pytanie dot. zgłaszania zbioru

Grażyna P.:
Problem jak zawsze jest ten sam. Szkolenie było tylko jedno - 4 godz( z zasad bezpieczeństwa, po nim deklaracja o zrozumieniu wszystkiego łącznie z zasadami ODO). Przeprowadzone takim językiem - widziałam notatki - chyba specjalnie żeby nikt nie zrozumiał i nie zadawał pytań. W zawiązku z tym osoby z księgowości zwróciły się do mnie o wytłumaczenie zasad w ich języku. Po krótkiej rozmowie okazało się, że ABSOLUTNIE nic nie zrozumiały, poza tym ze trzeba pamiętać hasła i je zmieniać i ich nikomu nie wyjawiać.
Reszta to czarna magia. I strach przed zwolnieniem, 4 lata przed emeryturą.

Chyba wydrukowałabym wzór wniosku zgłoszenia zbioru danych do rejestracji GIODO i poszła po poradę do ABI. Natomiast część informatyczna (część E i F wniosku) powinna być na pewno przygotowana przez IT lub ABI - myślę, że Panie z działu kadr raczej nie mają wiedzy o tym czy zbiór będzie przetwarzany centralnie, czy w architekturze rozproszonej... itd. Myślę, że już samo słownictwo może odstraszyć..., a o środkach ochrony w ramach oprogramowania systemów to naprawdę mogą nie mieć pojęcia.
Moim zdaniem ABI jest także po to, by konsultować wszystkie działania związane z danymi osobowymi...
Link do wypowiedziLink
Grażyna P.

Grażyna P. Dyrektor Finansowy,
biegły rewident,
CRiSC

Temat: Pytanie dot. zgłaszania zbioru

Przeprowadzam sporo szkoleń z zasad ochrony danych właśnie dla księgowych i kadrowców, w ich języku i z pokazaniem co w ich pracy jest najważniejsze. Uczestnicy pokazują mi takie właśnie jak wyżej mówiłam kwiatki, ze np odpowiadają za rejestrację w GIODO swoich zbiorów, albo ze nikt im nie powiedział ze nie można przez telefon ( bez weryfikacji) podawać danych pracowników. Ale odpowiedzialność oczywiście ponoszą.
W konfrontacji z przepisami ogólnymi ( zupełnie dla tych służb niezrozumiałe) i wewnętrznymi (restrykcyjne) - nie mają szans. I wpadają w skrajności, od lekceważenia z apatią po panikę.Grażyna Pałyska edytował(a) ten post dnia 13.10.07 o godzinie 20:57
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Pytanie dot. publikowania d...




Wyślij zaproszenie do
Anuluj