konto usunięte

Temat: Pytanie o Politykę Bezpieczeństwa

1. Czy informatyk zatrudniony (firma zew.) tylko do aktualizacji oprogramowania gromadzącego dane osobowe powinien być wpisany do PBI?

2. Tak się zastanawiam czy w przypadku gdy PBI opracował ABI który został zwolniony jest konieczne pozostawienie informacji o twórcy, czy przy aktualizacji wystarczy zmienić na nowego ABI-ego firmy.

Pozdrawiam, Tomek.

konto usunięte

Temat: Pytanie o Politykę Bezpieczeństwa

1 - z nazwiska nie - odpowiedzialna jest firma
2 - aktualizacja PBI to nadpisywanie poniekąd, więc info o poprzedniku pozostanie

pozdr.

http://abiwpraktyce.pl
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Pytanie o Politykę Bezpieczeństwa

W kwestii pierwszego pytania, w mojej praktyce preferuję stosowanie dokumentu pt. "rejestr podmiotów zewnętrznych", który określa podmiot, zakres współpracy, podstawę oraz informację czy dochodzi do powierzenia przetwarzania danych. Taka firma zewnętrzna wykonująca aktualizację oprogramowania wpisywana jest do tego dokumentu. W PBI jest ogólny zapis mówiący o takiej czynności.
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Pytanie o Politykę Bezpieczeństwa

Ad 1 - zgadzam się z z p. Koziakiem.
Ad 2 - Jeśli w dokumentacji wewnętrznej przyjęta jest zasada oznaczania twórcy danej polityki/instrukcji/procedury - to należy zgodnie z tą ogólnoprzyjętą w firmie zasadą postąpić.
Co do szczegółów - pozostawienie informacji o twórcy to sprawa prawa autorskiego. Są to osobiste prawa autorskie (do oznaczania utworu nazwiskiem twórcy). Oczywiście trzeba rozważyć dodatkowe kwestie - czy ta PBI to na pewno jest utwór w rozumieniu prawa autorskiego? Jak wyglądała umowa o pracę ABI-ego i czy czasem nie wyłączała przeniesienia majątkowych praw autorskich do dzieł przez niego stworzonych? itp itd.

konto usunięte

Temat: Pytanie o Politykę Bezpieczeństwa

Dziękuję!
Mam jeszcze 2 pytania :)

1. Czy w polityce powinno się wyszczególnić komputer w którym przetwarzane są dane osobowe, chodzi o przypadek gdy w pokoju jest więcej niż jeden komputer a tylko na jednym zainstalowany program.

2. Czy ABI powinien przeprowadzać kontrole komputerów/pomieszczeń gdzie nie są przetwarzane dane osobowe czy raczej jest to zadanie ASI? oraz czy ABI powinien określić jak te komputery powinny być zabezpieczone w PBI.
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Pytanie o Politykę Bezpieczeństwa

Tomasz A.:
Dziękuję!
Mam jeszcze 2 pytania :)

1. Czy w polityce powinno się wyszczególnić komputer w którym przetwarzane są dane osobowe, chodzi o przypadek gdy w pokoju jest więcej niż jeden komputer a tylko na jednym zainstalowany program.

W odnośnym Rozporządzeniu mamy określone, że należy wskazać obszar, w którym przetwarzane są dane osobowe. Stąd wskazujemy pokój. Później, w ramach opisu struktury systemu informatycznego można opisać to, o czym Pan wspomina.
2. Czy ABI powinien przeprowadzać kontrole komputerów/pomieszczeń gdzie nie są przetwarzane dane osobowe czy raczej jest to zadanie ASI?

Zależy od współpracy ASI-ABI, i procedur wewnętrznych Spółki, ale w ostatecznym rozrachunku za nadzór odpowiada ABI. Jeśli w ramach tego nadzoru zleca ASI jakieś zadania, to dobrze byłoby mieć to opisane w dokumentacji wewnętrznej spółki.
Z praktycznego punktu widzenia - jeśli ASI jest kimś, kto odpowiada za ustawienia komputera/utrzymanie sieci to raczej do niego należy przygotowanie wszystkiego zgodnie z PBI, a do ABI kontrola. To wynika z prostej zasady, że nikt siebie samego nie powinien sprawdzać.
oraz czy ABI powinien określić jak te komputery powinny być zabezpieczone w PBI.

Tak.

konto usunięte

Temat: Pytanie o Politykę Bezpieczeństwa

Jeżeli w firmie jest kilku- 4 administratorów (każdy wykonuje różne zadania) czy w PB wpisać 4 osoby jako ASI?
a może wybrać jednego ASI wpisanego do PB, który będzie nadzorował pozostałych informatyków.
Grzegorz M.

Grzegorz M. IT Security Officer
at Orbis S.A. /
CISSP

Temat: Pytanie o Politykę Bezpieczeństwa

Tomasz A.:
Jeżeli w firmie jest kilku- 4 administratorów (każdy wykonuje różne zadania) czy w PB wpisać 4 osoby jako ASI?
Jeśli wszyscy 4 administrują systemami przetwarzającym DO to wypadałoby wyszczególnić ich w PBI +systemy jakimi administrują.
Można wnioskować z § 5 ust.1 Rozporządzenia.

Tomasz A.:
a może wybrać jednego ASI wpisanego do PB, który będzie nadzorował pozostałych informatyków.
Można też zaadaptować koncepcję z TISM, gdzie są ASI grup informacji i do tego Główny ASI. Ale tu bym się zastanawiał, bo rozpatrujemy temat tylko w kontekście DO.
Ale tak czy siak jego praca będzie nadzorowana przez ABI.
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Pytanie o Politykę Bezpieczeństwa

Tomasz A.:
Jeżeli w firmie jest kilku- 4 administratorów (każdy wykonuje różne zadania) czy w PB wpisać 4 osoby jako ASI?
a może wybrać jednego ASI wpisanego do PB, który będzie nadzorował pozostałych informatyków.

Można sprawę rozwiązać tak, jak wspomniał p. Grzegorz (opisać czterech ASI).
Można też - jak Pan sugeruje - wybrać jednego (np. kierownika tego działu), żeby on za to odpowiadał i jego odpowiedzialność opisać w PB. Jak zadania w dziale podzieli to jego rzecz (powinien to robić zgodnie z procedurami danej Spółki), ale on odpowiada. Sądzę, że to rozwiązanie jest elastyczniejsze (nie musimy zmieniać PBI gdy np. jeden ASI odejdzie i będziemy mieli trzech, albo jeden jeszcze dojdzie) i bardziej "rozliczalne" (jednoosobowa odpowiedzialność), a przez to wygodniejsze i - w konsekwencji - lepsze.

konto usunięte

Temat: Pytanie o Politykę Bezpieczeństwa

Dziękuję, też jestem za rozwiązaniem jednoosobowym.

Zastanawiam się nad takim przypadkiem: pracownik firmy jest jednocześnie przedstawicielem firmy od ubezpieczeń. Jak opisać w PB pracownika mojej firmy, który pozyskuje za zgodą pracownika-formularz przystąpienia, dane dla innej, a może nie ma to znaczenia?
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Pytanie o Politykę Bezpieczeństwa

Podstawą do takiej działalności na terenie Pańskiego pracodawcy jest jakaś umowa między Pańskim pracodawcą a ubezpieczycielem?

konto usunięte

Temat: Pytanie o Politykę Bezpieczeństwa

Jacek G.:
Podstawą do takiej działalności na terenie Pańskiego pracodawcy jest jakaś umowa między Pańskim pracodawcą a ubezpieczycielem?

Nie została podpisana taka umowa.



Wyślij zaproszenie do