konto usunięte

Temat: Subiekt i systemy księgowe a ochrona danych

Witam serdecznie.

Mam pytanie odnośnie programu Subiekt oraz innych programów kadrowo płacowych.

W rozporządzeniu MSWiA jest jasno określone, że system informatyczny służący do przetwarzania danych osobowych powinien m.in. odnotowywać datę wprowadzenia danych do systemu, identyfikator osoby wprowadzającej, od kogo dane zostały zebrane, czy dane były udostępniane, czy zgłoszono przeciw itd.

Załóżmy, że Subiekta używamy do wystawiania faktur dla firm oraz osób fizycznych. Dane zebrane w Subiekcie to zbiór danych osobowych (aczkolwiek nie podlegający rejestracji, gdyż służy jedynie do wystawienia faktur) - Subiekt z tego co wiem raczej nie posiada możliwości sporządzenia wydruku z danymi wymaganymi w w/w rozporządzeniu.

Kolejny przypadek - system kadrowo-płacowy - w naszej firmie został kupiony od lokalnej firmy i również nie posiada możliwości sporządzenia takiego wydruku.

Czy może systemy informatyczne z pomocą których zbieramy dane osobowe, a służące do wystawiania faktur czy celów kadrowych nie muszą mieć takiej funkcjonalności?

Jak się ma np. do tych wymagań system Płatnik? Czy on ma możliwość sporządzenia takiego wydruku?

Bardzo proszę o pomoc
Pozdrawiam
Adam Danieluk

Adam Danieluk Prezes
stowarzyszenia ISSA
Polska. Zarządzanie
ryzykiem, ...

Temat: Subiekt i systemy księgowe a ochrona danych

Witam,
Programy do fakturowani podlegają pod ustawę o rachunkowości i tam szukałbym uzasadnienie dla przyczyn zbierania danych. Ze względu na obowiązek przechowywani informacji księgowej przez zdefiniowany okres (o ile mnie pamięć nie myli 5 lat), jakikolwiek sprzeciw byłby nieskuteczny.
Podobnie system HR, obowiązek przechowywani danych archiwalnych.
Dalej, w szczególności moment wystawienia faktury może być traktowany jako data wprowadzenia danych do systemu.

Co do zgodności lub nie z pozostałymi wymaganiami, to kwestia dokładniejszej analizy wymagań UODO i innych aktów prawnych którym dane rozwiązanie podlega i możliwości programu. Nie znam niestety wspomnianych rozwiązań więc nie będę zgadywał.

Pozdr.
A. D.
http://www.risk.org.pl
Marcin W.

Marcin W.
TI/IT/VM/HT/PC/XP/AD
/SE/XL/XE/AS/TB/CP/J
S/JV

Temat: Subiekt i systemy księgowe a ochrona danych

witam, ja mam zarzuty od informatyka, że nie potrzebnie chcę wprowadzić w dziale f-k takie same zasady ochrony danych jak w rachubie, bo przecież "dane osobowe na dokumentach księgowych nie podlegają ochronie" - próbowałem w tej sprawie zasięgnąć porady prawnika (bo przecież i tajemnica służbowa i poufność danych wynikająca z umów z różnymi kontrahentami) ale dostałem odpowiedź w postaci nic mi nie dającej sieczki typu "ble ble ble" - więc jak, ABI w fk ma co robić, czy nie ma ? i czy stanowiska f-k to miejsca przetwarzania danych osobowych, czy nie ?

konto usunięte

Temat: Subiekt i systemy księgowe a ochrona danych

No właśnie, popieram kolegę i również przyłączam się do pytania.

Dodatkowo co w przypadku gdy system finansowo-księgowy oraz kadrowo-płacowy to jeden program korzystający z jednej bazy danych ?
Marcin W.

Marcin W.
TI/IT/VM/HT/PC/XP/AD
/SE/XL/XE/AS/TB/CP/J
S/JV

Temat: Subiekt i systemy księgowe a ochrona danych

Tom Z:
Dodatkowo co w przypadku gdy system finansowo-księgowy oraz kadrowo-płacowy to jeden program korzystający z jednej bazy danych ?
w naszym przypadku zabezpieczenie jest po stronie komputera - np. z komputera przeznaczonego do f-k nie da się zalogować do k-p - kontrola jest jeszcze przed dostępem do panelu logowania - na nieuprawnionym komputerze nie pokaże się okienko logowania (do każdej z części prowadzą odrębne panele logowania, dostępne dopiero po kontakcie z serwerem).Marcin MaW W. edytował(a) ten post dnia 30.04.09 o godzinie 08:45

konto usunięte

Temat: Subiekt i systemy księgowe a ochrona danych

U nas f-k i k-p to osobne moduły, kontrola dostępu do nich odbywa się na poziomie identyfikatora użytkownika - jeśli dany użytkownik próbuje się zalogować do modułu do którego nie ma uprawnień to zwyczajnie się nie zaloguje.

Odnośnie wcześniejszych postów to czy uwzględnić w spisie zbiorów danych wraz z programami używanymi do ich przetwarzania takie zbiory danych jak dane finansowe, przelewy, faktury w postaci elektronicznej (subiekt) i te drukowane z subiekta w postaci tradycyjnej ?

Bo rozumiem, że dane kadrowe (takie jak umowy o pracę, dane kandydatów do pracy, dane płacowe) jak najbardziej trzeba uwzględnić i to z dokładnym wyszczególnieniem ? Czy wystarczy może ujęcie w polityce bezpieczeństwa zbioru pod nazwą: Dane kadrowe (a obejmujący w/w przeze mnie zbiory) ?
Adam Danieluk

Adam Danieluk Prezes
stowarzyszenia ISSA
Polska. Zarządzanie
ryzykiem, ...

Temat: Subiekt i systemy księgowe a ochrona danych

Witam,
Jak najbardziej podlegają ochronie, nie podlegają rejestracji – system HR i F-K. o ile są wykorzystywane tylko do celów HR’owych i prowadzenia księgi. Jeśli jednak byłyby wykorzystywane również w innych celach wtedy podlegają również rejestracji.

Pozdr.

konto usunięte

Temat: Subiekt i systemy księgowe a ochrona danych

W takim razie jeśli podlegają ochronie (a przetwarza się w nich jedynie informacje o pracownikach i jedynie do własnych celów) to czy w systemie F-K i K-P konieczna jest możliwość sporządzenia raportu odnośnie udostępnienia danych o pracownikach, ich sprzeciwu itd (zgodnie z rozp. MSWiA z 2004 r.)? Czy zbiór danych z załóżmy Subiekta też podlega ochronie?
Adam Danieluk

Adam Danieluk Prezes
stowarzyszenia ISSA
Polska. Zarządzanie
ryzykiem, ...

Temat: Subiekt i systemy księgowe a ochrona danych

Odpowiem pośrednio,
System to nie pojedynczy program ale całościowe rozwiązanie służące ochronie danych, w związku z czym nie każda funkcjonalność musi być zaimplementowana w pojedynczym programie. Więc co do zasady gdzieś musi być. Jak zorganizowana to już inna historia. Był już wątek który tą kwestię poruszał.
W przypadku a) F-K i b) H-R sprzeciw byłby nieskuteczny, w przypadku a) po zawarciu transakcji, ze względu na wymaganie ustawy o rachunkowości, w przypadku b) dane pracownika też muszą być odpowiednio długo przechowywane nawet po ustaniu stosunku pracy.

Bardziej szczegółowej odpowiedzi mógłbym udzielić po zapoznaniu się i tak naprawdę audycie całego systemu.

Pozdr.
A.D.

konto usunięte

Temat: Subiekt i systemy księgowe a ochrona danych

Panie Adamie - opiszę po prostu sytuację, którą mamy w firmie:

Jest to przykładowo prywatne laboratorium analityczne:
- jest punkt przyjęć prób do badań, w którym składane są próbki - tam na komputerze zainstalowany jest system subiekt, z subiekta wystawiane są faktury dla składających próby. Osoba pracująca w tym punkcie wprowadza informacje o przyjętych próbach do specjalnego programu (program na serwerze).
- dział laboratoryjny - zainstalowany na serwerze program, za pomocą którego wprowadza się informacje o wynikach laboratoryjnych (ten sam który jest w punkcie przyjęć) - dodatkowo informacje o wynikach przesyłane są automatycznie w wersji elektronicznej do innych jednostek, które wymagają aby informacje o próbach przesyłane były do nich (wyniki wraz z danymi osobowymi)
- księgowość - zainstalowane na serwerze programy F-K oraz H-R

Całość jest spięta w jedną logiczną sieć. Wszędzie występują dane osobowe.Tom Z edytował(a) ten post dnia 04.05.09 o godzinie 11:14

konto usunięte

Temat: Subiekt i systemy księgowe a ochrona danych

Jeszcze poruszę jedną kwestię - załóżmy, że Subiekt oraz systemy F-K oraz H-R podlegają pod ustawę o rachunkowości ale zawierają dane osobowe, zaś w ustawie o rachunkowości nie ma takich wymagań odnośnie zabezpieczenia danych jak w UODO. Mimo wszystko zbiory te należy zabezpieczyć, gdyż są tam dane osobowe - ale czy można je zabezpieczyć w ograniczonym stopniu? tj. np bez możliwości wydrukowania raportu o którym mówi rozporządzenie MSWiA?

konto usunięte

Temat: Subiekt i systemy księgowe a ochrona danych

Tom Z:
Jeszcze poruszę jedną kwestię - załóżmy, że Subiekt oraz systemy F-K oraz H-R podlegają pod ustawę o rachunkowości ale zawierają dane osobowe, zaś w ustawie o rachunkowości nie ma takich wymagań odnośnie zabezpieczenia danych jak w UODO. Mimo wszystko zbiory te należy zabezpieczyć, gdyż są tam dane osobowe - ale czy można je zabezpieczyć w ograniczonym stopniu? tj. np bez możliwości wydrukowania raportu o którym mówi rozporządzenie MSWiA?

Art. 5 ustawy o ochronie danych osobowych
Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.

Realizujesz wszystko co masz w ustawie plus przepisy wykonawcze, chyba że inna ustawa wprowadza dodatkowe zabezpieczenia wtedy je stosujesz.

konto usunięte

Temat: Subiekt i systemy księgowe a ochrona danych

Czyli jednym słowem UODO to podstawa , ewentualnie inne przepisy z innych ustaw aczkolwiek zawsze pierwszeństwo ma UODO...

konto usunięte

Temat: Subiekt i systemy księgowe a ochrona danych

Tom Z:
Czyli jednym słowem UODO to podstawa , ewentualnie inne przepisy z innych ustaw aczkolwiek zawsze pierwszeństwo ma UODO...

Na dzień dzisiejszy UODO jest ustawą najobszerniej dotykającą problemu ochrony informacji. Praktycznie cała jest temu poświęcona, nie ma drugiej takiej ustawy może poza ustawą o ochronie informacji niejawnych ale tą można spokojnie zostawić z boku. Z samej definicji danych osobowych i przetwarzania wynika, że prawie każdy podmiot będzie miał z UODO kontakt. Dlatego UODO jest podstawą co nie zmienia faktu, że najczęściej będziesz musiał na nią nałożyć inne ustawy.

konto usunięte

Temat: Subiekt i systemy księgowe a ochrona danych

Tom Z:
Panie Adamie - opiszę po prostu sytuację, którą mamy w firmie:

Jest to przykładowo prywatne laboratorium analityczne:
- jest punkt przyjęć prób do badań, w którym składane są próbki - tam na komputerze zainstalowany jest system subiekt, z subiekta wystawiane są faktury dla składających próby. Osoba pracująca w tym punkcie wprowadza informacje o przyjętych próbach do specjalnego programu (program na serwerze).
- dział laboratoryjny - zainstalowany na serwerze program, za pomocą którego wprowadza się informacje o wynikach laboratoryjnych (ten sam który jest w punkcie przyjęć) - dodatkowo informacje o wynikach przesyłane są automatycznie w wersji elektronicznej do innych jednostek, które wymagają aby informacje o próbach przesyłane były do nich (wyniki wraz z danymi osobowymi)
- księgowość - zainstalowane na serwerze programy F-K oraz H-R

Całość jest spięta w jedną logiczną sieć. Wszędzie występują dane osobowe.

Mała poprawka: system do wyników laboratoryjnych jest na osobnym serwerze, nie ma logicznego połączenia pomiędzy nim a serwerem na którym postawiony jest subiekt. System do wyników laboratoryjnych obsługiwany jest z poziomu przeglądarki WWW oraz zewnętrznego adresu IP.Tom Z edytował(a) ten post dnia 04.05.09 o godzinie 16:00
Adam Danieluk

Adam Danieluk Prezes
stowarzyszenia ISSA
Polska. Zarządzanie
ryzykiem, ...

Temat: Subiekt i systemy księgowe a ochrona danych

Sympatycznie
System przetwarzający dane składa się z systemu informatycznego subiekt, F-K, H-R i system do wyników laboratoryjnych.
Oprócz UODO, ustawy o rachunkowości, kodeksu pracy dochodzą jeszcze wymagania dotyczące dokumentacji medycznej.
Generalnie ja bym podzielił zbiory danych na dane pracowników kandydatów z danymi osobowymi, dane kandydatów do pracy i dane klientów.
Dalej idąc UODO zapewnia minimum ochrony, pozostałe akty prawne mogą to oclone rozszerzyć.
Co do raportów i wymagań ma je spełniać system, a nie pojedynczy program.
Pozdr.

konto usunięte

Temat: Subiekt i systemy księgowe a ochrona danych

Panie Adamie,
Subiekt nie jest połączony ani z systemem F-K ani z H-R ani z systemem do wyników laboratoryjnych. Podobnie system do wyników laboratoryjnych jest odrębny. Jedne co jest połączone to F-K oraz H-R. Subiekt w naszej firmie to jakby osobny system a dane z niego są zawarte tylko w nim.

W związku z tym czy te wszystkie aplikacje razem wzięte można traktować jak jeden system, skoro danych osobowych z Subiekta nie ma w systemach h-r i f-k i nie są one połączone w "logiczną" całość ?

Czy słuszne jest również podzielenie zbiorów danych (zgodnie z tym co opisałem w poprzednich postach) na takie (stanowi to załącznik z wykazem zbiorów danych do polityki bezpieczeństwa - podaje bez programów używanych do przetwarzania). Czy można to w jakiś sposób uprościć? coś zlikwidować, ujednolicić ?

Zbiór danych-----------------------------------Forma
System F-K elektroniczna
Dokumentacja F-K papierowa
Program do bankowości elekttronicznej elektroniczna
System H-R elektroniczna
Dokumentacja kadr papierowa
Dokumentacja płac papierowa
Umowy o pracę papierowa
Oferty kandydatów do pracy papierowa
Płatnik elektroniczna
Archiwum dokumentacji papierowa
Faktury za badania elektroniczna
Faktury za badania papierowa
Dokumentacja Zakł.Fund.Św.Socjalnych papierowa

Pozdrawiam
Adam Danieluk

Adam Danieluk Prezes
stowarzyszenia ISSA
Polska. Zarządzanie
ryzykiem, ...

Temat: Subiekt i systemy księgowe a ochrona danych

Biorąc pod uwagę, że część z tych zbiorów przetwarza te same informacje to nie widziałbym za bardzo potrzeby dzielenia ich na kilka podzbiorów, np. Dane z systemu FK w postaci elektronicznej i papierowej wyglądają wstępnie na ten sam zbiór tylko że w innej postaci. Od strony praktycznej ja bym to raczej opisał w ten sposób:
Dane klientów przetwarzane przez system F-K (jeśli wystawia faktury), subiekt (zdaje się że on służy do wystawiania faktur), zbiory papierowe – kopie faktur, etc.
Dane pracowników: kadrowe, płacowe, bankowość elektroniczna (jeśli służy do przelewów pensji), płatnik, dok. Papierowa,
Dane kandydatów do pracy … .
W moim odczuciu, proponowana przez Pana forma opisu będzie to skutkować złożonością systemu i jego nadmiarowością. Proszę wziąć pod uwagę to że jeśli nawet te same dane są wprowadzane do dwóch różnych programów przez „interfejs” ludzki to jest to ciągle ten sam zbiór.

Proszę to potraktować tylko jako wskazówkę. W moim odczuciu proponowany przez Pana opis duplikuje te same zbiory danych, ale jak już pisałem wcześniej nie czuję się władny wypowiadać się bardziej zdecydowanie bez oglądu całego procesu i dokumentacji w Pana firmie.

Jeśli ma Pan wątpliwości, proponowałbym zamówić przegląd lub jak kto woli audyt Państwa rozwiązania przez firmę zewnętrzną.
Wygląda na to że jest sporo niewiadomych, o opisanie w ten czy inny sposób zbiorów jest tylko wierzchołkiem „góry lodowej”. Do tego wszystkiego dochodzi ochrona danych na adekwatnym poziomie. Tego rodzaju przegląd pomoże uzupełnić nie tylko dokumentację ale również zweryfikować stosowane środki ochrony.

konto usunięte

Temat: Subiekt i systemy księgowe a ochrona danych

Panie Adamie, rozumiem, że przegląd byłby najlepszy, aczkolwiek mając do dyspozycji fachowców na tym forum pozwolę sobie zadać jeszcze pytanie...

Rozumiem, że w załączniku do polityki bezpieczeństwa - wykaz zbiorów danych wraz z programami stosowanymi do ich zabezpieczenia - wymieniam tylko zbiory danych w formie elektronicznej? czy w formie tradycyjnej również? Co w sytuacji jeśli ten sam zbiór jest przetwarzany w formie elektronicznej i tradycyjnej? Czy wymieniam go dwa razy ? Czy na wniosku o nadanie upoważnienia do przetwarzania danych osobowych muszę wymieniać dokładnie te zbiory które mam na w/w załączniku (na tym wniosku wybiera się zbiory do których ma być upoważniona dana osoba)?

Dodam jeszcze, że załącznik z wykazem zbiorów dokładnie jest zrobiony wg. wzoru:

Zbiór danych, Forma (elektroniczna, tekstowa), Poziom bezpieczeństwa, System informatyczny, Lokalizacja fizyczna, Opiekun zbioru.

Pozdrawiam.
Adam Danieluk

Adam Danieluk Prezes
stowarzyszenia ISSA
Polska. Zarządzanie
ryzykiem, ...

Temat: Subiekt i systemy księgowe a ochrona danych

Forma nie ma znaczenia, więc tradycyjna również. Art. 7.1 UODO
„Art. 7. Ilekroć w ustawie jest mowa o:
1) zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o
charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy
zestaw ten jest rozproszony lub podzielony funkcjonalnie,”
więc zbiór może być jeden przetwarzany w postaci zarówno papierowej jak i elektronicznej.
Zależy teraz od Ciebie jak to zdefiniujesz.

Kwestie upoważnień reguluje art. 39 pkt.1:
„Administrator danych prowadzi ewidencję osób upoważnionych do ich
przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.”
Nie jest to wniosek a upoważnienie nadawane przez ADO. Tak więc należy wymienić zakres upoważnienia – minimum jakie widzę to zbiory do których ma mieć dostęp osoba upoważniona i zakres upoważnienia dla poszczególnych zbiorów.
Odnośnie wykazu, proszę nie mylić go z polityką.

Następna dyskusja:

Ochrona danych a zagraniczn...




Wyślij zaproszenie do