Temat: System przetwarzania danych własny i obcy

Drodzy ABI:

większość naszych klientów korzysta z własnych systemów IT, które ma opisane w dokumentacji.

Zdarza się jednak, że np.: biuro księgowo-kadrowe, udostępnia nam końcówkę swojego oprogramowania do wprowadzania danych. Np. końcówkę dostepną przez www na łączu szyfrowanym.

Co do zasady my zbieramy kadry w formie papierowej, udostępniamy i prowadzimy część dokumentacji papierową, ale w ramach powierzenia im naszego zbioru uzupełniamy też dane "zdalnie" w ich aplikacji.

Jak traktujecie takie sytuacje?

Umieszczacie takie programy na własnych wykazach, ujmujecie jest w instrukcji lub instrukcjach ?
Wpisujecie loginy do tych aplikacji na wykazach osób upoważnionych?

Czy jeśli tak robicie to opisujecie np. sposób tworzenia kopii pozyskując te informacje od podwykonawcy(outsourcera) czy wpisujecie, że za kopię odpowiedzialny jest podmiot XYZ.

Czy może przyjmujecie generalne zasady korzystania z "aplikacji zewnętrznych" i zapewniacie, że dokumentacja odo jest prowadzona przez waszego kontrahenta ?

Temat: System przetwarzania danych własny i obcy

Jan S.:
Zdarza się jednak, że np.: biuro księgowo-kadrowe, udostępnia nam końcówkę swojego oprogramowania do wprowadzania danych. Np. końcówkę dostepną przez www na łączu szyfrowanym.

Jak to macie uregulowane w waszej umowie biznesowej? Kto i za co odpowiada?

Czy jeśli tak robicie to opisujecie np. sposób tworzenia kopii pozyskując te informacje od podwykonawcy(outsourcera) czy wpisujecie, że za kopię odpowiedzialny jest podmiot XYZ.

Co na ten temat mówi umowa powierzenia?

Czy może przyjmujecie generalne zasady korzystania z "aplikacji zewnętrznych" i zapewniacie, że dokumentacja odo jest prowadzona przez waszego kontrahenta ?

Co na ten temat mówi umowa powierzenia?

Temat: System przetwarzania danych własny i obcy

Jan S.:
Zdarza się jednak, że np.: biuro księgowo-kadrowe, udostępnia nam końcówkę swojego oprogramowania do wprowadzania danych. Np. końcówkę dostepną przez www na łączu szyfrowanym.
Umieszczacie takie programy na własnych wykazach, ujmujecie jest w instrukcji lub instrukcjach ?
Wpisujecie loginy do tych aplikacji na wykazach osób upoważnionych?

Zakładam, że umów na to nie ma.

W takiej sytuacji po pierwsze ADO musi zacząć planować procesy przetwarzania danych. Dokumentacja ochrony danych osobowych to nie jest jakiś kwiatek do kożucha, "żeby w papierach grało" - powinna odzwierciedlać dokładnie to, co się dzieje w organizacji.

Nawiązując tego rodzaju współpracę z kontrahentem po pierwsze ADO musi określić cel przetwarzania i zakres. Następnie musi zastanowić się:
a) jak będzie osiągał poufność danych? - za co odpowiadają jego pracownicy, a za co pracownicy procesora;
b) jak będzie osiągał integralność danych? - jak wyżej;
c) jak będzie osiągał dostępność danych? - jak wyżej.

Ze spraw technicznych - kto będzie technicznie nadawać uprawnienia do pracy w systemie i kto będzie do tego prowadzić dokumentację? Kto odpowiada za rozliczalność? Gdyby miał to robić procesor, jaki zakres jego odpowiedzialności i jakie kary umowne? Co traktujemy jako naruszenie ochrony danych? Co traktujemy jako incydent niebędący naruszeniem ochrony? W jaki sposób procesor będzie zgłaszać ADO incydenty i naruszenia?

Mam nadzieję, że już na tym etapie widzisz, że dokumentacja, o którą pytasz, robi Ci się po drodze sama.

Czy jeśli tak robicie to opisujecie np. sposób tworzenia kopii pozyskując te informacje od podwykonawcy(outsourcera) czy wpisujecie, że za kopię odpowiedzialny jest podmiot XYZ.

Podobnie. Trzeba to zaplanować na etapie umowy z kontrahentem, a dokumentacja ochrony danych robi się sama.

Czy może przyjmujecie generalne zasady korzystania z "aplikacji zewnętrznych" i zapewniacie, że dokumentacja odo jest prowadzona przez waszego kontrahenta ?

Jaką dokumentację ma prowadzić procesor? Jak ADO uzyska wgląd do niej?
Nie zadawaj sobie pytań technicznych - zadawaj sobie pytania strategiczne.

Temat: System przetwarzania danych własny i obcy

Paweł G.:

Czy jeśli tak robicie to opisujecie np. sposób tworzenia kopii pozyskując te informacje od podwykonawcy(outsourcera) czy wpisujecie, że za kopię odpowiedzialny jest podmiot XYZ.

Podobnie. Trzeba to zaplanować na etapie umowy z kontrahentem, a dokumentacja ochrony danych robi się sama.

Wciąż dążę do pozyskania opinii praktyków ABI jak w praktyce zapisujecie takie relacje w dokumentacji:

W tej sytuacji - kadrowo-księgowej - upoważnienia nadaje kontrahent. Można powiedzieć, że sposobem na przekazywanie informacje jest ich przekazywanie za pośrednictwem aplikacji.

Nie mamy trudności z określeniem jakie są czyje obowiązki, mamy to opisane w umowach powierzenia. Zastanawiam się - skoro opisujemy rzeczywistość -
- czy ewidencjonować systemy obce w wewnętrznej dokumentacji, skoro w praktyce moi pracownicy z nich korzystają,
- czy opisywać może je na zasadzie delegacji ("obowiązek realizowany po stronie procesora XYZ")
- czy może opisujecie to na zasadzie generalnych lub konkrentych instrukcji / procedur obsługi aplikacji zew.
- czy może uznajecie za wystarczające określenie odpowiedzialności i obowiązków w umowach powierzenia?

Czy może przyjmujecie generalne zasady korzystania z "aplikacji zewnętrznych" i zapewniacie, że dokumentacja odo jest prowadzona przez waszego kontrahenta ?

Jaką dokumentację ma prowadzić procesor? Jak ADO uzyska wgląd do niej?
Nie zadawaj sobie pytań technicznych - zadawaj sobie pytania strategiczne.

Czy w Twoim rozumieniu zapewnienie, że procesor prowadzi wymaganą dokumentację jest równoznaczne ze spełnieniem wymogu posiadania dokumentacji przeze mnie? (jeśli w praktyce mogą uzyskać do niej dostęp np. na żądanie?)

Temat: System przetwarzania danych własny i obcy

Jan S.:
Wciąż dążę do pozyskania opinii praktyków ABI jak w praktyce zapisujecie takie relacje w dokumentacji:
W tej sytuacji - kadrowo-księgowej - upoważnienia nadaje kontrahent.

Nie zgodziłbym się na takie rozwiązanie. Tzn. do tej pory się godziłem, ale w ramach wdrażania RODO zamierzam się nie godzić. Reprezentując interesy ADO, chcę samodzielnie nadawać upoważnienia pracownikom kontrahenta, nie mówiąc o własnych pracownikach. Chcę mieć pełną kontrolę. Ew. rozważam rozwiązanie, żeby upoważnienia swoim pracownikom nadawał procesor, ale by w określonym terminie musiał uzyskać kontrasygnatę ADO.

Do tego - znów w ramach wdrażania RODO - zaczynam się w takich przypadkach interesować, jakie procesy zachodzą wewnątrz aplikacji, jaka jest architektura systemu - i na to też powoli żądam dokumentacji. W dniu rozpoczęcia stosowania Rodo chciałbym mieć:
- opis zakresu funkcji systemu;
- opis zawartości informacyjnej systemu;
- opis procesów mających miejsce i warunków ich uruchomienia;
- opis informacji wymienianych między procesami;
- diagramy przepływów danych;
- diagramy przypadków użycia;
- wiedzę na temat wszystkich interfejsów ( ile osób korzysta z systemu, ile osób instaluje system, ile osób uruchamia system, ile osób pielęgnuje system, jakie inne systemy korzystają z tego systemu, kto pobiera informacje, kto dostarcza informacje, co dzieje się automatycznie...);
- pewność, że powierzony do przetwarzania zbiór jest funkcjonalnie odseparowany od innych zbiorów, a procesor w sposób zautomatyzowany nie przetwarza danych powierzonych do własnych celów i nie dokonuje scalania danych z danymi z innych zbiorów - własnych lub powierzonych przez innych administratorów.

- czy ewidencjonować systemy obce w wewnętrznej dokumentacji, skoro w praktyce moi pracownicy z nich korzystają,

Zaczynam opisywać. Skoro za wszystko odpowiada ADO...

- czy opisywać może je na zasadzie delegacji ("obowiązek realizowany po stronie procesora XYZ")

Nawet jeśli dokumentację przygotuje procesor, chcę ją mieć zatwierdzoną przez ADO. Plus zapis w umowie, że co procesor realizuje, czy tam jego oprogramowanie, a czego nie ma w dokumentacji zatwierdzonej przez ADO, to od Złego pochodzi - i kary umowne.

- czy może opisujecie to na zasadzie generalnych lub konkrentych instrukcji / procedur obsługi aplikacji zew.

Mam instrukcje/procedury.

Czy w Twoim rozumieniu zapewnienie, że procesor prowadzi wymaganą dokumentację jest równoznaczne ze spełnieniem wymogu posiadania dokumentacji przeze mnie? (jeśli w praktyce mogą uzyskać do niej dostęp np. na żądanie?)

Moim zdaniem nie.

opisujecie np. sposób tworzenia kopii pozyskując te informacje od podwykonawcy(outsourcera) czy wpisujecie, że za kopię odpowiedzialny jest podmiot XYZ.

Opisuję.