GoldenLine
Zaloguj się
Dorian Jateowicz

Dorian Jateowicz Specjalista
Logistyk, urząd

Temat: udostępnianie danych osobowych - zapisy w polityce...

Witam wszystkich doświadczonych ABI :)

Zaczynam dopiero pracę z danymi osobowymi i uaktualniam politykę bezpieczeństwa. Zastanawiam się nad dopuszczalnością zapisu w zakresie udostępniania danych osobowych:

"1. Dane osobowe mogą być udostępniane wyłącznie po spełnieniu jednej z przesłanek wskazanych w art. 23 ust. 1 lub w art. 27 ust. 2 u.o.d.o
2. Dane osobowe udostępnia się odbiorcom danych na pisemny umotywowany wniosek z podaniem podstawy prawnej udostępnienia danych, o ile przepisy szczególne nie stanowią inaczej.

Zapis dość ogólny, ale czy dopuszczalny ?

Z góry dziękuję za pomoc.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: udostępnianie danych osobowych - zapisy w polityce...

Dorian J.:
"1. Dane osobowe mogą być udostępniane wyłącznie po spełnieniu jednej z przesłanek wskazanych w art. 23 ust. 1 lub w art. 27 ust. 2 u.o.d.o
Kto i kiedy będzie o tym decydować w Twojej organizacji?
2. Dane osobowe udostępnia się odbiorcom danych na pisemny umotywowany wniosek z podaniem podstawy prawnej udostępnienia danych, o ile przepisy szczególne nie stanowią inaczej.
Na podstawie jakich przesłanek osoba odpowiedzialna (p. wyżej) będzie podejmować decyzję w sprawie?
Link do wypowiedziLink
Dorian Jateowicz

Dorian Jateowicz Specjalista
Logistyk, urząd

Temat: udostępnianie danych osobowych - zapisy w polityce...

Paweł G.
Na podstawie jakich przesłanek osoba odpowiedzialna (p. wyżej) będzie podejmować decyzję w sprawie?

Na podstawie co najmniej jednej z przesłanek wskazanych w art. 23 ust. 1 lub w art. 27 ust. 2 u.o.d.o..

Ja generalnie ująłem to całościowo w ten sposób :
1. Dane osobowe mogą być udostępniane wyłącznie po spełnieniu jednej z przesłanek wskazanych w art. 23 ust. 1 lub w art. 27 ust. 2 u.o.d.o.
2. Dane osobowe udostępnia się odbiorcom danych na pisemny umotywowany wniosek z podaniem podstawy prawnej udostępnienia danych, o ile przepisy szczególne nie stanowią inaczej.
3. Udostępniając dane osobowe należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
4. Za przygotowanie danych osobowych do udostępnienia w odpowiednim zakresie odpowiedzialny jest kierownik komórki organizacyjnej, do której wpłynął wniosek..
5. Odpowiedzi na wniosek o udostępnienie danych osobowych udziela ADO.
6. Informacje zawierające dane osobowe, przekazywane są uprawnionym podmiotom lub osobom, w sposób gwarantujący ich bezpieczeństwo, w szczególności: listem poleconym, przekazane osobiście, właściwie zabezpieczona wiadomość elektroniczna.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: udostępnianie danych osobowych - zapisy w polityce...

Teraz tylko trzeba zapewnić, by kierownicy komórek organizacyjnych, do których wpływają wnioski, mieli wystarczającą wiedzę i kompetencje. Inaczej cały system się posypie.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: udostępnianie danych osobowych - zapisy w polityce...

A skąd ten pisemny i do tego umotywowany?
Link do wypowiedziLink
Dorian Jateowicz

Dorian Jateowicz Specjalista
Logistyk, urząd

Temat: udostępnianie danych osobowych - zapisy w polityce...

Zapisy są dopuszczalne? Bo nie ma w ustawie wprost napisane na jakiej zasadzie udostepnia się dane osobowe. Jednak art. 23 ust.1 i 27 ust.2 są to przeslanki legalnosci przetwarzania, a jedną z form przetwarzania jest udostepnianie, więc myślę, ze zapis jest dopuszczalny. W kwestii kierowników to dodam zapis o konsultacji z Abi w przypadku wpłynięcia wniosku.
Link do wypowiedziLink
Dorian Jateowicz

Dorian Jateowicz Specjalista
Logistyk, urząd

Temat: udostępnianie danych osobowych - zapisy w polityce...

Panie Grzegorzu, przeglądałem różne polityki i zaczerpnęłam z nich to sformulowanie. Sugeruje Pan inny zapis?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: udostępnianie danych osobowych - zapisy w polityce...

Dorian J.:
W kwestii kierowników to dodam zapis o konsultacji z Abi w przypadku wpłynięcia wniosku.
Jeśli chodzi o sektor publiczny, to zawsze masz ryzyko, że wiele udostępnień odbywa się na gębę, bez analizy, bez konsultacji z ABI, z tego powodu, że "bo zawsze tak było". Ludzie, nawet po szkoleniach, nie wyłapują momentu przekazywania danych innemu ADO. To dla mnie prawdziwa zagadka, czemu się tak dzieje.
Link do wypowiedziLink
Dorian Jateowicz

Dorian Jateowicz Specjalista
Logistyk, urząd

Temat: udostępnianie danych osobowych - zapisy w polityce...

Większość danych przekazywanych jest na podstawie przepisów prawa np. do ZUS i zazwyczaj poprzez system teleinformatyczny. Nie często wpływają wnioski w sprawie udostępnienia danych, a jak wpływają to kierownicy zazwyczaj kontaktują się ze mną lub prawnikiem w naszej instytucji.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: udostępnianie danych osobowych - zapisy w polityce...

Dorian J.:
Panie Grzegorzu, przeglądałem różne polityki i zaczerpnęłam z nich to sformulowanie. Sugeruje Pan inny zapis?

Kiedyś istniał magiczny art 29, nawet łącznie ze wzorem wniosku. Przypuszczam, że to umotywowanie wraz z pisemnością to pozostałości (art 29 ust 3) zapisów uchylonych chyba w 2004 roku albo jakoś tak. A działać mamy w granicach prawa, więc jeśli prawo nie daje nam uprawnienia do stawiania dodatkowych barier, to bym nieco uważał z tak rygorystycznymi zapisami.
Link do wypowiedziLink
Dorian Jateowicz

Dorian Jateowicz Specjalista
Logistyk, urząd

Temat: udostępnianie danych osobowych - zapisy w polityce...

Nie mam dużej praktyki w tym temacie, dlatego też zapisałem, ze jeżeli przepisy szczegółowe nie stanowią inaczej.
Link do wypowiedziLink
Michał S.

Michał S. Inspektor ochrony
danych (IOD)

Temat: udostępnianie danych osobowych - zapisy w polityce...

. A działać mamy w granicach prawa, więc
jeśli prawo nie daje nam uprawnienia do stawiania dodatkowych barier, to bym nieco uważał z tak rygorystycznymi zapisami.

Kwestia podmiotu. Jeśli mówimy o podmiocie publicznym, to obowiązuje zasada "co nie jest dozwolone, jest zabronione". To, co Pan napisał, świetnie pasuje do kwestii dostępu do informacji publicznej.

Jeśli natomiast podmiot prywatny przetwarza dane osobowe, to może sobie nawet ustalić, że nie udostępnia nikomu z wyjątkiem podmiotów upoważnionych z tytułu przepisów prawa (sąd, policja, ZUS, itp.) i basta. I np. jak serwisant będzie chciał pogrzebać w bazie danych, to ma przyjechać do firmy i pracować w serwerowni pod nadzorem informatyka.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: udostępnianie danych osobowych - zapisy w polityce...

Dorian J.:
a jak wpływają to kierownicy zazwyczaj kontaktują się ze mną lub prawnikiem w naszej instytucji.
To kiepska taka organizacja ochrony: albo-albo.
Gdzie kucharek sześć, tam nie ma co jeść.
Link do wypowiedziLink
Rafał G.

Rafał G. Edukacja,
Zarządzanie
Bezpieczeństwem
Informacji

Temat: udostępnianie danych osobowych - zapisy w polityce...

Grzegorz K.:
Dorian J.:
Panie Grzegorzu, przeglądałem różne polityki i zaczerpnęłam z nich to sformulowanie. Sugeruje Pan inny zapis?

Kiedyś istniał magiczny art 29, nawet łącznie ze wzorem wniosku. Przypuszczam, że to umotywowanie wraz z pisemnością to pozostałości (art 29 ust 3) zapisów uchylonych chyba w 2004 roku albo jakoś tak. A działać mamy w granicach prawa, więc jeśli prawo nie daje nam uprawnienia do stawiania dodatkowych barier, to bym nieco uważał z tak rygorystycznymi zapisami.
Powiem szczerze, że po znawcach tematu spodziewałem się więcej.
Panie Grzegorzu ta wypowiedź z całym szacunkiem pachnie "audytorką",
niezgodności niestety przegrywają z uchybieniami. Zarówno decyzje GIODO
jak i orzecznictwo kładzie nacisk na dowody. Tylko właściwa dokumentacja
daje podstawę do obrony przed zarzutami związanymi z udostępnieniem danych osobie lub
podmiotowi nieuprawnionemu. To, że wypadł z ustawy art. 29 jeszcze nie znaczy, że mamy zrezygnować z prawidłowych zachowań w zakresie zarządzania danymi osobowymi a mianowicie
nie dokonywać szczegółowej weryfikacji kierowanych do Nas zapytań, wniosków czy pism jak kto woli. Warto pamiętać, że to art. 26 u.o.d.o jest strażnikiem naszych działań w obszarze zarządzania danymi osobowymi, a formalne działania są tylko dopełnieniem całości. Pozdrawiam.Ten post został edytowany przez Autora dnia 20.10.16 o godzinie 23:29
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: udostępnianie danych osobowych - zapisy w polityce...

Myślę, że należy uważnie czytać, zanim się skomentuje. I choć próbować zrozumieć, zanim się jakichś zapachów doszuka ;-) I może wtedy nawet uda się zrozumieć... Choć wtedy komentarze o znawcach i ich poziomie zaczynają wyglądać mało poważnie.

Brak wymagania dotyczącego umotywowanego i pisemnego wniosku nie powoduje jeszcze niezgodności z przepisem prawa. A całość argumentacji odnosi się do konstrukcji ochrony danych osobowych. Wystarczy tylko uważnie przeczytać art 29 (ten uchylony) i treść dyskusji i powinno pojawić się zrozumienie.

Jeśli nie - to naprowadzę. Dane osobowe mają być przetwarzane w konkretnym celu. I z tym celem powiązane są zarówno przesłanka przetwarzania jak i zakres.

Co ma motywacja do tego, albo dalej - uwiarygodnienie potrzeby posiadania... cóż... Nic nikomu do tego i zakres oceny motywacji wykracza poza zakres przewidziany ochroną danych osobowych.
Link do wypowiedziLink
Rafał G.

Rafał G. Edukacja,
Zarządzanie
Bezpieczeństwem
Informacji

Temat: udostępnianie danych osobowych - zapisy w polityce...

Grzegorz K.:
Myślę, że należy uważnie czytać, zanim się skomentuje. I choć próbować zrozumieć, zanim się jakichś zapachów doszuka ;-) I może wtedy nawet uda się zrozumieć... Choć wtedy komentarze o znawcach i ich poziomie zaczynają wyglądać mało poważnie.

Zabolało, ale moim zamysłem nie było obrażanie kogokolwiek, delikatny sarkazm ale widać za wysoko mierzę ;-). Jeżeli obraziłem to przepraszam Panie Grzegorzu. Przecież Pan wie, że audytor to nie kontrolujący, bo audyt to niezgodności a kontrola to uchybienia.Oczywiście mocno upraszczam to porównanie audytorsko kontrolerskie ale tylko dlatego że mam do czynienia z osobą znającą temat. No chyba, że ma Pan inne doświadczenia to ja je oczywiście uszanuję.
Brak wymagania dotyczącego umotywowanego i pisemnego wniosku nie powoduje jeszcze niezgodności z przepisem prawa.
A kto tak napisał ?. Przeszukałem swój wątek ale nie znalazłem.
A całość argumentacji odnosi się do konstrukcji ochrony danych osobowych. Wystarczy tylko uważnie przeczytać art. 29 (ten uchylony) i treść dyskusji i powinno pojawić się zrozumienie.
Cały czas próbuje,
Jeśli nie - to naprowadzę. Dane osobowe mają być przetwarzane w konkretnym celu. I z tym celem powiązane są zarówno przesłanka przetwarzania jak i zakres.
Zgadzam się. Ale miało być na temat.
Co ma motywacja do tego, albo dalej - uwiarygodnienie potrzeby posiadania... cóż... Nic nikomu do tego i zakres oceny motywacji wykracza poza zakres przewidziany ochroną danych osobowych.
Ja nic na temat motywacji nie pisałem dlatego w dalszym ciągu nie wiem do czego to nawiązanie.
Panie Grzegorzu ja nie wiem co Pana motywuje. Mnie natomiast motywuje zapis Art. 51 u.o.d.o.
Kończąc bo myślę, że zarówno Pan jak i ja w kwestii zarządzania ochroną danych trochę zębów już zjedliśmy i nie jedno już widzieliśmy kruszenie kopii w tym względzie nie zmieni faktu, że pomimo uchylenia Art. 29 u.o.d.o. w dalszym ciągu jesteśmy zobligowani do przestrzegania prawa w tym zakresie i staranności w zarządzaniu swoimi zbiorami danych a realizacja tego obowiązku musi mieć odzwierciedlenie w posiadanej przez nas dokumentacji.Ten post został edytowany przez Autora dnia 21.10.16 o godzinie 17:12
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: udostępnianie danych osobowych - zapisy w polityce...

Rafał G.:
posiadanej przez Nas dokumentacji.
Nie na temat, ale po prostu muszę, bo zęby mnie bolą, gdy widzę, że zaimki pierwszej osoby piszesz wielką literą.
Link do wypowiedziLink
Rafał G.

Rafał G. Edukacja,
Zarządzanie
Bezpieczeństwem
Informacji

Temat: udostępnianie danych osobowych - zapisy w polityce...

Paweł G.:
Rafał G.:
posiadanej przez Nas dokumentacji.
Nie na temat, ale po prostu muszę, bo zęby mnie bolą, gdy widzę, że zaimki pierwszej osoby piszesz wielką literą.
Dziękuję, za zwrócenie uwagi, już poprawione.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: udostępnianie danych osobowych - zapisy w polityce...

Szacunek.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: udostępnianie danych osobowych - zapisy w polityce...

Jak rozumiem, znów problemy techniczne? ;-)

dziękujemy adminom albo innym ludkom dbającym o czystość dyskusji.

Sorry, naprawdę się wypisuję. Szkoda mi czasu.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj