Krzysztof W.

Krzysztof W. adiunkt, Uniwersytet
Wrocławski

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Panie Grzegorzu generalnie ma Pan rację z tymi strefami i słusznie kładzie nacisk na ogląd całości systemu zabezpieczeń (co jednak wymaga jego posiadania i przestrzegania oraz stosowania odwołań w polityce bezpieczeństwa i instrukcji zarządzania systemem - co niestety czasem przerasta możliwości/umiejętności przeciętnego ABI z łapanki o ADO nie wspominając) oraz całkiem ciekawe poglądy na obszar przetwarzania (warte upowszechnienia bo dość nieortodoksyjne a dające ciekawe możliwości praktyczne) tyle tylko, że zazwyczaj nasza szara rzeczywistość jakoś nie pasuje mi to do tego modelowego ujęcia funkcjonowania organizacji. Spośród spotykanych od ponad 15 lat firm/urzędów itd. niewiele spełnia te standardy (w grupie małych i średnich prawie żaden) a choć sytuacja ulega poprawie idzie to jakoś wolno.
To co pisałem o osobach sprzątających jako mających dostęp do pomieszczeń i papierów oraz urządzeń (nie wyłączonych z sieci ;)) wynika więc z obserwacji dnia codziennego ;(( i reakcji nań.
Wśród wypowiadających się wyżej panuje tendencja do eliminacji pewnych grup osób z obowiązków nakładanych przez uodo a ja proponuję zazwyczaj coś odwrotnego - uczynienie z nich kolejnej linii obrony przed utratą/wyciekiem danych. Uważam, iż lepiej jest przykroić ich obowiązki (na podstawie upoważnienia) do tego co robią w rzeczywistości i uświadomić znaczenie tego, niż potem zastanawiać się kto jest winny przypadkom gdy przez "roztargnienie" kogoś zajmującego się "typowym przetwarzaniem" dane zostaną utracone lub dostaną się tam gdzie nie powinny. Zwłaszcza, że odpowiedzialność może dotyczyć samego ADO czy ABi jako osoby nie mającej wystarczającej kontroli nad systemem przetwarzania danych opisanym w polityce i instrukcji.
A tak na marginesie być może niedługo sprzątaniem zajmować się będą u nas ludzie po studiach więc perspektywy nawiązania dialogu w ramach potencjalnych szkoleń są obiecujące ;)).
p.s.
Panie Leszku a nie wydaje się Panu że jak "może" bo np. zabezpieczenia (w tym organizacyjne) są słabe / żadne to lekko zalatuje to odpowiedzialnością z 51 / 52 uodo.
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Służby ochrony są dość dobrym przykładem - mają wieczorem dostęp do całego budynku i teoretycznie mogą mieć dostęp do różnych danych. Ale nie mają takiego prawa, ich obowiązkiem jest chronić pomieszczenia, a nie zaglądać w dane.

I czy wtedy takie służby należy upoważnić? Dać im formalne prawo do przetwarzania danych osobowych? Czy też może nakazać im zachować w poufności z czym być może przy okazji wykonywania zadań zapoznali się (bo było np. napisane na whiteboardzie i nie sposób było nie zapoznać sie) podkreślając, że nie są uprawnieni do przetwarzania danych osobowych bo nie jest intencją ADO udzielanie im uprawnień do przetwarzania danych osobowych?

Nawiasem mówiąc - słownik języka polskiego podpowiada: upoważnić — upoważniać «dać komuś pełnomocnictwo do wykonania czynności urzędowych»
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Krzysztof W.:
Panie Grzegorzu generalnie ma Pan rację z tymi strefami i słusznie kładzie nacisk na ogląd całości systemu zabezpieczeń (co jednak wymaga jego posiadania i przestrzegania oraz stosowania odwołań w polityce bezpieczeństwa i instrukcji zarządzania systemem - co niestety czasem przerasta możliwości/umiejętności przeciętnego ABI z łapanki o ADO nie wspominając) oraz całkiem ciekawe poglądy na obszar przetwarzania (warte upowszechnienia bo dość nieortodoksyjne a dające ciekawe możliwości praktyczne) tyle tylko, że zazwyczaj nasza szara rzeczywistość jakoś nie pasuje mi to do tego modelowego ujęcia funkcjonowania organizacji.

To ja tylko skromnie podam, skąd taki model. Z informacji niejawnych i z obecnego "poluzowania" zastrzeżonych. Proszę sprawdzić, jakie zabezpieczenia i jak mogą być przetwarzane i przechowywane niejawne w tej klauzuli. Naprawdę warto.

Dlaczego niejawne i dlaczego się opieram na ich. A bo w rozporządzeniu o osobowych jest informacja, że jak są zabezpieczone jak niejawne, to uznane są za spełnione warunki najwyższego poziomu bezpieczeństwa. A więc jak będą zabezpieczenia jak dla niejawnych - o klauzuli zastrzeżone, to uznaję osobiście (może mnie ktoś naprostuje, jak się mylę) że w związku z tym, dane osobowe są na poziomie wysokim. I stąd te elementy mechanicznego zabezpieczenia w postaci urządzeń, szaf etc. ;-))
Spośród spotykanych od ponad 15 lat firm/urzędów itd. niewiele spełnia te standardy (w grupie małych i średnich prawie żaden) a choć sytuacja ulega poprawie idzie to jakoś wolno.

A proszę spojrzeć czemu tak jest? Ja biorę do ręki pierwszy z brzegu program kursu czy studiów i nie widzę tam ani stref, ani zasad organizacji bezpieczeństwa fizycznego - w tym również zagrożeń miejscowych i ochrony ppoż, nie widzę też techniki i norm z grupy systemy alarmowe (5013X) gdzie jest i kontrola dostępu i systemy sygnalizacji włamania i systemy telewizji przemysłowej.

Pewnie przy takim doświadczeniu przypomina Pan sobie dyskusje o tym, kim powinien być ABI. Ja pamiętam, że dyskusja byłą w kierunku - prawnik lub informatyk.

A skutek - jaki jest widać dookoła.
Wśród wypowiadających się wyżej panuje tendencja do eliminacji pewnych grup osób z obowiązków nakładanych przez uodo a ja proponuję zazwyczaj coś odwrotnego - uczynienie z nich kolejnej linii obrony przed utratą/wyciekiem danych. Uważam, iż lepiej jest przykroić ich obowiązki (na podstawie upoważnienia) do tego co robią w rzeczywistości i uświadomić znaczenie tego, niż potem zastanawiać się kto jest winny przypadkom gdy przez "roztargnienie" kogoś zajmującego się "typowym przetwarzaniem" dane zostaną utracone lub dostaną się tam gdzie nie powinny.

Ależ ja mam podobne zdanie i mam wrażenie, że dochodzi do pewnego niezrozumienia.

Polityka bezpieczeństwa, jako akt prawa wewnętrznego nakłada na każdego pracownika obowiązki (tak wynika z regulaminu pracy i umów - czy o pracę czy cywilnoprawnych). Jeśli zostanie tam zapisane, że każda osoba, która zauważy dane osobowe na jakimkolwiek nośniku dostępne i niezabezpieczone jest zobowiązana powiadomić o tym pracownika ochrony, to moim zdaniem 51.1 UODO ma zastosowanie. Obowiązek został nałożony, do tego jescze w trakcie szkolenia trzeba to jasno powiedzieć, dodać 266 KK i myślę, że ten zakres jest ogarnięty. Jak napisał Leszek - ja to przynajmniej tak czytam.

Innymi słowy - nie tylko ten co jest upoważniony do przetwarzania danych osobowych, jest zobowiązany do ich ochrony. Ale KAŻDY - tak jak w ochronie PPOŻ, czy BHP. Oczywiście tu również poziomy - bo pracownik ochrony jest w sposób szczególny zobowiązany w ramach swoich zadań służbowych.

I chyba co do tego jesteśmy zgodni - wszyscy w tym wątku.

Rozbieżność jest tylko w zakresie upoważnienia i innej instytucji - nie uregulowanej i dość niejasnej w UODO ale jasnej (z innych przepisów) dla tzw bezpieczników, którzy organizują ochronę - a mianowicie w kwestii udzielania uprawnień do dostępu. I tu bardzo ważna instytucja - legitymowanie. A dokładniej brzmi to legitymowanie w celu ustalenia uprawnienia do przebywania na terenie - pracownik ochrony ma takie wprost z ustawy o ochronie osób i mienia. I to niezależnie od formy ochrony (może być też grupa interwencyjna - czyli ochrona bezpośrednia doraźna).

Dlatego nadal pozostanę przy stanowisku - dla sprzątaczek - uprawnienie do wejścia na teren, bez prawa samodzielnego przebywania na obszarze przetwarzania w czasie owego przetwarzania. I tu szafy i urządzenia - stosowane odpowiednio.
Bartosz Olszewski

Bartosz Olszewski ABI, Sp. ds
kontroli,
AUTO-HANDEL-CENTRUM

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Witam.

Zauważyłem, że dosyć mocno przewija się temat sprzątaczek :-)

To ja w takim razie dorzucę inne stanowisko pracy - mechanik w serwisie samochodowym.
W autoryzowanych stacjach serwisowych mechanik otrzymuje zlecenie serwisowe (podpisane przez klienta), w którym znajduje się opis zgłoszenia klienta na temat usterek lub zakres pracy jaki jest do wykonania. Na tym zleceniu widnieją także dane osobowe klienta. W trakcie pracy te dane osobowe nie są potrzebne mechanikowi... ale ma do nich wgląd - nie przetwarza ich także w żadnym systemie informatycznym.

Czy w takim wypadku musi on także mieć upoważnienie do przetwarzania danych osobowych ?
Czy może wystarczy tylko oświadczenie, że zapoznał się z Polityką Bezpieczeństwa i zobowiązuje się do jej stosowania ?
A może jakieś inne rozwiązanie ?

konto usunięte

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Moim zdaniem porównanie tych dwóch sytuacji jest nie do końca trafione. Sprzątaczka z założenia nie ma potrzeby odczytywania żadnych dokumentów więc upoważnienie nie jest jej do niczego potrzebne, natomiast mechanik jak sam Pan wspomniał ma oficjalny dostęp do dokumentu i to że dane osobowe nie są mu niezbędne do wykonania czynności zawodowych nie ma znaczenia. Upoważnienie powinno być. Powiem więcej, moim zdaniem nawet jakby na tym dokumencie nie było nazwiska, a np. tylko nr VIN czy nr rejestracyjny to mechanik już takowe upoważnienie powinien posiadać.

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

mowa jest o dokumencie uprawniającym personel sprzatający do przebywania w obszarze przetwarzania danych osobowych. moje pytanie brzmi: czy powinna być to zgoda na podst. Zalącznika A punkt I.2 rozporzadzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych... czy może upowaznienie do przebywania w obszarze na podstawie art. 2 ust. 1 uodo....
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Zgoda na podst. Załącznika.

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Dzień dobry, to mój pierwszy post - jestem raczkującym ABI. Nawiązując do tematu- w naszej instytucji kierowca dostarcza na pocztę korespondencję. Czyli także powinien otrzymać upoważnienie?
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Anna G.:
Dzień dobry, to mój pierwszy post - jestem raczkującym ABI. Nawiązując do tematu- w naszej instytucji kierowca dostarcza na pocztę korespondencję. Czyli także powinien otrzymać upoważnienie?

Warunkiem obarczenia kierowcy odpowiedzialnością z art. 51 lub art. 52 uodo jest nadanie mu upoważnienia.
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Paweł G.:

Warunkiem obarczenia kierowcy odpowiedzialnością z art. 51 lub art. 52 uodo jest nadanie mu upoważnienia.

Czy na pewno? Art. 52 mówi:
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Ja nie bardzo widzę związek tutaj z kwestią pociągnięcia kierowcy do odpowiedzialności.

Natomiast art. 51:
Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

można ostatecznie tutaj jakoś wcisnąć zakładając, że kierowca, który nie otrzymał upoważnienia do przetwarzania danych osobowych nie został "obowiązany do ochrony danych osobowych".

Warto kierowcy dać takie upoważnienie - zakładamy, że kierowca ma wgląd do danych osobowych odbiorców a pewnie też książki nadawczej. Tak na pewno będzie najłatwiej.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Leszek K.:
Warunkiem obarczenia kierowcy odpowiedzialnością z art. 51 lub art. 52 uodo jest nadanie mu upoważnienia.
Czy na pewno? Art. 52 mówi:
[i]Kto administrując danymi

Pytanie o stronę podmiotową tego przestępstwa. Moim zdaniem warto zastosować takie środki organizacyjne ochrony danych, aby kierowca mógł być sprawcą. Bo jak nie kierowca, to razie czego zostaje ADO ;)
narusza choćby nieumyślnie obowiązek zabezpieczenia ich

I właśnie kwestia wykazania, że na kierowcy ciążył ten obowiązek.
Natomiast art. 51:
[i]Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych

Znów strona podmiotowa. Kwestia wykazania, że kierowca... itd.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Tak się wtrącę... Koleżanka zadała pytanie, czy kierowca powinien mieć upoważnienie. A nie w jaki sposób obarczyć winą kierowcę, czy który przepis ustawy będzie właściwy do popełnionego przez niego... przestępstwa? ;-)

Tak, kierowcy należy wystawić upoważnienie, z poziomem dostępu - co najmniej wgląd w dane osobowe, do zbioru korespondencja, a nawet jak nie macie zbioru (moim zdaniem jest to zestaw techniczny) to i tak zabezpieczenia należy stosować - art 2 ust 3. Upoważnienie jest w rozdziale 5 - a art 37.

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Grzegorz K.:
Tak, kierowcy należy wystawić upoważnienie, z poziomem dostępu - co najmniej wgląd w dane osobowe, do zbioru korespondencja, a nawet jak nie macie zbioru (moim zdaniem jest to zestaw techniczny) to i tak zabezpieczenia należy stosować - art 2 ust 3. Upoważnienie jest w rozdziale 5 - a art 37.

Co jeśli kierowca nie tylko przewozi korespondencję na pocztę ale również pobiera pokwitowanie nadania (do celów dowodowych). Czy możne mieć zastosowanie art.2.3 uodo (techniczne)?
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Grzegorz K.:
Tak się wtrącę... Koleżanka zadała pytanie, czy kierowca powinien mieć upoważnienie. A nie w jaki sposób obarczyć winą kierowcę
Ja dałem wędkę, nie rybę.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Radosław Z.:
Grzegorz K.:
Tak, kierowcy należy wystawić upoważnienie, z poziomem dostępu - co najmniej wgląd w dane osobowe, do zbioru korespondencja, a nawet jak nie macie zbioru (moim zdaniem jest to zestaw techniczny) to i tak zabezpieczenia należy stosować - art 2 ust 3. Upoważnienie jest w rozdziale 5 - a art 37.

Co jeśli kierowca nie tylko przewozi korespondencję na pocztę ale również pobiera pokwitowanie nadania (do celów dowodowych). Czy możne mieć zastosowanie art.2.3 uodo (techniczne)?

Korespondencja nie jest zawieszona w prózni. Dotyczy konkretnych spraw i czynności. Dane są już tam określone do przetwarzania. Książka korespondencji moim zdanie nie tworzy nowego zbioru, tylko jest zestawem technicznym, do konkretnych czynności.

Coś jak wymienione w tym artykule szkolenia. Kierujemy ludzi z całej firmy, ale lista i wszystko co z tym związane w HR nie tworzy nowego zbioru - uczestnicy szkolenia, czy szkoleń. Te dane są do realizacji szkolenia, wystawienia kwitu i włączenia tego kwitu do już istniejącego zbioru.

Kiedyś tworzyłem zbiory KORESPONDENCJA, od jakiegoś czasu nazywam to zestawem technicznym zawieram w przepływach, ale już nie jako odrębny zbiór.

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Grzegorz K.:
Kiedyś tworzyłem zbiory KORESPONDENCJA, od jakiegoś czasu nazywam to zestawem technicznym zawieram w przepływach, ale już nie jako odrębny zbiór.

Dziękuję za ciekawe podejście do sprawy. Pozwolę sobie temat drążyć:
- kierowca wiezie korespondencję wrażliwą (na pocztę to w kopertach ale np. do sądu czy komornika lub poborcy skarbowego to jako pakiety dokumentów - kwitowanie ilości załączników);
- pojazd uczestniczy w kolizji drogowej dokumenty wrażliwe rozsypały się;
i co wówczas?
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Dane wrażliwe na razie się nie rozsypały. Rozsypały się listy - zamknięte i zapieczętowane. Nie ma uzasadnienia do tego, aby kierowca uzyskiwał dostęp do danych wrażliwych. Dane wrażliwe to dane o skazaniach, ale nie o tym, czy organ prowadzi czynności. Kierowca musiałby rozerwać koperty aby uzyskać dostęp do danych wrażliwych (czy w ogóle danych).

Np. - patrząc z daleka ktoś widzi, że mnie policjant złapał na suszarkę. Przetwarza dane? Nie,. tylko wie, że mnie trafili. Ale to, czy przyjąłem MKK czy jednak nie i poszło na sąd i co dalej w tym sądzie - to już nie.

Skoro jednak wiemy o tym, że pojazd może się stuknąć, a listy wysypać - to mamy już wiedzę o zagrożeniach utraty poufności. Więc organizując pracę kierowcy powinniśmy wziąć pod uwagę taką możliwość i zastosować stosowne zabezpieczenia. Adekwatne do zagrożenia.

I tu raczej szukałbym niedopełnienia u organizatora przemieszczenia nośników danych, a nie wykonawcy czynności.

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Sprawa listów jakby zamknięta.
Do komornika/poborcy podatkowego zawozi się dane wrażliwe (prawomocne orzeczenie np. nakaz zapłaty) w oryginale i to w formie niezamkniętej - osoba przyjmująca w obecności kierowcy ma obowiązek stwierdzenia dostarczenia w/w dokumentu. Tak więc, kierowca nie tylko nadaje korespondencję ale również odbiera potwierdzenie i odwozi do firmy. Podobnie postępuje się z dokumentacją dostarczaną do sądu. Tam również w formie otwartej (przeliczalnej) dowozi się dokumenty w tym z danymi wrażliwymi (w formie załączników lub treści pisma) w takim zakresie w jakim jest to niezbędne do prowadzenia sprawy. Kierowca ma wgląd w te dokumenty, a w razie wątpliwości co do zgodności dokumentów przedłożonych do sądu z kopią ma obowiązek wyjaśnić rozbieżności. Z tego względu zasadnym jest by kierowca podejmując taką korespondencję potwierdził w komórce nadającej ilościowo jakościowe przyjęcie pakietów.
ps.
W sprawach o jakich piszę nie funkcjonuje książka korespondencji. Adnotacje o przyjęciu odnotowuje się wyłącznie na kopii pierwszego pisma.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Ale to musi być tak, że kierowca to widzi?

Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...

Jeśli dostarcza dokumentację do tych organów to tak. Dlatego organizacyjnie lepiej byłoby gdyby taką dokumentację zawoził uprawniony pracownik ale skoro pytanie dotyczyło korespondencji i kierowcy....

Następna dyskusja:

Czy istnieje instruktaz dla...




Wyślij zaproszenie do