GoldenLine
Zaloguj się
Michał Piech

Michał Piech Student

Temat: Uprawnienia inspektora GIODO - praktyka

Jestem ciekawy Państwa opinii na to jak daleko sięgają uprawnienia inspektorów w czasie kontroli GIODO.

W teorii wszyscy wiemy jak to wygląda (art.14):
Inspektorzy mają prawo:
1) wstępu, w godzinach od 600 do 2200, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,
2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,
4) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,
5) zlecać sporządzanie ekspertyz i opinii.

Jednak ustawa nie daje nam odpowiedzi na to czy przedsiębiorca ma obowiązek podać hasło dostępu do komputera w celu umożliwienia inspektorowi oględzin urządzeń. Nie mam zbyt wiele doświadczeń, a na studiach uczę się teorii, więc jestem bardzo ciekawy co o tym Państwo sądzą.

1. Czy przedsiębiorca lub pracownik ma obowiązek podania loginu i hasła do komputera?
2. Czy inspektor może sprawdzić komputer razem z przedsiębiorcą, ale inspektor nie ma prawa żądać hasła do komputera?
3. Czy pracownik zostanie ukarany za to, że nie podał hasła? Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (art.54a).

Jeżeli mogą się Państwo podzielić jakimiś innymi doświadczeniami związanymi z takimi kontrolami, to z chęcią poczytam (np. doświadczenia związane z praktycznym zastosowaniem innych uprawnień inspektorów).

Jestem bardzo ciekawy Państwa spostrzeżeń i zachęcam do dyskusji.
PozdrawiamMichał Bienias edytował(a) ten post dnia 02.04.13 o godzinie 13:29
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Uprawnienia inspektora GIODO - praktyka

Myślę, ze Art. 15 ust. 2 powinien stanowić odpowiedź na postawione (wyżej) pytanie:

W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Uprawnienia inspektora GIODO - praktyka

Jak podasz hasło, jak utrzymasz rozliczalność? Wymóg przypisania działania konkretnemu podmiotowi lub procesowi?
Link do wypowiedziLink
Michał Piech

Michał Piech Student

Temat: Uprawnienia inspektora GIODO - praktyka

Leszek K.:
Myślę, ze Art. 15 ust. 2 powinien stanowić odpowiedź na postawione (wyżej) pytanie:

W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej.

Przepis art.15 ust.2 faktycznie mógłby być pomocny, jednak odnosi się on tylko do zbiorów z art.43ust.1pkt1a czyli uzyskanych w toku czynności operacyjno-rozpoznawczych funkcjonariuszy.

Czyli sugerujecie, że inspektor sprawdza komputer razem z przedstawicielem kontrolowanego po wklepaniu przez przedstawiciela hasła? Jak w firmie pracuje więcej osób np. 100 to przedstawiciel będzie prosił pracowników o wpisywanie haseł i udostępnianie komputerów inspektorom, którzy będą sprawdzali wybrane.

W razie sprzeciwu pracownika, zostanie on ukarany?

W ustawie nie ma jasnych odpowiedzi, są tylko generalne uprawnienia.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Uprawnienia inspektora GIODO - praktyka

A gdzie jest mowa w ustawie o udostępnianiu haseł? Cytowany artykuł wyraźnie podkreśla: za pośrednictwem czyli upoważniona osoba np. pracownik powinnien pokazać dane, a nie udostępnić.

Jeśli chodzi o udaremnianie lub utrudnianie kontroli - chodzi o odpowiednio całkowite uniemożliwienie wykonania kontroli oraz doprowadzenie, że kontrola napotka na takie przeszkody, że jej cel nie zostanie osiągnięty. Jeśli do osiągnieciu "celu kontroli" niezbędne jest pokazanie danych, a pracownik odmówi wykonania tej czynności - to rzeczywiście można myśleć o ukaraniu.

Szczególną trudność może sprawiać ocena, co jest utrudnianiem. Z wyroku Sądu Najwyższego (co prawda w innej sprawie) z dnia 19 czerwca 2002 r., sygn. V KKN 454/00 dowiadujemy się, że nieprzychylne, niekulturalne, czy nawet niegrzeczne traktowanie kontrolujących nie może być uznane za zachowanie wyczerpujące znamię czasownikowe "utrudnia" w rozumieniu przepisu art. 83 k.k.s. Wszak przestępstwem skarbowym w rozumieniu art. 83 k.k.s. jest udaremnianie lub utrudnianie wykonania czynności służbowej osobie uprawnionej. Ustawa przykładowo wymienia czynności wykonawcze powodujące udaremnienie lub utrudnienie. Są to: odmowa okazania księgi, jej niszczenie, uszkodzenie, czynienie bezużyteczną, ukrycie lub usunięcie. Nie stanowi więc odmowy okazania księgi niemożność jej okazania przez obecnego w danym momencie pracownika podmiotu kontrolowanego ani też żądanie, skierowane do kontrolującego, o pisemne określenie dokumentów, jakie mają być okazane i terminu tego okazania. Niewątpliwie utrudnianiem w znaczeniu art. 83 k.k.s. nie jest też zamiana pomieszczenia udostępnionego kontrolującemu, mimo że z reguły wiąże się z chwilowym zamieszaniem i wywołuje sytuację przejściowo kłopotliwą.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Uprawnienia inspektora GIODO - praktyka

Leszek K.:
A gdzie jest mowa w ustawie o udostępnianiu haseł? Cytowany artykuł wyraźnie podkreśla: za pośrednictwem czyli upoważniona osoba np. pracownik powinnien pokazać dane, a nie udostępnić.

Leszku - nie za daleko? Dyskusja napędza, ale POKAZAĆ DANE? Czy mechanizm ich zabezpieczenia? Bo jak dane pokażę, to już jakby udostępnił.

Wielu moich klientów jest zdziwionych, że nie chcę patrzeć w ich zbiory a interesuje mnie tylko formatka, formularz, informacje, deklaracje, etc... Uważam, że GIODO nie ma żadnego interesu w dostępie do danych. jak automat - to można założyc testowego kowalskiego przy okazji i pokazać jak działa. Ale do danych... sorki...
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Uprawnienia inspektora GIODO - praktyka

Moim zdaniem ustawa wyraźnie podkreśla prawo wglądu do zbioru zawierającego dane osobowe przez inspektora GIODO - i jeśli jest taka potrzeba - należy dane pokazać. Przykładowo inspektor może zechcieć zobaczyć w jaki sposób w systemie odnotowano dla określonej osoby sprzeciw albo jakie dane osoby przetwarza się w określonym systemie informatycznym - wymaga to pokazania danych konkretnej osoby, prawda? Można dyskutować z inspektorem zasadność pokazywania danych, ale odmowę ich pokazania można by było już traktować jako utrudnianie/uniemożliwianie kontroli.

PS. Mała korekta - pisząc "a nie udostępnić" miałem na myśli, że nie powinien udostępniać komputer / login i hasło, etc.Leszek K. edytował(a) ten post dnia 02.04.13 o godzinie 23:22
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Uprawnienia inspektora GIODO - praktyka

Z tym się zgodzę, przy czym chodziło mi raczej o konstrukcję. Pokazuje sposób realizacji wymagań, co pociąga za sobą konieczność pokazania danych.
Link do wypowiedziLink
Michał Piech

Michał Piech Student

Temat: Uprawnienia inspektora GIODO - praktyka

Dzięki za odpowiedzi!

Czy ktoś kto miał w przeszłości kontrolę GIODO, nie chciałby się podzielić jak ona wyglądała?:)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Uprawnienia inspektora GIODO - praktyka

Tak ;-)

Zespół taki podstawowy - informatyk i prawnik. Prawnik jedzie po polityce i kwitach, informatyk zaczyna od instrukcji i potem patrzy w systemy.

Jak na razie normalne, bez przegięć jak to z innych służb bywało. Odpowiadałem za współpracę i kontrole UOP - to takie stare czasy później ABW, WPA komend, PIP, i wojewódzkie, więc jakies porównanie mi się wyrobiło. Miałem też informacje ale to z zamierzchłych czasów dwóch pierwszych kadencji, gdzie było ciężko. Bo nieco inne podejscie.

Ogólnie jak na razie wiele otwartości i "widzenia" wspólnego celu jakim jest bezpieczeństwo danych osobowych. Ale tam gdzie pracowałem świadomość była, fajne szefostwo i w ogóle myślący ludzie. Nie wiem, jak w przypadku podmiotów które mają ochronę danych tylko "zgodnościowo" czyli papier i skoroszyt na półce.
Link do wypowiedziLink

konto usunięte

Temat: Uprawnienia inspektora GIODO - praktyka

Jesli moge cos powiedziec w temacie jako byly inspektor GIODO to w praktyce odbywa sie to tak ze :

1. Czy przedsiębiorca lub pracownik ma obowiązek podania loginu i hasła do komputera? - login tak (w ewidencji), hasło NIE (i zaden inspektor o to nie poprosi)
2. Czy inspektor może sprawdzić komputer razem z przedsiębiorcą, ale inspektor nie ma prawa żądać hasła do komputera? - TAK
3. Czy pracownik zostanie ukarany za to, że nie podał hasła? Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (art.54a) - nikt za to nie zostanie ukarany

nie ma co z inspektorem dyskutowac na temat zasadnosci pokazywania danych gdyż w koncu kontroluje prawidlowosc ich przetwarzania i w ramach tego musi sprawdzic np. zakres

i taka jest praktyka
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj