Temat: Zakres danych osobowych

Witam,

Mam dwa tematy:

1. Opracowuję upoważnienie do przetwarzania danych osobowych. Jednym z punktów jest - zakres upoważnienia. I teraz, po pierwsze w ustawie nie ma słowa jak takie upoważnienie ma wyglądać i po drugie nie wyobrażam sobie wypisywać wszystkich zbiorów, do których dostęp ma mieć np. pani kadrowa, a dostęp ma do ok. 20 zbiorów w formie papierowej i 3 systemów. Napiszcie proszę jak u Was poradziliście sobie z tym tematem, czy wpisujecie ogólnie np: dostęp do systemów informatycznych, kartotek, spisów itd wynikających z obowiązków służbowych, czy wypisujecie wszystkie zbiory szczegółowo, czy np. w spisie zbiorów wpisujecie osoby odpowiedzialne za zbiory i wtedy w upoważnieniu jest w zakresie odpowiedzialności wykazanym w załączniku X.

2. Co z upoważnieniem dla ABI i ASI i Kierowników Wydziałów? Jaki zakres? I kto wnioskuje dla nich o upoważnienie?

Pozdrawiam

Temat: Zakres danych osobowych

Ad. 1
W zasadzie spotkałem się i z jednym i z drugim opisywanym przez Ciebie modelem upoważnień. W dużych firmach z reguły stosowałem bardziej rozbudowane upoważnienia (tzn. z rozpisaniem na zbiory, systemy informatyczne etc.), natomiast w mniejszych firmach raczej bardziej ogólne. Najważniejsze to zgrabnie przygotowany wzór upoważnienia - jak sobie taki stworzysz to nawet ten rozbudowany model będzie do ogarnięcia.

Ad. 2
Upoważnienia dla ABI, ASI i Kierowników - wnioskującymi zrobiłbym osoby, którym tacy pracownicy bezpośrednio podlegają np. członek zarządu, dyrektor departamentu etc.
Co do zakresu - z tym rzeczywiście jest kłopot, ale tak na zdrowy rozum - taki ABI czy ASI ma dostęp praktycznie do wszystkiego, więc i jego upoważnienie powinno być odpowiednio szerokie. Zawsze można dodać zastrzeżenie np. "niezbędne do wypełniania obowiązków ABI" etc.
A Kierownicy? Tu rzecz jest trochę prostsza - do tego co posiadają jego pracownicy + te zbiory, które wiążą się ze sprawami kadrowo - płacowymi oraz rekrutacją.

Mam nadzieję, że trochę pomogłem :-)

Temat: Zakres danych osobowych

Witam,
1. jestem właśnie w trakcie przekazywania pracownikom upoważnień indywidualnych. Ponieważ działamy w SAP, w którym są przetwarzane dane naszych klientów, skoncentrowałam się na tym zbiorze. Wyjątkiem są osoby pracujące w moim dziale - poza dostępem do danych pracowników w SAP, są jeszcze inne programy + akta osobowe.

Ja przygotowałam upoważnienia samodzielnie, sugerując się wytycznymi GIODO i wskazówkami z kancelarii, z którą współpracuję.

Najważniejsze info, które musza być w takim upoważnieniu:
imię i nazwisko pracownika, jego identyfikator(ja posługuję się ID z SAP - każdy ma swoje indywidualne), stanowisko, info, że jest pracownikiem danej firmy, gdzie są przetwarzane dane, zbiór danych i zakres przetwarzania (w mojej firmie w SAP są różne role - w ramach każdej roli są różne możliwości, zatem w formie tabeli to przedstawiam - jakie są możliwości w ramach każdej roli: np. wprowadzanie danych klienta, modyfikowanie, oglądanie itp - i krzyżykiem zaznaczam, kto do czego ma dostęp). Dodatkowo nalezy zaznaczyć jak długo jest ważne upoważnienie: dla pracowników, którzy pracują wpisuję od.... do odwołania. Jeśli ktoś zmieniił stanowisko, a to wiązało się ze zmianą uprawnień, wówczas wpisuję stary zbiór z informacją od kiedy do kiedy osoba miała do niego dostęp i nowy zbiór z nową datą i do odwołania.

Dodatkowo w każdym upoważnieniu mam zapis następującej treści:

Jednocześnie zobowiązuję Pana/Panią do zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobu ich zabezpieczenia, w szczególności do:
1. Zachowania poufności i nie ujawniania osobom trzecim informacji dotyczących zbiorów zawierających dane osobowe lub innych wiadomości, które mogłyby w jakikolwiek sposób ujawnić treść przetwarzanych danych osobowych.
2. Przestrzegania postanowień zawartych w Polityce Bezpieczeństwa Informacji, Instrukcji Zarządzania Systemem Informatycznym, jak również Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych
3. Nie rozpowszechniania i nie wykorzystywania poufnych informacji zdobytych podczas wykonywania powierzonych prac w trakcie obowiązywania umowy z Hilti (Poland) Sp. z o.o. oraz po jej ustaniu.

Na koniec oczywiście podpis pracownika.

Ufff.. mam nadzieję, że nie zamieszałam. :)

2. Co do ABI i ASI to (moim zdaniem) powinny byc takie osoby formalnie powołane przez Administratora Danych, czyli np. Dyrektora Zarządzającego.

Dodatkową sprawą jest prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych.

Mam nadzieję, że trochę pomogłam. :)

Pozdrowienia,
Agnieszka

Temat: Zakres danych osobowych

TROCHĘ??? To mało powiedziane:) Dzięki Wam Bardzo.

Pozdrawiam
Michał