GoldenLine
Zaloguj się
Agnieszka D.

Agnieszka D. PMA

Temat: Zasada adekwatności

Mam pytanie - w jednym z systemów (wspólnym dla księgowości, kadr i działu gospodarczego) prowadzona jest ewidencja śr trwałych. Każdy z tych środków przypisany jest do konkretnego pracownika (imię, nazwisko, dział). Rozumiem, ze mam do czynienia ze zbiorem danych osobowych, do którego w dodatku odnosi się Art 43. 1. 4. Ale ...
No właśnie, okazuje się, że system pozwala osobie "zajmującej się środkami trwałymi" widzieć jeszcze jedną daną osobową, która akurat wcale a wcale nie będzie jej potrzebna przy przetwarzaniu danych dot środków trwałych.
Zastanawiam się czy taka osoba powinna dostać upoważnienie do przetwarzania danych z zaznaczeniem, że "TA" dana tylko do odczytu ?? Czy w tym samym czasie wystąpić do ADO z sugestią, że powinno się wezwać informatyka, żeby zmienił ustawienia dostępu? Czy może upoważnienie nie powinno być wydane do czasu załatwienia tej sprawy? A może warto postąpić jeszcze inaczej? Będę wdzięczna za Wasze sugestie :)
Pozdrawiam
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Zasada adekwatności

Nadmierne udostępnianie czyichś danych innym pracownikom tylko dlatego, że tak sobie wymyślił autor danego programu raczej nie wchodzi w grę :-)
Moim zdaniem należy to usunąć - jeżeli da się inaczej skonfigurować program - to skonfigurować. Jeżeli się nie da - to trzeba by zwrócić się do autora programu. W najgorszym przypadku trzeba będzie zmienić program (chociaż wiadomo, że to może być problem chociażby ze względu na koszty).
Link do wypowiedziLink
Agnieszka D.

Agnieszka D. PMA

Temat: Zasada adekwatności

Dzięki :)
Będę wdzięczna za podpowiedź jak tego dokonać, żeby "wilk był syty i owca cała" ;)
Wspomniana osoba nie powinna mieć udzielonego upoważnienia do czasu "poprawienia" programu? To będzie generowało inne problemy w firmie, więc jestem przekonana, że taki plan spotka się z dużym niezadowoleniem kierownictwa.
Jakiś plan "B"?
Czy pozostaje mi jedynie nastawienie się na "wojnę"? ;)
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Zasada adekwatności

Nie znam wszystkich szczegółów mogę powiedzieć jak to wygląda od strony formalnej.

Rolą ABI jest "sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych", natomiast administrator danych "jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną".

Mówiąc ludzkim językiem - ABI jest od sprawdzania czy wszystko jest zgodnie z przepisami i informowania o tym administratora. Jeżeli zauważyłaś jest coś nie tak to masz obowiązek poinformować swojego administratora danych (prezesa, dyrektora itp.), wskazać mu co jest nie tak, jakie przepisy to narusza.

Potem piłka już jest po stronie administratora danych - to on odpowiada za ochronę danych osobowych i on podejmuje decyzje. W tym przypadku musi zdecydować czy udzielić upoważnienia tej osobie, czy najpierw zapewnić, że program, którego używacie zapewnia prawidłową ochronę danych.

Jeżeli chcesz podpowiedzieć administratorowi jaką decyzję powinien podjąć (ale nie masz takiego obowiązku) to musicie rozważyć jakie ryzyko stwarzacie dając tej osobie dostęp do danych do których nie powinna mieć dostępu i jakie mogą być potencjalne konsekwencje. Jeżeli ryzyko i konsekwencje nie są duże, a macie jakieś uzasadnienie, że musicie pilnie wydać te uprawnienia to możecie rozważyć zrobienie tego (ale jednocześnie rozpocząć kroki w kierunku poprawienia programu). Natomiast jeżeli konsekwencje mogą być poważne - to może jednak trzeba się wstrzymać z wydaniem uprawnień...

Co do ew. niezadowolenia kierownictwa - może jak im uświadomisz jakie mogą być ew. konsekwencje wypłynięcia danych to sami dojdą do wniosku, że lepiej tego nie robić... Tak czy owak, jeżeli będą przez Ciebie poinformowani (proponuję na piśmie) to potem jest już ich odpowiedzialność.
Link do wypowiedziLink
Agnieszka D.

Agnieszka D. PMA

Temat: Zasada adekwatności

Dzięki
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Zasada adekwatności

Agnieszka D.:
No właśnie, okazuje się, że system pozwala osobie "zajmującej się środkami trwałymi" widzieć jeszcze jedną daną osobową, która akurat wcale a wcale nie będzie jej potrzebna przy przetwarzaniu danych dot środków trwałych.

Jeśli chodzi o daną zwykła, nie daną wrażliwą, to ja mimo najszczerszych chęci, niezgodności prawnej aż nie widzę. Co najwyżej temat do poprawki.

Przecież zawsze można tymczasem zastosować organizacyjne środki ochrony. Nikt przy zdrowych zmysłach przecież nie będzie wydawał nagle kupy kasy na wdrożenie nowego programu (może też niepozbawionego wad), bo pani Zosia od środków trwałych widzi nazwisko panieńskie czyjejś matki. W przypadku podmiotu publicznego można by nawet rozważać niegospodarność.
Link do wypowiedziLink
Agnieszka D.

Agnieszka D. PMA

Temat: Zasada adekwatności

To prawda :)
Dzięki
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Zasada adekwatności

Paweł G.:

Jeśli chodzi o daną zwykła, nie daną wrażliwą, to ja mimo najszczerszych chęci, niezgodności prawnej aż nie widzę. Co najwyżej temat do poprawki.

Hm, czyli można upoważnić pracownika do dostępu do danych osobowych w zakresie szerszym niż niezbędny do wykonywania zadań?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Zasada adekwatności

Myślę, że pojęcie 'niezbędny' trzeba by wykładać, biorąc pod uwagę cały istniejący stan faktyczny.
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Zasada adekwatności

Paweł G.:
Myślę, że pojęcie 'niezbędny' trzeba by wykładać, biorąc pod uwagę cały istniejący stan faktyczny.

Czyli mam rozumieć, że jako 'niezbędny' rozumiesz dostęp z powodu braku możliwości wymiany oprogramowania? Kontrolerzy z GIODO chętnie by się tego czepili.

Jedynie jeżeli zostało to wykryte w trakcie przetwarzania to może by przeszło, jeżeli nałożyłbyś deadline np do końca roku i umotywował "koniecznością przystosowania systemów informatycznych, co jest czasochłonne i kosztowne" ;)
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Zasada adekwatności

Paweł L.:
Myślę, że pojęcie 'niezbędny' trzeba by wykładać, biorąc pod uwagę cały istniejący stan faktyczny.
Czyli mam rozumieć, że jako 'niezbędny' rozumiesz dostęp z powodu braku możliwości wymiany oprogramowania?

Raczej chętnie w oficjalnym procesie analizy ryzyka chciałbym uznać, że ryzyko jest szczątkowe, bo zastosowano odpowiednie organizacyjne środki ochrony. Przypominam, że redukowanie ryzyka musi następować do akceptowalnego poziomu kosztów, te nie mogą być niewspółmierne do rzeczywistego poziomu zagrożeń i zaplanowanych korzyści.

A GIODO... Hm, czy istnieje przepis, który wprost nakazuje przydzielić pracownikowi uprawnienia wyłącznie niezbędne do wykonywania obowiązków służbowych?
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj