GoldenLine
Zaloguj się
Dorian Jateowicz

Dorian Jateowicz Specjalista
Logistyk, urząd

Temat: Zmiana upoważnienia

Witam,

Zastanawiam się, w sumie, nad kwestią techniczną upoważnienia do przetwarzania danych, a mianowicie, czy umieszczacie Państwo we wzorze dane do uzupełnienia w zakresie stanowiska, komórki organizacyjnej itp.

Jeżeli tak, to czy przy zmianie działu ale bez zmiany dostępu do danych osobowych trzeba wydawać nowe upoważnienie ?

Czy może stworzyć upoważnienie żeby nie było konieczności wpisywania dodatkowych danych takich jak stanowisko służbowe, komórka organizacyjna ?

Z góry dzięki za odpowiedź
Link do wypowiedziLink
Magdalena O.

Magdalena O. pracownik ds. kadr,
Inspektor ochrony
danych

Temat: Zmiana upoważnienia

Ja nie podawałam stanowiska, ze względu właśnie na to, że bardzo często się one zmieniają..
Link do wypowiedziLink
Dorian Jateowicz

Dorian Jateowicz Specjalista
Logistyk, urząd

Temat: Zmiana upoważnienia

Magdalena J.:
Ja nie podawałam stanowiska, ze względu właśnie na to, że bardzo często się one zmieniają..


Yhym...,

Czyli ograniczałaś się tylko do imienia i nazwiska ?
Link do wypowiedziLink
Magdalena O.

Magdalena O. pracownik ds. kadr,
Inspektor ochrony
danych

Temat: Zmiana upoważnienia

Nie, bo mogą się zdarzyć pracownicy o tym samym imieniu i nazwisko. Ja mam adres i numer PESEL, chociaż nad poprawnością tego sama się w tym momencie zaczęłam zastanawiać.. ;)
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Zmiana upoważnienia

Dorian J.:
Zastanawiam się, w sumie, nad kwestią techniczną upoważnienia do przetwarzania danych, a mianowicie, czy umieszczacie Państwo we wzorze dane do uzupełnienia w zakresie stanowiska, komórki organizacyjnej itp.
Rozważ, czy ma to u Ciebie jakiekolwiek znaczenie z punktu widzenia organizacji ochrony. Jakie?
W jakim celu nadajesz upoważnienia? Co musisz za ich pomocą wykazać w razie kontroli?
Link do wypowiedziLink
Kinga Karda

Kinga Karda SPECJALISTA DS.
CONTROLLINGU, organ
publiczny

Temat: Zmiana upoważnienia

Paweł G.:
Dorian J.:
Zastanawiam się, w sumie, nad kwestią techniczną upoważnienia do przetwarzania danych, a mianowicie, czy umieszczacie Państwo we wzorze dane do uzupełnienia w zakresie stanowiska, komórki organizacyjnej itp.
Rozważ, czy ma to u Ciebie jakiekolwiek znaczenie z punktu widzenia organizacji ochrony. Jakie?
W jakim celu nadajesz upoważnienia? Co musisz za ich pomocą wykazać w razie kontroli?


W ramach kontroli jest ważne, czy ktoś ma upoważnienie w odpowiednim zakresie i czy tylko przetwarza te dane, do których jest upoważniony.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Zmiana upoważnienia

Otóż to!
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Zmiana upoważnienia

Czy upoważnienie do przetwarzania bez podania stanowiska (komórki organizacyjnej) jest właściwe?
Warto odpowiedzieć sobie na to pytanie na przykładzie:
zbiór: pracownicy, forma cyfrowa (zintegrowany program X) i papierowa
osoba A
zatrudniona w komórce kadry na stanowisku specjalista ds. płac (program X i papierowa),
przeniesiona do komórki administracja na stanowisko specjalista - wydawanie środków higieny (program X i papierowa),
przeniesiona do na stanowisko specjalista ds. bhp (program X i papierowa).
Przeniesienia związane są z nowym zakresem obowiązków. Za każdym razem osoba A przetwarza dane osobowe ze zbioru pracownicy, tyle, że w innym zakresie.
Czy upoważnienie nie zawierające komórki i stanowiska jest prawidłowe?
Jak wytłumaczycie dostęp pracownika innej komórki do danych płacowych ?
Link do wypowiedziLink
Dorian Jateowicz

Dorian Jateowicz Specjalista
Logistyk, urząd

Temat: Zmiana upoważnienia

Przeniesienia związane są z nowym zakresem obowiązków. Za każdym razem osoba A przetwarza dane osobowe ze zbioru pracownicy, tyle, że w innym zakresie.
Czy upoważnienie nie zawierające komórki i stanowiska jest prawidłowe?
Jak wytłumaczycie dostęp pracownika innej komórki do danych płacowych ?

Jeżeli zdecydujemy się na wpisywanie w upoważnienie komórki, to przy każdej zmianie komórki organizacyjnej należy zmienić upoważnienie.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Zmiana upoważnienia

W innym przypadku dochodzi do sprzeczności zakresu upoważnienia z zakresem obowiązków. Np. osoba A upoważniona do danych płacowych (pierwotnie) ale w zakresie obowiązków żadnych takich nie znajdzie (obecnie bhp). Co wówczas ważniejsze - upoważnienie czy zakres obowiązków?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Zmiana upoważnienia

Dorian J.:
Jeżeli zdecydujemy się na wpisywanie w upoważnienie komórki, to przy każdej zmianie komórki organizacyjnej należy zmienić upoważnienie.
To jest tak oczywiste, jak to, że woda mokra. Upoważnienia to nie jest kwestia papierologii, to ma adekwatnie sytuować daną osobę w strukturze organizacji, zapewniając dostęp tylko do tych informacji (danych, w tym danych osobowych), które są niezbędne z puntu widzenia obowiązków służbowych.
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: Zmiana upoważnienia

My stosujemy jeszcze jedno rozwiązanie.

Umożliwiamy ADO wydawanie upoważnień do przetwarzania danych osobowych zgodnie z zakresem obowiązków.

Wymaga to przypilnowania kadr i kierowników, aby odpowiednio modyfikowały zakresy obowiązków. Natomiast jeśli te są aktualne, to całość działa dość szczelnie.
Link do wypowiedziLink
Dorian Jateowicz

Dorian Jateowicz Specjalista
Logistyk, urząd

Temat: Zmiana upoważnienia

Jan S.:
My stosujemy jeszcze jedno rozwiązanie.

Umożliwiamy ADO wydawanie upoważnień do przetwarzania danych osobowych zgodnie z zakresem obowiązków.

Wymaga to przypilnowania kadr i kierowników, aby odpowiednio modyfikowały zakresy obowiązków. Natomiast jeśli te są aktualne, to całość działa dość szczelnie.


Też tak chciałem zrobić ale na szkoleniu powiedziano mi, że jest to najgorsza opcja i przy pierwsej kontroli będzie zarzut.
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: Zmiana upoważnienia

Dorian J.:
Jan S.:
My stosujemy jeszcze jedno rozwiązanie.

Umożliwiamy ADO wydawanie upoważnień do przetwarzania danych osobowych zgodnie z zakresem obowiązków.

Wymaga to przypilnowania kadr i kierowników, aby odpowiednio modyfikowały zakresy obowiązków. Natomiast jeśli te są aktualne, to całość działa dość szczelnie.


Też tak chciałem zrobić ale na szkoleniu powiedziano mi, że jest to najgorsza opcja i przy pierwsej kontroli będzie zarzut.

Zgadzam się, że pewnych organizacjach może to być rozwiązanie trudniejsze do przypilnowania niż same upoważnienia. Dlatego kluczowym, wg mnie, jest wybranie podmiotu, w którym takie upoważnienie będzie w stanie pokrywać się z zakresami obowiązków. Istotne jest także to w jaki sposób te zakresy są sformułowane.

Kontrola, kontrolą. Kluczowe jest, aby zapewnić zarządzanie uprawnieniami i móc to wykazać, wtedy będziemy bezpieczni.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Zmiana upoważnienia

Jan S.:
Wymaga to przypilnowania kadr i kierowników, aby odpowiednio modyfikowały zakresy obowiązków. Natomiast jeśli te są aktualne, to całość działa dość szczelnie.
Tylko papierologia się zgadza, ale nie ma rzeczywistej kontroli ABI nad czynnościami związanymi z odebraniem osobie dostępu do danych dotychczasowych i nadaniem mu praw dostępu do nowych danych.

Przecież to trzeba co najmniej:
- ocenić całościowo, do jakich konkretnie danych ma mieć dostęp ta osoba po nowemu, do jakich dokumentów, do jakich pomieszczeń, do jakich systemów, do jakich nośników, do jakiego sprzętu itd.
- odebrać klucze do niektórych szaf i pomieszczeń, przydzielić nowe klucze i być może zweryfikować zasady ich pobierania, zwrotu, nadzoru nad tym itd.
- poinformować wszystkich, którzy muszą wiedzieć o zmianie zakresu uprawnień tej osoby, żeby nikt nie udzielał tej osobie dostępu do danych i pomieszczeń na dawnych zasadach
- zmienić konfigurację systemów IT, zresetować hasła, zweryfikować, czy informatyk zrobił to prawidłowo, czy nowy zakres uprawnień w systemach IT rzeczywiście odpowiada nowemu zakresowi czynności, czy też osoba może nadal ma dostęp do jakiegoś folderu lub dokumentu elektronicznego, do którego już nie ma upoważnienia
- rozliczyć pracownika z dokumentów i nośników IT, za które był dotychczas odpowiedzialny
- przeszkolić osobę z zagrożeń dla bezpieczeństwa danych i legalności ich przetwarzania na nowym stanowisku (pewnie będzie się wymieniać danymi z innymi ludźmi, niż dotychczas, także z ludźmi spoza organizacji: pracownikami kontrahentów, odbiorcami danych itp.), inni ludzie będą przychodzić do pomieszczeń, za które teraz ta osoba odpowiada - przecież człowiek musi wiedzieć, kto z nich jest do czego upoważniony i w jakim ew. zakresie, co musi komu udostępnić, co może, czego absolutnie nie.

Papierologię zrobić łatwo, trudniej nie mieć naruszeń.
Link do wypowiedziLink
Ewa C.

Ewa C. Inspektor Ochrony
Danych, auditor ISO,
Urząd Miasta
Zielonka

Temat: Zmiana upoważnienia

Pozwoliłam się podpiąć pod temat, ale trochę z innej strony :) już zgłupiałam i zastanawiam się, czy jestem przewrażliwiona

W upoważnieniach, które wydaję zawarłam informację, że "Upoważnienie obowiązuje od dnia wydania upoważnienia do zakończenia zatrudnienia [albo" do dnia XXX"] lub zmiany w zakresie obowiązków wpływających na powyższy zakres upoważnienia". No i pracownik, który był zatrudniony do końca tego roku jako pomoc administracyjna wygrał w międzyczasie konkurs na stanowisko podinspektora. Zajmuje się dokładnie tym samym, co wcześniej, ale poprzednia umowa została zakończona przed czasem a nowa podpisana 15 listopada. Ja się o tym fakcie dowiedziałam przypadkiem dzisiaj... :)

teraz dwa pytania:
1. czy w momencie wygaśnięcia/zerwania poprzedniej umowy od razu wydajecie nowe upoważnienie? (zakres i wydział się nie zmienił, ale stanowisko i data, do której upoważnienie obowiązuje - już tak),
2. czy taką sytuację ewidencjonujecie jako naruszenie? ja tak bym zrobiła, ale bez zgłaszania do UODO - choćby i ze względu na straszak dla osoby, która jest odpowiedzialna za zgłaszanie potrzeby wydania upoważnienia ;)

Z góry dzięki
Link do wypowiedziLink
Jakub B.

Jakub B. IOD (DPO)

Temat: Zmiana upoważnienia


teraz dwa pytania:
1. czy w momencie wygaśnięcia/zerwania poprzedniej umowy od razu wydajecie nowe upoważnienie? (zakres i wydział się nie zmienił, ale stanowisko i data, do której upoważnienie obowiązuje - już tak),
2. czy taką sytuację ewidencjonujecie jako naruszenie? ja tak bym zrobiła, ale bez zgłaszania do UODO - choćby i ze względu na straszak dla osoby, która jest odpowiedzialna za zgłaszanie potrzeby wydania upoważnienia ;)

Z góry dzięki
W mojej ocenie do nowej umowy (nowe stanowisko) powinien otrzymać nowe upoważnienie do przetw. danych
Jeśli osoba jest przeszkolona z przetw. danych, to naruszenie do wew rejestru i po premii dla osoby która nie zgłosiła zmiany.
Oczywiście nie traktuj mojej opinii jako wyroczni :)
Dobrze jest wymusić proceduralnie tzw. "startowy zestaw dokumentów" - must have, żeby się takie sytuacje nie zdarzały więcej
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: Zmiana upoważnienia

Ewa C.:
W upoważnieniach, które wydaję zawarłam informację, że "Upoważnienie obowiązuje od dnia wydania upoważnienia do zakończenia zatrudnienia [albo" do dnia XXX"] lub zmiany w zakresie obowiązków wpływających na powyższy zakres upoważnienia". No i pracownik, który był zatrudniony do końca tego roku jako pomoc administracyjna wygrał w międzyczasie konkurs na stanowisko podinspektora. Zajmuje się dokładnie tym samym, co wcześniej, ale poprzednia umowa została zakończona przed czasem a nowa podpisana 15 listopada. Ja się o tym fakcie dowiedziałam przypadkiem dzisiaj... :)

teraz dwa pytania:
1. czy w momencie wygaśnięcia/zerwania poprzedniej umowy od razu wydajecie nowe upoważnienie? (zakres i wydział się nie zmienił, ale stanowisko i data, do której upoważnienie obowiązuje - już tak),
2. czy taką sytuację ewidencjonujecie jako naruszenie? ja tak bym zrobiła, ale bez zgłaszania do UODO - choćby i ze względu na straszak dla osoby, która jest odpowiedzialna za zgłaszanie potrzeby wydania upoważnienia ;)

Z góry dzięki
Wasze upoważnienie zawiera warunek konieczny - zakończenie zatrudnienia. Ogólne ujęcie nakazuje przyjąć, że chodzi o zakończenie zatrudnienia u tego pracodawcy, a nie na tym stanowisku (tak na marginesie - widać jak ważne jest stosowanie precyzyjnych zwrotów).
Czy przejście na inne stanowisko jest zakończeniem zatrudnienia? Można wątpić gdyż najczęściej w takiej sytuacji pracownik otrzymuje tzw. wypowiedzenie zmieniające, czyli nadal jest zatrudniony.

Upoważnienie zawiera dwa warunki zawieszające stosowania warunku koniecznego:
a) termin,
b) zamiany zakresu obowiązków, ale nie każdej tylko takiej która wpływa na zakres upoważnienia.
Pierwszy przypadek, z opisu, nie występuje. Drugi ma jak najbardziej zastosowanie, gdyż zakres obowiązków się nie zmienił - co sama wskazałaś. Tym samym upoważnienie pod tym względem jest ważne.

Niestety pytania nie korespondują z przedstawioną sytuacją.
1. Czym innym jest wygaśnięcie, a czym innym zerwanie umowy. Inną są tego konsekwencje. W omawianym przypadku mogło dojść do rozwiązania umowy za zgodą stron.
2. Jeśli wdrożysz procedurę naruszenia, to ... narażasz się na 37.5.rodo, a wówczas to nie straszak dla osoby ale brak poważania dla IODa zadziała.
Link do wypowiedziLink
Ewa C.

Ewa C. Inspektor Ochrony
Danych, auditor ISO,
Urząd Miasta
Zielonka

Temat: Zmiana upoważnienia

Dzięki za wasze opinie.
Takie rozwiązanie podpowiedziała mi "profesjonalna" firma zajmująca się bezpieczeństwem systemów IT i po trochu ochroną danych. O ile na IT może się znają, o tyle na ochronie danych wynika, że niet...

Z analizy tej sytuacji i wielu innych przyczyn wychodzi na to, że wprowadzona procedura upoważniania pracowników nie zdaje egzaminu. Dalej - zakresy obowiązków są mocno nieaktualne a niektórzy ich w ogóle nie posiadają i nie mam na to realnego wpływu, więc wrzucenie tam upoważnienia do konkretnych procesów też nie będzie się sprawdzać. Na szczęście dogrzebałam się do pomysłu Grzegorza Krzemińskiego, wychodzi na to, że i u mnie się może sprawdzić :) zobaczymy
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj