Temat: Dostęp do książki adresowej pracowników firmy wymaga...
Nieco się zagubiłem w dyskusji.
Po pierwsze - dane osobowe dotyczące pracowników, są nie dlatego że można dzięki nim zidentyfikować osobę, a dlatego, że dotyczą zidentyfikowanej osoby. Innymi słowy - każda informacja o pracowniku przetwarzana przez pracodawcę jest daną osobową. To wszystko za sprawą "lub" w definicji.
Po drugie - ten zestaw danych osobowych, jest... zestawem, a nie nowym zbiorem. Dane są do celu zatrudnienia a wystawione w Intranecie do celu wykonywania pracy tych osób. Nie bardzo rozumiem cel i sens robienia z tego nowego zbioru danych osobowych w takim aspekcie, bo moim zdaniem nadal to jest zbiór danych - pracownicy, a cel- świadczenie pracy.
Po trzecie przewinęło się, że sobie dział jakiś chce zbiór zrobić. Otóż, nie ma czegoś takiego, jak dział sobie chce. Jak szef działu dostanie pełnomocnictwo od ADO o tym, że jego funkcje będzie realizował, to może i OK (choć ja uważam, że nie). Ale nadal o utworzeniu nowego zbioru decyduje ADO.
Po czwarte - znam różne koncepcje inspektorów GIODO co do zbiorów, w zależności od tego kto był wodzem. Na przestrzeni ostatnich 15 lat jak pracuję z informacjami koncepcje były różne i stanowiska też były różne, niektórych już na stronie GIODO nie ma, a rejestru tych jakie były i z których się wycofali niestety nie ma. Ale ze zbiorem łączą się dwi cechy:
Musi być określony cel przetwarzania danych osobowych
Musi być określony zakres przetwarzania danych osobowych.
I ocenę, czy w ogóle dany zbiór jest (będzie) nowym zacząłbym od oceny, jaki jest rzeczywisty cel przetwarzania danych. Proponuję metodę 5 WHY, czyli 5 razy dlaczego - dla celu przetwarzania. I powyższy zbiór przepuszczając tak przy porannej kawie:
Dlaczego mamy taki zbiór w intranecie?
Żeby było wiadomo, do kogo jest jaki kontakt.
Dlaczego chcemy to wiedzieć?
Żeby było wiadomo, do kogo dzwonić w jakiej sprawie (na podstawie regulaminu organizacyjnego).
Dlaczego chcemy wiedzieć do kogo dzwonić?
Żeby właściwy dział, pracownik wykonał pracę.
Czyli - zbiór jest utworzony po to, aby konkretne osoby wykonywały pracę, do której zostały zatrudnione. 5WHY rzadko dochodzi do 5 pytania, z reguły rozjaśnia się przy 2-3. Polecam, bo naprawdę potrafi poukładać.
PS - każdą taką "burzę" warto odnotować i pozostawić w kwitach. Np. na przeglądzie, czy w trakcie dyskusji o nowym zbiorze lub modyfikacji starego. Na wypadek kontroli - będzie podstawa do uzasadnienia. Oczywiście znów tutaj role są odwrócone, bo to inspektor powinien wprost wskazać naruszony przepis, a nie my się bronić, ale życie jest życie.
PS2 - Warto posiadać instrukcję tworzenia, modyfikacji i usuwania zbiorów. Zgodnie z zasadą której hołduję - Polityka jako jeden, wiodący dokument, a do tego załączniki w postaci instrukcji (lub procedur - jak kto ma w firmie), w których określane będzie co robić w takim przypadku. I jako instrukcja do zapoznania tylko dla osób nadzorujących konkretne zbiory, pracownikom można odpuścić taką lekturkę.