GoldenLine
Zaloguj się
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Propozycje zmian w ustawie o ochronie danych osobowych

Szanowni Państwo,
Na forum SABI p. Maciej Byczkowski napisał: Wczoraj 29 maja, Generalny Inspektor Ochrony Danych Osobowych, p. Min. Wojciech Wiewiórowski, przesłał do Ministerstwa Gospodarki projekt nowelizacji ustawy o ochronie danych osobowych, który dołączony będzie do pakietu ustawy deregulacyjnej. Projekt zmian obejmuje m.in. zmianę statusu ABI oraz obowiązków, dotyczących zgłaszania zbiorów danych do rejestracji GIODO.

Projekt wraz z listem przewodnim jest dostępny na stronie SABI:
http://www.sabi.org.pl/attachments/File/do_pobrania/pr...
http://www.sabi.org.pl/attachments/File/do_pobrania/pr...

Wpis dostępny jest pod adresem http://www.forum.sabi.org.pl/viewtopic.php?f=28&t=62

Ciekaw jestem Państwa opinii o tym projekcie.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Propozycje zmian w ustawie o ochronie danych osobowych

Idea bardzo mi się podoba. Nie jest dla mnie istotne, że nie będziemy musieli zgłaszać części zbiorów (to raczej ułatwienie dla Biura GIODO), ale określenie zadań ABI, wprowadzenie obowiązku tworzenia sprawozdania z kontroli to bardzo dobre kroki.

Na wczorajszym „Internetowym Spotkaniu”, mówiłem o projekcie nowelizacji, przygotowanym przez SABI. Powiedziałem, że podoba mi się pomysł, że dane wrażliwe będzie można przetwarzać bezpośrednio po ich zgłoszeniu, jeżeli ABI wyda pozytywną opinię. Powiedziałem też, że moim zdaniem, nowelizacja nie daje tutaj ABI wystarczających narzędzi i niezależności. Dlatego, pomimo, że ułatwiłoby to życie administratorom danych, dobrze, że nie znalazło się w końcowym projekcie.

Kilka wątpliwości:
-„ zaznajamianie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych”. Czy ABI musi robić to osobiście? Co oznacza „zaznajamianie” – czy jeżeli ABI wręczy osobie wydrukowaną ustawę, to osoba będzie już „zaznajomiona”? Jeżeli mówimy to osobie która dopiero rozpoczyna pracę, to moim zdaniem powinna zostać zaznajomiona zanim będzie „osobą upoważnioną”.
-Administrator może powołać zastępców ABI, ale czy taki zastępca może np. prowadzić kontrole zlecanie przez GIODO?
-Nie zgłaszamy zbiorów które nie są „prowadzone” w wykorzystaniem systemów informatycznych. A co to oznacza? I czym się różni od przetwarzania?

Nieprawdziwe jest moim zdaniem twierdzenie, że zwolnienie z obowiązku rejestracji zbioru, zmniejszy obciążenie Administratorów danych. Chyba, że zakładamy, że nie będą już musieli zabezpieczać danych, tworzyć polityki, wydawać upoważnienia… Bo samo wypełnienie wniosku o rejestrację, pracochłonne na pewno nie jest.

A czy mamy jakieś informacje, kiedy orientacyjne jest szansa na uchwalenie nowelizacji?
Link do wypowiedziLink

konto usunięte

Temat: Propozycje zmian w ustawie o ochronie danych osobowych

Zgodnie ze słowami min. Wiewiórowskiego mato nastąpić w ramach tzw. trzeciego pakietu deregulacyjnego.
Link do wypowiedziLink
Krzysiek Juszczak

Krzysiek Juszczak Specjalista ds.
bezpieczeństwa

Temat: Propozycje zmian w ustawie o ochronie danych osobowych

Jarosław Żabówka:
-Nie zgłaszamy zbiorów które nie są „prowadzone” w wykorzystaniem systemów informatycznych. A co to oznacza? I czym się różni od przetwarzania?


No właśnie też mnie to ciekawi.
bo zgodnie z art. 7 UODO
Ilekroć w ustawie jest mowa o:
systemie informatycznym – rozumie się przez to zespół współpracujących
ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi
programowych zastosowanych w celu przetwarzania danych,

Na to wychodzi jeżeli Pan X prowadzi ewidencję/rejestr z danymi osobowymi w excelu to już podlega pod definicje i zbiór i tak trzeba będzie zgłosić.

Oczywiście nie ma problemów jeżeli stosuje się specjalne oprogramowanie do przetwarzania to jest wszystko jasne że to jest system informatyczny ale w przypadku z excelem?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Propozycje zmian w ustawie o ochronie danych osobowych

Przypadek z excelem jest dość ciekawy. nie spełnia wymagań rozporządzenia - nie powinien być stosowany do przetwarzania danych osobowych w zbiorach
Link do wypowiedziLink
Krzysiek Juszczak

Krzysiek Juszczak Specjalista ds.
bezpieczeństwa

Temat: Propozycje zmian w ustawie o ochronie danych osobowych

Grzegorz K.:
Przypadek z excelem jest dość ciekawy. nie spełnia wymagań rozporządzenia - nie powinien być stosowany do przetwarzania danych osobowych w zbiorach

Jest ciekawym właśnie bo z doświadczenia wiem, że często stosowany niestety :)

Chciaż można go przy pomocy AD i makr dobrze zabezpieczyć by dla konkretnych osób był dostępny
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Propozycje zmian w ustawie o ochronie danych osobowych

Zadaj pytanie tym osobom, czy muszą naprawdę przetwarzać dane osobowe w tym excelu. nieco utrudnień, ale potem jak się okazuje, 75 do nawet 90% wykorzystania excela jest do działań statystycznych, gdzie można posługiwać się np numerem kadrowym, numerem reklamacji, numerem statystycznym zgłoszenia.
Link do wypowiedziLink
Krzysiek Juszczak

Krzysiek Juszczak Specjalista ds.
bezpieczeństwa

Temat: Propozycje zmian w ustawie o ochronie danych osobowych

Grzegorz K.:
Zadaj pytanie tym osobom, czy muszą naprawdę przetwarzać dane osobowe w tym excelu. nieco utrudnień, ale potem jak się okazuje, 75 do nawet 90% wykorzystania excela jest do działań statystycznych, gdzie można posługiwać się np numerem kadrowym, numerem reklamacji, numerem statystycznym zgłoszenia.


Dokładnie tak samo, postępuje :) i w zupełności sie z Pane zgadzam

a tak nawiązując do projektu nowelizacji, czy wie ktoś może czy będzie zmieniane rozporządzenie do UODO odnośnie wymagań polityki i instrukcji?
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Propozycje zmian w ustawie o ochronie danych osobowych

W czasie jednej z ubiegłorocznych konferencji, przedstawiciel Biura GIODO, przyznał, że rozporządzenie jest archaiczne i powinno zostać zmienione. Mam nadzieję, że będzie zmienione jak najszybciej, chociaż zgaduję, że nie nastąpi to przed nowelizacją ustawy...

Ale, rzeczywiście, informacja, kiedy możemy się spodziewać jakiś zmian byłaby interesująca -pomogłaby administratorom zaplanować prace.

Ważne może być w jakim kierunku pójdą zmiany.

Rozumem, że celem twórców obowiązującego rozporządzenia było ułatwienie życia administratorów danych i zdjęcie z nich obowiązku prowadzenia analizy ryzyka. W zamian dostaliśmy trzy poziomy zabezpieczeń.
Kiedyś wyobrażałem sobie, że dobrym rozwiązaniem mogłoby być danie administratorom wyboru – albo prowadzicie analizę ryzyka (może nawet tworzycie system zgodny z normą), albo stosujecie zabezpieczenia określone szczegółowo w rozporządzeniu. Ale teraz, być może, powinniśmy iść w stronę PIA?
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Propozycje zmian w ustawie o ochronie danych osobowych

Analiza ryzyka musi zostać prowadzona w sposób ciągły ponieważ sama ochrona danych jest procesem ciągłym niezależnie od poziomu zabezpieczeń.

Po pierwsze oprócz ryzyk stałych, które również ulegają ewolucji w czasie, mamy zawsze do czynienia z ryzykami zmiennymi lub okresowymi (np. ujawnienie danych przed wprowadzeniem nowego produktu).

Po drugie techniki przetwarzania informacji szczególnie wykorzystujące systemy komputerowe ciągle się rozwijają i zmieniają. Tak więc to co możemy uznać za poziom wysoki dzisiaj za rok może być zaledwie poziomem średnim lub nawet niskim.

Ponadto nowe technologie informatyczne rodzą nowe lub zmieniają stare problemy. Klasycznym przykładem jest cloud. Jeszcze kilka lata temu uważano tą technologię za super bezpieczną i rozwiązującą wszelkie problemy. Obecnie dostrzega się, że zagrożenia obecne w klasycznych systemach komputerowych występują również w chmurze a ponadto pojawiają się nowe związane bezpośrednio z tą technologia.

Zgadzam się, ze w obecnej formie rozporządzenie jest nie doskonałe. Jednak idea określenia poziomów zabezpieczeń wydaje mi się jednak trafna.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Czy istnieje instruktaz dla...




Wyślij zaproszenie do
Anuluj