Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...
Krzysztof W.:
Ad. "od kiedy w zakresie swoich obowiązków ma przetwarzanie danych" - a to zależy co należy do jej obowiązków ;)) - jeśli np. wywala papiery w których mogą się znaleźć dane osobowe i to na tym etapie ma się odbyć ostateczne sprawdzenie czy wszystko przeszło przez niszczarkę to bierze udział czy nie ? ;)
Ciekawe rozwiązanie ;-))) Tyle, że z zasad postępowania z danymi - czy w ogóle informacjami, osoby upoważnione, do jednej, drugiej czy innej tajemnicy odpowiadają OSOBIŚCIE za niszczenie wydruków zawierających takie informacje.
Jeśli przebywa w obszarze przetwarzania po godzinach pracy biura/urzędu itd. (czyli formalnie bez nadzoru osoby upoważnionej) to jak zauważył Pan Jarosław przydało by się upoważnienie do tego (i oczywiście stosowne szkolenie - np. co zrobić z papierami znalezionymi pod biurkiem, wyplutymi na podłogę przez faks /drukarkę itd ...), gdyż jak wynika z rozporządzenia każdy kto tam jest ma mieć upoważnienie lub być pod nadzorem właściwej osoby. Biorąc pod uwagę fakt, iż w ustawie nie przewidziano wprost możliwości wystawienia osobnego dokumentu nazywanego "upoważnieniem do przebywania w obszarze przetwarzania" to z formalnego punktu widzenia jest to upoważnienie do przetwarzania danych, którego zakres ogranicza się do wstępu do pomieszczeń i wykonywania zleconych czynności .
A dlaczego tylko z UODO w tym zakresie korzystać? Jeśli w obiekcie takim funkcjonuje ochrona fizyczna bezpośrednia, jednym z załączników jest instrukcja ruchu osobowego - w której znajdują się podstawy co do wydawania kart dostępu, przepustek osobowych - imiennych, stałych, tymczasowych i jednorazowych etc.
Plus w tym samym planie/instrukcji ochrony znajduje się analiza zagrożeń i ocena aktualnego stanu bezpieczeństwa, z której wynikają zasady ochrony zawarte w dalszych częściach planu/instrukcji.
W tym jednym z zakresów na jaki trzeba zwrócić uwagę są informacje prawnie chronione w tym również dane osobowe (metodyka uzgadniania planów ochrony wydana przez KGP - co prawda dotyczy obiektów ochrony obowiązkowej, ale łatwa do zastosowania).
Tym bardziej, że w każdej organizacji ruch osobowy i materiałowy może być regulowany na podstawie naprawdę wielu przepisów. ADR i substancje niebezpieczne wraz z prawem ochrony środowiska. Strefy pożarowe, zasady wynikające z produkcji - np GMP dla farmaceutyków czy kosmetyków i wiele innych.
Kontrola dostępu w takich zakresach winna moim zdaniem wynikać z ogólnych zasad istniejących w organizacji, a nie być odrębnym tworem. A ochronę na starych sprawdzonych strefach. Jak w niejawnych:
- strefa I to strefa do której wejście (otwarcie) umożliwia dostęp do informacji
- strefa II - to strefa do której wejście (otwarcie)
nie umożliwia dostępu do informacji
- strefa III - to strefa w której odbywa się kontrola osobowa i materiałowa.
Na polski - strefa III to posterunki ochrony (lub kontrola dostępu na wejściu do biura) - tu sprawdzana jest pani sprzątająca i ma wydawane klucze do miejsc w których sobie sama może.
Strefa II - pomieszczenia, wydzielone części organizacji do których dostęp jest na określonych zasadach (co najmniej szkolenia i w kontroli dostępu - na poziomie rozpoznania - zgodnie z normą), to sa te pomieszczenia co sama może.
Strefa I - pomieszczenia w których już sobie sama nie może - ideałem jest sprzątanie w obecności użytkownika pomieszczenia. Przy czym strefa taka może być też wytworzona (nieco inaczej niż w niejawnych) jako odpowiednie zabezpieczenie mechaniczne (kasy, kasety, szafy etc)
Konkludując ten kawałek. Dane osobowe mogą znaleźć się wszędzie - łącznie z parkingiem przed budynkiem (w koszu) czy to oznaczać by miało, że każdego przechodnia upoważnimy? ;-)
Mój apel - zanim zaczniemy nasze zasady wymyślać z kontrolą dostępu i ruchem osobowym, zobaczmy czy juz w organizacji nie istnieją takie zasady, a my tylko rozdział dopiszemy. Zdrowiej i dla nas (bo ludzie już na tym pracują i nie odbiorą tak źle jak całkiem nowych i do tego nakładających się często) i zdrowiej dla biznesu - bo nie będzie dublowania.
O ile sobie dobrze przypominam wypowiedzi GIODO w tej kwestii to w zasadzie nie wymaga On tego kwitu ale zawsze może zmienić podejście do sprawy jeśli konkretne okoliczności wskazywać będą na jakiś (choćby szczątkowy) udział w procesie przetwarzania (choćby segregacja papierów, o której wspomniałem).
Przepraszam, ale pozwolę się nadal nei zgodzić, że sprzątaczka powinna jakiekolwiek papiery segregować zawierające jakiekolwiek tajemnice ;-) Na audycie zawsze wypisuję to co najmniej jako potencjał doskonalenia (obserwację).
A tak na marginesie to dając stosowne upoważnienie i szkoląc w kontekście ochrony danych administrator działa w myśl "dokładania SZCZEGÓLNEJ staranności w ochronie praw osób, których dane przetwarza" - jeśli znaleziony na podłodze /pod biurkiem /za szafą itp. papier / teczka zawiera dane a dorwie go osoba nieprzeszkolona i bez upoważnienia to właściwie może z nim zrobić co chce (oczywiście w ramach usunięcia śmieci - np przekazać dziennikarzowi ;)) i nie bardzo widzę możliwość wyciągania wobec niej konsekwencji - co oczywiście zmienia się po wydaniu upoważnienia (wchodzi tajemnica danych) - za to sam potencjalnie konsekwencje może ponieść jako ktoś kto stworzył dziurawy system ochrony.
Bardzo fajny model szkolenia i strefowania ma również prawo lotnicze. Tam oczywiście terroryści wszędzie ;-))) Ale model można sobie zaimportować - każda osoba wchodząca do strefy chronionej (nieco inaczej sie nazywa, ale już nie będę mieszał) ma obowiązek być przeszkolona.
Podobnie jest w GMP - dobre praktyki produkcyjne, dla farmaceutyków, kosmetyków czy innej produkcji czystej. Po prostu w strefach, w których ustanowiono jakąkolwiek ochronę z jakiegokolwiek powodu - przed dostępem do strefy odbywa się szkolenie.
Inna opcją jest wykonywania zadań prewencyjnych (zapobiegawczych,nie tylko odstraszających) przez ochronę fizyczną. Patrol po zamknięciu biur, jeszcze przed wejściem firm sprzątających. Patrol taki ma za zadanie zidentyfikowanie i usunięcie w miarę możliwości wszystkich możliwych zagrożeń, które mogą generować jakiekolwiek ryzyka. I w jakimkolwiek zakresie - bo te akurat się nieco nie rozdzielają.
Np wyłączyć odbiorniki prądu - dla danych osobowych będzie to ochrona przed zniszczeniem w wyniku pożaru. Oczywiście stosowny kwit - bo niezgodność (praktycznie każdy regulamin pracy zawiera ten kawałek, a do tego jest tez w IBP)
Zamknąć okna - w tym dla danych osobowych ryzyko jak wyżej, ale w wyniku zagrożenia jakim jest woda.
Masa innych, oraz zadanie dodatkowe - wszystkie sale konferencyjne, pomieszczenia, etc, na okoliczność:
Pozostawionych kwitów zawierających materiały podlegające zabezpieczeniu (tzw procedura czystego biurka - clean desk). W skrajnych przypadkach to nie tylko informacje, to tez wizytówki, korespondencja etc. Na biurkach powinny zostawać co najwyżej katalogi firm zewnętrznych i materiały biurowe.
Sprawdzenia sal konferencyjnych - nie tylko co do kwitów, również tego co zostało na tablicach. Ale czasem to wynika np z 5S - jako systemu zarządzania i juz jest elementem do poprawy ;-)
Sprawdzenia niszczarek i drukarek na korytarzach - na obecność jak w cleandesku.
I na wszystko procedura zabezpieczenia i dostarczenia rano do wodza.
Naprawdę sprzątaczki nie upoważniałbym, a dowód powyżej.
пропозиції роботи
