GoldenLine
Zaloguj się

konto usunięte

Temat: Arkusz kalkulacyjny a identyfikowalność i rozliczalność

Często stykam się z sytuacją gdy określona firma lub organizacja przetwarza dane osobowe w arkuszach kalkulacyjnych - Excel, OpenOffice itd. O ile mi wiadomo, nie ma takiej wersji tych programów, która rejestrowałaby zmiany w zbiorze (arkuszu), w taki sposób aby spełniać przesłanki ustawy dotyczące możliwości określenia od kiedy przetwarza się dane osobowe, komu udostępnia itd. Ponadto o ile zauważyłem, żaden z arkuszy nie odnotowuje autora i daty zmian w zbiorze w sposób jednoznaczny.
Takie przetwarzanie zdaje się zatem być niezgodne z ustawą, zatem właściwe byłoby wyłączenie Excela, Accessa, OpenOffice i całej reszty pakietów biurowych z listy oprogramowania, mogącego wchodzić w skład szeroko rozumianego systemu IT, służącego do przetwarzania danych osobowych. Zauważyłem też że GIODO przy okazji kontroli, również zwraca na to uwagę, więc nie jest to problem martwy.

Czy Excela i spółkę należy zatem kategorycznie wykluczać z listy oprogramowania służącego do przetwarzania danych osobowych - czy też należy szukać kruczków aby ująć to w Instrukcji Zarządzania tak aby dopuścić taką możliwość (np. motywując to włączeniem systemu kontroli zmian w pliku oraz zawężeniem dostępności dokumentu Excela wyłącznie do jednej osoby, która może na nim pracować wraz z zastosowaniem ochrony hasłem)?
Link do wypowiedziLink
Michał Faber

Michał Faber ABI/Audytor ODO &
ISO 27001

Temat: Arkusz kalkulacyjny a identyfikowalność i rozliczalność

wprawdzie wymienione narzędzia nie odnotowują automatycznie informacji wymaganych przez UoODO, ale można przecież stosować dodatkowe pola (np. kolumny) żeby te informacje odnototwywać ręcznie - np. Excel to umożliwia i tylko od ADO zależy czy wywiąże się z obowiązku, który powinien być wprowadzony jakąś procedurą
Link do wypowiedziLink

konto usunięte

Temat: Arkusz kalkulacyjny a identyfikowalność i rozliczalność

Można - lecz czy takie ręczne odnotowanie np autora wpisu czy daty zmian w wierszu ma jakikolwiek sens w kontekście rozliczalności danych? Każdy, kto ma dostęp do arkusza (zakładam że posiada pełnomocnictwo do przetwarzania danych osobowych w zbiorze) może wpisać w kolumnach "autor" czy "data zmian" dowolne dane - chyba że Excel może zostać obsłużony odpowiednimi makrami, które umożliwią taką automatyzację, która zapewni zapisywanie do odpowiednich kolumn informacji o zalogowanym użytkowniku (np z ActiveDirectory). Jednocześnie zaś nie pozwolą na ręczne grzebanie w tych kolumnach...
Musiałoby to być coś w rodzaju triggerów podobnie jak ma to miejsce w SQL (nie siedzę w Excelowych makrach, więc nie wiem na ile jest to realizowalne).
W innym wypadku, przy wielu użytkownikach arkusza, nie widzę drogi, która pozwoliłaby odpowiedzieć na pytanie kto, co i kiedy zmienił - a chcąc sprostać wymogowi rozliczalności, takie dane powinny być dostępne... O ile też pamiętam (nie mam UODO pod ręką), jest tam wzmianka która sugeruje, że zmiany powinny być odnotowywane automatycznie w odniesieniu do danego wiersza w tabeli...

Problem o tyle ciekawy, że sporo firm, używa Excela jako bazy danych do wszystkiego. Próba wprowadzenia zasad kontroli zmian w zbiorze danych, bez rezygnacji z ulubionego arkusza urasta do roli problemu, którego często nie da się łatwo rozwiązać. Zarówno same osoby pracujące ze zbiorem jak też niekiedy osoby decyzyjne nie chcą słyszeć o konieczności zmiany technologii obsługi wykazu klientów z Excela do czegoś... bardziej odpowiedniego...
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Arkusz kalkulacyjny a identyfikowalność i rozliczalność

Niestety, ale rozporządzenie jest tu jednoznaczne: „ Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.” – ręczne wprowadzanie danych nie jest rozwiązaniem.
W praktyce, arkusze kalkulacyjne wykorzystywane do przetwarzania danych okazują się często nierozwiązywalnym problemem...
Informacje nie muszą być odnotowywane w wypadku „systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie” – czasami można się ratować w ten sposób.
Link do wypowiedziLink

konto usunięte

Temat: Arkusz kalkulacyjny a identyfikowalność i rozliczalność

Jarosław Żabówka:
Niestety, ale rozporządzenie jest tu jednoznaczne: „ Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.” – ręczne wprowadzanie danych nie jest rozwiązaniem.

Taka ciekawostka - na poprzednio obowiązującym stanie prawnym NSA przyjmował, że takie ręczne odnotowywanie jak najbardziej wchodzi w grę (wyrok Naczelnego Sądu Administracyjnego z 27 listopada 2003 r., II SA 232/02, nie publ.).
Link do wypowiedziLink

konto usunięte

Temat: Arkusz kalkulacyjny a identyfikowalność i rozliczalność

Kolejny nierozwiązywalny problem na gruncie uodo chyba, że zbanujemy Excella i inne arkusze. Jest to dowód na to, że prawo nie powinno mieszać się we wszystkie aspekty życia firmowego. Problem, który wskazujecie faktycznie ma miejsce, lecz z punktu widzenia funkcjonowania organizacji biznesowej jest detalem. Rozwiązaniem nie jest próba dostosowania się do rozporządzenia, ale taka jego zmiana, aby dało się je wykonywać bez konieczności ponoszenia niewspółmiernych środków do korzyści, które (teoretycznie - bo nikt tego nie bada) miałoby przynosić.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Arkusz kalkulacyjny a identyfikowalność i rozliczalność

Panie Darku,

Excel i inne arkusze obliczeniowe nie były, nie są i nigdy nie będą bazami danych z technicznego punktu widzenia. To że są niezgodnie z przeznaczeniem używane jako bazy danych to już inna historia i świadectwo tego, że za tworzenie rozwiazań informatycznych zabrali się ludzie, którzy nie zawsze wiedzą co robią.

Zgadzam się z Panem co do tego, że prawo nie powinno ingerować we wszystkie aspekty życia firmowego. W przyapdku uodo i jej wszelkich ułomności mimo wszystko jest to jednak krok w dobrym kirunku.

Zarówno Dyrektywa UE jak i nasze uodo powstały dla ochrony danych w związku z zarówno ich procesowaniem przez firmy jak i ich transferami transgranicznymi po to by zapewnić minimalny jednakowy poziom ich ochrony w róznych krajach.

A co do niewspółmiernych kosztów. Ręczę Panu, że koszt prawdziwego oprogramownia bazodanowego łącznie ze szkoleniem pracowników i utrzymaniem dla firmy, która używa w tym celu Excela (inne arkusze kalkulacyjne są obecnie mało rozpowszechnine) będzie o wiele niższy niż koszt zakupu i utrzymania oprogramowania Microsoftu. Mało tego taką prawdziwą bazę danych można podpiąć do dowolnej nowej wersji arkusza kalkulacyjnego. Excel nie tylko w górę i w dół nie zawsze jest kompatybilny.
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Arkusz kalkulacyjny a identyfikowalność i rozliczalność

Jeżeli rozmawiamy o dużych firmach - to się zgodzę - maja działy informatyki odpowiednie zasoby finansowe i przede wszystkim zasoby ludzkie oraz zasoby wiedzy a co z małymi firemkami które wykorzystują jakiś mały zbiór i w zupełności wystarczy im exel który maja zakupiony. Czasem mam wrażenie że UODO było opracowane pod kątem wielkich baz danych zapominając o małych jednoosobowych firmach - i niestety mam wrażenie że największy problem jest nie w zastosowanym oprogramowaniu tylko ze świadomością ochrony danych osobowych oraz organizacją ochrony danych osobowych na poziomie organizacyjnym. Śmiem twierdzić że nawet przy exelu który nie spełnia wymagań rozporządzenia jest możliwe w sposób należyty i staranny chronić dane osobowe.
Czasem się zastanawiam czy ustawa nie wywaliła za margines małych firm które słysząc o wymaganiach koniecznych do spełnienia machają ręką i nic nie robią - skoro i tak nie stać ich na spełnienie wszystkich wymagań technicznych to po co robić cokolwiek. Dlatego uważam że mniejszym złem, a mało tego w myśl wyroku sądu nawet działaniem dopuszczającym jest stosowanie zewnętrznych rejestrów dokładnie opisanych w polityce ( czyli działaniem świadomym) niż traktowanie wymogu ustawy jako tematu nie do przejścia (oczywiście cały czas mówię o firmach posiadających ograniczone zasoby - tylko trzeba by było wyjaśnić co to znaczy.
A zresztą czy nie ma hipokryzji i przyjmowana że danych osobowych nie przetwarza się w exelu - śmiem twierdzić że jest to dość powszechne - tylko udaje się że zestawienie wykonuje się tylko na potrzeby wydruków a tak naprawdę te zestawienia funkcjonują przez wiele lat poza wszelką oficjalna dokumentacją w firmie. Takie moje przemyślenia i czy przypadkiem nie jest czas najwyższy aby to jakoś w ramy prawne ubrać i usankcjonować?Przemysław C. edytował(a) ten post dnia 24.11.11 o godzinie 11:47
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Arkusz kalkulacyjny a identyfikowalność i rozliczalność

Panie Przemku,

Osobiście nie ryzykowałbym rozróżnienia na małe i duże firmy. To może być włożenie przysłowiowego kija w mrowisko. Osobiście znam małą (5 sobową) firmę, która ma bazę danych osobowych kilkunastu tysięcy osób i obroty rzędu kilkudziesięciu milionów rocznie. Ale kwestia definicji "wielkości" firmy to oddzielny temat.

Co do kosztów i narzędzi to naprawdę kryteria wymagane przez uodo spełnia z nadmiarem kilkadziesiąt o ile nie kilkaset narzędzi, których cena nie przekracza 300 - 400 złotych, a ich funkcjonalność znacznie przekracza to co oferuje Excel lub inne arkusze obliczeniowe. A wiedza potrzebna taka sama jak w przypadku innych programów okienkowych. Trzeba tylko chcieć się rozejżeć na rynku i wiedzieć a właściwie zdefiniować sobie czego się chce a nie co jest aktualnie na topie na rynku. W przypadku informatyki możliwości i moda nie idą w parze pomimo wszechobecnego marketingu również w tej dziedzinie.

Co do przetwarzania danych w excelu to się z Panem jak najbardziej zgadzam. Były, są i będą przetwarzane w excelu. Problem w tym by je w nim przetwarzać a nie przechowywać. To jest podstawowa różnica. Baza danych służy do przechowywania danych a to wiąże się między innymi ze spełnieniem tytułowego wymogu identyfikowalności i rozliczalności. Arkusz jest do przetwarzania danych - czyli powinien on pobrać dane z bazy, przetworzyć je i udostępnić nam wynik. I ta funkcjonalność i możliwość jest w Excelu tylko 99% użytkowników tego narzędzia nie używa tego po prostu z lenistwa.

Osobiście znam przykłady gdzie te same dane były "wklepywane" przez różne osoby do różnych arkuszy kalkulacyjnych. Oczywiście nie było to "małej" firmie. Pytanie tylko po co nie mówiąc już o wprowadzonych przy okazji błędach. Skrajny przypadek to wprowadzenie jednego i tego samego adresu w 15 różnych wersjach. Jak to potem przetwarzać.

A co do legalizacji Excela to chyba nie powinniśmy brnąć w ślepą uliczkę i na siłę legalizować coś tylko dlatego że jest powszechnie używane i to niezgodnie z przeznaczeniem.
Link do wypowiedziLink

konto usunięte

Temat: Arkusz kalkulacyjny a identyfikowalność i rozliczalność

W idealnym modelu, byłby system, który byłby szyfrowany, rozliczalny, identyfikowalny. Działał jak Excel i kosztował jak OpenOffice. Tak jednak nie jest i zapewne nie będzie. Problemem jak zwykle jest najsłabsze ogniwo - człowiek. Obawiam się że nawet gdyby powstał arkusz, który byłby wygodny jak Excel i posiadał cechy wymagane przez ustawę, to większość i tak używałaby Excela z lenistwa (dziadek robił w excelu, ojciec robił w excelu to i ja tak czynię).

Problem ma zaś ABI, który chcąc sprostać przepisom, musi zabrać wygodny produkt pracownikom, kierownictwu zaś przekazać dobrą nowinę o konieczności zakupu dedykowanego systemu do robienia tabelki z klientami. Pracownicy go znienawidzą, zarząd zignoruje lub weźmie innego ABI, który nie będzie się czepiał. I wszystko będzie działało dobrze, podobnie jak jazda 70 km/h w terenie zabudowanym. Wszystko jest ok, póki nie trafimy na patrol. Wówczas bity będzie ten kto dał się złapać czyli ABI...

Pan Paweł wskazał wyrok NSA, który dopuszczał ręczne sterowanie identyfikowalnością (wyrok Naczelnego Sądu Administracyjnego z 27 listopada 2003 r., II SA 232/02, nie publ.). Z drugiej strony, spotkałem się z kontrolą GIODO, podczas której kontrolerzy doszukali się braku rozliczalności w pewnym oprogramowaniu kadrowym, które owej rozliczalności nie posiadało (2011 rok) i nakazali usunąć problem. Byłbym zatem skłonny przyjąć, aby danych osobowych w Excelu nie przetwarzać w innej formie niż tymczasowa. No chyba, że Excela używa jedna osoba, sam zbiór jest zabezpieczony hasłem i tylko jedna osoba może go modyfikować - wówczas myślę że można by przyjąć taką linię wyjaśnień, choć względem rozporządzenia nie byłoby to poprawne (brak automatycznego notowania zmian). Kto wie, takie rozwiązanie byłoby może też niezłe na potrzeby adaptowania wymogów UODO dla mikrofirm, gdzie ADO=ABI=ASI...
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Arkusz kalkulacyjny w Open ...




Wyślij zaproszenie do
Anuluj