Informacje „niezamawiane”

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Informacje „niezamawiane”

Przygotowywałem ostatnio wyjaśnienie dla GIODO w związku ze skargą osoby która uważała, że pewna firma nie miała prawa przekazać informacji Ośrodkowi Pomocy Społecznej. Sprawa była prosta, oczywiście Ośrodek miał podstawę prawną do przetwarzania tych danych dla realizacji zadań nałożonych na niego przez ustawę.

Po zastanowieniu stwierdziłem jednak, że mogę się znaleźć w sytuacji, w której nie będę potrafił podać prawidłowej interpretacji.
Stwórzmy taką hipotetyczną sytuację:
-Instytucja przetwarza dane osoby w oparciu o jakąś ustawę (np. dane Podopiecznego Ośrodka Pomocy Społecznej).
-Firma w której ta osoba pracuje przekazuje instytucji informacje które ta instytucja ma prawo przetwarzać, podając jednocześnie w piśmie informacje których przetwarzać jej nie wolno (np. Kowalski dostał podwyżkę - więc być może nie należą mu się świadczenia. A ten Kowalski to jest Żyd i homoseksualista – czyli dane o narodowości i orientacji seksualnej, których Ośrodkowi przetwarzać nie wolno).
Jak w takiej sytuacji należy postąpić? Nie można zniszczyć dokumentu, bo przecież zawiera informacje istotne dla postępowania, ale jednocześnie dołączenie go do dokumentacji spowoduje, że będziemy przetwarzać dane, do przetwarzania których nie mamy prawa.
Czy słusznie podejrzewam, że odpowiedź kryje się w KPA? A otrzymaną korespondencję przechowuję, ale nie dołączam do akt sprawy?
Czy spotkał się ktoś z Państwa z takim problemem w rzeczywistości?

Link do wypowiedzi

Łukasz Adamczyk menadżer,
projektant,
programista, trener
oraz doradca

Temat: Informacje „niezamawiane”

Taka hipotetyczna sytuacja może niestety mieć miejsce.

Ja zastosowałbym jedna z dwóch dróg:
1) wystąpił do firmy, która ma obowiązek przekazać mi (instytucji dane) o przekazanie ich w prawidłowej formie - a dokument otrzymany "skasował" komisyjnie - króka notatka, że zawierał dane, których nie powinien i załączona kopia pisma wzywającego o udostępnienie danych wymaganych w prawidłowy sposób.
2) dołączył do akt sprawy pismo z trwale zamazanymi danymi, których nie powinienem mieć - wraz z notaktą, dlaczego coś zostało zamazane.

Powyższe rozwiązania wynikają z "życiowego" podejścia do sprawy.

Link do wypowiedzi

Robert Łoszkowski Radca prawny

Temat: Informacje „niezamawiane”

Moim zdaniem bezpieczniejszym rozwiązaniem jest jednak to pierwsze. Zamazywanie wszelkich danych mogłoby być uznane za zwykłe fałszowanie dokumentów. Wystarczy postawić się w sytuacji kontrolera, który bierze do rąk taki dokument...Notatka to jednak trochę mało.

Link do wypowiedzi

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Informacje „niezamawiane”

Konsultowałem się w tej sprawie z prawnikami i uzyskałem potwierdzenie
mojej hipotezy. Otrzymanej korespondencji nie powinniśmy dołączać do
zbioru danych. Korespondencję przechowujemy osobno (oczywiście
odpowiednio zabezpieczoną), natomiast do zbioru dołączamy jedynie
niezbędne informacje. Ewentualnie na podstawie otrzymanej korespondencji
możemy sporządzić odpowiednią notatkę.

Link do wypowiedzi

Robert Łoszkowski Radca prawny

Temat: Informacje „niezamawiane”

Hmmmm a taka "osobna" korespondencja nie stworzy kolejnego zbioru?

Link do wypowiedzi

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Informacje „niezamawiane”

[author]Robert

Link do wypowiedzi

Robert Łoszkowski Radca prawny

Temat: Informacje „niezamawiane”

[author]Jarosław

Link do wypowiedzi

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Informacje „niezamawiane”

Ja to rozumem w ten sposób, że otrzymana korespondencja jest przechowywana osobno, a do zbioru dołączane są jedynie informacje które powinny się tam znaleźć. Myślę, że inaczej może to wyglądać w sytuacji gdy korespondencja zawiera jedynie informacje które dołączamy do zbioru (np. wypełniony formularz, deklaracja, itp.), wówczas taką korespondencję możemy dołączyć do zbioru.
Jeszcze tylko dla ścisłości. Jeżeli jakiś urząd prosi nas o informacje, to musi mieć podstawę prawną do przetwarzania danych o które prosi, a my musimy mieć podstawę prawną do przekazania tych informacji.

Link do wypowiedzi

Robert Łoszkowski Radca prawny

Temat: Informacje „niezamawiane”

[author]Jarosław

Link do wypowiedzi

ABI

Czy na pewno chcesz zrezygnować z tej grupy?

Zgłoś nieprawidłowości w wypowiedzi

Informacje „niezamawiane”

Blokowanie użytkownika

Temat: Informacje „niezamawiane”

Temat: Informacje „niezamawiane”

Temat: Informacje „niezamawiane”

Temat: Informacje „niezamawiane”

Temat: Informacje „niezamawiane”

Temat: Informacje „niezamawiane”

Temat: Informacje „niezamawiane”

Temat: Informacje „niezamawiane”

Temat: Informacje „niezamawiane”

Podobne tematy

ABI » Zdalny dostęp kontra informacje chronione -

ABI » czy można poprosić pracownika o informacje dot. karalności? -

ABI » Informacje o sieci bezprzewodowej i jej lokalizacji /... -

ABI » Pracownik zamieszczający w internecie informacje o... -

ABI » Informacje na temat pracowników na tablicach informacyjnych -

ABI » Kiedy informacje stanowią dane osobowe? -

ABI » Dwie zgody - 1. na marketing 2. na informacje handlowe -

ABI » Czy przełożony ma prawo udostępniać informacje o... -

ABI » informacja publiczna - a informacje dot. podpisanych umów -

Zdalny dostęp kontra inform...

Szkolenia zaawansowane

Życzenia Wielkanocne

Oferty pracy