Wypowiedzi
-
To są spamy.
"konieczność powołania ABI" występuje tylko wtedy kiedy ktoś był dotąd ABI i chce dalej zachować stanowisko
albo jeżeli pracodawca, który miał ABIego dalej chce go mieć -
Ja bym to raczej widział jako element umowy powierzenia.
Zwykle w takich umowie wskazuje się kto jest administratorem danych, a kto podmiotem któremu dane powierzono.
W polityce kancelarii nie ma obowiązku wymieniania zbiorów, których kancelaria nie jest administratorem. -
Przepraszam, ale chyba źle Panią zrozumiałem.
Chodzi Pani o sytuację kiedy klient ma swoich kontrahentów i przekazuje ich dane Państwa kancelarii?
W tej sytuacji można zastosowac powierzenie.
Administratorem tych danych w dalszym ciągu jest wtedy Państwa klient.
Ale kancelaria zobowiązana jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36–39 ustawy, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a.
Między innymi kancelaria musi mieć Politykę Bezpieczeństwa Informacji i Instrukcję Zarządzania Systemem Informatycznym. -
W ochronie danych osobowych powierzenie a udostępnienie to dwie nieco się różniące sytuacje,
proszę nie interpretować tych słów w sensie potocznym i proszę nie używać ich zamiennie.
Art. 31 dotyczy powierzenia danych przez jeden podmiot, który jest administratorom danych drugiemu podmiotowi.
Ma to zastosowanie np. w takiej sytuacji:
Jeżeli kancelaria chciałaby podzlecić wykonanie jakiejś pracy i w ramach tego przekazywała dane osobowe klientów innej kancelarii - to wtedy należałoby pomyśleć o umowie powierzenia pomiędzy kancelariami.
W przypadku jeżeli dane pozyskujemy od klienta to jest to zbieranie danych, a nie powierzenie.
Klient nie jest administratorem swoich danych, on jest ich właścicielem. -
Stwierdzenie, że zgłoszenie zbioru zwalnia od powołania ABI to trochę myślenie na opak.
Przepisy mówią, że jeżeli nie ma ABI to trzeba rejestrować zbiory danych w GIODO,
jeżeli jest powołany ABI to w GIODO trzeba rejestrować tylko zbiory danych tzw. wrażliwych.
Ale w ochronie danych osobowych nie chodzi tylko o rejestrowanie zbiorów danych.
Administrator danych (sam albo przez powołanego ABI) musi zapewnić spełnianie szeregu wymogów wynikających z przepisów:
- opracować odpowiednie dokumenty (Polityka Bezpieczeństwa itd.),
- wdrożyć zabezpieczenia,
- nadzorować wydawanie upoważnień,
- dokonywać sprawdzeń
itp. itd.
Proponuję z tej perspektywy zastanowić się co jest prostsze - powołanie ABI czy zajmowanie się o.d.o samemu... -
Zacznijmy od tego, że kancelarie również są zobowiązane do przestrzegania ustawy o ochronie danych osobowych.
Problem w tym, że wielu właścicieli kancelarii zajmujących prawem ... nie zna obowiązującego ich prawa.
Z ciekawszych artykułów na ten temat - polecam:
https://www.portalodo.com/entry/sprawdz-jak-twoj-prawni...
http://prawo.gazetaprawna.pl/artykuly/721357,giodo-zap...
http://prawo.gazetaprawna.pl/artykuly/727276,prawnicy-...
Wracając do Pani pytania, a w zasadzie pytań:
Jeżeli kancelaria zbiera dane osobowe swoich klientów (a nie wyobrażam sobie, że może bez tego funkcjonować)
to siłą rzeczy JEST administratorem danych osobowych.
Forma przechowywania i w ogóle przetwarzania tych danych (czy elektronicznie czy papierowo) nie ma tu znaczenia.
W związku z tym, że kancelaria jest administratorem danych to powinna spełniać szereg wymogów wynikających z przepisów dotyczących o.d.o..
Jedynym zwolnieniem jest zwolnienie z rejestrowania w GIODO zbioru danych osobowych klientów, którzy zawarli z nimi umowę o świadczenie obsługi prawnej.
Wszystkie inne wymogi, w tym konieczność posiadania Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym muszą być spełnione.
W opisanym przez Panią przypadku nie mają zastosowania ani udostępnienie ani powierzenie danych.
Kancelaria po prostu zbiera dane dotyczące swoich klientów,
udostępnić lub powierzyć dane mógłby jej inny podmiot będący administratorem danych. -
ad.1)
Jeżeli nie zostaniesz zgłoszony do rejestru ABIch to po 30 czerwca przestaniesz nim być, a stanie się nim ... wójt.
Wójt może scedować część obowiązków na Ciebie, ale ABIm w dalszym ciągu będzie on,
jeżeli do czegoś Cie nie upoważni - to musi to robić sam.
No i np. w przypadku kontroli - jak będą chcieli sobie porozmawiać z ABI - to będą rozmawiać z nim.
ad.2)
Nie wiem czy nie mylisz pojęć.
AD - Administrator Danych to ktoś kto decyduje o środkach i celach przetwarzania i zwykle jest to prezes, dyrektor itp,
w Twoim przypadku jest nim wójt.
ABI to ktoś kto jest wyznaczony przez AD i nadzoruje kwestie ochrony danych osobowych w organizacji,
ABIm powinien być ktoś kto orientuje się w przepisach, nie koniecznie musi to być prawnik, ale powinna to być osoba która ogarnia przynajmniej podstawowe przepisy dotyczące ODO (ustawę i rozporządzenia),
ASI - administrator systemu informatycznego - czyli informatyk
Każda z tych ról ma swoje odrębne obowiązki, a więc ABI ma inne obowiązki niż AD i we wzorcowej sytuacji nie wykonuje obowiązków AD.
Łączenie roli ABI + ASI, chociaż nie wskazane i problematyczne to w małych organizacyjnych jest jeszcze dopuszczalne (wg komentarzy poprzedniego GIODO).
Jeżeli natomiast oprócz ABI+ASI wykonujesz obowiązki AD to to jest masakra i szczerze współczuję.
Uważam, że nie powinno to mieć miejsca, chociaż nie potrafię powiedzieć czy za taką sytuację grozi jakaś odpowiedzialność karna czy jakakolwiek. Na pewno to wójt jest tu główną osobą odpowiedzialną - jako AD odpowiada za dopuszczenie do takiego stanu rzeczy.
Domyślam się, że wójt nie jest łatwym człowiekiem, ale trzeba by jakoś przebić się do jego świadomości...
W dwudziestoosobowym urzędzie dałoby się znaleźć kogoś kto pełni obowiązki ABIego, w końcu przy tej skali to jest to robota na parę godzin miesięcznie + raz do roku aktualizacja PBI i przeprowadzenie sprawdzenia. -
Na logikę biorąc - jeżeli pracodawcy zależy na zapewnieniu poufności, to raczej powinien szkolić pracowników i to przed dopuszczeniem ich do poufnych danych... :)
Natomiast z punktu widzenia ISO 27001 - w punkcie 7.1 normy nazwanym "Uświadamianie" jest wskazany wymóg, że osoby pracujące pod nadzorem organizacji powinny być świadome:
- polityki bezpieczeństwa informacji,
- ich wkładu w SZBI,
- konsekwencji niezgodności.
(cytat niedosłowny, ale oddający najważniejszy sens)
Oprócz powyższego, w załączniku A zawierającym tzw. zabezpieczenie jest wymienione m.in zabezpieczenie
A7.2.2. Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji.
Szczegóły, jak realizacja tych zapisów wygląda zależy już od danej organizacji,
ale raczej trudno sobie wyobrazić, żeby w firmach gdzie jest ISO 27001 nie było szkoleń, które m.in dotyczą zagadnienia poufności. -
W skrócie odpowiedziałbym tak: jeżeli chodzi o Dropboxa, czy Skydrive - jest z tym duży problem, jeżeli w ogóle jest to możliwe.
Jeżeli chodzi o ochronę danych osobowych umieszczanych w chmurze to jako najważniejsze wskazałbym 2 zagadnienia - miejsce fizycznego przechowywania danych oraz zachowanie odpowiedniego nadzoru nad nimi.
1) Miejsce przechowywania danych:
Wiem, że w odniesieniu do chmury jest to problematyczne, ale przepisy dot. ochrony danych osobowych wymagają, żeby administrator danych wiedział gdzie dane będą przechowywane ponieważ musi to np. określić w swojej Polityce Bezpieczeństwa.
Miejsce przechowywanie nabiera szczególnej istotności jeżeli chodzi o lokalizację poza Europejskim Obszarem Gospodarczym. Wtedy temat robi się nieco mniej banalny.
Nie można umieścić danych osobowych poza EOG bez spełnienia odpowiednich dodatkowych wymogów prawnych. Jakich? Temu tematowi poświęcono cały 7 rozdział w ustawie o ochronie danych osobowych.
(Uwaga! Od 1.01.2015 obowiązują nowe przepisy w tym względzie)
2) Kwestia zachowania nadzoru nad danymi.
Jeżeli chociaż część infrastruktury chmury jest zarządzania przez inny podmiot to trzeba pomyśleć o odpowiednim zabezpieczeniu prawnym, zwykle jest to umowa o powierzenie danych. Ustawa o ochronie danych osobowych reguluje kwestie powierzenia w artykule 31.
Jeżeli korzystając z Dropboxa, czy Skydrive'a jesteś w stanie spełnić wymagania dotyczące obu wymienionych wyżej zagadnień to możesz tam umieścić dane osobowe, ale nie wiem czy jest to możliwe... -
Proponuję przejrzeć wątek:
http://www.goldenline.pl/grupy/Pozostale/abi/program-d... -
Jak Waszym zdaniem powinno wyglądać zgodne z przepisami przekazywanie informacji, w tym danych osobowych
policji?
Dzisiaj zgłosił się do nas policjant z pytaniami o to, którzy nasi pracownicy i kiedy wykonywali pewne czynności.
Kierując się rozporządzeniem MSW z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję, poprosiłem o wniosek pisemny zgodnie z Rozdziałem 4 tegoż rozporządzenia.
(dodam, że w moim przypadku nie zachodziły okoliczności opisane w § 25, pkt 3 rozporządzenia).
Policjant się wkurzył, że mu życie utrudniam, że podobno dotąd nigdy nikomu nie musiał takiego wniosku składać, ale w końcu odpuścił i powiedział, że napisze ten wniosek.
No i teraz się zastanawiam - nie chcę utrudniać życia policjantom, ale też nie chciałbym dla nich łamać prawa...
albo Pan policjant nie zna przepisów które go obowiązują, albo ja je źle interpretuję. -
Pytanie jak w temacie - czy zastępca ABI powołany zgodnie z nowym brzmieniem u.o.d.o. podlega rejestracji w GIODO?
-
przepraszam za pomyłkę w tytule wątku (nie wiem jak go poprawić)
Miało być:
PBI dot. danych osobowych a ISO 27001 -
Jestem na etapie wdrażania ISO 27001 i zastanawiam się jaką przyjąć strukturę dokumentacji w sytuacji gdy mam funkcjonującą PBI opracowaną na potrzeby ODO + obowiązujący w firmie zintegrowany system zarządzania jakością. Szczególnie zastanawiam się co zrobić PBI. W związku z tym mam 2 pytania"
1) Czy zrobić jeden dokument PBI czy też może zrobić ogólną PBI, a jako dokument niżej w hierarchii PBI danych osobowych?
2) Co myślicie o pomyśle (znalazłem w jednym z poradników...), że jeżeli ma się zintegrowany system zarządzania jakością, to PBI (ale rozumiana jako krótki dokument nadrzędny wynikający z ISO 27001, a nie z ODO) może być zintegrowana z dokumentem Polityka Jakości wynikającym z 9001, a PBI wynikające z ODO robi się wtedy jako osobny dokument? -
NIK opublikował raport dotyczący stanu wdrożenia systemów teleinformatycznych w urzędach gmin i miast:
https://www.nik.gov.pl/plik/id,8126,vp,10155.pdf
Raport zawiera m.in. dość ciekawe uwagi dotyczące stanu wdrożenia i utrzymania SZBI w urzędach. -
Jak sam Pan zauważył definicja jest elastyczna, więc pewnie trudno o odpowiedź, która zapewniałaby bezpieczeństwo prawne.
W moim przypadku (sytuacja zastana kiedy zatrudniałem się w aktualnym miejscu pracy) mam eksperyment w postaci uznania całości posiadanej infrastruktury za jeden system informatyczny.
Technicznie wygląda to tak, że jest sieć oparta o serwer Windows Server, wszyscy użytkownicy mają pozakładane konta w domenie tego serwera i żeby uzyskać dostęp do jakiegokolwiek zasobu muszą się najpierw zalogować do domeny. Granicą systemu jest więc punkt, w którym, żeby cokolwiek zrobić użytkownik musi podać hasło do domeny (a musi podać to hasło nawet jeżeli loguje się do lokalnego komputera, żeby skorzystać z zasobów przechowywanych na lokalnym dysku komputera). Hasło do domeny musi spełniać warunki co do złożoności i zmienności przewidziane w ustawie.
Pewnym argumentem za zakwalifikowaniem całości jako jeden system było wdrożenie systemu SSO. Pracownicy po zalogowaniu się do systemu nie muszą już potem podawać (ani nawet znać) swoich haseł do poszczególnych aplikacji ponieważ same im się wpisują.
Dotychczas nie mieliśmy kontroli GIODO więc nie mogę powiedzieć, że takie podejście na pewno da się obronić.
Moje własne wątpliwości co do tego rozwiązania to przede wszystkim pewien "dysonans poznawczy", który mam operując pojęciem systemu w stosunku do całości pomimo, że w tradycyjnym-informatycznym rozumieniu mam kilka systemów, które jakoś tam są od siebie zależne mają ze sobą współpracować (infrastrukturę sieciową, różne serwery, aplikacje biznesowe) .
Można powiedzieć, że mój pracodawca przyjmując takie rozwiązanie postawił się trochę w roli integratora posiadanych rozwiązań informatycznych, który z kilku różnych systemów "lepi" jeden.
Np. kiedy zakładamy konto nowego użytkownika to de facto zakładamy mu kilka kont (w domenie oraz różnych aplikacjach biznesowych do których użytkownik ma mieć dostęp), a potem konfigurujemy SSO tak, żeby automatycznie logowało danego użytkownika do poszczególnych aplikacji.
Odnosząc się do przepisów rozporządzenia to konsekwencje takiego rozwiązania są np. takie, że:
- opis struktury zbiorów musi być opisem łącznym obejmującym wszystkie podsystemy - aplikacje (pochodzące od różnych producentów..)
- procedura nadania uprawnień musi uwzględniać konieczność konfigurowania konta użytkownika i jego uprawnień w różnych podsystemach.
- procedura rozpoczęcia, zawieszenia i zakończenia pracy muszą obejmować całość działań (czyli np. konieczność wyłączenia kilku aplikacji przed kliknięciem wyloguj w Windowsie)
- cała firma podlega wymogowi stosowania jednego poziomu bezpieczeństwa (nie można podzielić, że np. tutaj wystarczy poziom niski a gdzieś indziej trzeba stosować wysoki).
Tak na prawdę sam jestem na etapie zastanawiania się co z tym fantem zrobić, więc też jestem zainteresowany opiniami innych osób zajmujących się tematyką ODO. -
Myślę, że dużo tu jeszcze zależy od celu i formy w jakich prawdziwe imię i nazwisko egzystować mają w połączeniu z fałszywymi danymi teleadresowymi i innymi. Czasami dane, które teoretycznie nie są danymi osobowymi (a więc nie podlegają ochronie z tego tytułu) stają się danymi w określonym kontekście.
Po co coś takiego będzie robione?
Czy dane te będą jakoś udostępniane?
Czy potencjalni odbiorcy danych będą wiedzieli, które są prawdziwe, a które fałszywe?
Czy takiej liście będzie towarzyszyła jakaś dodatkowa informacja, która może coś mówić o prawdziwych osobach w nie j występujących?
Gdyby chodziło o anonimizację, to ja raczej nie zostawiał bym prawdziwych nazwisk, co najwyżej pierwszą literę (chociaż być może jestem trochę pedantem :-) ).Ten post został edytowany przez Autora dnia 02.12.13 o godzinie 08:39 -
Jakiś czas temu zadałem pytanie o obowiązek informacyjny wobec osób upoważnionych przez pacjenta i wtedy też dyskusja poszła w kierunku czy jest to odrębny zbiór czy nie jest:
http://www.goldenline.pl/forum/3130101/obowiazek-infor... -
Szanowny Autorze
Zbieranie danych od użytkowników rejestrujących się w serwisie to nie jest powierzenie w sensie przepisów o ODO, mylisz pojęcia.
Proponuję, żebyś jednak poczytał trochę o ODO, w przeciwnym przypadku ciągle będziesz opacznie rozumiał udzielane tutaj odpowiedzi i nie dogadasz się z wypowiadającymi się tutaj prawnikami i specjalistami od ODO.
Najważniejszy wniosek z dotychczasowej dyskusji w tym wątku jest taki, że musisz mieć opracowaną Politykę Bezpieczeństwa Informacji, której będziesz przestrzegał i która będzie zgodna z przepisami, czyli... musisz się z nimi zapoznać, albo mieć kogoś kto Ci to ogarnie.
PS. Jeżeli chodzi o Twoją kolejną wypowiedź - tj. korzystanie z zewnętrznego hostingu - to tutaj jak najbardziej, powinieneś mieć umowę na powierzenie.Ten post został edytowany przez Autora dnia 07.08.13 o godzinie 11:22 -
Dziękuję.
Zapis "osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1." jest dla mnie kłopotliwy. Czy jeżeli są przepisy, które uprawniają ZOZ do zbierania danych to mogę założyć, że pacjent posiada o nich informacje?
Jeżeli tak to to równie dobrze posiada informacje, że ma prawo do poprawiania swoich danych osobowych...