konto usunięte

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Czy takie rozwiązanie jest zgodne z UOODO?

Wystawiam dla każdego pracownika w mojej firmie UPOWAŻNIENIE do przetwarzania danych osobowych we wszystkich zbiorach informatycznych, które moja firma zgłosiła do giodo. (oraz w systemie informatycznych poza zbiorem)

Ale pracownik dostaje identyfikator, za pomocą którego ma DOSTĘP przez jakąś aplikację, do konkretnego zbioru, związanego z jego stanowiskiem. Dodam, że wszystkie zbiory są dostepne wyłącznie w systemach informatycznych.

Gdy pracownik taki zmienia stanowisko i będzie miał mieć dostęp do kolejnego zbioru danych osobowych, to nie wystawiam mu nowego upoważnienia (bo ma przecież do wszystkich) tylko dostaje DOSTĘP przez nowy (lub ten sam) identyfikator do kolejnego zbioru. (Przez ta samą lub inna aplikację)

W ten sposób zmieniając prawa dostępu do aplikacji, czyli dalej do zbioru kontroluję uprawnienia użytkowników do zbiorów.

Jeśli jest to niezgodne z uoodo to proszę odpowiedzieć na jakiej podstawie.
Proszę również o ewentualne uzupełnienie mojego rozwiazania jeśli czegoś jeszcze brakuje.Lord Pumeks edytował(a) ten post dnia 15.12.09 o godzinie 09:53
15.12.2009, 09:51
Arkadiusz

Arkadiusz Reiter Specjalista ds.
wsparcia
informatycznego i
ochrony danych...

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Witam,
z Twojego posta przeczytałem że udostępniasz zbiory danych na podstawie identyfikatora i to jest jak najbardziej prawidłowe rozwiązanie ponieważ identyfikator powinien zgodnie z uodo jednoznacznie identyfikować dokładnie jedną osobę, której ten identyfikator się przyznało (identyfikator ten nie może być później przyznany żadnej innej osobie). Kolejną ważną rzeczą jest oczywiście hasło ale to pewnie wiesz i masz zastosowany odpowiedni poziom haseł dla Twojego systemu informatycznego oraz rodzaju przechowywanych w nich danych.
Pamiętaj również że do każdego zbioru czy to rejestrowanego w giodo czy nie użytkownicy powinni mieć swoje loginy (...) Zobacz więcej
15.12.2009, 12:07

konto usunięte

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Każdy użytkownik używa cały czas tego samego identyfikatora do logowania się do różnych aplikacji, a dalej do zbiorów danych.
Oczywiście hasła są różne i różnie się zmieniają w zależności od rodzaju aplikacji.

Interesuje mnie kwestia samej treści upoważnienia, w której chce napisać, że dana osoba ma upoważnienie do wszystkich zbiorów należących do firmy, zgodnie z lista znajdująca się na stronach intranetu czy jako załącznik do ogólnego pisma do wszystkich pracowników.

Czy giodo w przypadku kontroli nie będzie kwestionować takiego rozwiązania opartego (...) Zobacz więcej
15.12.2009, 16:23
Sławomir

Sławomir G. Kierownik Działu IT,
Administrator
Bezpieczeństwa
Informa...

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Trudno mi odpowiedzieć na pytanie, co na to GIODO...

Jeśli chodzi o upoważnienia, jestem przeciwny nadawaniu upoważnienia do przetwarzania danych osobowych wszystkim pracownikom w tym samym zakresie - szczególnie pełnym.

Jednakże u Ciebie jest bardzo ciekawa sytuacja. Domniemywam, że skoro w systemie informatycznym i tak można przypisać odpowiednie uprawnienia Kowalskiemu, a jeszcze inne Nowakowi to samo nadawanie upoważnień w pełnym zakresie, ma spowodować zminimalizowanie formalności i "zabawy w upoważnienia" po każdorazowej zmianie stanowiska? W zadzie tak jest najprościej - dajesz każdemu upoważnienie pełne, więc w razie zmian upoważnienie to nie traci ważności...

Jeżeli tworzenie odrębnych upoważnień (z jakichkolwiek powodów) nie jest możliwe, to w moim przekonaniu niewątpliwie sposób ich nadawania, a w szczególności sposób nadawania uprawnień dostępowych do konkretnego zbioru powinien być bardzo szczegółowo opisany w Instrukcji zarządzania systemem informatycznym i znaleźć swoje odzwierciedlenie w zakresie obowiązków konkretnego pracownika, czy stanowiska.Sławomir G. edytował(a) ten post dnia 15.12.09 o godzinie 22:33
15.12.2009, 22:31
Przemysław

Przemysław Osiak zarządzanie w IT /
project management /
bezpieczeństwo in...

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

GIODO podczas kontroli bada zgodność przetwarzania danych z przepisami o ochronie danych osobowych (art. 12 pkt. 1 UODO).
Zatem w kontekście poruszonego tematu ewentualną kontrolę będzie interesować:
1. czy osoby dopuszczone do przetwarzania danych osobowych posiadają upoważnienie nadane przez administratora danych?
2. czy, w przypadku, gdy dane przetwarzane są w systemie informatycznym, każdy użytkownik ma odrębny identyfikator.
Jeżeli te warunki są spełnione to, przynajmniej w tym zakresie, nie powinno być powodów do obaw.
Nie spotkałem się z kontrolą GIODO, która badałaby celowość wydania przez AD upoważnienia do przetwarzania danych dla jakiegoś pracownika.

Dla porządku chciałbym doprecyzować jedną kwestię poruszoną przez mojego przedmówcę. Otóż "sposób nadawania [identyfikatorów przyp. P.O.], a w szczególności sposób nadawania uprawnień dostępowych do konkretnego zbioru powinien być bardzo szczegółowo opisany w Instrukcji zarządzania systemem informatycznym" niezależnie od tego, czy jest możliwe, czy też nie jest możliwe "tworzenie odrębnych upoważnień".
Osobiście nie widzę przeciwwskazań, aby upoważnienie do przetwarzania danych osobowych obejmowało swym zakresem więcej niż jeden zbiór danych.
15.12.2009, 23:26

konto usunięte

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

O to właśnie chodzi. Pracownik ma jedno upoważnienie do wszystkich zbiorów ale nie korzysta ze wszystkich, tylko z tych, które są mu potrzebne na jego stanowisku pracy (posiadając unikalny identyfikator, login do aplikacji, która korzysta z danego zbioru)
Jeśli takie rozwiązanie jest zgodne z UOODO, a wygląda na to, że jest, to upraszcza to znacznie papierkową robotę, czyli wystawianie co chwila nowego upoważnienia dla (...) Zobacz więcej
17.12.2009, 12:10

konto usunięte

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Cytując > Lord Pumeks:
"Dodam, że wszystkie zbiory są dostępne wyłącznie w systemach informatycznych."

Tak na początek, myślę że nie zidentyfikowałeś wszystkich form przetwarzania zbiorów w Twojej firmie, która zapewne również przetwarza postać papierową zbioru pracowników (teczki osobowe prowadzone zgodnie KP). To, że pracowników nie trzeba zgłaszać do GIODO nie oznacza, że zbiór nie podlega ochronie w tym i obsługi upoważnień.

Kontunując wątek, generalnie upoważnienia nie muszą posiadać formy pisemnej, chyba że mówimy o zbiorach danych sensytywnych.

A co myślicie o tym, aby w dokumncie nadrzędnym - np. polityka bezp - wprowadzić zapis typu - "niniejszym upoważnia się wszystkich PRACOWNIKÓW do przetwarzania zbiorów DO ujętych w wykazie X w zakresie niezbędnym do realizacji nałożonych na nich obowiazków służbowych (itp), przy czym szczegółowy zakres będzie okreslany dotępem do systmów informatycnzych przetwarzjących te zbiory, który jest regulowany procedyrą "xxxxx" ?

zbiory sensytywne (jeżeli )można by tutaj wydzielić z wykazu i traktować specjalnie-pisemność upoważnień

Do ewidencji trafia każdy pracownik, jeżeli ma dostep do systemów przetwarzjących to odnotowujemy również jego identyfikator (login)pozyskiwany z IT. Nadanie upoważnienia to nawiazanie stosunku pracy, ustanie to zerwanie tego stosunku itp.
18.12.2009, 15:51
Przemysław

Przemysław Osiak zarządzanie w IT /
project management /
bezpieczeństwo in...

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator


Kontunując wątek, generalnie upoważnienia nie muszą posiadać formy pisemnej, chyba że mówimy o zbiorach danych sensytywnych.

Przedstawiona przez Pana teza wydaje się bardzo ciekawa, zwłaszcza, że jest kompletnie różna od stanowiska GIODO w tej sprawie (patrz: GIODO ABC ochrony danych osobowych, Wydawnictwo Sejmowe, Warszawa 2007, s. 21).
Byłbym zobowiązany gdyby zechciał Pan podzielić się szerzej swoimi przemyśleniami na ten temat.
W szczególności jestem bardzo ciekaw z czego wynika poczynione przez Pana rozróżnienie, że upoważnienia do dostępu do tzw. "wrażliwych" danych osobowych wymagają formy pisemnej a inne upoważnienia nie wymagają (...) Zobacz więcej
18.12.2009, 16:36

konto usunięte

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Słuszna uwaga:-)

Założenie opiera się na:

Cytując z opracowanie- Ochrona Danych Osobowych/J.Barta, P.Fajgielski, R. Markiewicz s614

"Ustawodawca nie przesądza ani treści, ani formy upoważnienia do przetwarzania danych wydanego przez administratora danych. Względy dowodowe przemawiają za tym, aby upoważnienie takie posiadało formę pisemną"

Przepis z art 37 UODO należy przyłożyć do wielkości organizacji. W porzypadku kilku tysięcy osób upowążnionych stosowane powszechnie rozwiązania są nie do przyjęcia izaczynają stanowić problem więc trzeba zastosować niestandardowe rozwiązania organizacyjne lub techniczne lub jedne i drugie.

Iterpretacja GIODO jest słuszna, ale baaardzo trudna do realizacji w dużej skali, gdzie należy ją poddać już polemice. A tutaj taka jest możliwa- stąd post na forum.

Tutaj należy to raczej rozaptrywać od strony zidentyfikowanego ryzyka (dowodowość) przyjętego na proces - obsługa upoważnień - i przyjęcie rozwiązania łagodzącego to ryzyko w sposób najpełniejszy i zgodny z prawem . We wspomnianej interpretacji proponuje się przez formę pisemną proponuje uniknięcie ryzyka (wyklucza wprowadzenie rozwiązań technicznych i ucięcie papierologi), zapominając, że to rodzi przy tej skali i dynamice przedsiębiorstwa nowe ryzyka bardzo istotne dla skuteczności systemu ochrony - aktualności upoważnień, ich zakresu itp.

Stąd też rozróżnienie poziomu tego ryzyka dla danych zwykłych i wrażliwych, w których to ryzyko nieakceptowalności dowodów jest dużowiększe.

Dodatko mówiąc o dowodach, to postać elektroniczna dowodów typu - logi z systemów IT, data pierwszego wprowadzenia danych do systemu przez użytkownika x itp jest już akceptowalna ;-).

Na marginesie, to pomysł ze stałym wpisem do Polityki chyba upada bo upoważnienia powinny być imienne, co nie wyklucza jeszcze zasotsowania usprawnienia techniczengo.Grzegorz --- edytował(a) ten post dnia 21.12.09 o godzinie 12:09
18.12.2009, 17:36
Przemysław

Przemysław Osiak zarządzanie w IT /
project management /
bezpieczeństwo in...

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Proszę mi wybaczyć ale nie do końca chyba rozumiem, o ile dobrze odczytałem Pana wypowiedź, dlaczego twierdzi Pan, że brak pisemności ułatwić ma, zwłaszcza w organizacjach o dużej liczebności, sprawy organizacyjne związane z zarządzaniem upoważnieniami?
Natomiast zupełnie już nie rozumiem, dlaczego według Pana udzielenie upoważnienia na piśmie miałoby rodzić "ryzyka istotne dla skuteczności systemu ochrony"?
Czy fakt posiadania uporządkowanej dokumentacji stanowi (...) Zobacz więcej
18.12.2009, 20:06

konto usunięte

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

dlaczego twierdzi Pan, że brak pisemności ułatwić ma, zwłaszcza w organizacjach o dużej
liczebności, sprawy organizacyjne związane z zarządzaniem upoważnieniami?

Możliwa automatyzacja zestandaryzowanego procesu środkami technicznymi, czyli usprawnienie cześci operacyjnej (oraz uproszczenie zmian w procesie), z orgnizacyjnych środków pozostaje zarządzanie, czyli między innymi nadzór i kontrola jakości procesu (zgodność, kompletność, itp).

W uproszeczniu to tak jak z automatyzacją zarządzania hasłami (wymuszanie jego zmiany, składni, automatyczne odtworzenie)- i sprawniejsze i skuteczniejsze.
Natomiast zupełnie już nie rozumiem, dlaczego według Pana udzielenie upoważnienia na piśmie miałoby rodzić "ryzyka istotne dla skuteczności systemu ochrony"?
Czy fakt posiadania uporządkowanej dokumentacji stanowi tutaj
zagrożenie?

np. środki organizacyjne są bardziej podatne na ryzyko błedu ludzkiego niż środki techniczne.

Myślę, że się zgodzimy, że brak wymogu pisemności upraszacza ten proces.
Prosty prces -> możliwa autoamtyzacja -> mniej błedów (ludzkich)->uporządkowana dokumentacja (kompletność)-> szczelny
system.
Tutaj prosty przykład z obsługą hasła też jest na miejsu.

Jednak opłacalne do zastosowania wyłącznie w dużej skali.

Jak widać co do istotności "uporządkowanej dokumentacji" na pewno się zgadzamy.

Oczywiście pozostają pytania
1) Czy pisemność jest bezwzglednie wymagana?
jeżeli NIE, to dalej:
2) (skoro nie jest wymagana to) Jakie ryzyka dla organizacji rodzi jej brak?
3) Jak daleko jesteśmy w stanie je zaakceptować?

Dodam, iż w swojej praktyce nie spotkałem się jeszcze z wdrożeniem takiego rozwiazania i dyskusja ma na celu wyłącznie wymianę pogladów w temacie ewentualnej optymalizacji tego procesu
w dużych organizacjach.Grzegorz --- edytował(a) ten post dnia 21.12.09 o godzinie 12:16
21.12.2009, 11:49
Przemysław

Przemysław Osiak zarządzanie w IT /
project management /
bezpieczeństwo in...

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Trochę (...) Zobacz więcej
28.12.2009, 19:33
Sławomir

Sławomir G. Kierownik Działu IT,
Administrator
Bezpieczeństwa
Informa...

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Grzegorz ---:

Kontunując wątek, generalnie upoważnienia nie muszą posiadać formy pisemnej, chyba że mówimy o zbiorach danych sensytywnych.

Faktycznie ustawa nie mówi nic o formie upoważnienia, natomiast za dobrą praktykę przyjmuje się, aby były one w formie papierowej.
Przyznam szczerze, że nigdzie nie znalazłem zapisu, który mówi o tym, że dostęp do danych sensytywnych wymaga upoważnienia w formie pisemnej.
A może coś przeoczyłem? Będę wdzięczny za informację.
29.12.2009, 21:21

konto usunięte

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Przyznam szczerze, że nigdzie nie znalazłem zapisu, który mówi o tym, że dostęp do danych sensytywnych wymaga upoważnienia w formie pisemnej.
A może coś przeoczyłem? Będę wdzięczny za informację.


Bo UODO tego nie wymaga, w ropatrywanym przypadku pisemność jest podytkowana wysokim poziomem ryzyk (prawdopodobieństwo wystapienia zbliżone do danych zwykłuch ale wpływ znacznie wyższy) towarzyszącym przetwarzaniu (...) Zobacz więcej
30.12.2009, 13:27
Sławomir

Sławomir G. Kierownik Działu IT,
Administrator
Bezpieczeństwa
Informa...

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Grzegorz ---:

Bo UODO tego nie wymaga

Właśnie, więc tak jak napisałem, pisemne upoważnienia traktuje się jako dobrą praktykę, bez względu na rozgraniczenie na dane "zwykłe" i sensytywne.
30.12.2009, 13:58
Dariusz

Dariusz K. ISO 27001 Auditor

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

witam, dlaczego wszyscy piszą dane sensytywne przecież istnieje język polski i w nim te same dane nazywane są (...) Zobacz więcej
31.12.2009, 07:38

konto usunięte

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Dariusz K.:
witam, dlaczego wszyscy piszą dane sensytywne przecież istnieje język polski i w nim te same dane nazywane są danymi wrażliwymi.:)

Tak naprawdę, to dane są nazywane "danymi, o których mowa w art. 27 ust. 1 uodo". Nie ma w Polsce legalnego (ustawowego) określenia na te dane, więc moim zdaniem i wrażliwe, i sensytywne jest jak najbardziej OK. Tych słów zamiennie używają sądy, doktryna, więc jak dla mnie nie ma problemu ;-)
31.12.2009, 08:38
Dariusz

Dariusz K. ISO 27001 Auditor

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Paweł Litwiński:
Dariusz K.:
witam, dlaczego wszyscy piszą dane sensytywne przecież istnieje język polski i w nim te same dane nazywane są danymi wrażliwymi.:)

Tak naprawdę, to dane są nazywane "danymi, o których mowa w art. 27 ust. 1 uodo". Nie ma w Polsce legalnego (ustawowego) określenia na te dane, więc moim zdaniem i wrażliwe, i sensytywne jest jak najbardziej OK. Tych słów zamiennie używają sądy, doktryna, więc jak dla mnie nie ma problemu ;-)
polecam zatem: http://pl.wikipedia.org/wiki/Dane_wra%C5%BCliwe
31.12.2009, 10:36

konto usunięte

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Dariusz K.:

polecam zatem: http://pl.wikipedia.org/wiki/Dane_wra%C5%BCliwe

A to na jaką okoliczność?
31.12.2009, 11:17
Przemysław

Przemysław Osiak zarządzanie w IT /
project management /
bezpieczeństwo in...

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Grzegorz ---:
Przyznam szczerze, że nigdzie nie znalazłem zapisu, który mówi o tym, że dostęp do danych sensytywnych wymaga upoważnienia w formie pisemnej.
A może coś przeoczyłem? Będę wdzięczny za informację.


Bo UODO tego nie wymaga, w ropatrywanym przypadku pisemność jest podytkowana wysokim poziomem ryzyk (prawdopodobieństwo wystapienia zbliżone do danych zwykłuch ale wpływ znacznie wyższy) towarzyszącym przetwarzaniu danych sensytywnych.

I dochodzimy tutaj do sedna sprawy!
Wcześniej kategorycznie twierdził Pan, że upoważnienie do danych wrażliwych (sensytywnych) wymaga formy pisemnej, a do danych wrażliwych nie wymaga tej formy.
Teraz pisze Pan, że chodzi tutaj o raczej o dobrą praktykę.
Pierwsza Pana wypowiedź mogła sugerować, że są jakieś przepisy prawa, które regulują ten podział i mogła wzbudzić w niektórych czytelnikach błędne przekonanie, że są takie przepisy. Jak potem sam Pan słusznie zauważył takich przepisów nie ma, a podział, który Pan przedstawił okazał się jedynie Pana propozycją jakiegoś rozwiązania.
Proponowałbym wyraźnie oddzielać w swoich wypowiedziach stan prawny od opinii na temat jakichś praktyk, ponieważ przedstawianie własnych opinii jako faktów może wprowadzać w błąd.
31.12.2009, 12:03



Przeglądaj dyskusje w tej grupie

Setki wypowiedzi

Zobacz o czym się teraz dyskutuje

Pytania i odpowiedzi

Znajdź odpowiedź na swoje pytanie

Wyślij zaproszenie do