Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Przemysław Osiak:
Teraz pisze Pan, że chodzi tutaj o raczej o dobrą praktykę.

O dobrej praktyce polegającej na pisemnym upoważnieniu do PDO ja wspomniałem ;)

Pierwsza Pana wypowiedź mogła sugerować, że są jakieś przepisy prawa, które regulują ten podział i mogła wzbudzić w niektórych czytelnikach błędne przekonanie, że są takie przepisy.

Zgadzam się z tym jak najbardziej. Również w swoim wątku wyraziłem zaskoczenie, z takiego stanu rzeczy.

Proponowałbym wyraźnie oddzielać w swoich wypowiedziach stan prawny od opinii na temat jakichś praktyk, ponieważ przedstawianie własnych opinii jako faktów może wprowadzać w błąd.

Generalnie jakichkolwiek porad na forach nie można taktować jako wiążące, podpisuję się jednak pod Przemka propozycją - starajmy sie rozgraniczać własne przemyślenia/doświadczenia/praktyki od przepisów prawnych...

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Przemysław Osiak:
Wcześniej kategorycznie twierdził Pan, że upoważnienie do danych wrażliwych (sensytywnych) wymaga formy pisemnej, a do danych wrażliwych nie wymaga tej formy.

Podałem to w formie "generalnie upoważnienia nie muszą posiadać formy pisemnej, chyba że mówimy o zbiorach danych sensytywnych"

Fakt może być mylące za co przepraszam forumowiczów, ale na pewno nie jest kategoryczne ;-), zważywszy, że zapraszałem do polemiki.

To mamy już, że UODO nie wymaga formy pisemnej upoważnień, jednak taką formę rekomenduje GIODO jak i dobre praktyki (cele dowodowe).

Jednak co dalej? Czy możemy postać elektroniczną upoważnień przyjąć w naszej praktyce w przypadku zderzenia z dużą skalą do obsługi?. Głównym zagrożeniem jest "słaby dowód formalny", bo przecież nie skuteczność ochrony (też mamy rozliczalność kto, do czego,kiedy, jak), zyskiem - sprawna osbługa, prostsza ewidencja, generalnie brak dodatkowych papierów wymagajacych "obsługi kancelaryjnej". Dodam, iż nie twierdzę tego kategorycznie tylko zapraszam do dyskusji ;-)Grzegorz --- edytował(a) ten post dnia 05.01.10 o godzinie 12:48

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Grzegorz ---:
Jednak co dalej? Czy możemy postać elektroniczną upoważnień przyjąć w naszej praktyce w przypadku zderzenia z dużą skalą do obsługi?. Głównym zagrożeniem jest "słaby dowód formalny", bo przecież nie skuteczność ochrony (też mamy rozliczalność kto, do czego,kiedy, jak), zyskiem - sprawna osbługa, prostsza ewidencja, generalnie brak dodatkowych papierów wymagajacych "obsługi kancelaryjnej". Dodam, iż nie twierdzę tego kategorycznie tylko zapraszam do dyskusji

Oczywiście można prowadzić ewidencję upoważnień w formie elektronicznej. Musi ona jednak posiadać historię, czyli nie nadpisujemy nowych uprawnień a dopisujemy nowe, tak aby możliwe było dojście do tego, kto i kiedy miał dostęp do jakich zbiorów.

Osobiście jestem przeciwnikiem wszelkiej papierologii jednak w takim przypadku, obok wersji elektronicznej mimo wszystko zachowałbym również formę papierową, chociażby na potrzeby kontroli, czy to wewnętrznej, czy to z GIODO.

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Upoważnienie do przetwarzania danych osobowych a ewidencja upoważnień (a właściwie: ewidencja osób upoważnionych) to dwie różne rzeczy.

Przypomnę (chociaż pewnie w tym gronie nie wypada, zatem przepraszam z góry za truizmy), że posiadanie upoważnienia nadanego przez AD jest warunkiem koniecznym, aby jakaś osoba mogła zgodnie z prawem przetwarzać dane osobowe.
Art. 37 UODO nie pozostawia tutaj żadnych wątpliwości: "Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych." Przepis nakłada obowiązek zarówno na "osobę" (która żeby móc przetwarzać dane musi posiadać upoważnienie), jak i na AD (który nie może dopuścić, aby jakakolwiek osoba nieposiadająca upoważnienia przetwarzała dane osobowe).
Oczywiście sama UODO nie określiła formy upoważnienia, co nie znaczy, że nie można wywnioskować z innych przepisów, zwyczaju prawnego oraz doktryny, że upoważnienie powinno przyjąć formę pisemną.

Kończąc ten wątek, odnosząc się do analizy ryzyka, o której wspominał Pan Grzegorz ale przede wszystkim do pragmatyki, uważam, że forma pisemna upoważnienia, przede wszystkim w związku z jej funkcją dowodową, nawet jeśli uprawnionym byłoby twierdzenie, że nie jest wymagana, to bez wątpienia jest porządana.
W kontekście naszej polemiki niewątpliwie zmniejsza ona możliwość wystąpienia ryzyka, o których mowa w art. 49 lub w art. 51 UODO.

Natomiast w kwestii prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych, to jest ona uregulowana przez art. 39 ust. 1, który na AD nakłada obowiązek jej prowadzenia.
Także i tutaj nie określono formy w jakiej ma być prowadzona ewidencja - jednakże trudno sobie wyobrazić prowadzenie takiej ewidencji w formie ustnej ;-)
Pisemność musi tutaj być zachowana! Może to być tradycyjna forma pisemna (w zeszyciku, księdze)lub forma elektroniczna, pod warunkiem, że ewidencja zawiera wymienione w ustawie informacje.

PeOxPrzemysław Osiak edytował(a) ten post dnia 06.01.10 o godzinie 13:10

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Przemysław Osiak:
Kończąc ten wątek, odnosząc się do analizy ryzyka, o której wspominał Pan Grzegorz ale przede wszystkim do pragmatyki, uważam, że forma pisemna upoważnienia, przede wszystkim w związku z jej funkcją dowodową, nawet jeśli uprawnionym byłoby twierdzenie, że nie jest wymagana, to bez wątpienia jest porządana.

No tak ale jak miałaby wyglądać ta funkcja dowodowa? Załóżmy, że pracownik ma w swojej teczce upoważnienie do przetwarzania danych, a więc jest to dowód że został upoważniony. I wszystko fajnie ale jeśli pracowników jest 2 tysiące, a ich uprawnienia i obowiązki zmieniają się to zmieniać powinny się upoważnienia. Przy takiej liczbie osób bardzo prawdopodobne jest, że upoważnienie może zostać zgubione albo nie wystawione i w takiej sytuacji "funkcja dowodowa" działa na niekorzyść AD. Bo sokoro musi być zachowana forma pisemna, bo tak przyjął AD, to brak upoważnienia oznacza, że dane osobowe przetwarzała osoba nieupoważniona za co grozi kara grzywny, ograniczenia lub pozbawienia wolności do lat 2. Natomiast wszystkim osobom, które udostępniały dane osobowe temu pracownikowi grozi kara grzywny, ograniczenia lub pozbawienia wolności do roku bo co prawda nieumyślnie ale jednak łamali prawo. To też spore ryzyko, nie wspominam już o kosztach materiałów (druki upoważnień), pracy (wystawianie upoważnień) i magazynowania (gdzieś to wszystko trzeba trzymać, zabezpieczyć i archiwizować).
Więc na co komu taka funkcja dowodowa skoro działa ona na niekorzyść AD? Czy to mieści się w "dobrych praktykach"?Adam Patkowski edytował(a) ten post dnia 06.01.10 o godzinie 14:37

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Adam Patkowski:

No tak ale jak miałaby wyglądać ta funkcja dowodowa?

Bardzo zwyczajnie. Oto przykładowa sytuacja: ktoś, np. kontroler GIODO pyta Pana czy pracownicy mają upoważnienia. Pan odpowiada, że mają. Kontroler prosi, aby Pan to udowodnił. Pan pokazuje kontrolerowi upoważnienie. QED

Załóżmy, że pracownik ma w swojej teczce upoważnienie do przetwarzania danych, a więc jest to dowód że został upoważniony. I wszystko fajnie ale jeśli pracowników jest 2 tysiące, a ich uprawnienia i obowiązki zmieniają się to zmieniać powinny się upoważnienia.

Jeżeli zmieniany jest zakres obowiązków to też zazwyczaj przyjmuje to formę pisemną. Nic nie stoi na przeszkodzie, aby wraz z nowym zakresem obowiązków nadawać nowe upoważnienie. Właśnie o to chodzi!
A poza tym, czy na pewno zakres czynności zmienia się wszystkim pracownikom w tym samym czasie?

Przy takiej liczbie osób bardzo prawdopodobne jest, że upoważnienie może zostać zgubione albo nie wystawione

I oto pojawia się kwestia organizacji pracy! nie można nie przestrzegać przepisów prawa tylko dlatego, że byłoby dużo z tym roboty.

i w takiej sytuacji "funkcja dowodowa" działa na niekorzyść AD.

Jest to oczywista oczywistość. Jeśli ma bałagan w papierach, to działa na swoją niekorzyść.

Bo sokoro musi być zachowana forma pisemna, bo tak przyjął AD, to brak upoważnienia oznacza, że dane osobowe przetwarzała osoba nieupoważniona za co grozi kara grzywny, ograniczenia lub pozbawienia wolności do lat 2. Natomiast wszystkim osobom, które udostępniały dane osobowe temu pracownikowi grozi kara grzywny, ograniczenia lub pozbawienia wolności do roku bo co prawda nieumyślnie ale jednak łamali prawo. To też spore ryzyko,

Dlatego zalecam przestrzeganie prawa.

nie wspominam już o kosztach materiałów (druki upoważnień),
pracy (wystawianie upoważnień) i magazynowania

Koszt ryzy papieru (500 kartek) to ok. 17 zł. koszt wydruku jednej strony to ok. 10 gr.
2 tys. upoważnień to razem jakieś 270 zł. A koszty pracy? - przecież ABI i tak jest na etacie. Chce mnie Pan przekonać, że są to koszty które firma zatrudniająca 2 tys. osób w ogóle zauważy?

(gdzieś to
wszystko trzeba trzymać, zabezpieczyć i archiwizować).

A gdzie w Pana firmie trzymane są akta osobowe? proponuję rozważenie możliwości przechowywania wydanych upoważnień w tym samym miejscu.Przemysław Osiak edytował(a) ten post dnia 06.01.10 o godzinie 15:44

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Dodam od siebie, że podczas kontroli nie zawsze trzeba pokazywać wszystkie upoważnienia. Miałem taką sytuację, że kontrolerka poprosiła tylko o kilka przykładowych + wyciąg z ewidencji osób upoważnionych. To tak w kontekście funkcji dowodowej, ale też i praktyki.

Pozdrawiam,
Michał

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

U mnie było bardzo podobnie. ;-)
Ale ciekaw jestem co zrobiłaby pani kontroler, gdyby Pan powiedział, że nie ma upoważnień albo że zostały wydane w formie ustnej ;-)

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Przemysław Osiak:

Adam Patkowski:

No tak ale jak miałaby wyglądać ta funkcja dowodowa?

Bardzo zwyczajnie. Oto przykładowa sytuacja: ktoś, np. kontroler GIODO pyta Pana czy pracownicy mają upoważnienia. Pan odpowiada, że mają. Kontroler prosi, aby Pan to udowodnił. Pan pokazuje kontrolerowi upoważnienie. QED

A co jak pokaże regulamin gdzie jest napisane, że upoważnienia wydaje się ustnie? Co wtedy zrobi kontroler GIODO? Zapyta przełożonego czy upoważnił ustnie swojego pracownika? A co jak przełożony odpowie, że tak zrobił?

Załóżmy, że pracownik ma w swojej teczce upoważnienie do przetwarzania danych, a więc jest to dowód że został upoważniony. I wszystko fajnie ale jeśli pracowników jest 2 tysiące, a ich uprawnienia i obowiązki zmieniają się to zmieniać powinny się upoważnienia.

Jeżeli zmieniany jest zakres obowiązków to też zazwyczaj przyjmuje to formę pisemną. Nic nie stoi na przeszkodzie, aby wraz z nowym zakresem obowiązków nadawać nowe upoważnienie. Właśnie o to chodzi!

A co jeśli nie zmienia się zakres obowiązków tylko zostaje zaktualizowany system, w którym pracują wszyscy pracownicy? Muszę wydać w jednym dniu 2 tysiące upoważnień :) Wyciągnąć teczkę każdego pracownika i wpiąć takie upoważnienie. A co jeśli ktoś dla celów dowodowych i dobrych praktyk ustalił, że na każdym upoważnieniu musi przystawić pieczątkę bezpośredni przełożony, ABI, administrator systemu oraz pani kadrowa, każdy potwierdzając w zakresie swoich obowiązków i że upoważnienie jest drukowane dla osoby upoważnionej i dla administratora systemu oraz jeszcze jeden egzemplarz dla kadr :)

Przy takiej liczbie osób bardzo prawdopodobne jest, że upoważnienie może zostać zgubione albo nie wystawione

I oto pojawia się kwestia organizacji pracy! nie można nie przestrzegać przepisów prawa tylko dlatego, że byłoby dużo z tym roboty.

No właśnie, czy w takim razie powinniśmy organizować pracę w sposób znacząco zwiększający ryzyko łamania przepisów? Czy może pozostać przy prostym rozwiązaniu akceptowanym przez ustawodawcę?

i w takiej sytuacji "funkcja dowodowa" działa na niekorzyść AD.

Jest to oczywista oczywistość. Jeśli ma bałagan w papierach, to działa na swoją niekorzyść.

A ja pytam czy w takim razie powinien wprowadzać rozwiązania organizacyjne zwiększające ryzyko wystąpienia bałaganu?

Bo sokoro musi być zachowana forma pisemna, bo tak przyjął AD, to brak upoważnienia oznacza, że dane osobowe przetwarzała osoba nieupoważniona za co grozi kara grzywny, ograniczenia lub pozbawienia wolności do lat 2. Natomiast wszystkim osobom, które udostępniały dane osobowe temu pracownikowi grozi kara grzywny, ograniczenia lub pozbawienia wolności do roku bo co prawda nieumyślnie ale jednak łamali prawo. To też spore ryzyko,

Dlatego zalecam przestrzeganie prawa.

Ale przestrzeganie ustawy o ochronie danych osobowych czy wewnętrznych aktów prawnych? Bo ustawa nic nie mówi o formie papierowej jak już ustaliliśmy.

nie wspominam już o kosztach materiałów (druki upoważnień),
pracy (wystawianie upoważnień) i magazynowania

Koszt ryzy papieru (500 kartek) to ok. 17 zł. koszt wydruku jednej strony to ok. 10 gr.
2 tys. upoważnień to razem jakieś 270 zł. Chce mnie Pan przekonać, że są to koszty które firma zatrudniająca 2 tys. osób w ogóle zauważy? A koszty pracy? - przecież ABI i tak jest na etacie.

Na górze dałem przykład w którym te koszty ulegają zwielokrotnieniu.

(gdzieś to
wszystko trzeba trzymać, zabezpieczyć i archiwizować).

A gdzie w Pana firmie trzymane są akta osobowe? proponuję rozważenie możliwości przechowywania wydanych upoważnień w tym samym miejscu.

Moją firmę zostawmy na później :)
Co do "dobrych praktyk" i "celów dowodowych" to najczęściej jak jest jakikolwiek papier dotyczący pracownika to najchętniej wrzuca się go do teczki osobowej. A kończą tam najprzeróżniejsze dokumenty poczynając na kilku, a czasami kilkunastu egzemplarzach upoważnień, a kończąc na protokole zdania środków czyszczących :)

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Przemysław Osiak:
U mnie było bardzo podobnie. ;-)
Ale ciekaw jestem co zrobiłaby pani kontroler, gdyby Pan powiedział, że nie ma upoważnień albo że zostały wydane w formie ustnej ;-)

A ja jestem ciekaw co by było gdyby kontroler znalazł jednego pracownika, który akurat tego upoważnienia nie ma :) grzywna albo 2 lata :)

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Widzę, że dyskusja rozgorzała na dobre.

Ja jakkolwiek to nazwać czy "dobrą praktyką" lub "stosowaniem się do prawa" uaktualniłem swoją PB oraz wszystkie instrukcje powiązane, przeprowadziłem szkolenie dla wszystkich pracowników, którzy maja dostęp do sieci firmowej. Każdemu wydałem upoważnienie do przetwarzania danych osobowych pracowników oraz klientów (nie rozbijając się na poszczególne funkcje - ponieważ pracownik może mieć do czynienia w systemie informatycznym z różnymi danymi - mając uprawnienie do przetwarzania danych - nadaję w odpowiednim oprogramowaniu ograniczenia co do zakresu przetwarzania przez danego pracownika). Robię dwie kopie takiego upoważnienia (każda podpisana przez ADO i pod pieczętowana) - użytkownik podpisuje po przejściu szkolenia obydwie kopie wraz z datą oraz podpisuje się w rejestrze osób upoważnionych. Jedna kopia jest dla niego a druga idzie do kadr do akt osobowych. w takim rozwiązaniu wszystkie powyższe postulaty są spełnione. Jest z tym trochę roboty ale nikt nie powiedział że będzie łatwo! Przeszkolenie wszystkich pracowników i wydanie upoważnień to były 2 tygodnie szkoleń co dziennie po 3 grupy więc "trochę" się człowiek nagadał :]
Lecz moim zdaniem to była podstawa od której zacząłem pracę na tym stanowisku. Chyba dość jasno opisałem cały proces, jakby coś było nie jasne to piszcie.

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Arkadiusz Reiter:
Każdemu wydałem upoważnienie do przetwarzania danych osobowych pracowników oraz klientów (nie rozbijając się na poszczególne funkcje - ponieważ pracownik może mieć do czynienia w systemie informatycznym z różnymi danymi - mając uprawnienie do przetwarzania danych - nadaję w odpowiednim oprogramowaniu ograniczenia co do zakresu przetwarzania przez danego pracownika).

To ja się trochę poczepiam ale nie złośliwie. Zgodnie z ustawą odo osoba nabywa prawa do przetwarzania danych osobowych w momencie nadania jej upoważnienia do przetwarzania d.o. (w uproszczeniu). I dopiero z tego upoważnienia wynika jakie dane może przetwarzać upoważniony, a co za tym idzie uprawnienia nadawane w systemie powinny również wynikać z upoważnienia i co ważne pokrywać się z zakresem tego upoważnienia. W komentarzach z kolei podkreśla się, że upoważnienie powinno być ograniczone do faktycznie niezbędnego zakresu. A więc podejście, które przyjąłeś czyli upoważnienie każdego do wszystkiego, a następnie nadanie ograniczonych uprawnień w systemie nie jest prawidłowe i jest sprzeczne z sensem samego upoważniania do przetwarzania d.o. Poza tym, powiedz mi jak uzasadnisz, czemu np. informatyk ma upoważnienie do zbioru danych osobowych kadrowych? Nie ma uprawnień w systemie kadrowym ale teoretycznie może wejść do pokoju z aktami osobowymi i je sobie czytać.

Jest z tym trochę roboty ale nikt nie powiedział że będzie łatwo!

Czyli sporo się napracowałeś, a powinieneś tak naprawdę jeszcze więcej, bo upoważnienia powinny różnić się zakresem. I co teraz? Wystawiasz jeszcze raz? :)

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Jakiej skali (ilość osób upoważnianych) dotyczyły opisane przez Ciebie działania?

do 50,
do 100,
do 500,
do 1000,
do 3000
do 5000
powyżej

Pozdrawiam

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

do 500 osób, lecz trzeba przyznać że jestem w tej dziedzinie jedynym pracownikiem który się tym zajmuje.
A co do upoważnień. U nas w firmie dane klientów są połączone z danymi pracowników, Różnego rodzaju korespondencja, pisma, warunki techniczne, rozliczenia zawierają dane tak samo klientów jak i pracowników więc moim zdaniem w tym przypadku możliwość przetwarzania ( czyli nawet zapoznania się jakimikolwiek danymi pracowników lub klientów) jest wymagana dla pracowników. Jednocześnie pracownik jest upoważniony do przetwarzania danych osobowych klientów oraz pracowników firmy w obszarze wykonywania swoich obowiązków wynikających z uprawnień na danym stanowisku. Jest to zamieszczone na upoważnieniu. Więc jak widzisz pracownik ma dostęp do "wszystkich" danych do jakie są mu niezbędne do wykonywania swoich obowiązków więc nie może sobie wejść do kadr i poczytać teczek pracowniczych! Moim zdaniem jest to logiczne.

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Arkadiusz Reiter:
A co do upoważnień. U nas w firmie dane klientów są połączone z danymi pracowników, Różnego rodzaju korespondencja, pisma, warunki techniczne, rozliczenia zawierają dane tak samo klientów jak i pracowników więc moim zdaniem w tym przypadku możliwość przetwarzania ( czyli nawet zapoznania się jakimikolwiek danymi pracowników lub klientów) jest wymagana dla pracowników.

No właśnie nie z jakimikolwiek tylko z niektórymi. W teczkach osobowych pracowników znajduje się masa informacji niepowiązana z klientami np.: notatki dotyczące nagan, pisma o wysokości wynagrodzeń, dowody zawarcia związku małżeńskiego albo zajścia w ciążę itp. To że jakiś pracownik obsługuje klienta i musi wiedzieć że inni pracownicy obsługują tego klienta nie oznacza, że powinien mieć upoważnienie do przetwarzania "jakichkolwiek" danych tych pracowników.

Jednocześnie pracownik jest upoważniony do przetwarzania danych osobowych klientów oraz pracowników firmy w obszarze wykonywania swoich obowiązków wynikających z uprawnień na danym stanowisku. Jest to zamieszczone na upoważnieniu. Więc jak widzisz pracownik ma dostęp do "wszystkich" danych do jakie są mu niezbędne do wykonywania swoich obowiązków więc nie może sobie wejść do kadr i poczytać teczek pracowniczych! Moim zdaniem jest to logiczne.

W momencie kiedy piszesz, że pracownik ma dostęp do wszystkich danych "jakie są mu niezbędne do wykonywania swoich obowiązków" pojawia się pytanie po co w ogóle pisać indywidualne upoważnienia. Stosując twoje rozwiązanie wystarczy napisać jedno zbiorcze upoważnienie o następującej treści: Upoważniam do przetwarzania danych osobowych wszystkie osoby wykonujące jakiekolwiek czynności dla administratora danych w zakresie niezbędnym do wykonania tych czynności. Po co się męczysz i wypisujesz papiery skoro i tak wszystko sprowadza się do tego co powyżej.

Poza tym wcześniej pisałeś:

Każdemu wydałem upoważnienie do przetwarzania danych osobowych
pracowników oraz klientów (nie rozbijając się na poszczególne
funkcje

A teraz piszesz:

Jednocześnie pracownik jest upoważniony do przetwarzania danych > osobowych klientów oraz pracowników firmy w obszarze wykonywania > swoich obowiązków wynikających z uprawnień na danym stanowisku. > Jest to zamieszczone na upoważnieniu.

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Ale teraz pomyśl po co sobie komplikować sprawę oraz każdemu pracownikowi dokładnie wypisywać do jakich danych ma uprawnienie a do jakich nie, jeżeli reguluje to opis jego pracy? Eliminuję tym samym ciągłą konieczność zmieniania upoważnień dla każdego pracownika. Raz nadane upoważnienie obowiązuje pracownika na każdym stanowisku a zakres danych się zmienia. Moim zdaniem to jest rozsądne podejście ale każdy może uważać oczywiście inaczej. A jak Ty rozwiązujesz tą kwestię?

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Arkadiusz Reiter:
Ale teraz pomyśl po co sobie komplikować sprawę oraz każdemu pracownikowi dokładnie wypisywać do jakich danych ma uprawnienie a do jakich nie, jeżeli reguluje to opis jego pracy?

No właśnie i tu dochodzimy do tego o co mi chodziło, jakie opracować rozwiązanie, żeby nie utonąć w papierach, a jednocześnie pozostać w zgodzie z przepisami prawa. Skoro dopuszczasz możliwość regulowania zakresu upoważnienia zakresem nałożonych obowiązków służbowych to po co wystawiać upoważnienia? Nie lepiej napisać wewnętrznie obowiązujący akt prawny zgodnie, z którym każdy pracownik jest upoważniony do przetwarzania danych osobowych w zakresie zgodnym z zakresem obowiązków służbowych?
Miałem jeszcze zapytać, a jak poradziłeś sobie w takim przypadku z ewidencją osób upoważnionych? Musi ona przecież zawierać "datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych". Jak rozwiązałeś problem wprowadzania zakresu upoważnienia do ewidencji? Tam też wpisujesz "w zakresie wykonywania obowiązków służbowych" przy każdym upoważnionym?

Eliminuję tym samym ciągłą konieczność zmieniania upoważnień dla każdego pracownika. Raz nadane upoważnienie obowiązuje pracownika na każdym stanowisku a zakres danych się zmienia. Moim zdaniem to jest rozsądne podejście ale każdy może uważać oczywiście inaczej. A jak Ty rozwiązujesz tą kwestię?

W komentarzach do ustawy podkreśla się, że upoważnienie nie powinno być wywodzone z umowy o pracę czy z zakresu obowiązków pracowniczych. Z drugiej strony zgadzam się, że wystawianie oddzielnego papieru tylko po to, żeby był, dla celów dowodowych, nie ma zbytniego sensu, tym bardziej, że w ustawie jest mowa o "posiadaniu upoważnienia" co najczęściej przekłada się na istnienie takiego upoważnienia w dokumentach AD, a rzadziej na świadomość osoby upoważnionej, że takie upoważnienie ma i jaki jest jego zakres. Dlatego ja proponuję zapisać, że upoważniony do przetwarzania danych osobowych jest każdy kto ma nadane uprawnienia w systemie informatycznym, a zakres upoważnienia jest zgodny z zakresem nadanych uprawnień w systemie. Systemy muszą być dobrze opisane co wynika z przepisów wykonawczych do ustawy o odo, a więc łatwo jest przypisać do konkretnej roli w systemie zakres przetwarzanych danych oraz operacje jakie na tych danych można wykonać. Z kolei każdy pracownik wie jaką ma przyznaną rolę w systemie. Problem pojawia się tylko w jednym przypadku, jeśli jakieś dane są przetwarzane w formie papierowej, a nie w systemach ale to akurat rzadki przypadek.

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Więc już Ci wyjaśniam jak sobie poradziłem z ewidencją. Po prostu w rubryce upoważnienie do przetwarzania danych w kolumnie Zakres użytkownik ma wpisane dane klientów oraz dane pracowników od dnai do dnia. Termin zakończenia ważności upoważnienia dostaję przy zwolnieniu pracownika z kadr. Użytkownik po przejściu szkolenia z PB (przy zatrudnieniu) podpisuje się że przyjmuje do wiadomości i stosowania PB przedsiębiorstwa. Na upoważnieniu również się podpisuje i jedna kopia dla mnie (do akt pracowniczych) i druga dla użytkownika.
W UODO jest powiedziane że użytkownik musi mieć upoważnienie imienne wydane w formie papierowej - więc ja takie wydaję.Nie nastręczając sobie dużej ilości "niepotrzebnej" roboty dodatkowej z dokładnym opisywaniem zakresu dostępu do danych.
Każde rozwiązanie jest moim zdaniem sprecyzowane do wymagań danej firmy. U mnie takie rozwiązanie zastosowaliśmy i się ono sprawdza. Każdy pracownik ma nadane upoważnienie od ADO. A to jest wymagane przez prawo.

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Witam. Nie chce zakładać nowego wątku więc podpinam się pod trochę wyciszony, gdyż problematyka podobna. Mianowicie jestem poczatkującym ABI, któremu od podstaw zostało zlecone uporządkowanie spraw ochrony danych osobowych w urzędzie, w którym pracuje. Kiedy zajęłem się zagadnienieniem upoważnień natrafiłem na podobny problem a mianowicie określenie zakresu każdego upowaznienia, zwłaszcza gdy chodzi o przetwarzanie poza systemem informatycznym. Specyfika wykonywania zadań w urzędzie powoduje, że praktycznie każdy pracownik podczas wyonywania swoich obowiązków ma kontaktz danymi osobowymi. Przyznam, ze pogląd Pana Arkadiusza odniesienia zakresu upoważnienia do konkretnego zakresu obowiązków byłby dla mnie wygodnym rozwiązaniem, ale chciałbym w swoim upowaznieniu zawrzeć jeszcze inny zapis:
" Upoważniam Pana...do przetwarzania danych osobowych w systemie nieinformatycznym pozyskiwanych na podstawie przepisów :

-ustawa z dnia....
- ustawa z dnia....
- ustawa z dnia..... itd. wymieniam dla każdego pracownika właściwe mu przepisy.

Tu też jest troche tworzenia papierów, ale dużo mniej niz gdybym miał pracownikowi przypisywać konkretne zbiory, gdyz bywa i tak, że na podstawie jednej ustawy istnieje obowiązek tworzenia 3 czy nawet 4 zbiorów danych.
Jak dobrze rozumiem to w gestii Administratora Danych leży sposób określenia zakresu upowaznienia i może to czynić w dowolny sposób biorąc za to odpowiedzialnośc.

Proszę o opinię. Pozdrawiam.

Temat: Upoważnienie do zbiorów danych osobowych, a identyfikator

Witam,
Z Ustawy o ochronie danych osobowych wynika, że Administrator danych ma obowiązek zabezpieczenia przetwarzanych danych oraz zapewnić kontrolę nad tym jakie dane, kiedy i przez kogo zostały wprowadzone oraz komu zostały przekazane. W ramach obowiązku należytej staranności administrator danych musi precyzyjnie określić zakres każdego upoważnienia w taki sposób aby w jasny sposób wynikało z niego do jakich danych upoważniony ma dostęp aby mógł prawidłowo wypełniać swoje obowiązki. Należy zatem unikać sytuacji w której zakres upoważnienia nie jest jasny (np. na podstawie jednej Ustawy utworzone są trzy zbiory ale niektórzy pracownicy mają dostęp do jednego a inni do wszystkich). W mojej opinii dopuszczalne jest rozwiązanie które Pan proponuje ale tylko wtedy jeśli zakres ten nie będzie budził wątpliwości. W pozostałych przypadkach należałoby raczej znaleźć takie rozwiązanie które pozwoli na precyzyjne określenie do których konkretnie danych osoba upoważniona ma dostęp.Filip Turyk edytował(a) ten post dnia 28.07.10 o godzinie 09:21