Ewa

Ewa Grzechnik ABI, urząd

Temat: Zakres upoważnienia w ewidencji osób upoważnionych

Witam
Od niedawna jestem ABI w dużej (bo około 1000 osób) "firmie państwowej", która ma ustawowe prawo do przetwarzania danych osobowych osób, których dane dotyczą. Porządkuję wszystkie sprawy dotyczace zasad przetwarzania danych osobowych i mam mały problem z ewidencją osób upoważnionych, a szczególnie z podaniem zakresu.
Sprawa jest prosta jeżeli chodzi o systemy informatyczne, gdyż w rejestrze upoważnień prowadzę również ewidencję wydanych upoważnień do systemów i nformatycznych, natomiast mam problem ze wskazaniem zakresu do systemów tradycyjnych. Jak szczegółowo należy podejść do zakresu w ewidencji upoważnień. Proszę (...) Zobacz więcej
25.11.2009, 19:37
Arkadiusz

Arkadiusz Reiter Specjalista ds.
wsparcia
informatycznego i
ochrony danych...

Temat: Zakres upoważnienia w ewidencji osób upoważnionych

Witam,
Na wstępie chcę powiedzieć Ci że Ci "współczuję" porządkowania wszystkich spraw....sam niedawno przez to przechodziłem i był z tym niemały problem, do tej pory nie mogę się uporać z niektórymi ustaleniami dotyczącymi PB. A jeśli chodzi o Twoje pytanie to sprawa jest prosta ponieważ na upoważnieniu do przetwarzania danych osobowych określasz do jakiego zakresu danych ma upoważnienie dana osoba, przetwarzanie danych osobowych w systemie informatycznym czy kartoteki danych osobowych.

Miałaś już doświadczenie na stanowisku ABI czy jest to dla Ciebie (...) Zobacz więcej
26.11.2009, 08:29
Adam

Adam Patkowski Specjalista ds.
bezpieczeństwa
informacji

Temat: Zakres upoważnienia w ewidencji osób upoważnionych

Arkadiusz Reiter:
[...]
Twoje pytanie to sprawa jest prosta ponieważ na upoważnieniu do przetwarzania danych osobowych określasz do jakiego zakresu danych ma upoważnienie dana osoba, przetwarzanie danych osobowych w systemie informatycznym czy kartoteki danych osobowych.
[...]

A z czego wynika, że zakres odnosi się do przetwarzania w systemach albo kartotekach? A nie do rodzaju danych czyli np. dane pracowników ale nie klientów albo tylko imiona i nazwiska ale nie numery PESEL albo do operacji jakie można na danych przeprowadzać np. tylko przeglądanie bez możliwości edycji? Co rozumiesz pod pojęciem "zakres upoważnienia do przetwarzania"?
26.11.2009, 10:23
Arkadiusz

Arkadiusz Reiter Specjalista ds.
wsparcia
informatycznego i
ochrony danych...

Temat: Zakres upoważnienia w ewidencji osób upoważnionych

Adam Patkowski:
A z czego wynika, że zakres odnosi się do przetwarzania w systemach albo kartotekach? A nie do rodzaju danych czyli np. dane pracowników ale nie klientów albo tylko imiona i nazwiska ale nie numery PESEL albo do operacji jakie można na danych przeprowadzać np. tylko przeglądanie bez możliwości edycji? Co rozumiesz pod pojęciem "zakres upoważnienia do przetwarzania"?

Dokładne wypisywanie samych operacji bądź dokładnego zdefiniowania danych było by procesem dość uciążliwym w praktyce. Nadzór nad takimi zapisami byłby dla ABI bardzo czasochłonny. Umieszczając w upoważnieniu do przetwarzania danych zapis upoważnienia do przetwarzania "danych klientów" lub "danych pracowników" lub obydwu tych zapisów jednocześnie dokładnie opisuje zakres możliwości przetwarzania danych osobowych dla danego pracownika.

Moim zdaniem taki zapis jest najbardziej funkcjonalny.

Oprócz samego upoważnienia do przetwarzania danych osobowych jest nie kompletny (lecz uzależniony od zapisów na druku upoważnienia), ponieważ wymagany jest również rejestr osób posiadający upoważnienie do przetwarzania danych osobowych oraz potwierdzenie ( pisemne - podpis użytkownika) zaznajomienia się z obowiązującą PB w przedsiębiorstwie. Jest to bardzo istotne - nie można o tym zapomnieć!!Arkadiusz Reiter edytował(a) ten post dnia 26.11.09 o godzinie 13:27
26.11.2009, 13:24
Ewa

Ewa Grzechnik ABI, urząd

Temat: Zakres upoważnienia w ewidencji osób upoważnionych

U mnie w upoważnieniu zastosowano następujący zapis:
„Upoważniam Panią/Pana: (imię i nazwisko) do przetwarzania danych osobowych, będących w posiadaniu (nazwa firmy), w aktach, kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych oraz w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych, w zakresie określonym w „Karcie zakresu uprawnień i obowiązków” i w szczegółowych uprawnieniach wynikających z upoważnień do systemów informatycznych”.
W publikacji pt. ABC ochrony danych osobowych Na stronie 21 tego opracowania wskazano, że w upoważnieniu oprócz innych danych należy podać zakres danych, do których osoba ma dostęp, oraz nazwę zbioru.
Czy ta nazwa zbioru jest obligatoryjna ?
Stosowany u mnie zapis w upoważnieniu nie wskazuję bezpośrednio na nazwę zbioru. W kartach zakresu uprawnień i obowiązków pracownicy mają wpisane czynności jakie wykonują.
Jest tak zrobione, bo pracownicy często zmieniają komórki, upoważnienie pozostaje nie zmieniono a zmienia się Karta zakresu uprawnień i obowiązków pracownika.
Wydaje mi się, że właściwym byłoby w tej sytuacji uzupełnienie zapisów w Kartach o uprawnienia do przetwarzania danych w poszczególnych zbiorach.
Drugi temat to ewidencja.
Zgodnie z ustawą ewidencja osób upoważnionych powinna wskazywać zakres upoważnienia. Czy w związku z tym w ewidencji należy powtórzyć nazwy zbiorów do których przetwarzania są upoważnieni pracownicy. Prowadzenie tego dla 1000 osób, byłoby (...) Zobacz więcej
26.11.2009, 22:46
Arkadiusz

Arkadiusz Reiter Specjalista ds.
wsparcia
informatycznego i
ochrony danych...

Temat: Zakres upoważnienia w ewidencji osób upoważnionych

Ja w firmie stosuję zapisy w upoważnieniu tak jak Tobie napisałem, konsultowałem treść mojego upoważnienia z prawnikami i innymi ABI i doszliśmy do consensusu w tym temacie.
A co do listy ewidencji, ja mam ok 500 pracowników czyli połowę z tego co Ty masz. Wypracowałem sobie taki standard, że wymienione są zakresy danych tak jak na upoważnieniu a ewidencję taką prowadzę podczas przeprowadzania szkolenia z PB dla pracowników. W Twoim przypadku stworzenie takiej ewidencji będzie znacznie trudniejsze ponieważ bardzo szczegółowo podchodzisz do każdego użytkownika. Moim zdaniem można by to skrócić do szerszych zagadnień takich jak : dane klientów oraz dane pracowników i stworzenie ewidencji było by o wiele prostsze. Zastanów się nad (...) Zobacz więcej
27.11.2009, 07:26
Ewa

Ewa Grzechnik ABI, urząd

Temat: Zakres upoważnienia w ewidencji osób upoważnionych

Dziękuję Arku za pomoc.
POstaram się jakość wybrnąć z tymi zakresami, nie widziałm jak bardzo szczegółowo do tego podejść.
Niestety biurokracja nas trochę przerasta i czasem nie idzie to z parą ze zdrowym (...) Zobacz więcej
30.11.2009, 13:53
Arkadiusz

Arkadiusz Reiter Specjalista ds.
wsparcia
informatycznego i
ochrony danych...

Temat: Zakres upoważnienia w ewidencji osób upoważnionych

Nie ma sprawy, mam nadzieję że pomogłem. W razie potrzeby pisz, postaram się (...) Zobacz więcej
1.12.2009, 09:15
Arek

Arek Kowalski Specjalista

Temat: Zakres upoważnienia w ewidencji osób upoważnionych

Odświeżę temat.
Ewa G.:
W publikacji pt. ABC ochrony danych osobowych Na stronie 21 tego opracowania wskazano, że w upoważnieniu oprócz innych danych należy podać zakres danych, do których osoba ma dostęp, oraz nazwę zbioru.
Czy ta nazwa zbioru jest obligatoryjna ?

No właśnie, jak to jest z tą nazwą zbioru ?
Czy ma ktoś jakąś podstawę prawą tego, że nie trzeba wpisywać nazwy zbioru w upoważnieniu czy też w ewidencji? (co jest strasznie uciążliwe)

Niewątpliwie najrozsądniejszym rozwiązaniem jest sposób Arka. Tylko czy prawnie jest to dozwolone ?

pozdrawiam
7.11.2013, 14:15
Grzegorz

Grzegorz K. Bezpieczeństwo w
pełnym wymiarze.
Publiczne i prywatne

Temat: Zakres upoważnienia w ewidencji osób upoważnionych

A jak pilnujecie zgodności upoważnień z założeniami co do zbioru i uprawnieniami pracowników?

Bo mam wrażenie, może mylne, że zaczynamy dyskusję od zupełnie innej strony. Upoważnienie ma materializować zakres dostępu, a więc jego szczegółowość powinna wynikać ze szczegółowości systemu ochrony danych osobowych.

Innymi słowy - nie zaczynamy od upoważnienia, a od dyskusji o poziomie szczegółowości zapisów PBDO i IZSI.

Co do samej praktyki wydanych upoważnień - każdy zbiór może mieć swój numer identyfikacyjny/nazwę. A zakres przetwarzania - oznaczenie. Dopracowaliśmy się w naszym zespole druki identyfikacji zbioru, w którym jeszcze dla wygody ABI mamy siatkę dostępu. Przy czym do zbioru jest wskazany AZ - administrator zarządzający, z którym tą siatkę się uzgadnia. A jak są problemy, to uzgadnia się ją z ADO.

Ale w wielkim skrócie - w kolumnach - zakres przetwarzania:
P - przeglądanie
W - wprowadzanie
Z - zmienianie
U - usuwanie
A - archiwizacja

Mogłem coś pominąć bo piszę z pamięci.

Następnie wiersze, to działy oraz stanowiska. Na przecięciu znakiem X zaznaczane, czy osoba ma dane uprawnienie.

Siatka taka daje nam możliwość nadzoru nad dostępem do zbioru wraz z uprawnieniami. I ogólnie jeśli wpływa do ABI wniosek o wydanie upoważnienia, jest weryfikowany z siatką dostępu. Jeśli jest odstępstwo (za duży poziom dostępu lub osoba spoza standardowego) jest odpowiednia procedura.

Upoważnienie jest natomiast odzwierciedleniem tych zapisów.

I np jak jest zbiór nr Kadry, to zapis w rejestrze Brzmi (w uproszczeniu) - Kadry/P,W,Z. Kolejny wiersz - to np Konkursy/P,W,C,A itd.

Oczywiście druk identyfikacji zbioru jest podpisany przez ADO i zawiera (również tabelarycznie) opis powiązań z innymi i przepływy. Ale ogólnie da się to dość prosto ogarnąć, nawet przy wielu zbiorach.

EDIT - przeczytałem i dodam o upoważnieniu. Również w tabelce - wykaz zbiorów i zakres uprawnień, plus kolumna na login. Ten post został edytowany przez Autora dnia 07.11.13 o godzinie 19:26
7.11.2013, 19:24
Przemysław

Przemysław Siembida Pełnomocnik Zarządu
ds. Telekomunikacji,
Administrator B...

Temat: Zakres upoważnienia w ewidencji osób upoważnionych

Panie Grzegorzu, czy na upoważnieniu naprawdę potrzebny jest login? Nie wystarczy zamieszczenie go w ewidencji?
Przecież najpierw pracownik zostaje upoważniony, a dopiero później dostaje dostęp do systemu informatycznego, nie odwrotnie.
W związku z tym w chwili wystawiania upoważnienia siłą rzeczy nie znamy loginu.
Może się okazać, że pracownik co prawda jest upoważniony do dostępu, ale z tego upoważnienia nigdy nie skorzysta. Logiczne by więc było wprowadzanie zmian w Ewidencji, a nie dopisywanie loginu do upoważnienia.Ten post został edytowany przez Autora dnia 08.11.13 o godzinie 23:41
8.11.2013, 23:41
Grzegorz

Grzegorz K. Bezpieczeństwo w
pełnym wymiarze.
Publiczne i prywatne

Temat: Zakres upoważnienia w ewidencji osób upoważnionych

Przemysław S.:
Panie Grzegorzu, czy na upoważnieniu naprawdę potrzebny jest login? Nie wystarczy zamieszczenie go w ewidencji?
Przecież najpierw pracownik zostaje upoważniony, a dopiero później dostaje dostęp do systemu informatycznego, nie odwrotnie.

Napisałem wyżej o tym, że siatkę do zbioru robię po to, żeby było łatwiej dla ABI. Podobnie w systemach IT mają informatycy i szczerze - to od nich pożyczone.

Wiele systemów pracuje na grupach. Więc tu nie ma problemu z nadaniem uprawnień, bo dopisanie do grupy dla np @marketing daje to, że od razu ma stosowne uprawnienia. Oczywiście wszystko zależy od wielkości firm.

Ale znowu całość ma za zadanie uprościć zarządzanie upoważnieniami do pracy w określonych zbiorach i systemach.
W związku z tym w chwili wystawiania upoważnienia siłą rzeczy nie znamy loginu.

A dlaczego? Przecież w momencie upoważniania osoby do przetwarzania danych osobowych upoważniony powinien mieć również szkolenie z IZSI, robione przez administratora sieci. Zasady ochrony danych osobowych przetwarzanych tradycyjnie nieco się różnią od zasad i sposobów w systemach IT.

Poza tym loginy chyba też jakimś zasadom podlegają, a na wniosku o wydanie można wystąpić o nadanie loginu do danych systemów. Przy czym - tu właśnie nieco problemów bywa, bo jeden zbiór bywa w różnych systemach. Ale to jak wyżej pisałem, jakaś polityka nadawania nazw i zarządzania tym w każdej praktycznie firmie istnieje.
Może się okazać, że pracownik co prawda jest upoważniony do dostępu, ale z tego upoważnienia nigdy nie skorzysta. Logiczne by więc było wprowadzanie zmian w Ewidencji, a nie dopisywanie loginu do upoważnienia.

Do ewidencji to TRZEBA dopisać (przepis prawa). Do upoważnienia MOŻNA. Ale moje podejście do dokumentacji, jako materializacji systemu mówi, że dokumenty muszą być adekwatne i równoważne. Z upoważnienia następuje wpis do ewidencji. A nie odwrotnie. W ewidencji jest rejestr osób UPOWAŻNIONYCH, a nie wydanych UPOWAŻNIEŃ. Oczywiście to moje podejście i nie narzucam.

Przy czym jeszcze jest przeznaczenie dokumentów. Ewidencja jest dla ABI, upoważnienie dla pracownika. Jak przekaże Pan login pracownikowi i da go tak, żeby zapamiętał? I jak zapomni, żeby znowu sobie przypomniał? Mając np 4 systemy, w których niestety ale dane osobowe są nawet jeśli w minimalnym zakresie?

Wolę to wrzucić do upoważnienia. Dla własnego zdrowia - lepiej tak niż widzieć "sklerozki" z loginami i czasem hasłami na biurku.
9.11.2013, 09:10



Przeglądaj dyskusje w tej grupie

Setki wypowiedzi

Zobacz o czym się teraz dyskutuje

Pytania i odpowiedzi

Znajdź odpowiedź na swoje pytanie

Wyślij zaproszenie do