konto usunięte

Temat: Firma ochrony, a dane osobowe zleceniodawcy

Różnego rodzaju przedsiębiorstwa coraz częściej korzystają z usług agencji ochrony. Jak wiadomo pracownicy ochrony muszą mieć dostęp do różnego rodzaju danych m in. osobowych pracowników.

W jakim zakresie i pod jakimi warunkami firma zlecająca ochroną np obiektu może udostępniać dane osobowe i jakie są obostrzenia prawne?

Proszę o opinie, komentarze oraz wypowiedzi na przykładzie swoich doświadczeń.
Dariusz Łydziński

Dariusz Łydziński IT Security Manager

Temat: Firma ochrony, a dane osobowe zleceniodawcy

Moim zdaniem pomiędzy podmiotami powinna być podpisana umowa o poufności. Jeżeli następuje dostęp do danych osobowych powinna być podpisana również umowa o powierzeniu danych osobowych do przetwarzania w której określa się zakres przetwarzania. Oba podmioty są zobowiązane do przestrzegania zapisów ustawy, a w szczególności tych wynikających z art 36-39 uodo.

Temat: Firma ochrony, a dane osobowe zleceniodawcy

a jakim obiekcie, który jest ochraniany mówimy? np.:

a. obiekt przemysłowy - jedna firma
b. obiekt przemysłowy (magazyny + biura) - kilka firm
c. obiekt biurowy kilkanaście firm i jest główny operator budynku a firma ochraniarska tylko ochrania
d. obiekt - dom wielorodzinny (operator to np wspólnota mieszkaniowa).

konto usunięte

Temat: Firma ochrony, a dane osobowe zleceniodawcy

Mam na myśli różne typu obiektów i ewentualne przykłady do nich.
Dariusz Łydziński

Dariusz Łydziński IT Security Manager

Temat: Firma ochrony, a dane osobowe zleceniodawcy

Pracownicy ochrony najczęściej prowadzą "księgę wejść i wyjść". Jeżeli ochrona jest zatrudniana przez administratora budynku to moim zdaniem administratorem danych będzie ten zarządca.
Podstawą przetwarzania będzie utrzymanie bezpieczeństwa w obiekcie a w odniesieniu do ustawy o ochronie danych osobowych jako prawnie usprawiedliwiony cel administratora danych. Zbierane dane powinny być adekwatne do celu i nie mogą być wykorzystywane w innym celu niż w tym w jakim są zbierane. Zbiorów takich nie musimy rejestrować w GIODO, co nie oznacza że nie podlegają ochronie przepisom ustawy. Dodatkowo należy poinformować kto jest administratorem danych, w jakim celu przetwarza dane oraz komu ewentualnie będą je udostępniane.
No i powinna być umowa o powierzeniu danych osobowych pomiędzy zarządcą budynku a firmą ochrony.

konto usunięte

Temat: Firma ochrony, a dane osobowe zleceniodawcy

Z całą pewnością dane o których mowa muszą być przechowywane na zaszyfrowanym nośniku. Szyfrowanie hardware'owe lub software'owe, przynajmniej AES.
Poza tym taki nośnik musi być przechowywany w odpowiednich warunkach (można nabyć sejf na klucze, takie sejfy są niedrogie, chodzi po prostu żeby było to solidne stalowe pudło zamykane na kod i odporne na ogień).
Nośnik który chcemy "zwolnić" z przechowywania danych poufnych musi być odpowiednią metodą sformatowany (nie wystarczy zwykłe formatowanie). Są odpowiednie systemy, które umożliwiają wystawienie certyfikatu po wykonaniu operacji.

konto usunięte

Temat: Firma ochrony, a dane osobowe zleceniodawcy

Dariusz Ł.:
Pracownicy ochrony najczęściej prowadzą "księgę wejść i wyjść". Jeżeli ochrona jest zatrudniana przez administratora budynku to moim zdaniem administratorem danych będzie ten zarządca.
Podstawą przetwarzania będzie utrzymanie bezpieczeństwa w obiekcie a w odniesieniu do ustawy o ochronie danych osobowych jako prawnie usprawiedliwiony cel administratora danych. Zbierane dane powinny być adekwatne do celu i nie mogą być wykorzystywane w innym celu niż w tym w jakim są zbierane. Zbiorów takich nie musimy rejestrować w GIODO, co nie oznacza że nie podlegają ochronie przepisom ustawy. Dodatkowo należy poinformować kto jest administratorem danych, w jakim celu przetwarza dane oraz komu ewentualnie będą je udostępniane.
No i powinna być umowa o powierzeniu danych osobowych pomiędzy zarządcą budynku a firmą ochrony.


przychylam się do opinii, między podmiotem zlecającym a firmą świadczącą usługi ochrony fizycznej należy zawrzeć umowę powierzenia. zakres zbieranych danych powinien być adekwatny do celu. co do rejestracji danych zbiorów osobowych wszystko zależy od tego jakie zbiory danych są tworzone.
Za proces rejestracji odpowiedzialny jest oczywiście ADO a nie podmiot przetwarzający na zlecenie. W kwestii odpowiedzialności za zabezpieczanie danych odpowiedzialność ponosi ADO który przez odpowiednie zapisy w umowie (jakie dane w jakim celu są zbierane, oraz sposób ich zabezpieczenia) jak również sprawdzenie zabezpieczeń nadzoruje sposób przetwarzania danych osobowych. Nie zwalnia to oczywiście z odpowiedzialności podmiotu przetwarzającego.
Obowiązki wynikające z zapisów UODO jak również nadawanie upoważnień do przetwarzania danych osobowych, stworzenie polityki bezpieczeństwa i instrukcji zarządzania systemem informacyjnym wprowadza każdy podmiot przetwarzający dane osobowe w tym podmiot przetwarzający dane zgodnie z umową powierzenia.
Krzysztof K.

Krzysztof K. Analityk ds spraw
trudnych

Temat: Firma ochrony, a dane osobowe zleceniodawcy

Dariusz Ł.:
Podstawą przetwarzania będzie utrzymanie bezpieczeństwa w obiekcie a w odniesieniu do ustawy o ochronie danych osobowych jako prawnie usprawiedliwiony cel administratora danych. Zbierane dane powinny być adekwatne do celu i nie mogą być wykorzystywane w innym celu niż w tym w jakim są zbierane. Zbiorów takich nie musimy rejestrować w GIODO, co nie oznacza że nie podlegają ochronie przepisom ustawy.

Czyli jakie dane są adekwatne do celu ?
a) imie i nazwisko ?
b) imie, nazwisko nr PESEL ?
c) imie, nazwisko, nr PESEL, nr dokumentu, adres zameldowania ?
d) imie nazwisko nr dokumentu ?

no i w jaki sposób zbierane ?
i jeszcze kwestia, czy muszą być zbierane spisywane z dokumentu, czy z wypowiedzi ?

konto usunięte

Temat: Firma ochrony, a dane osobowe zleceniodawcy

To zależy czy mówimy o książce wejść / wyjść czy o czymś innym i o jaki obiekt chodzi.
Imię, nazwisko i pesel pozwolą w pełni moim zdaniem zidentyfikować osobę gdyby zaistniała taka potrzeba. Zdecydowanie polecałbym jednak spisanie z dowodu takich danych ale lepiej niech nikt nie wpada na pomysł kopiowania dowodu gdyż w tym wypadku zakres danych jaki otrzymamy nie będzie adekwatny do celu...
pozdrawiam

p.s. żeby dyskutować czy zakres jest adekwatny do celu zdefiniujmy najpierw cel.
Dariusz Łydziński

Dariusz Łydziński IT Security Manager

Temat: Firma ochrony, a dane osobowe zleceniodawcy

Zakres będzie różny w zależności od potrzeb konkretnego administratora danych. Należy mieć na uwadze, że dane mogą być wykorzystywane tylko dla celu dla jakiego zostały zebrane, czyli nie mogą zostać wykorzystane dla innego celu. Istotną kwestią będzie również dopełnienie obowiązku informacyjnego czyli powiadomienie osoby od której pozyskujemy dane o celu ich przetwarzania.
Krzysztof K.

Krzysztof K. Analityk ds spraw
trudnych

Temat: Firma ochrony, a dane osobowe zleceniodawcy

Tak,

a ja poddaję pod wątpliwość wogóle potrzebę zbierania danych.
Przykładowo, w czwartek ujawniają, że coś zginęło, podejrzewają, że w środę, to biorą wszystkich wchodzących w środę załóżmy, że jest to 276 osób i co dalej ?

konto usunięte

Temat: Firma ochrony, a dane osobowe zleceniodawcy

wszystko zależy od regulacji wewnętrznych i charakterystyki obiektu.
Jeżeli wszyscy wchodzący mają dostęp do całego budynku to rzeczywiście lista kilkuset osób w niczym nie pomoże. jeżeli połączymy rejestr wejść/wyjść z zapisem monitroingu to jesteśmy w stanie ustalić sprawcę lub mocno zawęzić krąg podejrzanych.
pozdrawiam
Krzysztof K.:
Tak,

a ja poddaję pod wątpliwość wogóle potrzebę zbierania danych.
Przykładowo, w czwartek ujawniają, że coś zginęło, podejrzewają, że w środę, to biorą wszystkich wchodzących w środę załóżmy, że jest to 276 osób i co dalej ?

Następna dyskusja:

Sprzedawał dane osobowe




Wyślij zaproszenie do