Temat: ABI - świeżo objęte stanowisko.

Witam serdecznie,
w swoim Banku przejąłem obowiązki ABI i w związku z tym swoją 'kadencje' rozpocząłem od sprawdzenia dokumentacji Banku dotyczącej przetwarzania danych osobowych. Jako że nie posiadam dużego doświadczenia na tym stanowisku, prosiłbym o pomoc w kilku kwestiach.

1. Okazało sie że istnieje wiele dokumentów poruszających ten problem min. : Regulamin użytkownika, Ramowe zasady ochrony danych osobowych , Instrukcja bezpieczeństwa informacji, Polityka bezpieczeństwa informacji, Polityka bezpieczeństwa danych osobowych, Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. Większość tych dokumentów jest z 2008r lub starsza a PBDO w moim odczuciu nie zawierała 'w sobie' wymaganych przez ustawę elementów, odsyłała tylko do innej ww. dokumentacji. W związku z powyższym postanowiłem napisać od podstaw PBDO i Instr. zarządz. syst. inform., chciałbym te dwa dokumenty połączyć w jeden duży dokument, oddzielając je oczywiście stosownymi rozdziałami itd. Czy taka forma dokumentacji jest prawidłowa?, czy może GIODO wymaga aby istniały dwa odrębne dokumenty?. Z uwagi na fakt że część dokumentów zawierałaby zdublowane informacje np. "Regulamin użytkownika, Ramowe zasady ochrony danych osobowych", dokumenty te na mocy uchwały Banku chciałbym anulować. Jednakże również nie wiem czy GIODO lub KNF nie wymaga by takie dokumenty jak :"Regulamin użytkownika, Ramowe zasady ochrony danych osobowych " istniały w Banku.

2.Do PBDO przygotowuje wzór upoważnienia do przetwarzania danych osobowych, w którym będzie sie podawać: nr. zbioru danych do których pracownik zostanie upoważniony, zakres upoważnienia (odczyt, modyfikacja itd.) oraz nazwę programu i identyfikator użytkownika. Moje pytanie tyczy się właśnie tego identyfikatora użytkownika, mianowicie w Banku pracownicy korzystają z wielu różnych programów, część z nich jest dostarczana przez zewnętrzne firmy lub zrzeszenie i częste są przypadki że jeden pracownik ma wiele różnych identyfikatorów do różnych programów. W związku z tym co wpisywać w takim upoważnieniu, mianowicie mogę wpisać np. użytkownik: Jan Kowalski nazwa programu/identyfikator: defBank/kowalski1 ale jeśli pracownik za miesiąc dostanie dostęp do innej nowej aplikacji i login będzie znowu inny, np.: user2 to co w takim wypadku mam zrobić ?, wypisać pracownikowi nowe upoważnienie ?, tylko aktualizować informacje o programach i identyfikatorach w 'Ewidencji osób upoważnionych do przetwarzania danych osobowych" czy jest jakiś inny sposób ?.

3. Kwestia rejestracji ABI w GIODO, porozumienie zmieniające Umowę o Pracę otrzymałem 30.12.2014, czy w związku z tym Bank powinien zgłosić mnie jako ABI do GIODO w ciągu 30 dni ??

4. Czy stażysta/praktykant skierowany do Banku celem odbycia praktyk/stażu powinien posiadać upoważnienie do przetwarzania danych osobowych ??, podobno ostatnio zmieniły się przepisy i stażysta/praktykant nie powinien mieć dostępu do danych osobowych i w związku z tym nie wystawiamy mu upoważnieni do przetwarzania danych osobowych, jednakże nie wiem ile w tym prawdy. Zakładając ze w planie stażu praktyk niema nic o przetwarzaniu danych osobowych a praktykant siedział 4 tygodnie w rogu pokoju i tylko słuchał to czy powinien mieć upoważnienie do przetwarzania danych osobowych ?

5. Na ewidencji do przetwarzania danych osobowych w polu „data nadania upoważnienia” wpisujemy datę wystawienia upoważnienia czy datę np. zatrudnienia ?, niby proste pytanie ale w aktualnych upoważnieniach oddziedziczonych po byłym ABI mam bardzo różne daty a ABI tłumaczy się tym ze np. pracownik dopiero po 4 tygodniach uzyskał dostęp do systemu informatycznego.

6. Upoważnienie do przetwarzania danych osobowych zgodnie z ustawa o ochronie danych osobowych powinien podpisać Administrator Danych. W przypadku Banku będzie to Prezes Zarządu czy może podpis powinien złożyć w imieniu Banku Zarząd Banku ?. Znalazłem definicje ze PZ nie decyduje o celach przetwarzania danych osobowych i w związku z tym podpis za Administratora danych powinien składać Zarząd jako przedstawiciel ADO, Nie wiem jednak ile w tym prawdy i wolałbym poznać inną opinie na ten temat.

7. Zatrudniamy pracownika na Umowę Zlecenie i w związku z tym wystawiamy mu upoważnienie do przetwarzania danych osobowych. Pracownik po roku otrzymuje Umowę o Pracę to w takim wypadku powinniśmy wystawić mu nowe upoważnienie czy stare dalej jest aktualne ? (oczywiście przy założeniu ze w upoważnieniu nie wpiszę stanowiska pracownika itd. )

8. Po byłym ABI odziedziczyłem ewidencję osób do przetwarzania danych osobowych w której jest sporo luk, mianowicie nie ma np. dat nadania upoważnień niektórych byłych pracowników, prawdopodobnie nigdy nie byli upoważnieni. Stary ABI został powołany w 2009 roku, upoważnienia wystawiał w 2011 a niektóry pracownicy odeszli na emeryturę w 2010r i dlatego nigdzie nie ma ich upoważnień do przetwarzania danych osobowych. Co z takimi osobami zrobić ?, zostawić je w ewidencji czy usunąć ?/.

10. Na niektórych upoważnieniach do przetwarzania danych osobowych widnieje zapis np.: „z dniem 01.01.2011 upoważniam pana Jan Kowalski do przetwarzania …” a na dole w polu podpis i data jest wpisana długopisem data 10.01.2011 i podpis Prezesa Zarządu. Czy taka forma jest prawidłowa ?, czy data te nie powinny być identyczne ?.

11. Kolejny problem to w ewidencji do przetwarzania danych osobowych pole ‘Identyfikator w systemie informatycznym’. W moim Banku każdy pracownik posiada co najmniej 4 rożne identyfikatory do różnych systemów, czy w związku z tym mam wpisywać tam wszystkie identyfikatory wraz z nazwą programu. Co w przypadku gdy użytkownik do przetwarzania danych osobowych wykorzystuje oprogramowanie WORD i Excel?.

12. Ostatni mój problem to rejestr zbiorów danych osobowych, mianowicie od 1 stycznia ABI ma prowadzić jawny rejestr takich zbiorów, sęk w tym że jeszcze nie wiem jak go sporządzić, tj. jakie zbiory wypisać, jakie kolumny powinien zawierać i jak je wytypować. Z takich ogólnych zbiorów to będą zapewne KLIENCI, POTENCJALNI PRACOWNICY , MONITORING, ZAJĘCIA KOMORNICZE i nie wiem co dalej. jakie jeszcze zbiory danych posiadacie w Banku ? , a może ma ktoś z was jakiś wzór takiego rejestru w np. Excelu.

Będę wdzięczny za każdą odp.

Z poważaniem
BK.

Temat: ABI - świeżo objęte stanowisko.

Bartosz K.:
Witam serdecznie,
12. Ostatni mój problem to rejestr zbiorów danych osobowych, mianowicie od 1 stycznia ABI ma prowadzić jawny rejestr takich zbiorów, sęk w tym że jeszcze nie wiem jak go sporządzić, tj. jakie zbiory wypisać, jakie kolumny powinien zawierać i jak je wytypować.

Wzorować się na stronie e-GIODO są wymagane rubryczki.

Temat: ABI - świeżo objęte stanowisko.

Panie Bartoszu - a może tak poczekać, aż minister raczy wydać wszystkie rozporządzenia ? Tam będzie i wzór rejestru i dokładny zakres obowiązków itd... Wiadomo tyle, że powinien Pan przygotować - możliwie szybko - plan sprawdzeń obejmujący całość zagadnień ochrony (wyniki podjętych kontroli dadzą Panu odpowiedź co trzeba zmienić/poprawić). A co do rejestracji to nie spełnia Pan wymogów formalnych (choćby dlatego, że w chwili powołania na ABI-ego nie obowiązywały nowe przepisy, zatem ADO nie mógł Pana powołać zgodnie z ich wymogami). Biorąc zaś za dobrą monetę wymóg wynikający z art. 36a. 5. 2) u.o.d.o. to hmmm.....

Temat: ABI - świeżo objęte stanowisko.

Zadał Pan sporo pytań, także pozwoli Pan, że odpowiem również w punktach.
1. Politykę bezpieczeństwa i Instrukcję proponuję napisać w osobnych dokumentach zgodnie z Rozporządzeniem Ministra Spraw Wew. i Adm. w sprawie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Resztę dokumentacji należy już załączyć odpowiednio. W Rozporządzeniu ma Pan dokładny opis co powinno się znaleźć w poszczególnych dokumentach. Proszę pamiętać, że Regulamin w zasadzie jest to tak najprościej mówiąc wyciąg z Instrukcji dla osób nie mających uprawnień do dostępu do niej ze względów bezpieczeństwa.
2. Upoważnienie do przetwarzania danych osobowych ja bym traktował jako jeden dokument a uprawnienia do systemów jako drugi. Jeżeli w banku zmieni się system lub użytkownik trzeba będzie od nowa nadawać upoważnienia do pdo, a tak zmieni się tylko uprawnienia. Jeżeli chodzi o dostęp do danych osobowych(zbiorów, zakres) to musi być ujęty w upoważnieniu.
3. ADO powołując na stanowisko ABIego od 1.01.2015 roku ma 30 dni na zarejestrowanie go u GIODO. W innym wypadku ma czas do 30 czerwca, żeby dopełnić obowiązku, a ABI nadal wykonuje swoje. Jako, że Pan został powołany przed wejściem w życie, to pracodawca ma jeszcze czas.
4. Siedząc w rogu pokoju i słuchając też się przetwarza dane... ja uważam, że powinno być upoważnienie i jego zakres w odpowiedniej do tego formie, a nie tylko jak się praktykuje zachowanie poufności/tajemnicy służbowej, ale cóż... jest wiele niedoskonałości w przepisach, które powinno się zmienić...
5. Należy wpisać datę, kiedy dostaje osoba upoważnienie. To, czy ktoś będzie płacił osobie m-c za dłubanie w nosie w domu to jego sprawa, ale może przetwarzać dane dopiero w momencie otrzymania upoważnienia ;)
6. http://www.goldenline.pl/grupy/Pozostale/abi/upowaznie...
7. Na upoważnieniach wpisuję stanowisko pracownika i warto też dział. Pomaga to ogarnąć w przypadku większych instytucji. Warto się przestawić, bo na dłuższą metę to pomaga.
8. Pierwsza sprawa - nigdy nie wystawiaj upoważnień z datą wsteczną. Poproś z kadr o pisemne informacje odnośnie świeżo zatrudnionych osób, żeby nie było sytuacji, że ktoś nie poinformował cię o nowo zatrudnionej osobie. Taki 'dupochron' ale usprawnia też współpracę między działami. Co do starych upoważnień, to nic nie zrobisz. Nadaj upoważnienia i popraw ich zakres dla aktualnie zatrudnionych osób.
10. Data powinna być wcześniejsza lub ew. z tego samego dnia.
11. Program Word i Excel nie posiada bazy danych, także nie ma możliwości dostępu na hasło. Jedyne zabezpieczenie to logowanie Windows. Co do reszty to należy podać program i odpowiedni do niego login dla użytkownika w wykazie użytkowników programu. Identyfikator w systemie informatycznym jest identyfikatorem ogólnym, czyli np. w usłudze AD. Do innych identyfikatorów należy się odnieść np. w dokumentacji dotyczącej programów. Niestety złotego środka nie ma i gdzie umieścić resztę trzeba rozwiązać samemu.
12. Pytanie do osób z sektora finansowego, to zostawię specom z tego sektora ;)

Przepraszam, że może trochę nieskładnie, wieczorem ew. coś dopiszę i poprawię.

Temat: ABI - świeżo objęte stanowisko.

Przede wszystkim dziękuje wszystkim za pomoc :).
Panie Pawle, reasumując co do pkt 2. Jesli za miesiąc pracownik X otrzyma dostęp do nowego systemu informatycznego to wystawiam mu nowe upoważnienie do przetwarzania danych osobowych z takimi informacjami jak nazwa systemu, login użytkownika i zakres przetwarzanych danych, tak ? . Naturalnie jest to wykonalne aczkolwiek w ten sposób w krótkim czasie namnoży mi się bardzo dużo takich upoważnień. Pkt.1 mam już opanowany, zrobiłem tak jak pan doradził. Odp na pkt 3. otrzymałem od naszego prawnika, więc to też już mam z głowy. Trudnym tematem jest kwestia tych stażystów i praktykantów, kogo się nie spytam to każdy inaczej mi odpowiada. Jedni uważają że powinni otrzymać upoważ do przetw danych inni że nie. Zleciłem to prawnikowi do sprawdzenia, czekam aktualnie na odp.
Odp na pytanie 5 wydawało się być oczywiste lecz poprzedni ABI jakoś inaczej to intepretował i mam niezły chaos w tych datach. Jeden z pracowników otrzymał nawet dwa identyczne upoważnienia z tym że jedno gdy był przyjęty na Umowe Zlecenie a drugie gdy zatrudniliśmy go na Umowę o Pracę. Z tego co wiem to jesli zakres przetw danych jest ten sam i zachowana była ciągłość zatrudnienia to te drugie upoważnienie było wystawione nie potrzebnie.

Temat: ABI - świeżo objęte stanowisko.

Jeżeli zakres przetwarzanych danych w systemie przez użytkownika jest taki sam, to wystarczy nadać mu uprawnienia do systemu. Jeżeli użytkownik otrzymałby dostęp do nowych danych osobowych (np. oprócz danych klientów do danych kadrowych) dzięki np. zmianie obowiązków lub aktualizacji programu należy zmienić zakres upoważnienia pracownika.

Przykładowo:
1. Pracownik posiada upoważnienie do zbioru danych Klienci i przetwarza ten zbiór w programie X. Następuje zmiana programu na Y, który pozwala na przetwarzanie dodatkowo zbioru Kadry. Pracownik dostaje nowy login do programu i uprawnienia do pracy w programie na zbiorze Klienci. W takim wypadku należy nadać nowy login w systemie i wpisać go na listę loginów
2. Pracownik posiada upoważnienie do zbioru danych Klienci i przetwarza ten zbiór w programie X. Następuje zmiana programu na Y, który pozwala na przetwarzanie dodatkowo zbioru Kadry. Pracownik dostaje nowy login do programu i uprawnienia do pracy w programie na zbiorze Klienci i wynikające z nowych obowiązków - Kadry. W tym wypadku należy rozszerzyć upoważnienie o zbiór Kadry wraz z zakresem przetwarzania i nadać nowy login w systemie z wpisem na listę loginów.

Na upoważnieniu należy umieścić nazwę zbioru danych osobowych. System to tylko miejsce przetwarzania zbioru. Jeżeli zakresem tego przetwarzania jest właśnie on to wtedy można go również wpisać.

Temat: ABI - świeżo objęte stanowisko.

Ten post został edytowany przez Autora dnia 18.03.15 o godzinie 20:38

Temat: ABI - świeżo objęte stanowisko.

Z tymi upoważnieniami do przetwarzania danych osobowych poradziłem sobie w następujący sposób: Na upoważnieniu wpisuje imię nazwisko osoby, numery zbiorów i identyfikator domenowy (Active Directory), wychodzę z założenia że te upoważ do przetw danych ogólnie w systemach informatycznych a nie w wskazanych aplikacja/systemach. Mam nadzieje że jest to prawidłowy sposób.
Zrobiłem również nowy rejestr zbiorów danych, dotychczas zarejestrowany był tylko jeden zbiór nazwie "Bank Spółdzielczy w....", teraz wytyczyłem oddzielnie zbiór archiwum, monitoring, klienci itd. Zastanawiam się czy muszę teraz zmieniać bądź wystawiać nowe upoważnienia do przetw danych osobowych dla wszystkich pracowników bo na tych co mają jest tylko jeden zbiór i nijak będzie się to miało do stanu faktycznego, co radzicie ?? .
Wracając do tych stażystów i praktykantów (sporo mam z nimi problemów) , co zrobić jesli ktoś odbywał staż np od 01.01.2014 do 07.01.0214 roku i miał nadany identyfikator do systemu informatycznego, sprawdziłem uprawnienia tego stażysty i były minimalne aczkolwiek miał wgląd do niektórych danych osobowych klientów ale nigdy nie miał wystawionego upoważnienia do przetwarzania danych osobowych. Wystawić mu "zaległe" upoważnienie ??, chciałbym żeby to miała ręce i nogi.

P.S Chciałbym zostać upoważniony przez ADO do składania i odwoływania upoważnień do przetwarzania danych osobowych, czy ktoś ma może jakiś wzór takiego wniosku ??

Temat: ABI - świeżo objęte stanowisko.

Uprawnienia dla stażystów do systemów bankowych to jakiś ponury żart. Stażystą może być każdy i bank nie ma większych możliwości sprawdzenia danej osoby. A jeśli ta osoba to przestępca robiący rozeznanie? Ogólne upoważnienie do przetwarzania danych osobowych rozumiem z uwagi na fakt, iż stażysta siłą rzeczy dane te przetwarza, ale nie uprawnienia do systemów! Podobny dylemat mam w Policji i ja nie rekomenduję dostępu stażystów do jakiegokolwiek zbioru. Zadaniem stażysty jest obserwowanie jak funkcjonuje firma, w której potencjalnie chce się zatrudnić, a nie wyręczanie w obowiązkach pracowników/opiekunów.

Co do ex stażystów... upoważnienia wystawił poprzedni ABI, więc to on odpowiada za niedokładne prowadzenie dokumentacji. Osobiście nie chciałbym brać udziału w matactwie, a do tego trzeba zaliczyć wystawianie upoważnienia wstecz.

Temat: ABI - świeżo objęte stanowisko.

Witam,
proszę o podpowiedź dot. zagadnienia zatrudniania ABI w jednostkach, w których do tej pory funkcji takiej nikt nie pełnił. Moje pytanie: kto powinien i czy w ogóle może przeszkolić nowo zatrudnionego ABI na stanowisko? Czy musi to być ktoś z wewnątrz, czy odpowiedniejszym byłoby szkolenie zewnętrzne?

Temat: ABI - świeżo objęte stanowisko.

Jest sporo firm organizujących szkolenia dla ABI'ch. W dziale szkolenia tutaj na forum możesz znaleźć coś ciekawego dla siebie.

A co do powinności "kto" szkoli ABI'ego to sądzę, że osoba powołana na to stanowisko już powinna posiadać wiedzę w tym zakresie i doszkalać się z czasem na koszt własny lub firmy. Z własnego jeszcze niewielkiego doświadczenia sądzę, że ABI powinien przede wszystkim orientować się w prawie i informatyce.

Temat: ABI - świeżo objęte stanowisko.

Szymon S.:
Uprawnienia dla stażystów do systemów bankowych to jakiś ponury żart. Stażystą może być każdy i bank nie ma większych możliwości sprawdzenia danej osoby. A jeśli ta osoba to przestępca robiący rozeznanie? Ogólne upoważnienie do przetwarzania danych osobowych rozumiem z uwagi na fakt, iż stażysta siłą rzeczy dane te przetwarza, ale nie uprawnienia do systemów! Podobny dylemat mam w Policji i ja nie rekomenduję dostępu stażystów do jakiegokolwiek zbioru. Zadaniem stażysty jest obserwowanie jak funkcjonuje firma, w której potencjalnie chce się zatrudnić, a nie wyręczanie w obowiązkach pracowników/opiekunów.

Co do ex stażystów... upoważnienia wystawił poprzedni ABI, więc to on odpowiada za niedokładne prowadzenie dokumentacji. Osobiście nie chciałbym brać udziału w matactwie, a do tego trzeba zaliczyć wystawianie upoważnienia wstecz.

Osobiście uważam, że o tym, kto ma mieć dostęp i jaki dostęp powinien raczej decydować właściciel informacji ewentualnie właściciel biznesowy aplikacji. ABI może wydawać w imieniu ogólne upoważnienia do przetwarzania danych osobowych (jako takie), ale nie sądzę, aby on miał decydować o "biznesowym poziomie dostępu" - chociaż to też pewnie zależy od organizacji.

Co do stażystów - to moje zdanie jest takie, że obie strony powinny osiągnąć maksymalną korzyść ze stażu - a to ciężko osiągnąć nie zlecając stażystom odpowiedzialnych zadań. Prawdę mówiąc sami stażyści sami domagają się czegoś ambitnego, co pozwoli im wyruszyć na rynek pracy z pewnymi atutami...Ten post został edytowany przez Autora dnia 29.08.15 o godzinie 10:46

Temat: ABI - świeżo objęte stanowisko.

Oczywiście masz rację... ale... według mnie są firmy i działalności, które przetwarzają na tyle poufne dane, że żaden stażysta nie powinien posiadać do nich dostępu. Do takich firm ja zaliczam m.in. banki. Ponadto jako klient takiego banku chciałbym wiedzieć czy moimi pieniędzmi zajmuje się profesjonalista (odpowiadający za błędy całym swoim jestectwem) czy stażysta (za którego odpowiada opiekun).