Bartosz K. bk
Temat: ABI - świeżo objęte stanowisko.
Witam serdecznie,w swoim Banku przejąłem obowiązki ABI i w związku z tym swoją 'kadencje' rozpocząłem od sprawdzenia dokumentacji Banku dotyczącej przetwarzania danych osobowych. Jako że nie posiadam dużego doświadczenia na tym stanowisku, prosiłbym o pomoc w kilku kwestiach.
1. Okazało sie że istnieje wiele dokumentów poruszających ten problem min. : Regulamin użytkownika, Ramowe zasady ochrony danych osobowych , Instrukcja bezpieczeństwa informacji, Polityka bezpieczeństwa informacji, Polityka bezpieczeństwa danych osobowych, Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. Większość tych dokumentów jest z 2008r lub starsza a PBDO w moim odczuciu nie zawierała 'w sobie' wymaganych przez ustawę elementów, odsyłała tylko do innej ww. dokumentacji. W związku z powyższym postanowiłem napisać od podstaw PBDO i Instr. zarządz. syst. inform., chciałbym te dwa dokumenty połączyć w jeden duży dokument, oddzielając je oczywiście stosownymi rozdziałami itd. Czy taka forma dokumentacji jest prawidłowa?, czy może GIODO wymaga aby istniały dwa odrębne dokumenty?. Z uwagi na fakt że część dokumentów zawierałaby zdublowane informacje np. "Regulamin użytkownika, Ramowe zasady ochrony danych osobowych", dokumenty te na mocy uchwały Banku chciałbym anulować. Jednakże również nie wiem czy GIODO lub KNF nie wymaga by takie dokumenty jak :"Regulamin użytkownika, Ramowe zasady ochrony danych osobowych " istniały w Banku.
2.Do PBDO przygotowuje wzór upoważnienia do przetwarzania danych osobowych, w którym będzie sie podawać: nr. zbioru danych do których pracownik zostanie upoważniony, zakres upoważnienia (odczyt, modyfikacja itd.) oraz nazwę programu i identyfikator użytkownika. Moje pytanie tyczy się właśnie tego identyfikatora użytkownika, mianowicie w Banku pracownicy korzystają z wielu różnych programów, część z nich jest dostarczana przez zewnętrzne firmy lub zrzeszenie i częste są przypadki że jeden pracownik ma wiele różnych identyfikatorów do różnych programów. W związku z tym co wpisywać w takim upoważnieniu, mianowicie mogę wpisać np. użytkownik: Jan Kowalski nazwa programu/identyfikator: defBank/kowalski1 ale jeśli pracownik za miesiąc dostanie dostęp do innej nowej aplikacji i login będzie znowu inny, np.: user2 to co w takim wypadku mam zrobić ?, wypisać pracownikowi nowe upoważnienie ?, tylko aktualizować informacje o programach i identyfikatorach w 'Ewidencji osób upoważnionych do przetwarzania danych osobowych" czy jest jakiś inny sposób ?.
3. Kwestia rejestracji ABI w GIODO, porozumienie zmieniające Umowę o Pracę otrzymałem 30.12.2014, czy w związku z tym Bank powinien zgłosić mnie jako ABI do GIODO w ciągu 30 dni ??
4. Czy stażysta/praktykant skierowany do Banku celem odbycia praktyk/stażu powinien posiadać upoważnienie do przetwarzania danych osobowych ??, podobno ostatnio zmieniły się przepisy i stażysta/praktykant nie powinien mieć dostępu do danych osobowych i w związku z tym nie wystawiamy mu upoważnieni do przetwarzania danych osobowych, jednakże nie wiem ile w tym prawdy. Zakładając ze w planie stażu praktyk niema nic o przetwarzaniu danych osobowych a praktykant siedział 4 tygodnie w rogu pokoju i tylko słuchał to czy powinien mieć upoważnienie do przetwarzania danych osobowych ?
5. Na ewidencji do przetwarzania danych osobowych w polu „data nadania upoważnienia” wpisujemy datę wystawienia upoważnienia czy datę np. zatrudnienia ?, niby proste pytanie ale w aktualnych upoważnieniach oddziedziczonych po byłym ABI mam bardzo różne daty a ABI tłumaczy się tym ze np. pracownik dopiero po 4 tygodniach uzyskał dostęp do systemu informatycznego.
6. Upoważnienie do przetwarzania danych osobowych zgodnie z ustawa o ochronie danych osobowych powinien podpisać Administrator Danych. W przypadku Banku będzie to Prezes Zarządu czy może podpis powinien złożyć w imieniu Banku Zarząd Banku ?. Znalazłem definicje ze PZ nie decyduje o celach przetwarzania danych osobowych i w związku z tym podpis za Administratora danych powinien składać Zarząd jako przedstawiciel ADO, Nie wiem jednak ile w tym prawdy i wolałbym poznać inną opinie na ten temat.
7. Zatrudniamy pracownika na Umowę Zlecenie i w związku z tym wystawiamy mu upoważnienie do przetwarzania danych osobowych. Pracownik po roku otrzymuje Umowę o Pracę to w takim wypadku powinniśmy wystawić mu nowe upoważnienie czy stare dalej jest aktualne ? (oczywiście przy założeniu ze w upoważnieniu nie wpiszę stanowiska pracownika itd. )
8. Po byłym ABI odziedziczyłem ewidencję osób do przetwarzania danych osobowych w której jest sporo luk, mianowicie nie ma np. dat nadania upoważnień niektórych byłych pracowników, prawdopodobnie nigdy nie byli upoważnieni. Stary ABI został powołany w 2009 roku, upoważnienia wystawiał w 2011 a niektóry pracownicy odeszli na emeryturę w 2010r i dlatego nigdzie nie ma ich upoważnień do przetwarzania danych osobowych. Co z takimi osobami zrobić ?, zostawić je w ewidencji czy usunąć ?/.
10. Na niektórych upoważnieniach do przetwarzania danych osobowych widnieje zapis np.: „z dniem 01.01.2011 upoważniam pana Jan Kowalski do przetwarzania …” a na dole w polu podpis i data jest wpisana długopisem data 10.01.2011 i podpis Prezesa Zarządu. Czy taka forma jest prawidłowa ?, czy data te nie powinny być identyczne ?.
11. Kolejny problem to w ewidencji do przetwarzania danych osobowych pole ‘Identyfikator w systemie informatycznym’. W moim Banku każdy pracownik posiada co najmniej 4 rożne identyfikatory do różnych systemów, czy w związku z tym mam wpisywać tam wszystkie identyfikatory wraz z nazwą programu. Co w przypadku gdy użytkownik do przetwarzania danych osobowych wykorzystuje oprogramowanie WORD i Excel?.
12. Ostatni mój problem to rejestr zbiorów danych osobowych, mianowicie od 1 stycznia ABI ma prowadzić jawny rejestr takich zbiorów, sęk w tym że jeszcze nie wiem jak go sporządzić, tj. jakie zbiory wypisać, jakie kolumny powinien zawierać i jak je wytypować. Z takich ogólnych zbiorów to będą zapewne KLIENCI, POTENCJALNI PRACOWNICY , MONITORING, ZAJĘCIA KOMORNICZE i nie wiem co dalej. jakie jeszcze zbiory danych posiadacie w Banku ? , a może ma ktoś z was jakiś wzór takiego rejestru w np. Excelu.
Będę wdzięczny za każdą odp.
Z poważaniem
BK.