GoldenLine
Zaloguj się
Dorian Jateowicz

Dorian Jateowicz Specjalista
Logistyk, urząd

Temat: Dostęp do danych

Witam,

Występuje u nas w jednostce, zresztą jak w każdej, obieg dokumentów magazynowych(imię, nazwisko, stopień) W takim wypadku funkcjonariusz, który wypisuje magazynówki czy musi mieć dostęp do zbioru pracowników? Nie są to informacje związane z życiem zawodowym i nie wykraczają poza sferę życia zawodowego.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Dostęp do danych

Dorian J.:
Występuje u nas w jednostce, zresztą jak w każdej, obieg dokumentów magazynowych (imię, nazwisko, stopień) W takim wypadku funkcjonariusz, który wypisuje magazynówki czy musi mieć dostęp do zbioru pracowników?
Czy imię, nazwisko i stopień pozwalają zidentyfikować osobę? Nie wiem, czy dostęp do całego zbioru pracowników, ale upoważnienie do przetwarzania danych osobowych zawartych w dokumentach magazynowych musi mieć na pewno.
Nie są to informacje związane z życiem zawodowym i nie wykraczają poza sferę życia zawodowego.
Nie rozumiem.
Link do wypowiedziLink
Sebastian F.

Sebastian F. Information Security
Manager, IKEA Retail
sp. z o.o.

Temat: Dostęp do danych

Podpisuję się pod tym co napisał p. Paweł. Jeśli chodzi o wkraczanie (lub nie) w sferę życia prywatnego, miałoby to znaczenie wyłącznie z punktu widzenia podstawy prawnej przetwarzania tych danych w ogóle. W kontekście pytania/problemu , bez znaczenia. Jeśli te dane są przetwarzane w jednostce (bez względu na to na jakiej podstawie) i pracownik ma dostęp do nich, powinien być bezwzględnie do tego upoważniony.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Dostęp do danych

Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

"LUB" jest krytyczne w definicji danych. Mówi - albo jedno, albo drugie. Wystarczy że zaistnieje JEDNO.

Czy funkcjonariusz jest ZIDENTYFIKOWANY?

Czy musimy go IDENTYFIKOWAĆ?

I czy jak funkcjonariusz przyjdzie po sorty, to będzie ZIDENTYFIKOWANY, czy wydamy sorty osobie NIEZIDENTYFIKOWANEJ?

Bo jak NIEZIDENTYFIKOWANEJ - to typuję postępowanie dyscyplinarne wobec magazyniera.

A na poważnie. Był tylko jeden Grzegorz Krzemiński w stopni danym, w mojej jednostce. Byłem to ja. I miałem napisane nad kieszenią nazwisko, plus miałem pagony. To można mnie było zidentyfikować, czy jednak nie?
Link do wypowiedziLink
Dorian Jateowicz

Dorian Jateowicz Specjalista
Logistyk, urząd

Temat: Dostęp do danych


A na poważnie. Był tylko jeden Grzegorz Krzemiński w stopni danym, w mojej jednostce. Byłem to ja. I miałem napisane nad kieszenią nazwisko, plus miałem pagony. To można mnie było zidentyfikować, czy jednak nie?


Oczywiście, że tak.

Idąc tym tropem, to jeżeli przyjdzie pracownik cywilny np. kucharz po fartuch, to magazynier również musi mieć upoważnienie, nawet jak na magazynówce wpisuje imię i nazwisko pracownika.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Dostęp do danych

Dorian J.:
Idąc tym tropem, to jeżeli przyjdzie pracownik cywilny np. kucharz po fartuch, to magazynier również musi mieć upoważnienie, nawet jak na magazynówce wpisuje imię i nazwisko pracownika.
I co w tym dziwnego?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Dostęp do danych

Dorian J.:

A na poważnie. Był tylko jeden Grzegorz Krzemiński w stopni danym, w mojej jednostce. Byłem to ja. I miałem napisane nad kieszenią nazwisko, plus miałem pagony. To można mnie było zidentyfikować, czy jednak nie?


Oczywiście, że tak.

Idąc tym tropem, to jeżeli przyjdzie pracownik cywilny np. kucharz po fartuch, to magazynier również musi mieć upoważnienie, nawet jak na magazynówce wpisuje imię i nazwisko pracownika.

Tak.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Dostęp do danych

Dorian J.:
nawet jak na magazynówce wpisuje imię i nazwisko pracownika.
Pomyślmy, co z takiego dokumentu można wyczytać o człowieku:
imię, nazwisko, zawód, stanowisko, miejsce pracy, rozmiarówka, daty wymiany odzieży roboczej itp.

Trzeba wreszcie skończyć z dwudziestowieczną definicją danych osobowych.
Link do wypowiedziLink
Dorian Jateowicz

Dorian Jateowicz Specjalista
Logistyk, urząd

Temat: Dostęp do danych

Paweł G.:
Czy imię, nazwisko i stopień pozwalają zidentyfikować osobę? Nie wiem, czy dostęp do całego zbioru pracowników, ale upoważnienie do przetwarzania danych osobowych zawartych w dokumentach magazynowych musi mieć na pewno.


Ze strony GIODO:

"Informacje o pracowniku takie jak np. jego imię i nazwisko, czy właśnie służbowy adres e-mail są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Dane te mogą być wykorzystywane (udostępniane) przez pracodawcę nawet bez zgody pracownika, którego one dotyczą. Wskazuje na to również stanowisko w tej kwestii zawarte w wyroku Sądu Najwyższego z dnia 19 listopada 2003 r. o sygn. I PK 590/02 stwierdzające, iż „nazwisko i imię jest skierowanym na zewnątrz znakiem rozpoznawczym osoby fizycznej i ujawnienie go w celu jej identyfikacji nie może być zasadniczo uznane za bezprawne, o ile nie łączy się z naruszeniem innego dobra osobistego, np. czci, prywatności lub godności osobistej. Ujawnienie przez pracodawcę nazwiska (imienia) pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jeżeli jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw oraz wolności pracownika. .......Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, ze zgodnie powszechną praktyką są one zasadniczo jawne”.

Radca prawny w mojej instytucji upiera się i przekonuje kierownika jednostki, że nie trzeba upoważniać w zakresie imienia i nazwiska biorąc pod uwagę powyższą interpretację i przykład podany przeze mnie z naszym magazynierem.
Zaczynam dopiero pracę z danymi i jak mam wytłumaczyć "łopatologicznie" radcy prawnemu, że ten wyrok nie ma znaczenia i należy wydać upoważnienie ?Ten post został edytowany przez Autora dnia 26.09.16 o godzinie 13:13
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Dostęp do danych

Dorian J.:
Radca prawny w mojej instytucji upiera się i przekonuje kierownika jednostki, że nie trzeba upoważniać w zakresie imienia i nazwiska biorąc pod uwagę powyższą interpretację
Interpretacja dotyczy ujawniania danych identyfikacyjnych pracownika. Poza sporem pozostaje sam fakt, że są to dane osobowe, a skoro tak, należy upoważnić osoby mające do nich dostęp.
Poza tym ochrona danych to nie tylko poufność. Należy jeszcze zobowiązać do ochrony integralności, tj. przed zabraniem przez osobę nieuprawnioną, uszkodzeniem, zniszczeniem, nieuprawnioną modyfikacją.

Wasz radca prawny, jak każdy laik, po prostu nie rozumie tej ustawy. To częste zjawisko, szczególnie w sektorze publicznym.
Zaczynam dopiero pracę z danymi i jak mam wytłumaczyć "łopatologicznie" radcy prawnemu
Nic nie tłumaczysz łopatologicznie, nie wchodzisz w polemiki i nie kopiesz się z koniem.
Po pierwsze robisz wykaz zbiorów, prawda? W wykazie ujmujesz ten zbiór, opisujesz jego strukturę (i nie tylko imię, nazwisko), szef zatwierdza dokument i niech radca prawny z tym papierem gada.

Po drugie zawsze masz prawo, a nawet obowiązek, dać niezgodność, kiedy ją widzisz. Tak więc Ty dajesz niezgodność (dostęp osób nieupoważnionych), wskazujesz na ryzyka prawne z art. 51 i art. 52 ustawy. Jak się radcy prawnemu chce, może przedstawić na piśmie szefowi swoją kontropinię.

Szef wybiera, komu wierzyć, to on jest ADO i to on w razie czego będzie ponosić konsekwencje. Ty przy każdym sprawdzeniu tylko dajesz papier, że jest naruszenie, i jesteś kryty.
Link do wypowiedziLink
Dorota Biszkant

Dorota Biszkant Pełnomocnik ds. SZJ,
Specjalista ds.
ochrony danych
osobo...

Temat: Dostęp do danych

Panowie, idąc tym tokiem, to każdy pracownik firmy, gdzie używane są naszywki z imieniem i nazwiskiem oraz stanowiskiem/działem powinien mieć upoważnienie do przetwarzania danych osobowych... Idąc dalej, w każdym mailu którego wysyłam na zewnątrz (firmy zewnętrzne, jednostki notyfikowane) powinnam wysyłać również umowę powierzenia.
Jak dla mnie to zbyt rygorystyczne podejście i nadinterpretacja ustawy. Ważne jest, aby dane te nie były wykorzystywane w nieodpowiedni sposób.
Oczywiście to tylko moja opinia i nie każdy musi się z nią zgadzać.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Dostęp do danych

Dorota B.:
Panowie, idąc tym tokiem, to każdy pracownik firmy, gdzie używane są naszywki z imieniem i nazwiskiem oraz stanowiskiem/działem powinien mieć upoważnienie do przetwarzania danych osobowych...
Dlaczego? Przecież to nie są nośniki danych, których integralność trzeba chronić. Ponadto naszywki nie tworzą zbioru danych.
w każdym mailu którego wysyłam na zewnątrz (firmy zewnętrzne, jednostki notyfikowane) powinnam wysyłać również umowę powierzenia.
Nie rozumiem analogii.Ten post został edytowany przez Autora dnia 26.09.16 o godzinie 20:20
Link do wypowiedziLink
Dorian Jateowicz

Dorian Jateowicz Specjalista
Logistyk, urząd

Temat: Dostęp do danych

Paweł G.:
Nic nie tłumaczysz łopatologicznie, nie wchodzisz w polemiki i nie kopiesz się z koniem.
Po pierwsze robisz wykaz zbiorów, prawda? W wykazie ujmujesz ten zbiór, opisujesz jego strukturę (i nie tylko imię, nazwisko), szef zatwierdza dokument i niech radca prawny z tym papierem gada.

Zgadza się mam zbiór pracowników i tego magazyniera muszę upoważnić do :
zbiór pracownicy-kategoria danych:imię i nazwisko w zakresie podgląd.

Nie daje mi spokoju ta interpretacja GIODO "Ujawnienie przez pracodawcę imienia i nazwiska pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jeżeli jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw oraz wolności pracownika"

Mój staż w zakresie ochrony danych nie jest duży, więc i autorytet tez nie. Kierownik skłania się do interpretacji radcy, gdyż radca cały czas podpiera się interpretacją GIODO i wyrokami sądów w sprawie jawności.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Dostęp do danych

Dorian J.:
zbiór pracownicy-kategoria danych:imię i nazwisko
Ja tam widzę więcej informacji o osobie.
w zakresie podgląd.
Nie tylko wgląd. Co najmniej jeszcze wprowadzanie danych od zbioru.
Nie daje mi spokoju ta interpretacja GIODO "Ujawnienie przez pracodawcę imienia i nazwiska pracownika
Ale co to ma do kwestii upoważnień?
Link do wypowiedziLink
Dorian Jateowicz

Dorian Jateowicz Specjalista
Logistyk, urząd

Temat: Dostęp do danych

Paweł G.:
Dorian J.:
zbiór pracownicy-kategoria danych:imię i nazwisko
Ja tam widzę więcej informacji o osobie.

Jakie informacje dodatkowe można wyczytać np. z magazynówki. W magazynie wpisują imię i nazwisko i wydają np. 4 sztuki baterii :)
Ale co to ma do kwestii upoważnień?

"Ujawnienie przez pracodawcę imienia i nazwiska pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jeżeli jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw oraz wolności pracownika"

"Samo imię i nazwisko pracownika w stosunkach pracy nie stanowi danych osobowych podlegających ochronie, ponieważ identyfikacja pracownika realizującego często typowe zadania w ramach stosunku pracy jest elementem niezbędnym i koniecznym.

Z tego powodu, choć imię i nazwisko pracownika podlega ochronie jako jego dobro osobiste, to jednak samoistnie owo imię i nazwisko nie są danymi osobowymi podlegającymi ochronie na podstawie ustawy odo."

Po dzisiejszej rozmowie trochę zamieszał ten radca. Stąd też moje wątpliwości.Ten post został edytowany przez Autora dnia 26.09.16 o godzinie 21:38
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Dostęp do danych

Dorota B.:
Panowie, idąc tym tokiem, to każdy pracownik firmy, gdzie używane są naszywki z imieniem i nazwiskiem oraz stanowiskiem/działem powinien mieć upoważnienie do przetwarzania danych osobowych...

Ważne to moim zdaniem jest rozróżnianie - udostępnienia, przetwarzania i innych ... Tak bez urazy i moim zdaniem.
Idąc dalej, w każdym mailu którego wysyłam na zewnątrz (firmy zewnętrzne, jednostki notyfikowane) powinnam wysyłać również umowę powierzenia.

Znów problem z definicjami.
Jak dla mnie to zbyt rygorystyczne podejście i nadinterpretacja ustawy. Ważne jest, aby dane te nie były wykorzystywane w nieodpowiedni sposób.

To jest całkowicie błędne rozumienie istoty ochrony danych osobowych. Już pomału sie to nudne robi, ale jeszcze raz. Źródłem przepisów o ochronie danych osobowych jest... nie - nie ustawa o ochronie danych osobowych. Jest nim KONSTYTUCJA.

Oznacza to, że ochrona nie jest przed wykorzystaniem w nieodpowiedni sposób. Ochrona jest przed JAKIMKOLWIEK wykorzystaniem. A zezwala tylko na te, określone przepisem prawa.

Innymi słowy - po raz kolejny na tym forum i po raz kolejny o podstawach - informacje o osobie, a więc dane osobowe są dobrem chronionym tak samo jak prawo do życia, wolności, nietykalności. A więc jest to prawo niezbywalne, którego naruszenie jest zakazane.

A można je naruszyć tylko na zasadach i w trybie określonym ustawą.

proszę per analogia sobie spróbować wyobrazić np. niewole. Aby niewola nie była wykorzystana w nieodpowiedni sposób. Albo żeby nas lać nie można było tylko w nieodpowiedni sposób. Bo w odpowiedni można...

To jest ta konstrukcja, której wiele osób w ogóle nie rozumie, bo nie szuka źródeł (nic osobistego - czysta refleksja). Otóż NIE. Lać nas można tylko zgodnie z ustawą o środkach przymusu i broni palnej. Ograniczać wolność - tylko na zasadach określonych w Kodeksie Postępowania Karnego. A naruszać ochrone naszych danych osobowych - tylko na zasadach określonych w UODO i kilku innych ustawach.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Dostęp do danych

Dorian J.:
Paweł G.:
Dorian J.:
zbiór pracownicy-kategoria danych:imię i nazwisko
Ja tam widzę więcej informacji o osobie.

Jakie informacje dodatkowe można wyczytać np. z magazynówki. W magazynie wpisują imię i nazwisko i wydają np. 4 sztuki baterii :)

A sorry za brutalne pytanie - kogo to obchodzi w odniesieniu do definicji danych osobowych? Może warto ją przeczytać i nadal mieć w pamięci, że są to dwie kategorie w zależności od osób, których dane są przetwarzane.

Kategoria pierwsza - dane umożliwiające identyfikację osoby.
Kategoria druga - dane dotyczące zidentyfikowanej osoby.

Sorry, ale ja nie widzę tu pola do dyskusji. Pobierający baterie jest pracownikiem, a więc zidentyfikowaną osobą. W kwestii "mądrości" różnych definicji to sobie możemy pogadać na piwie, czy nam się podoba czy nie, ale w obszarze stosowania prawa, to ja raczej zalecałbym daleko idącą wstrzemięźliwość.
Ale co to ma do kwestii upoważnień?

"Ujawnienie przez pracodawcę imienia i nazwiska pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jeżeli jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw oraz wolności pracownika"

jakie kurcze ujawnienie? CO ma tutaj ujawnienie wspólnego? Ale tak konkret?
"Samo imię i nazwisko pracownika w stosunkach pracy nie stanowi danych osobowych podlegających ochronie, ponieważ identyfikacja pracownika realizującego często typowe zadania w ramach stosunku pracy jest elementem niezbędnym i koniecznym.
Z tego powodu, choć imię i nazwisko pracownika podlega ochronie jako jego dobro osobiste, to jednak samoistnie owo imię i nazwisko nie są danymi osobowymi podlegającymi ochronie na podstawie ustawy odo."

To tylko potwierdza, że dane osobowe SĄ PRZETWARZANE. Drugi akapit wyjątkowo z kontekstu wyrwany.

A teraz z praktyki. Bo jakoś tak lajtowo podchodzicie do tego, jakie dane i komu i co mogą powiedzieć na podstawie magazynówek.

Ot sytuacja... Jest sobie załóżmy gościu - kryptonim operacyjny Mieczysław. I ów Mieczysław pracuje sobie w departamencie załóżmy takiego Ministerstwa Finansów. W takim jednym departamencie. I ów Mieczysław pobiera z magazynu nieco inaczej jak koledzy z Ministerstwa. Bierze sobie noktowizor. Nóż bojowy. Ma kolaczatkę, "pompkę", peema, po 4 magazynki amunicji alarmowej....

Nadal jesteśmy w stanie powiedzieć, że ot to takie nic te karty?

PS - to są jawne informacje. Wystarczy nieco przejrzeć rozporządzenia w sprawie takich czy innych zespołów.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Dostęp do danych

Dorian J.:
Ja tam widzę więcej informacji o osobie.
Jakie informacje dodatkowe można wyczytać np. z magazynówki. W magazynie wpisują imię i nazwisko i wydają np. 4 sztuki baterii
Czy po tym można jednoznacznie zidentyfikować osobę? Tak.
Czy te dokumenty tworzą ustrukturalizowany zbiór, dostępny wg pewnych kryteriów? Tak.

Odpowiedzi na te dwa pytania wystarczą, aby nadać upoważnienie.

Poza tym w tym dokumencie są inne informacje o osobie: zawód, stanowisko, informacja, co pobrał, kiedy, z jaką częstotliwością, być może zaciągnął tym samym jakieś zobowiązanie, w przypadku odzieży roboczej rozmiarówka...

No i integralność tych danych jest ważna, chociażby z punktu widzenia księgowości.

PS. Wszelkie wątpliwości należy zawsze rozstrzygać na korzyść ochrony danych, dlatego nawet gdy je macie (ja nie mam), nie rozumiem, po co na ten temat pisać rozprawę doktorską. Tak dużo szefa kosztuje nadać te upoważnienia?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Dostęp do danych

Dodam jeszcze, że radcę prawnego, który z takim wyrwanym z kontekstu fragmentem stanowiska GIODO przychodzi do szefa i wyciąga wniosek, że dokumenty magazynowe zawierają tylko imię i nazwisko, więc nie są to dane osobowe i nie trzeba stosować zasad ochrony danych, to ja bym na zbity pysk wyrzucił.

Radca sradca. Faktycznie taki tylko w sektorze publicznym może sobie uwić jakieś cieplutkie gniazdko. W biznesie nie miałby szans dwóch dni przepracować.Ten post został edytowany przez Autora dnia 27.09.16 o godzinie 06:03
Link do wypowiedziLink
Dorian Jateowicz

Dorian Jateowicz Specjalista
Logistyk, urząd

Temat: Dostęp do danych

Paweł G.:
Dodam jeszcze, że radcę prawnego, który z takim wyrwanym z kontekstu fragmentem stanowiska GIODO przychodzi do szefa i wyciąga wniosek, że dokumenty magazynowe zawierają tylko imię i nazwisko, więc nie są to dane osobowe i nie trzeba stosować zasad ochrony danych, to ja bym na zbity pysk wyrzucił.

Radca sradca. Faktycznie taki tylko w sektorze publicznym może sobie uwić jakieś cieplutkie gniazdko. W biznesie nie miałby szans dwóch dni przepracować.


Dziękuję za wyczerpujące odpowiedzi. Jak nie uda mi się przeforsować mojego stanowiska, to zrobię jak powiedział wcześniej Pan Paweł. Przeprowadzę kontrolę planową, odpowiednio opiszę i będę miał porządek w papierach.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Ochrona danych osobowych, a...




Wyślij zaproszenie do
Anuluj