GoldenLine
Zaloguj się
Tomasz Setman

Tomasz Setman Kierownik
Koordynator ds.
Projektów / Auditor
Wewnetrzny ...

Temat: Dostęp do książki adresowej pracowników firmy wymaga...

Witam,

Mam trochę dylemat.

90% pracowników firmy ma dostęp do książki adresowej firmy opublikowanej na intranecie. Są tam ujęte następujące dane - imię i nazwisko, adres email, miejsce pracy, dział i czasami telefon kontaktowy, w niektórych przypadkach nawet zdjęcie pracownika (publikacja po wcześniejszej zgodzie pracownika).

Z punktu widzenia ustawy na podstawie książki adresowej mogę jednoznacznie zidentyfikować pracownika.

Czy w związku z tym należy założyć że każdy pracownik, który ma dostęp do w/w książki adresowej ma dostęp do danych osobowych, w związku z czym te dane przetwarza, więc powinien mieć upoważnienie do przetwarzania danych osobowych.

Z góry dziękuję za informację,
Link do wypowiedziLink
Tomasz Korolko

Tomasz Korolko Radca prawny.
Prowadzi bloga Dane
osobowe w firmie.

Temat: Dostęp do książki adresowej pracowników firmy wymaga...

Nie ulega wątpliwości, że dane te stanowią dane osobowe w rozumieniu ustawy. Co więcej, przez przetwarzanie danych osobowych uważa się jakiekolwiek operacje wykonywane na danych osobowych (w tym także ich przeglądanie, nie mówiąc już o innych operacjach, jak np. korzystaniu z tych danych przez pracowników). Należy więc uznać, że pracownicy przetwarzają dane osobowe. A zgodnie z art. 37 ustawy, do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Każdy pracownik, który ma dostęp do tych danych powinien więc posiadać stosowne upoważnienie.
Link do wypowiedziLink
Tomasz Setman

Tomasz Setman Kierownik
Koordynator ds.
Projektów / Auditor
Wewnetrzny ...

Temat: Dostęp do książki adresowej pracowników firmy wymaga...

Bardzo dziękuję za odpowiedź. Taka miałem obawę. Przynajmniej rozwiązuje to problem z określeniem który pracownik powinien mieć upoważnienie a kto nie. Jedynie należy rozszerzyć opis stanowiska pracy o kwestie dostępu do danych.

Zastanawiają mnie jeszcze dwie kwestie w związku z zbiorem danych i upoważnieniami.

1. Czy wykaz pracowników należących do związków zawodowych może być uznany jako zbiór danych wrażliwych.

2. Czy w upoważnieniu warto wymienić zbiory do których pracownik ma dostęp. Widziałem ostatnio formularz upoważnienia Urzędu Skarbowego. Rozwiązanie fajne ale nie najlepsze z punktu widzenia logistycznego. Jeżeli komórka mająca np. 30 osób decyduje się stworzyć nowy zbiór to nagle 30 osób posiada nieważne upoważnienie, albo należy stworzyć aneks do upoważnienia.
Link do wypowiedziLink
Tomasz Korolko

Tomasz Korolko Radca prawny.
Prowadzi bloga Dane
osobowe w firmie.

Temat: Dostęp do książki adresowej pracowników firmy wymaga...

Panie Tomaszu,

Ad. 1. Informacja na temat przynależności do związku zawodowego należy do tzw. informacji wrażliwych. Wypowiadał się na ten temat nawet Naczelny Sąd Administracyjny (tak uznał).

Ad. 2. Ja bym sugerował w upoważnieniu wskazywać, których zbiorów dotyczy upoważnienie.
Link do wypowiedziLink
Marta Zawieracz

Marta Zawieracz CISA, IOD

Temat: Dostęp do książki adresowej pracowników firmy wymaga...

W upoważnieniu należy wskazać zakres upoważnienia do przetwarzania danych. W związku z tym wskazanie konkretnych zbiorów wydaje się najbardziej zasadne.
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Dostęp do książki adresowej pracowników firmy wymaga...

Niedobrze. Zastanawiam się jak w takim razie wystawić upoważnienie 450 osobom pracującym w mojej firmie i mającym dostęp do książki adresowej :D Istnieje taka instytucja jak upoważnienie grupowe dla każdego pracownika? Czy to, że dane są dostępne publicznie choć trochę mnie ratuje?
Link do wypowiedziLink
Marta Zawieracz

Marta Zawieracz CISA, IOD

Temat: Dostęp do książki adresowej pracowników firmy wymaga...

Szymon, przykro mi, publiczne czy nie i tak podlegają ochronie:) Chociaż ja bym włączyła książkę adresową do zbioru Dane klientów / kontrahentów co chociaż częściowo rozwiązałoby problem wystawiania wielu upoważnień bo przy mniejszej ilości zbiorów ogranicza nam to pracę. Oczywiście nie zmienia to faktu, że mając 450 pracowników i tak nie da się tego zrobić w 2 godziny:) Jedyne co mogę zasugerować to wykorzystanie jakiegoś oprogramowania do zarządzania kwestiami związanymi z ochroną danych osobowych, sprawniej to wtedy idzie.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Dostęp do książki adresowej pracowników firmy wymaga...

600 osób w organizacji, wykaz upoważnionych z zakresem w excelu i odpowiednie powiązanie z korespondencją seryjną w wordzie. Jakoś idzie... Najdłużej szło .. nawet nie drukowanie. Szef mnie chciał powiesić, bo leżała mu sterta 3 dni.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Dostęp do książki adresowej pracowników firmy wymaga...

2. Czy w upoważnieniu warto wymienić zbiory do których pracownik ma dostęp. Widziałem ostatnio formularz upoważnienia Urzędu Skarbowego. Rozwiązanie fajne ale nie najlepsze z punktu widzenia logistycznego. Jeżeli komórka mająca np. 30 osób decyduje się stworzyć nowy zbiór to nagle 30 osób posiada nieważne upoważnienie, albo należy stworzyć aneks do upoważnienia.

Nie bardzo jestem fanem takiego rozwiązania - osobiście wolę aby upoważnienie odwoływało się do obowiązków pracowniczych i nadanych uprawnień w systemach informatycznych, a więc zakres przetwarzania wskazywało pośrednio. W ten sposób nie trzeba zmieniać co chwilę upoważnienia, wystarczy zmiana faktycznych uprawnień. Chodzi przecież o praktyczną ochronę, a nie tylko (zbędną niekiedy) papierkologię, prawda?
Link do wypowiedziLink
Rafał Kuta

Rafał Kuta Inspektor ds.
finansowych i
ochrony danych
osobowych, Spó...

Temat: Dostęp do książki adresowej pracowników firmy wymaga...

Nie wiem czy dobrze myślę, ale:
http://www.giodo.gov.pl/348/id_art/1118/j/pl/
W myśl tego tego typu dane z książki, które Pan wymienił mogłyby bez problemu być dostępne dla wszystkich (chyba, że dane podane w książce typu mail i telefon są prywatne). Jeżeli jesteśmy skłonni wypisywać upoważnienia, to teraz pytanie jaki zakres danych mają obejmować? Czy np. Pani z działu X jest koniecznie potrzebny kontakt do Pani z działu Y (bo jeżeli potraktujemy to jako dane osobowe i chcemy nadać seryjne upoważnienia wszystkim do wszystkiego do wg. mnie to pytanie powinno paść)?
Link do wypowiedziLink
Ewa Cedro

Ewa Cedro Inspektor Ochrony
Danych

Temat: Dostęp do książki adresowej pracowników firmy wymaga...

Zgadzam się z Panem Leszkiem, że upoważnienia powinny dotyczyć systemów informatycznych i ABI nie powinien skupiać się na papierologii polegającej na nadawaniu upoważnień np. do możliwości ujawnienia nr telefonu służbowego pani z finansów.
Cytując za GIODO - "takie informacje o pracowniku, jak jego imię i nazwisko, służbowy adres e-mail, czy też służbowy numer telefonu są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych" Wypowiedź ta sugeruje, że skoro dostęp do informacji o pracowniku może być publiczny, to tym bardziej pracownicy powinni mieć do niego dostęp aby wykonywać sprawie swoje obowiązki pracownicze.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Dostęp do książki adresowej pracowników firmy wymaga...

Nieco się zagubiłem w dyskusji.

Po pierwsze - dane osobowe dotyczące pracowników, są nie dlatego że można dzięki nim zidentyfikować osobę, a dlatego, że dotyczą zidentyfikowanej osoby. Innymi słowy - każda informacja o pracowniku przetwarzana przez pracodawcę jest daną osobową. To wszystko za sprawą "lub" w definicji.

Po drugie - ten zestaw danych osobowych, jest... zestawem, a nie nowym zbiorem. Dane są do celu zatrudnienia a wystawione w Intranecie do celu wykonywania pracy tych osób. Nie bardzo rozumiem cel i sens robienia z tego nowego zbioru danych osobowych w takim aspekcie, bo moim zdaniem nadal to jest zbiór danych - pracownicy, a cel- świadczenie pracy.

Po trzecie przewinęło się, że sobie dział jakiś chce zbiór zrobić. Otóż, nie ma czegoś takiego, jak dział sobie chce. Jak szef działu dostanie pełnomocnictwo od ADO o tym, że jego funkcje będzie realizował, to może i OK (choć ja uważam, że nie). Ale nadal o utworzeniu nowego zbioru decyduje ADO.

Po czwarte - znam różne koncepcje inspektorów GIODO co do zbiorów, w zależności od tego kto był wodzem. Na przestrzeni ostatnich 15 lat jak pracuję z informacjami koncepcje były różne i stanowiska też były różne, niektórych już na stronie GIODO nie ma, a rejestru tych jakie były i z których się wycofali niestety nie ma. Ale ze zbiorem łączą się dwi cechy:
Musi być określony cel przetwarzania danych osobowych
Musi być określony zakres przetwarzania danych osobowych.

I ocenę, czy w ogóle dany zbiór jest (będzie) nowym zacząłbym od oceny, jaki jest rzeczywisty cel przetwarzania danych. Proponuję metodę 5 WHY, czyli 5 razy dlaczego - dla celu przetwarzania. I powyższy zbiór przepuszczając tak przy porannej kawie:
Dlaczego mamy taki zbiór w intranecie?
Żeby było wiadomo, do kogo jest jaki kontakt.
Dlaczego chcemy to wiedzieć?
Żeby było wiadomo, do kogo dzwonić w jakiej sprawie (na podstawie regulaminu organizacyjnego).
Dlaczego chcemy wiedzieć do kogo dzwonić?
Żeby właściwy dział, pracownik wykonał pracę.

Czyli - zbiór jest utworzony po to, aby konkretne osoby wykonywały pracę, do której zostały zatrudnione. 5WHY rzadko dochodzi do 5 pytania, z reguły rozjaśnia się przy 2-3. Polecam, bo naprawdę potrafi poukładać.

PS - każdą taką "burzę" warto odnotować i pozostawić w kwitach. Np. na przeglądzie, czy w trakcie dyskusji o nowym zbiorze lub modyfikacji starego. Na wypadek kontroli - będzie podstawa do uzasadnienia. Oczywiście znów tutaj role są odwrócone, bo to inspektor powinien wprost wskazać naruszony przepis, a nie my się bronić, ale życie jest życie.

PS2 - Warto posiadać instrukcję tworzenia, modyfikacji i usuwania zbiorów. Zgodnie z zasadą której hołduję - Polityka jako jeden, wiodący dokument, a do tego załączniki w postaci instrukcji (lub procedur - jak kto ma w firmie), w których określane będzie co robić w takim przypadku. I jako instrukcja do zapoznania tylko dla osób nadzorujących konkretne zbiory, pracownikom można odpuścić taką lekturkę.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

przekazywanie dane pracowni...




Wyślij zaproszenie do
Anuluj