GoldenLine
Zaloguj się
Adriana Lubomirska

Adriana Lubomirska

Temat: Opis przepływu danych w systemach - uwzględniać systemy...

Witajcie,

opisuję przepływ danych pomiędzy systemami informatycznymi i zastanawiam się, czy powinnam uwzględnić także systemy informatyczne Procesora (któremu powierzam dane do przetwarzania)?

Pozdrawiam
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Opis przepływu danych w systemach - uwzględniać systemy...

Niech to procesor opisze i przedstawi ADO do kontroli. I nie posiłkuj się czasem starymi wytycznymi GIODO przy opisie przepływów. Systemy informatyczne tak mocno się zmieniły w ciągu ostatnich kilku lat, że robienie tego tylko dla papierologii jest z punktu widzenia RODO całkowicie bezsensowne.

Musisz zbadać, jakie procesy rzeczywiście są realizowane w systemach IT, jakie są schematy przepływu danych, jakie przypadki użycia, musisz mieć opis architektury systemów, dokumentację interfejsów komunikacyjnych itd.

Sformułowanie "opis przepływów danych" jakoś tak zapachniało mi rozporządzeniem z 2004 r. Zapomnij o tym rozporządzeniu.
Link do wypowiedziLink
Adriana Lubomirska

Adriana Lubomirska

Temat: Opis przepływu danych w systemach - uwzględniać systemy...

To w ramach aktualizacji Polityki Bezpieczeństwa... eh.. a jak to zrobić w takim razie od razu pod RODO? Masz jakieś fajne materiały to opisujące?
Czy angażowanie Procesora jest konieczne? Z doświadczenia wiem, że wyegzekwować cokolwiek od nich związanego z ochroną danych to wręcz mission impossible
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Opis przepływu danych w systemach - uwzględniać systemy...

Paweł G.:
Niech to procesor opisze i przedstawi ADO do kontroli. I nie posiłkuj się czasem starymi wytycznymi GIODO przy opisie przepływów. Systemy informatyczne tak mocno się zmieniły w ciągu ostatnich kilku lat, że robienie tego tylko dla papierologii jest z punktu widzenia RODO całkowicie bezsensowne.

Musisz zbadać, jakie procesy rzeczywiście są realizowane w systemach IT, jakie są schematy przepływu danych, jakie przypadki użycia, musisz mieć opis architektury systemów, dokumentację interfejsów komunikacyjnych itd.

Sformułowanie "opis przepływów danych" jakoś tak zapachniało mi rozporządzeniem z 2004 r. Zapomnij o tym rozporządzeniu.
Poważnie?
W systemach IT, ale inne już nie?
Opis przepływów jest stary? A DPIA na czym się opiera?

;-)
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Opis przepływu danych w systemach - uwzględniać systemy...

Adriana L.:
Czy angażowanie Procesora jest konieczne?
Argument pierwszy: Jak chcesz opisać systemy informatyczne będąc prawnikiem? ABI nie ma robić wszystkiego, tym bardziej na siłę. ABI ma wiedzieć, kto to umie - i kto powinien - zrobić.

Argument drugi: Musicie już teraz zacząć oswajać procesorów w myślą, że to wy jesteście ADO i wy ustalacie warunki przetwarzania, a nawet macie prawo ich kontroli. Dokumentację systemów powinni przedstawić na etapie ubiegania się o kontrakt. Kwestia tylko szczegółowości tej dokumentacji, bo można tu wejść w obszar ich tajemnicy przedsiębiorstwa, a wtedy trzeba negocjować. Może dodatkowe umowy o poufności, może zewnętrzny audyt, którego wyniki zaakceptują obie strony...

Po 25 maja będziesz miała łatwiej. Procesor odmawia współpracy, informacji? Rodzi to wysokie ryzyka dla praw i wolności osób fizycznych (ADO traci kontrolę nad procesem przetwarzania), więc robimy ocenę skutków i konsultujemy się organem nadzorczym (art. 35-36 Rodo). Organ nadzorczy pewnie zrobi im trzepanie, ustali fakty - i będziemy mieć jasność.
Link do wypowiedziLink
Adriana Lubomirska

Adriana Lubomirska

Temat: Opis przepływu danych w systemach - uwzględniać systemy...

Rozumiem. A czy przepływy u Procesora powinny stanowić część mojej Polityki czy jedynie mogę ( nie muszę ) je przechowywać na wypadek kontroli (np. jako załącznik)?
Chodzi mi o doprecyzowanie co jest w tym zakresie moim obligatoryjnym obowiązkiem a co stanowi działania dodatkowe ponad niezbędne minimum.
Wydawało mi się, że mogę ograniczyć się jedynie do opisu swoich procesów, a resztę można skontrolować w razie potrzeby u Procesora który podpisując umowę powierzenia podjął się obowiązków z uodo, w tym prowadzenia Polityki i opisu sposobu przetwarzania.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Opis przepływu danych w systemach - uwzględniać systemy...

Adriana L.:
Rozumiem. A czy przepływy u Procesora powinny stanowić część mojej Polityki
Cały czas podchodzisz do rzeczy pod kątem formalnym. Zapytaj się sama siebie:

Masz doradzić ADO, żeby dokonał proaktywnej (nie reaktywnej) oceny ryzyka i dostosował swoje zabezpieczenia organizacyjne (techniczne również) do wyników tej analizy. I z tego puntu widzenia rozpatrz, co chcesz sobie załatwić wewnętrzną polityką ochrony danych. Wyjdź od celów jej istnienia. Czy w waszej dokumentacji powinny znaleźć się opisy/analizy, jakie przepływy danych występują u procesora? A to zależy, co chcecie sobie w ten sposób załatwić, jakie ryzyka zredukować.
Link do wypowiedziLink
Adriana Lubomirska

Adriana Lubomirska

Temat: Opis przepływu danych w systemach - uwzględniać systemy...

Jestem fanką wykładni literalnej a nie celowościowej :)
A tak na poważnie, to po prostu szukam granic, by nie mnożyć niepotrzebnych papierów. Jeżeli coś może być uregulowane w dokumentacji Procesora, a nie musi być w ADO, to nie chcę tego uwzględniać.
Wobec powyższego, jak ta sprawa wygląda formalnie?
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Opis przepływu danych w systemach - uwzględniać systemy...

Adriana L.:
Jestem fanką wykładni literalnej a nie celowościowej :)
Słusznie :) Dopiero gdy nie można zastosować tej wykładni można posiłkować się celościową.
A tak na poważnie, to po prostu szukam granic, by nie mnożyć niepotrzebnych papierów. Jeżeli coś może być uregulowane w dokumentacji Procesora, a nie musi być w ADO, to nie chcę tego uwzględniać.
Wobec powyższego, jak ta sprawa wygląda formalnie?
ADO ma opisać te procedury na którymi sprawuje władztwo. Czy nad procedurami Procesora, ADO ma władztwo - nie. Może co najwyżej zapisać w umowie zastrzeżenia i je egzekwować.
Po drugie - zapisanie w dokumentacji ADO rozwiązań Procesora powoduje, że pojawia się obowiązek aktualizacji dokumentacji ADO w każdym przypadku gdy Procesor będzie miał 'fanaberię' zmiany dokumentacji własnej. W takim przypadku pozostaje do uzgodnienie, kto, kogo, w jakim czasie powiadamia o zmianach, co w razie braku powiadomienia; kto poniesie odpowiedzialność (wobec klientów) za nieaktualność zapisów ADO.
Link do wypowiedziLink
Adriana Lubomirska

Adriana Lubomirska

Temat: Opis przepływu danych w systemach - uwzględniać systemy...

Czyli zdecydowanie nie opłaca się w to bawić :)
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Opis przepływu danych w systemach - uwzględniać systemy...

Adriana L.:
Jestem fanką wykładni literalnej
To literalnie przeczytaj Rodo. Nie ma tam nic o opisie przepływów danych. Jest za to - literalnie - o proaktywnej analizie ryzyka.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Opis przepływu danych w systemach - uwzględniać systemy...

Radosław Z.:
ADO ma opisać te procedury na którymi sprawuje władztwo. Czy nad procedurami Procesora, ADO ma władztwo - nie.
Musi mieć władztwo nad przepływami danych u procesora.
Po drugie - zapisanie w dokumentacji ADO rozwiązań Procesora powoduje, że pojawia się obowiązek aktualizacji dokumentacji ADO w każdym przypadku gdy Procesor będzie miał 'fanaberię' zmiany dokumentacji własnej.
M.zd. procesor nie może zmieniać przepływów bez wiedzy i zgody ADO.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Systemy do przetwarzania da...




Wyślij zaproszenie do
Anuluj