Temat: Rola informacji podanych we wniosku rejestracyjnym.

Witam,

szukam odpowiedzi na pytanie - jaką rolę pełni sam wniosek rejestracyjny poza tą że służy zarejestrowaniu zbiorów DO przetwarzanych przez ADO w rejestrze GIODO i czy informacje w nim podane są potem jakoś jeszcze wykorzystywane:
Czy informacje podane we wniosku dot. środków tech. i org. stanowią element oceny przy wydawaniu decyzji o zarejestrowaniu zabioru lub odmowie rejestracji - przynajmniej teoretycznie?
Czy też może informacje podane we wniosku będą potem stanowiły jakąś podstawę przy czynnościach kontrolnych - np. sprawdzenie czy podane we wniosku środki są rzeczywiście stosowane przez ADO?
Czy może jest jeszcze inaczej?
Chciałam tą informacje uzyskać bezpośrednio od Urzędu, ale mam z tym pewne trudności.

Temat: Rola informacji podanych we wniosku rejestracyjnym.

Moim zdaniem służą wyłącznie ocenie wniosku, chociaż mogą byc bodźcem do kontroli. Na pewno nie spotkałem się, aby w trakcie kontroli sprawdzano "zgodność" z wnioskiem - kontrolerzy sprawdzają stan zgodności z wymogami ustawy i aktów wykonawczych, wniosek rejestracyjny nie ma tu (raczej) żadnego znaczenia.

Oczywiście tu, jak dla mnie, pojawia sie pytanie, czy podanie nieprawdziwych informacji o zabezpieczeniach (aby zarejestrować zbiór) będzie zeznaniem nieprawdy, a co za tym idzie - czy może być karane np. na mocy przepisów Kodeksu Karnego.

Temat: Rola informacji podanych we wniosku rejestracyjnym.

Oczywiście tu, jak dla mnie, pojawia sie pytanie, czy podanie nieprawdziwych informacji o zabezpieczeniach (aby zarejestrować zbiór) będzie zeznaniem nieprawdy, a co za tym idzie - czy może być karane np. na mocy przepisów Kodeksu Karnego.

Dokładnie, tylko to implikuje dalsze pytanie natury organizacyjnej:
Jeśli "zgodność" z wnioskiem nie jest sprawdzana to jak podważyć prawdziwość informacji podanych we wniosku i kto może to zrobić? Nie wszystkie dane z wniosku są udostępnione publicznie.

Druga sprawa co do samej istoty wniosku - jeśli wniosek wypełnia ADO tylko do celów rejestracji zbioru i podaje we wniosku wyłącznie środki techniczne i organizacyjne zastosowane w swojej organizacji a przypuśćmy, że dane do przetwarzania powierzył firmie hostingowej, to z samego wniosku może wynikać że zbiorów nie zabezpieczył w sposób właściwy. W rzeczywistości jednak dane zabezpieczył należycie poprzez częściowe scedowanie odpowiedzialności za zabezpieczenie danych na firmę hostingową w momencie podpisania umowy powierzenia. W tym więc aspekcie oceny - wniosek nie byłby miarodajny, choć w moim przekonaniu sporządzony właściwie.

Jeśli założyć z kolei, że we wniosku podajemy zabezpieczenia stosowane przez innych ADO, którym powierzyliśmy zbiory do przetwarzania ( spotykam się z takim stanowiskiem ABI'ch wypełniających wnioski), to chyba powinniśmy opisywać konsekwentnie zabezpieczenia stosowane przez nich wszystkich: nie tylko firmę hostingową ale też firmę prowadzącą księgowość,hr, rekrutację etc. i poświadczać jeszcze prawdziwość tych informacji własnym podpisem.
W przypadku dużej samowystarczalnej firmy wypełnienie takiego wniosku to nie problem, schody zaczynają się kiedy się dla małej firmy czy średniej, która w dużym zakresie korzysta z outsouricing'u.

Jeśli wniosek służy tylko ocenie samego wniosku, to choć pierwsze podejście wydaje mi się właściwe to drugie hipotetycznie gwarantowałoby pozytywne przejście rejestracji zbioru.
Gdyby był zaś dodatkowo weryfikowany podczas kontroli to wtedy słuszne jest pierwsze podejście, gdzie wniosek staje się nijako "wyciągiem" z zapisów zamieszczonych w dokumentacji ODO i ujawnia zabezpieczenia stosowane jedynie przez ADO.

Temat: Rola informacji podanych we wniosku rejestracyjnym.

Ja też mam/mialem wątpliwości jakie zabezpieczenia opisywać. Moim zdaniem "większościowe" - czyli te, które zabezpieczają największą część przetwarzania. Może być że w całości przetwarzanie będzie wyoutsourcowane i wtedy opisze się zabezpieczenia stosowane u "procesora".Leszek K. edytował(a) ten post dnia 24.10.11 o godzinie 13:47

Temat: Rola informacji podanych we wniosku rejestracyjnym.

Mogę poprosić o rozwinięcie stanowiska co do wpisywania zabezpieczeń stosowanych w innych podmiotach?

Niebywale mnie to interesuje, tym bardziej, że wiele z tych systemów bezpieczeństwa jest stosowanych nie tylko do ochrony danych osobowych, ale również mienia, osób, bezpieczeństwa innych informacji, utrzymania ciągłości działania etc.

Plan ochrony, opracowany na podstawie ustawy o ochronie osób i mienia, ma całe systemy zabezpieczeń technicznych opisane w rozdziale 5 a fizyczną w 6. Informacje prawnie chronione są jednym z elementów, jakie należy wziąć pod uwagę w trakcie opracowywania planu ochrony. Ale dane osobowe, to tylko kawałek.

Jak w takim razie odbywa się pozyskanie informacji co do zabezpieczenia technicznego i organizacyjnego dla danych osobowych i kto daje zgodę na umieszczenie tych informacji we wniosku?