GoldenLine
Zaloguj się

konto usunięte

Temat: umowa z zewnętrzną firmą sprzątającą

Jakie zapisy powinny się znaleźć w umowach z zewnętrzną firmą sprzątającą w odniesieniu do ochrony danych? Zastanawiam się czy od każdego pracownika firmy sprzątającej odebrać oświadczenie o zachowaniu poufności czy wystarczy jakiś odpowiedni zapis w umowę? Ekipy sprzątające nie mają bezpośredniego dostępu do danych, ale czasem przypadkowe mogą mieć. Jakie rozwiązania Państwo stosujecie?
Link do wypowiedziLink

konto usunięte

Temat: umowa z zewnętrzną firmą sprzątającą

U nas dajemy oświadczenie o zachowanie poufności i mają krótkie szkolenie z naszych wewnętrznych zasad, dostosowane do wykonywanych obowiązków na tym stanowisku.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: umowa z zewnętrzną firmą sprzątającą

Agata S.:
Ekipy sprzątające nie mają bezpośredniego dostępu do danych
Nie byłbym taki pewny siebie.
ale czasem przypadkowe mogą mieć.
To wtedy masz naruszenie i zgłaszasz je w terminie 72 h.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: umowa z zewnętrzną firmą sprzątającą

Paweł G.:
To wtedy masz naruszenie i zgłaszasz je w terminie 72 h.

Chyba, że... ;-)
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: umowa z zewnętrzną firmą sprzątającą

Chyba, że się napocisz, żeby uzasadnić, że nie, a organ nadzorczy się z tobą zgodzi przy ew. kontroli, sprawdzając wewnętrzny rejestr naruszeń.Ten post został edytowany przez Autora dnia 15.03.18 o godzinie 07:51
Link do wypowiedziLink

konto usunięte

Temat: umowa z zewnętrzną firmą sprzątającą

ale czasem przypadkowe mogą mieć.
To wtedy masz naruszenie i zgłaszasz je w terminie 72 h.

Czy uważacie że każde zdarzenie będzie miało miano incydentu, który trzeba zgłosić organowi nadzorczemu? Jeśli w polityce zrobię klasyfikację zdarzeń i określę, które z nich są incydentami, które trzeba rozwiązywać na poziomie organu, to takie będziemy zgłaszać. Reszta rozwiązywana na poziomie organizacji.
Jeszcze zależy jaki zakres danych zbieramy ale jeśli personel sprzątający natrafi na kartkę z fakturą sprzedaży to nie jest to zakres danych, który narusza prawa i wolności osoby, której dane dotyczą w stopniu zmuszającym do zgłoszenia takiego naruszenia. Chyba, że się mylę - poprawcie i zlinczujcie.
Analiza ryzyka powinna powiedziec, czy w takiej sytuacji zgłaszać czy nie.

Za chwilę incydentem będzie nie zablokowanie komputera, w ciągu godzin pracy, w firmie, w której stosowana jest kontrola dostępu i osoba z zewnątrz nie ma dostępu do przestrzeni biurowej a dostęp mają tylko upoważnieni pracownicy.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: umowa z zewnętrzną firmą sprzątającą

Karolina K.:
Czy uważacie że każde zdarzenie będzie miało miano incydentu, który trzeba zgłosić organowi nadzorczemu?
Nie, ale niezgłaszalne będą wyjątkowe.
Jeśli w polityce zrobię klasyfikację zdarzeń i określę, które z nich są incydentami, które trzeba rozwiązywać na poziomie organu
Nie jesteś w stanie tego zadekretować w polityce, bo dla każdego naruszenia osobno musisz ocenić - znając cały kontekst tej konkretnej sytuacji - czy jest ryzyko naruszenia praw i wolności i jakie.
Jeszcze zależy jaki zakres danych zbieramy ale jeśli personel sprzątający natrafi na kartkę z fakturą sprzedaży to nie jest to zakres danych, który narusza prawa i wolności osoby, której dane dotyczą w stopniu zmuszającym do zgłoszenia takiego naruszenia.
To zależy. Jak sprzedajecie Kowalskiemu środki na potencję, to faktura dla Kowalskiego zawiera dane o charakterze wysoce osobistym.
Za chwilę incydentem będzie nie zablokowanie komputera, w ciągu godzin pracy, w firmie, w której stosowana jest kontrola dostępu i osoba z zewnątrz nie ma dostępu do przestrzeni biurowej a dostęp mają tylko upoważnieni pracownicy.
Nieważne, jaka jest teoria. Ważne, czy w tej konkretnej sytuacji nastąpiło niezgodne z prawem ujawnienie danych lub niezgodny z prawem dostęp.

Nie tylko osoba z zewnątrz jest osobą nieupoważnioną. W pomieszczeniu może legalnie być firmowy elektryk, który na skutek niezablokowania komputera uzyskał/mógł uzyskać niezgodny z prawem dostęp do danych.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: umowa z zewnętrzną firmą sprzątającą

Karolina K.:
Czy uważacie że każde zdarzenie będzie miało miano incydentu, który trzeba zgłosić organowi nadzorczemu?
Nie każde. Art.33.1. wskazuje jakich przypadków naruszenia ochrony danych osobowych nie trzeba zgłaszać. Podobnie (choć nie do końca) stanowi art. 34.1.
Jeśli w polityce zrobię klasyfikację zdarzeń i określę, które z nich są incydentami, które trzeba rozwiązywać na poziomie organu, to takie będziemy zgłaszać. Reszta rozwiązywana na poziomie organizacji.
Nie do końca będzie to właściwe. Uodo stosuje się wprost. Interpretacje są zastrzeżone do TS UE. Uodo nie dało delegacji do określenia i klasyfikowania przypadków naruszania d.o. Tym samym nie ma legitymacji prawnej do takiego rozwiązania. Wszak mogłoby się zdarzyć, że kreatywny ADO tak ustali klasyfikację, że żaden incydent nie będzie podlegał zgłoszeniu.
Jeszcze zależy jaki zakres danych zbieramy ale jeśli personel sprzątający natrafi na kartkę z fakturą sprzedaży to nie jest to zakres danych, który narusza prawa i wolności osoby, której dane dotyczą w stopniu zmuszającym do zgłoszenia takiego naruszenia. Chyba, że się mylę - poprawcie i zlinczujcie.
Dane personalne, to nie wszystkie dane osobowe podlegające ochronie. Jeśli na fakturze znajduje się przedmiot sprzedaży, to i on podlega ochronie. Co innego jest gdy faktura dotyczy np. jabłek, a co innego jak dotyczy np. zakupu i montażu systemu alarmowego do ochrony danych osobowych ze wskazaniem nazwy typu i modelu oraz miejscem montażu.
Analiza ryzyka powinna powiedziec, czy w takiej sytuacji zgłaszać czy nie.
To co ma decydować: klasyfikacja czy analiza ryzyka?

Za chwilę incydentem będzie nie zablokowanie komputera, w ciągu godzin pracy, w firmie, w której stosowana jest kontrola dostępu i osoba z zewnątrz nie ma dostępu do przestrzeni biurowej a dostęp mają tylko upoważnieni pracownicy.
Jak trafnie zauważyłaś problem nie zablokowania komputera zależy od kontekstu. Inaczej sprawa przedstawia się w opisanym przypadku, a inaczej gdy tenże jest w miejscu ogólnie dostępnym (np. na holu bankowym).

Daleki byłbym od trywializowania tematu. To może źle skończyć się dla mniej wyrobionych osób jeśli bezrefleksyjnie przyjmą prezentowaną przez Ciebie treść za jedynie słuszną.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: umowa z zewnętrzną firmą sprzątającą

Tak się tylko wtrącę. Czy w incydencie, który skutkuje naruszeniem ochrony danych osobowych, chodzi o utratę atrybutów (poufność, rozliczalność, integralność)? Czy jednak o coś więcej?
A jeśli więcej to o co (czyli w jakim kierunku robione jest szacowanie i ocena ryzyka?
A ocena czy zgłaszać do organu jest za każdym razem odrębna, ale akurat bazowanie na swojej wewnętrznej klasyfikacji jest doskonałym pomysłem. Pod jednym warunkiem. Że nie będzie to mechaniczne. Czyli jak A to B... Bo między A i B czasem się mieści cały alfabet, mimo, że nie widać.
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: umowa z zewnętrzną firmą sprzątającą

Karolina K.:
U nas dajemy oświadczenie o zachowanie poufności i mają krótkie szkolenie z naszych wewnętrznych zasad, dostosowane do wykonywanych obowiązków na tym stanowisku.

Zgadzam się: szkolenie + oświadczenie + ewentualnie upoważnienie do przebywania w obszarze przetwarzania danych powinny wystarczyć. Resztę należy ustalić w umowie głównej o świadczenie usług, np. dodać zapisy o odpowiedzialności firmy ($$$) za naruszenia spowodowane przez pracowników.
Link do wypowiedziLink
Paweł Jargus

Paweł Jargus specjalista, Fiat
Chrysler Automobiles

Temat: umowa z zewnętrzną firmą sprzątającą

My podpisaliśmy umowę z firmą o zachowanie poufności z firmą sprzątającą, my nie szkolimy tych osób. Ja bym musiał minimum dwa razy w tygodniu szkolić nowe osoby z firmy sprzątającej, oni mają około 20 pracowników z dość dużą rotacją.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: umowa z zewnętrzną firmą sprzątającą

Paweł J.:
My podpisaliśmy umowę z firmą o zachowanie poufności z firmą sprzątającą
A jak chronicie te dane przed tymi osobami? Bo papier to wszystko przyjmie, a umowa może być najpiękniejsza.
Link do wypowiedziLink
Mikołaj Bielski

Mikołaj Bielski

Temat: umowa z zewnętrzną firmą sprzątającą

My mamy umowę z http://fotobeskidniski.pl/dokladne-i-rzetelne-sprzatanie/ bardzo rzetelna firma.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj