konto usunięte
konto usunięte
Temat: umowa z zewnętrzną firmą sprzątającą
U nas dajemy oświadczenie o zachowanie poufności i mają krótkie szkolenie z naszych wewnętrznych zasad, dostosowane do wykonywanych obowiązków na tym stanowisku.Paweł G. IOD, podmiot danych
Temat: umowa z zewnętrzną firmą sprzątającą
Agata S.:Nie byłbym taki pewny siebie.
Ekipy sprzątające nie mają bezpośredniego dostępu do danych
ale czasem przypadkowe mogą mieć.To wtedy masz naruszenie i zgłaszasz je w terminie 72 h.
Grzegorz
Krzemiński
600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...
Temat: umowa z zewnętrzną firmą sprzątającą
Paweł G.:
To wtedy masz naruszenie i zgłaszasz je w terminie 72 h.
Chyba, że... ;-)
Paweł G. IOD, podmiot danych
Temat: umowa z zewnętrzną firmą sprzątającą
Chyba, że się napocisz, żeby uzasadnić, że nie, a organ nadzorczy się z tobą zgodzi przy ew. kontroli, sprawdzając wewnętrzny rejestr naruszeń.Ten post został edytowany przez Autora dnia 15.03.18 o godzinie 07:51konto usunięte
Temat: umowa z zewnętrzną firmą sprzątającą
ale czasem przypadkowe mogą mieć.To wtedy masz naruszenie i zgłaszasz je w terminie 72 h.
Czy uważacie że każde zdarzenie będzie miało miano incydentu, który trzeba zgłosić organowi nadzorczemu? Jeśli w polityce zrobię klasyfikację zdarzeń i określę, które z nich są incydentami, które trzeba rozwiązywać na poziomie organu, to takie będziemy zgłaszać. Reszta rozwiązywana na poziomie organizacji.
Jeszcze zależy jaki zakres danych zbieramy ale jeśli personel sprzątający natrafi na kartkę z fakturą sprzedaży to nie jest to zakres danych, który narusza prawa i wolności osoby, której dane dotyczą w stopniu zmuszającym do zgłoszenia takiego naruszenia. Chyba, że się mylę - poprawcie i zlinczujcie.
Analiza ryzyka powinna powiedziec, czy w takiej sytuacji zgłaszać czy nie.
Za chwilę incydentem będzie nie zablokowanie komputera, w ciągu godzin pracy, w firmie, w której stosowana jest kontrola dostępu i osoba z zewnątrz nie ma dostępu do przestrzeni biurowej a dostęp mają tylko upoważnieni pracownicy.
Paweł G. IOD, podmiot danych
Temat: umowa z zewnętrzną firmą sprzątającą
Karolina K.:Nie, ale niezgłaszalne będą wyjątkowe.
Czy uważacie że każde zdarzenie będzie miało miano incydentu, który trzeba zgłosić organowi nadzorczemu?
Jeśli w polityce zrobię klasyfikację zdarzeń i określę, które z nich są incydentami, które trzeba rozwiązywać na poziomie organuNie jesteś w stanie tego zadekretować w polityce, bo dla każdego naruszenia osobno musisz ocenić - znając cały kontekst tej konkretnej sytuacji - czy jest ryzyko naruszenia praw i wolności i jakie.
Jeszcze zależy jaki zakres danych zbieramy ale jeśli personel sprzątający natrafi na kartkę z fakturą sprzedaży to nie jest to zakres danych, który narusza prawa i wolności osoby, której dane dotyczą w stopniu zmuszającym do zgłoszenia takiego naruszenia.To zależy. Jak sprzedajecie Kowalskiemu środki na potencję, to faktura dla Kowalskiego zawiera dane o charakterze wysoce osobistym.
Za chwilę incydentem będzie nie zablokowanie komputera, w ciągu godzin pracy, w firmie, w której stosowana jest kontrola dostępu i osoba z zewnątrz nie ma dostępu do przestrzeni biurowej a dostęp mają tylko upoważnieni pracownicy.Nieważne, jaka jest teoria. Ważne, czy w tej konkretnej sytuacji nastąpiło niezgodne z prawem ujawnienie danych lub niezgodny z prawem dostęp.
Nie tylko osoba z zewnątrz jest osobą nieupoważnioną. W pomieszczeniu może legalnie być firmowy elektryk, który na skutek niezablokowania komputera uzyskał/mógł uzyskać niezgodny z prawem dostęp do danych.
Temat: umowa z zewnętrzną firmą sprzątającą
Karolina K.:
Czy uważacie że każde zdarzenie będzie miało miano incydentu, który trzeba zgłosić organowi nadzorczemu?Nie każde. Art.33.1. wskazuje jakich przypadków naruszenia ochrony danych osobowych nie trzeba zgłaszać. Podobnie (choć nie do końca) stanowi art. 34.1.
Jeśli w polityce zrobię klasyfikację zdarzeń i określę, które z nich są incydentami, które trzeba rozwiązywać na poziomie organu, to takie będziemy zgłaszać. Reszta rozwiązywana na poziomie organizacji.Nie do końca będzie to właściwe. Uodo stosuje się wprost. Interpretacje są zastrzeżone do TS UE. Uodo nie dało delegacji do określenia i klasyfikowania przypadków naruszania d.o. Tym samym nie ma legitymacji prawnej do takiego rozwiązania. Wszak mogłoby się zdarzyć, że kreatywny ADO tak ustali klasyfikację, że żaden incydent nie będzie podlegał zgłoszeniu.
Jeszcze zależy jaki zakres danych zbieramy ale jeśli personel sprzątający natrafi na kartkę z fakturą sprzedaży to nie jest to zakres danych, który narusza prawa i wolności osoby, której dane dotyczą w stopniu zmuszającym do zgłoszenia takiego naruszenia. Chyba, że się mylę - poprawcie i zlinczujcie.Dane personalne, to nie wszystkie dane osobowe podlegające ochronie. Jeśli na fakturze znajduje się przedmiot sprzedaży, to i on podlega ochronie. Co innego jest gdy faktura dotyczy np. jabłek, a co innego jak dotyczy np. zakupu i montażu systemu alarmowego do ochrony danych osobowych ze wskazaniem nazwy typu i modelu oraz miejscem montażu.
Analiza ryzyka powinna powiedziec, czy w takiej sytuacji zgłaszać czy nie.To co ma decydować: klasyfikacja czy analiza ryzyka?
Jak trafnie zauważyłaś problem nie zablokowania komputera zależy od kontekstu. Inaczej sprawa przedstawia się w opisanym przypadku, a inaczej gdy tenże jest w miejscu ogólnie dostępnym (np. na holu bankowym).
Za chwilę incydentem będzie nie zablokowanie komputera, w ciągu godzin pracy, w firmie, w której stosowana jest kontrola dostępu i osoba z zewnątrz nie ma dostępu do przestrzeni biurowej a dostęp mają tylko upoważnieni pracownicy.
Daleki byłbym od trywializowania tematu. To może źle skończyć się dla mniej wyrobionych osób jeśli bezrefleksyjnie przyjmą prezentowaną przez Ciebie treść za jedynie słuszną.
Grzegorz
Krzemiński
600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...
Temat: umowa z zewnętrzną firmą sprzątającą
Tak się tylko wtrącę. Czy w incydencie, który skutkuje naruszeniem ochrony danych osobowych, chodzi o utratę atrybutów (poufność, rozliczalność, integralność)? Czy jednak o coś więcej?A jeśli więcej to o co (czyli w jakim kierunku robione jest szacowanie i ocena ryzyka?
A ocena czy zgłaszać do organu jest za każdym razem odrębna, ale akurat bazowanie na swojej wewnętrznej klasyfikacji jest doskonałym pomysłem. Pod jednym warunkiem. Że nie będzie to mechaniczne. Czyli jak A to B... Bo między A i B czasem się mieści cały alfabet, mimo, że nie widać.
Michał
Sadowski
IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl
Temat: umowa z zewnętrzną firmą sprzątającą
Karolina K.:
U nas dajemy oświadczenie o zachowanie poufności i mają krótkie szkolenie z naszych wewnętrznych zasad, dostosowane do wykonywanych obowiązków na tym stanowisku.
Zgadzam się: szkolenie + oświadczenie + ewentualnie upoważnienie do przebywania w obszarze przetwarzania danych powinny wystarczyć. Resztę należy ustalić w umowie głównej o świadczenie usług, np. dodać zapisy o odpowiedzialności firmy ($$$) za naruszenia spowodowane przez pracowników.
Paweł
Jargus
specjalista, Fiat
Chrysler Automobiles
Temat: umowa z zewnętrzną firmą sprzątającą
My podpisaliśmy umowę z firmą o zachowanie poufności z firmą sprzątającą, my nie szkolimy tych osób. Ja bym musiał minimum dwa razy w tygodniu szkolić nowe osoby z firmy sprzątającej, oni mają około 20 pracowników z dość dużą rotacją.Paweł G. IOD, podmiot danych
Temat: umowa z zewnętrzną firmą sprzątającą
Paweł J.:A jak chronicie te dane przed tymi osobami? Bo papier to wszystko przyjmie, a umowa może być najpiękniejsza.
My podpisaliśmy umowę z firmą o zachowanie poufności z firmą sprzątającą
Temat: umowa z zewnętrzną firmą sprzątającą
My mamy umowę z http://fotobeskidniski.pl/dokladne-i-rzetelne-sprzatanie/ bardzo rzetelna firma.Podobne tematy
-
ABI » Umowa powierzenia z firmą hostingową -
-
ABI » Umowa z firmą outsourcingową - xero -
-
ABI » Umowa o powierzenie przetwarzanie danych osobowych -
-
ABI » umowa powierzenia z fotografem -
-
ABI » umowa powierzenia danych -
-
ABI » Umowa powierzenia przetwarzania danych -
-
ABI » Powierzenie czy udostępnienie danych z art. 23 uodo -... -
-
ABI » Umowa B2B -
-
ABI » Umowa powierzenia przetwarzania - Procesor -
-
ABI » umowa powierzenia przetwarzania w szkołach -
Następna dyskusja: