GoldenLine
Zaloguj się
Andrzej I

Andrzej I Inspektor Ochrony
Danych

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Witam
Jak proponujecie postępować w zakresie upoważnień do przetwarzania danych osobowych po 25 maja 2018r (data rozpoczęcia obowiązywania RODO): czy obecnie wystawione upoważnienia pozostają w mocy, czy może proponujecie wystawiać nowe upoważnienia z nową podstawą prawną czy może jeszcze jakieś inne rozwiązanie? Obecnie w mojej firmie mam wystawione ponad 500 upoważnień a niejeden abi ma zapewne o wiele więcej.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Andrzej I.:
czy obecnie wystawione upoważnienia pozostają w mocy
To zależy, czy precyzyjnie określają zakres upoważnienia i czy ten zakres jest zgodny z nowymi politykami bezpieczeństwa.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Andrzej I.:
czy obecnie wystawione upoważnienia pozostają w mocy,
czy może proponujecie wystawiać nowe upoważnienia z nową podstawą prawną
czy może jeszcze jakieś inne rozwiązanie?

Jeżeli w dotychczasowym upoważnieniu powołujecie się wprost na UODO to uważam, że trzeba pomyśleć o jakieś formie aktualizacji tych upoważnień z powołaniem się na RODO (chociaż zgadzam się, że będzie to boleśnie pracochłonne ze względu na ilość wystawionych upoważnień).
Link do wypowiedziLink
Tomasz Szczygieł

Tomasz Szczygieł właściciel

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Stanowisko GIODO dotyczące ważności zgód na przetwarzanie danych osobowych: http://www.giodo.gov.pl/pl/1520281/10303
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Tomasz S.:
Stanowisko GIODO dotyczące ważności zgód na przetwarzanie danych osobowych: http://www.giodo.gov.pl/pl/1520281/10303
Upoważnienie do przetwarzania danych w ADO to coś innego niż pozyskiwanie zgodny na przetwarzanie d.o.

Wracając do meritum, wraz z majem 2018r. przestanie obowiązywać uodo, tym samym ustanie podstawa prawna wystawionych upoważnień. Dlatego, moim zdaniem, obowiązkowo należy wystawić nowe upoważnienia, z nową podstawą prawną.
Link do wypowiedziLink
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Radosław Z.:
Wracając do meritum, wraz z majem 2018r. przestanie obowiązywać uodo, tym samym ustanie podstawa prawna wystawionych upoważnień. Dlatego, moim zdaniem, obowiązkowo należy wystawić nowe upoważnienia, z nową podstawą prawną.

Jeśli zgody na przetwarzanie danych, zebrane zgodnie z UODO, odpowiadają zapisom RODO, nie należy zbierać ponownie (zgodnie z wytycznymi GIODO), to czy podobnie nie będzie z upoważnieniami? Jeśli da się z nich wywieść polecenie ado i upoważnienie pracownika, do przetwarzania "w jego imieniu" danych osobowych, to chyba nie ma potrzeby wystawiać ich ponownie? W moim odczuciu liczyć się powinna świadomość ado, chęć zabezpieczenia danych, a nie Dz. U....Ten post został edytowany przez Autora dnia 16.01.18 o godzinie 08:43
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Karol F.:
Jeśli zgody na przetwarzanie danych, zebrane zgodnie z UODO, odpowiadają zapisom RODO, nie należy zbierać ponownie (zgodnie z wytycznymi GIODO),
Cytat z wytycznych: " Należy się jednak upewnić, czy zostały pozyskane zgodnie z wymaganiami określonymi w RODO." - jeśli nie, to koniecznym będzie uzyskanie ponownej zgody. Nie ma więc tu automatyzmu.
to czy podobnie nie będzie z upoważnieniami? Jeśli da się z nich wywieść polecenie ado i upoważnienie pracownika, do przetwarzania "w jego imieniu" danych osobowych, to chyba nie ma potrzeby wystawiać ich ponownie?
Upoważnienie jest osadzone na podstawie prawnej. Z chwilą gdy taka podstawa przestaje istnieć (proponowana ustawa Przepisy wprowadzające ustawę o ochronie danych osobowych, przesądza w "art. 146. Traci moc ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych..."), upoważnienie traci rację bytu. Wystawienie nowych upoważnień, to również wykazanie wdrożenia odpowiednich środków organizacyjnych w celu dostosowania przepisów wewnętrznych do rodo.
W moim odczuciu liczyć się powinna świadomość ado, chęć zabezpieczenia danych, a nie Dz. U....
Kiedyś w ten sposób tworzono tzw. prawo powielaczowe.
Dane osobowe mają być przetwarzane zgodnie z prawem (5.1.a rodo). Czy ADO ma chęci, czy ich nie ma jest bez znaczenia - ma obowiązek. Z tego obowiązku będzie rozliczany.Ten post został edytowany przez Autora dnia 16.01.18 o godzinie 13:02
Link do wypowiedziLink
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Radosław Z.:
Cytat z wytycznych: " Należy się jednak upewnić, czy zostały pozyskane zgodnie z wymaganiami określonymi w RODO." - jeśli nie, to koniecznym będzie uzyskanie ponownej zgody. Nie ma więc tu automatyzmu.

Dokładnie o to mi chodziło. Nie pisałem nic o automatyzmie - może skrótowo, ale jednak, powołałem się na opinię GIODO.
Upoważnienie jest osadzone na podstawie prawnej. Z chwilą gdy taka podstawa przestaje istnieć (proponowana ustawa Przepisy wprowadzające ustawę o ochronie danych osobowych, przesądza w "art. 146. Traci moc ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych..."), upoważnienie traci rację bytu.

Zgody zbierane dotychczas, również miały konkretną podstawę prawną wynikającą z UODO, która również wygasa, jednak mimo wszystko, gdy upewnimy się, że zostały pozyskane zgodnie z wymaganiami określonymi w RODO, nie musimy zbierać ich ponownie.
Wystawienie nowych upoważnień, to również wykazanie wdrożenia odpowiednich środków organizacyjnych w celu dostosowania przepisów wewnętrznych do rodo.

Nigdzie w RODO nie znajduję wytycznych mówiących o wystawieniu nowych upoważnień :) jedynie o tym, że osoba musi być upoważniona i działać z polecenia ADO. Jeśli nasze obecne upoważnienia jasno deklarują, że pracownik jest upoważniony i działa w określonym zakresie, to wydaje mi się, że nie ma potrzeby od nowa wystawiania upoważnień - warto je zweryfikować pod kątem ich adekwatności etc. ale czy na pewno od nowa je wystawiać? Mam wątpliwości.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Karol F.:
Zgody zbierane dotychczas, również miały konkretną podstawę prawną wynikającą z UODO, która również wygasa, jednak mimo wszystko, gdy upewnimy się, że zostały pozyskane zgodnie z wymaganiami określonymi w RODO, nie musimy zbierać ich ponownie.
"Wyrażam zgodę na przetwarzanie przez ABC moich danych osobowych do celu XYZ." realizuje wymóg uodo ale nie zawiera podstawy prawnej.
"Na podstawie art. 37 uodo, upoważniam .... do ....." realizuje wymóg ustawowy i zawiera podstawę prawną.
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

A nikt nie bierze pod uwagę, że nie trzeba będzie już wystawiać jakichkolwiek upoważnień do dostępu do danych po 25 maja?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Art. 4 pkt 10
„strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;

Art. 29
Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Art. 32 ust. 4
Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

Czy będzie trzeba wystawiać pisemne upoważnienia? Niby musu nie ma, ale pozostaje kwestia dowodowa.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Daniel W.:
A nikt nie bierze pod uwagę, że nie trzeba będzie już wystawiać jakichkolwiek upoważnień do dostępu do danych po 25 maja?

Nie wiem czy ktoś bierze to pod uwagę. Być może takowi się znajdą, także wśród prawników. Obawiam się jednak, że takie działanie/podejście nie będzie miało nic wspólnego z ochroną danych osobowych wg. rodo.Ten post został edytowany przez Autora dnia 18.01.18 o godzinie 07:09
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Radosław Z.:
Nie wiem czy ktoś bierze to pod uwagę. Być może takowi się znajdą, także wśród prawników. Obawiam się jednak, że takie działanie/podejście nie będzie miało nic wspólnego z ochroną danych osobowych wg. rodo.

Ale dlaczego? Ważne, bym potrafił realnie wykazać kto ma dostęp do jakich danych. Upoważnienia mi tego i tak nie zagwarantują, są tylko papierem, który wiele zniesie.

Przy braku obowiązku prowadzenia dokumentacji pisemnej, jeżeli potrafię w inny sposób wykazać komu jakie uprawnienia zostały przydzielone, upoważnienia uważam za przerost formy nad treścią. Nie na tym polega ochrona danych. UODO i nasze rozporządzenie wprowadzało wiele formalizmów, na które administratorzy danych narzekali. RODO miało to zmienić.

A jak widzę, to obecni ABI dążą do utrzymania w praktyce tych samych albo podobnych formalizmów, jak mieliśmy do tej pory. Jeżeli będę w komputerze miał aktualną listę osób z odnotowanymi tam zakresami dostępu do danych, datami nadania i odebrania, to upoważnień nie potrzebuję, a wręcz są nadmiarowym obciążeniem.

Hasła też będziecie zmieniać nadal co miesiąc? Każdy bezpiecznik wam powie, że to za często.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Daniel W.:
Odpowiedź odnosiła się do Twojego "wystawiania jakichkolwiek upoważnień", co sugeruje brak jakichkolwiek upoważnień (nadanie uprawnień do czegoś). W poniższej polemice stwierdzasz jednak, że:
potrafię w inny sposób wykazać komu jakie uprawnienia zostały przydzielone, upoważnienia uważam za przerost formy nad treścią.
zdecyduj się, czy potępiasz w ogólności formułę upoważnień, czy błędnie sformułowałeś pytanie.

Rodo wielokrotnie posługuje się zwrotem "upoważnienie". W większości przypadków bez dookreślenie w jakiej formie ma to być realizowane (podobnie art.37 uodo).

ps.
Mogę się domyślać, że chodziło Tobie o pisemne upoważnienia. Jednak pytanie odnosiło się do "jakichkolwiek" sąd odpowiedź taka, a nie inna.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Daniel W.:
Ważne, bym potrafił realnie wykazać kto ma dostęp do jakich danych.
Moim zdaniem to za mało. Powinieneś jeszcze wykazać, że każda osoba dopuszczona do procesów przetwarzania bez wątpienia ma wiedzę, jaki jest zakres jej upoważnienia. Przecież upoważnienie nie jest do wszystkiego, czy też do czegokolwiek. Jest upoważnieniem do określonego zakresu danych lub w określonym celu przetwarzania.

Załóżmy, że dwóch pracowników (X,Y) ma dostęp do tych samych danych, ale każdy z nich w różnych celach (odpowiednio (A,B). Jak - mając wszystko "na gębę" - dołożysz staranności, aby pracownik X nie wykorzystał danych w celu B, a pracownik Y w celu A? Jeżeli to już się stanie, jak udowodnisz pracownikowi, że przekroczył zakres swojego upoważnienia?
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Daniel W.:
A nikt nie bierze pod uwagę, że nie trzeba będzie już wystawiać jakichkolwiek upoważnień do dostępu do danych po 25 maja?

Na forum ADO/ABI 28.11.2017 dr Grzegorz Sibiga miał wystąpienie pt. Upoważnienie do przetwarzania danych osobowych na gruncie RODO – czy i w jakim zakresie obowiązek pozostaje?
Mam nadzieję, że się nie będzie miał do mnie pretensji, że powołam się tutaj na jego opinię.

Wg interpretacji zaprezentowanej przez dr Sibigę, po 24.05.2018 upoważnienia w dalszym ciągu powinny być stosowane.
Uzasadnieniem (w skrócie) był fakt, że przepisy i normy w różnych miejscach odnoszą się do osób upoważnionych/nieupoważnionych, a więc należy mieć jakiś system, który zapewnia, że administrator i inne osoby dopuszczone przez niego do przetwarzania danych lub odpowiadające za ich ochronę rozróżniają upoważnionych od nieupoważnionych. Dodając do tego wymóg rozliczalności (w rozumieniu RODO, a więc jako wymóg, który w dużej mierze polega na obowiązku właściwego dokumentowania ochrony danych osobowych), stosowanie upoważnień jest wysoce wskazane.

W związku z powyższym uważam (to już moja własna opinia), że z upoważnień można może zrezygnować w małych organizacjach, gdzie w zasadzie wszyscy mają dostęp do wszystkich przetwarzanych danych osobowych. W pozostałych przypadkach upoważnienia dalej pozostają (jeżeli nie jako obowiązek prawny, to co najmniej jako dobra praktyka).
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Marek P.:
z upoważnień można może zrezygnować w małych organizacjach, gdzie w zasadzie wszyscy mają dostęp do wszystkich przetwarzanych danych osobowych. W pozostałych przypadkach upoważnienia dalej pozostają (jeżeli nie jako obowiązek prawny, to co najmniej jako dobra praktyka).
Podzielam ten pogląd.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

A ja nie ;-) (Choć Paweł, jak się wczytasz to identycznie, bo w podejściu tym komórka jest jakby mikroprzedsiębiorstwem)

Testuję rozwiązanie w którym w regulaminie organizacyjnym każda komórka ma dodany zakres przetwarzanych danych, a w procedurach wprowadzenia do pracy jest informacja o zakresie zadań komórki i osoby (zakres wynika z zakresu działań komórki organizacyjnej).

W tajemnicy powiem (prawie), że jest to też zabezpieczenie z punktu widzenia organizacyjnego. Z wielu lat doświadczenia wyniosłem to, że w po jakimś czasie niektóre komórki z nazwijmy to delikatnie bardziej.... wygadanymi szefami, bliżej zaprzyjaźnieni z wodzem naczelnym pomału i po cichu oddawały niefajne zadania, zabierając fajne. A potem ból głowy audytora (niezależnie jakiego obszaru) bo okazuje się, że w regulaminie czy strukturze ktoś za coś odpowiedzialny, ale robi Antek z innego działu bo tak... (Antka np. trzeba było dojechać).

Szef na razie klepnął akceptację. I podoba mu się, że upoważnienia są rozliczalne na poziomie działu. W przypadku projektów identycznie - zespół projektowy ma szefa. Ten ma uzgodnić z wodzem naczelnym, co im jest potrzebne.

Na podstawie informacji z regulaminu organizacyjnego i opisu projektu ( i zespołu) są ustawiane ACL do systemów IT i to jest głównie sprawdzane w audycie.

Daty obowiązywania upoważnienia są zgodne z "obiegówkami" - wejścia-wyjścia.
Dla nieszablonowych dostępów rejestracja IT, zgodnie z mailem, z datami. W dostępie zwykłym wydanie akt czy zapoznanie na kwit (analogia do niejawnych).

PS przeżyłem wydanie 640 upoważnień w 3 kopiach w ciągu 3 dni. I po 238 (około) podpisie uznałem, że to debilizm czystej wody. Zakres dokładnie identyczny, tylko czas się zmienia. Plus jeszcze bardziej ciekawe zapisy na niektórych upoważnienia - obowiązuje na czas zatrudnienia na stanowisku XYZ. To po co, skoro czas zatrudnienia na stanowisku XYZ jest rejestrowany w aktach osobowych.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Grzegorz K.:
Na podstawie informacji z regulaminu organizacyjnego i opisu projektu ( i zespołu) są ustawiane ACL do systemów IT
Czyli stosujesz upoważnienia ;)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Upoważnienia do przetwarzania danych osobowych po RODO

Tak, ale nie indywidualne. Maska grupy.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj