Temat: Upoważnienia do przetwarzania danych osobowych po RODO
A ja nie ;-) (Choć Paweł, jak się wczytasz to identycznie, bo w podejściu tym komórka jest jakby mikroprzedsiębiorstwem)
Testuję rozwiązanie w którym w regulaminie organizacyjnym każda komórka ma dodany zakres przetwarzanych danych, a w procedurach wprowadzenia do pracy jest informacja o zakresie zadań komórki i osoby (zakres wynika z zakresu działań komórki organizacyjnej).
W tajemnicy powiem (prawie), że jest to też zabezpieczenie z punktu widzenia organizacyjnego. Z wielu lat doświadczenia wyniosłem to, że w po jakimś czasie niektóre komórki z nazwijmy to delikatnie bardziej.... wygadanymi szefami, bliżej zaprzyjaźnieni z wodzem naczelnym pomału i po cichu oddawały niefajne zadania, zabierając fajne. A potem ból głowy audytora (niezależnie jakiego obszaru) bo okazuje się, że w regulaminie czy strukturze ktoś za coś odpowiedzialny, ale robi Antek z innego działu bo tak... (Antka np. trzeba było dojechać).
Szef na razie klepnął akceptację. I podoba mu się, że upoważnienia są rozliczalne na poziomie działu. W przypadku projektów identycznie - zespół projektowy ma szefa. Ten ma uzgodnić z wodzem naczelnym, co im jest potrzebne.
Na podstawie informacji z regulaminu organizacyjnego i opisu projektu ( i zespołu) są ustawiane ACL do systemów IT i to jest głównie sprawdzane w audycie.
Daty obowiązywania upoważnienia są zgodne z "obiegówkami" - wejścia-wyjścia.
Dla nieszablonowych dostępów rejestracja IT, zgodnie z mailem, z datami. W dostępie zwykłym wydanie akt czy zapoznanie na kwit (analogia do niejawnych).
PS przeżyłem wydanie 640 upoważnień w 3 kopiach w ciągu 3 dni. I po 238 (około) podpisie uznałem, że to debilizm czystej wody. Zakres dokładnie identyczny, tylko czas się zmienia. Plus jeszcze bardziej ciekawe zapisy na niektórych upoważnienia - obowiązuje na czas zatrudnienia na stanowisku XYZ. To po co, skoro czas zatrudnienia na stanowisku XYZ jest rejestrowany w aktach osobowych.