GoldenLine
Zaloguj się
Marcin Szydłowski

Marcin Szydłowski ABI, Audytor wiodący
ISO 27001

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

Pytanie banalne: jak poprawnie sprecyzować zakres takiego upoważnienia ?
Link do wypowiedziLink
Bronisław Kowalski

Bronisław Kowalski Niezależny
konsultant biznesu

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

Wcale nie takie banalne...
Można zapytać szerzej - jak rozumieć zakresy w przypadku upoważnień?

Czy "imię, nazwisko, adres..." czy może " wgląd, edycja, usuwanie, dodawanie"

BK
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

A co mogą robić?
Link do wypowiedziLink
Marcin Szydłowski

Marcin Szydłowski ABI, Audytor wiodący
ISO 27001

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

Wydając upoważnienie pracownikowi wskazuję konkretny zbiór DO, natomiast audy(i)torzy wykonują swoje obowiązki na podstawie planu audy(i)tów a ich zakres jest bardzo szeroki. Zastanawiam się czy nie będzie błędem jeśli zakres upoważnienia dla audy(i)torów będzie bardziej uniwersalny np.

do przetwarzania DO zgodnie z planem audy(i)tów ?

co o tym myślicie ?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

To zwrócę uwagę na jedną rzecz. Audytorzy - widzę że piszesz przez "i" a więc domyślam się, że chodzi o ISO 9001, sprawdzają system - prawda? Pytanie, w jakim zakresie, szerszym niż ich praca nazwijmy to podstawowa, powinni przetwarzać dane osobowe?

Może warto iść w kierunku podejścia w którym opisywany jest proces? I danych osobowych w raporcie, poza audytorem (jego danymi) nie ma żadnych?

Na początku moje raporty "ociekały" nazwiskami, ale po pewnym czasie zastanowiłem się, po co? Przecież jeśli jest niezgodność, czy potencjał (obserwacja), to nie jest to coś, co dotyczy konkretnego pracownika, tylko sposobu realizacji jakiejś czynności.

PS - jeśli ISO 27001 - poprawną formą jest audyt i audytor ;-) Jest uwaga na jednej z pierwszych stron normy.
Link do wypowiedziLink
Marcin Szydłowski

Marcin Szydłowski ABI, Audytor wiodący
ISO 27001

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

Tak chodzi o ISO 9001, specjalnie piszę audy(i)torzy ponieważ jest to określenie zamiennie stosowane w mojej instytucji.
Zwracasz uwagę na to, że "twoje raporty ociekały nazwiskami" a dziś już nie (bynajmniej tak wynika z twojego zdania), ale to że w raportach nie posługujesz się już nazwiskami to nie znaczy że nie przetwarzasz DO podczas auditów, w mojej opinii powinieneś posiadać stosowne upoważnienie.
Zadam więc jeszcze raz pytanie do jakiego zakresu powinni mieć upoważnienie audy(i)torzy ?
Link do wypowiedziLink
Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

A może umowa powierzenia z firmą audytową (audyt z Ustawy o finansach publicznych - Uofp), z oznaczeniem czasu powierzenia (do zakończenia audytu, monitorowania wykonania zaleceń poaudytowych, itd,) a do tego upoważnienia dla audytorów na zakres: ODCZYT danych z dokumentacji wskazanej w programie audytu (np próby badawczej...). Nadto, w przypadku audytu zewnętrznego zgodnego z Uofp akta stanowią własność zlecającego.
Moim zdaniem nie musi to być zbiór wymieniony z nazwy. Jest to sytuacja wyjątkowa i tak też można (incydentalnie) kształtować formę upoważnienia do przetwarzania DO przez audytorów. Dane z jakimi audytor się zapoznał są ujawniane w dokumentacji jako źródło wydanej opinii - dowód na poprawność wnioskowania. Do tego są one przedkładane przez audytowanego, a więc firma wie jakie dane udostępniła. Nie traci nad nimi kontroli. Działa zasada wiedzy koniecznej.
Oczywiście, w sytuacji przymusu odwołania się do konkretnej osoby fizycznej można jej dane anonimizować, zarówno w sprawozdaniu jak i przed przedłożeniem audytorowi.
Swoją drogą jest to dobra okazja do wymiany doświadczeń :-).
Link do wypowiedziLink
Marcin Szydłowski

Marcin Szydłowski ABI, Audytor wiodący
ISO 27001

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

Muszę doprecyzować. Audy(i)torzy ISO to wyznaczeni pracownicy instytucji, w której pracuję. Więc chodzi o wewnętrzny audy(i)t.
Link do wypowiedziLink
Natalia Z.

Natalia Z. ochrona danych
osobowych

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

Wydaje mi się, że takie upoważnienie powinno być wystawiane wyłącznie na czas przeprowadzanego auditu. Jego zakres powinien być ograniczony wyłącznie do wglądu do danych zawartych w zbiorach auditowanej komórki i ustalony na podstawie planu auditów. Ewentualnie auditor przed auditem, we wniosku do ADO o nadanie upoważnienia/uprawnienia konkretnie wskazuje do jakich danych/ dokumentów będzie mu potrzebny dostęp i na takiej podstawie ADO/ABI formułuje upoważnienie.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

No więc jeszcze raz. Jakie DODATKOWE dane przetwarza audytor w trakcie audytu? W odniesieniu do tego, co ma w swojej podstawowej pracy?
Link do wypowiedziLink
Tomasz Fibingier

Tomasz Fibingier Inspektor Ochrony
Danych + IT

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

Właściwie chyba trudno to z góry sprecyzować i zależy od audytu i organizacji zbiorów d.o. w firmie.

Przykładowo - zabezpieczenia fizyczne - prosi o okazanie listy osób uprawnionych do pobierania kluczy - lista zawiera dane pracowników/współpracowników, weryfikacja umów handlowych - kontrahenci, wgląd od aplikacji przetwarzającej dane, rejestr upoważnień do przetw. d.o., sprawdzenie wymogu rozp. odnotowania informacji o osobie wprowadzającej/modyfikującej dane osobowe.
Ja bym tego nie rozpatrywał w kategorii tego czy w raporcie z audytu są wskazane imiennie osoby lub zrzuty zawierają dane pozwalające zidentyfikować, ale raczej z tym że w trakcie audytu i zbierania dowodów audytor ma/(może) mieć dostęp do dokumentów czy systemów /aplikacji przetwarzających dane osobowe więc trzeba upoważnić do przetw. d.o.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

Nadal na moje pytanie nie ma odpowiedzi.

Audytor wewnętrzny jest pracownikiem firmy. W związku z tym w wielu przypadkach ma już dostęp do danych osobowych związany z wykonywaniem zadań nazwijmy to "podstawowych". Jeśli zostanie dodany jeszcze do jednego lub dwóch zespołów to nagle może się okazać, ze jeden człowiek ma 5 upoważnień, które zawierają podobne zakresy, czy zbiory.

Pytanie, czy takie podejście jest właściwe?

Albo podejście drugie - na każdy audyt. W ramach programu np. będzie w roku wykonywał audyty 5 procesów. Ma dostać kolejne 5 upoważnień? (5 już ma z zespołów zadaniowych).

Dlatego pytanie brzmi - co audytor robi dodatkowo. I propozycja - uzupełnić jego aktualny zakres o różnice. Jednym upoważnieniem. Co powoduje, że odchodzimy w sumie od pytania - upoważnienia dla audytora, bo jest to po prostu upoważnienie do przetwarzania danych dla pracownika, na wszystkie funkcje jakie wykonuje.

W innym przypadku będzie ciężko zapanować nad tym.
Link do wypowiedziLink
Marcin Szydłowski

Marcin Szydłowski ABI, Audytor wiodący
ISO 27001

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

Tomasz F.:
Właściwie chyba trudno to z góry sprecyzować i zależy od audytu i organizacji zbiorów d.o. w firmie.

Przykładowo - zabezpieczenia fizyczne - prosi o okazanie listy osób uprawnionych do pobierania kluczy - lista zawiera dane pracowników/współpracowników, weryfikacja umów handlowych - kontrahenci, wgląd od aplikacji przetwarzającej dane, rejestr upoważnień do przetw. d.o., sprawdzenie wymogu rozp. odnotowania informacji o osobie wprowadzającej/modyfikującej dane osobowe.
Ja bym tego nie rozpatrywał w kategorii tego czy w raporcie z audytu są wskazane imiennie osoby lub zrzuty zawierają dane pozwalające zidentyfikować, ale raczej z tym że w trakcie audytu i zbierania dowodów audytor ma/(może) mieć dostęp do dokumentów czy systemów /aplikacji przetwarzających dane osobowe więc trzeba upoważnić do przetw. d.o.

Zgadzam się
Link do wypowiedziLink
Marcin Szydłowski

Marcin Szydłowski ABI, Audytor wiodący
ISO 27001

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

Grzegorz K.:
Nadal na moje pytanie nie ma odpowiedzi.

Audytor wewnętrzny jest pracownikiem firmy. W związku z tym w wielu przypadkach ma już dostęp do danych osobowych związany z wykonywaniem zadań nazwijmy to "podstawowych". Jeśli zostanie dodany jeszcze do jednego lub dwóch zespołów to nagle może się okazać, ze jeden człowiek ma 5 upoważnień, które zawierają podobne zakresy, czy zbiory.

Pytanie, czy takie podejście jest właściwe?

Albo podejście drugie - na każdy audyt. W ramach programu np. będzie w roku wykonywał audyty 5 procesów. Ma dostać kolejne 5 upoważnień? (5 już ma z zespołów zadaniowych).

Dlatego pytanie brzmi - co audytor robi dodatkowo. I propozycja - uzupełnić jego aktualny zakres o różnice. Jednym upoważnieniem. Co powoduje, że odchodzimy w sumie od pytania - upoważnienia dla audytora, bo jest to po prostu upoważnienie do przetwarzania danych dla pracownika, na wszystkie funkcje jakie wykonuje.

W innym przypadku będzie ciężko zapanować nad tym.

Audytor wykonuje "sprawdzenia" poprawności wykonywania działań w poszczególnych komórkach organizacyjnych, pod kątem zgodności zdefiniowanych procedur. W tym przypadku może mieć do czynienia z D.O. do których jako pracownik innego wydziału, nie jest upoważniony dlatego tak jak mój przedmówca zaznaczył, powinien mieć stosowne upoważnienie. Ja zastosowałem dość ogólną definicję zakresu " do przetwarzania D.O. zgodnie z planem audytu". A to tylko dlatego, żeby co dwa tygodnie nie zmieniać upoważnień.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

Kiedyś na jednej kontroli inspektor wykazał jako nieprawidłowość tego typu określenie zakresu dostępu. Bo równie dobrze można każdemu pracownikowi napisać dokładnie takie samo upoważnienie - a szukać zakresu upoważnienia w zakresie obowiązków.

W omawianym przypadku - żeby odnaleźć do czego tak naprawdę jest upoważniony Wasz audytor wewnętrzny, należy przeprowadzić małe "dochodzenie"
1. Znaleźć upoważnienie audytora
2. W dokumentach kadrowych/systemowych - znaleźć czy jest audytorem
3. Odnaleźć plan audytów.

Nie jestem przekonany, czy tego typu rozwiązanie jest prawidłowe. Ponieważ w planie audytów powinno być wtedy wskazanie - do jakich zbiorów i w jakim zakresie audytor ma dostęp realizując audyt konkretnego procesu (zakładając, że plan, czy program jest do procesów, a nie ogólnie). To po pierwsze. A po drugie - upoważnienie jest dokumentem indywidualnym, a nie zbiorowym. Więc nie jestem pewien co do prawidłowości praktyki upoważniania niejako "zbiorowo" na zasadzie odwołania się do innego dokumentu - planu audytów.
Link do wypowiedziLink
Marcin Szydłowski

Marcin Szydłowski ABI, Audytor wiodący
ISO 27001

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

Czyli jeśli dobrze zrozumiałem, rozwiązania mogą być dwa:
1. Przy okazji każdego audytu wystawiać nowe upoważnienie.
2. W planie audytu wskazać zakres przetwarzanych danych.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Upoważnienia do przetwarzania DO dla wewnętrznych...

Ad 1
Nie - dlaczego. Program czy plan audytów macie zapewne stały na rok. Audytorzy wewnętrzni jak domyślam się mogą audytować każdy obszar, w związku z tym na podstawie planu/programu audytów określiłbym do jakich zbiorów mogą mieć dostęp - zakładam, że odczyt i nic więcej. Ale ogólnie stale - nawet nie na rok, bo przecież audyt systemów to taka ciągłość nieco.

I na tej podstawie zmodyfikowałbym indywidualne upoważnienia. Do odwołania w momencie zaprzestania funkcji audytora.

Tak jak pisałem - upoważnienie jest dokumentem indywidualnym, nie zbiorowym. To tak AD 2.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj