GoldenLine
Zaloguj się
Kamila D.

Kamila D. Specjalista, Urząd

Temat: zbiory danych

Witam moich jedynych i niepowtarzalnych expertów :-) Wiem, wiem, że najlepiej to byście mnie zastrzelili za te moje pytania, ale cóż... tu jestem bezpieczna :-)

A więc mój kolejny problem, to zbiór danych i trochę się tu rozpiszę, bo jak się okazało to jakiś dramat jest. Mianowicie zbiory w tej instytucji zostały zgłoszone do rejestracji 10 lat temu i przez ten czas nie były dodawane, likwidowane, ani aktualizowane... Stan na dziś 11 zbiorów danych (o matko). Niby taki łatwy temat i w zasadzie rozumiem definicję zbioru (chyba), ale w zderzeniu z realem już nie jest tak pięknie :-(.

1. Zatem zacznę od pierwszego zbioru (nie będę opisywać wszystkich :-)
Rejestr korespondencji - system działający w całym urzędzie, do którego mają dostęp wszyscy pracownicy. Rejestrowane są w nim pisma przychodzące i wychodzące, skanowane i dekretowane na poszczególnych pracowników. Ci pracownicy zakładają sprawę i zajmują się dalej tym pismem... Więc znana nam jest struktura zbioru, cel przetwarzania (rejestracja korespondencji przychodzącej i wychodzącej oraz przetwarzanie jest niezbedne do zrealizowania uprawnień... + wymienione ustawy. Zbiór rozporoszny, wersja papierowa i elektroniczna.

2. Następny zbiór to Rejestr wydanych decyzji na budowę oraz pozwoleń wodnograwnych - tylko że my nie wydajemy żadnych decyzji, a je otrzymujemy i tu się zaczynają schody, bo:
2.1. otrzymujemy decyzję np. na budowę, czy pozwolenie wodnoprawne, w które są zamieszczone dane osobowe osób fizycznych (właścicieli działek) imię i nazwisko i adres zamieszkania, ta decyzja publikowana jest na stronie urzędu wydającego jako obwieszczenie i te dane są w pełni dostępne - na jakiej podstawie tak można?
2.2. Czy my otrzymując tą decyzję (rejestrujemy ją w rejestrze korespondencji) stajemy się ADO tych danych i powinniśmy poinformować o tym te osoby?
2.3. Decyzja jest scanowana i przechowywana na jakimś wspólnym dysku, następnie jest wydawana do konkretnego zadania inwestycyjnego i jest załącznikiem do dokumentacji przetargowej. Każda decyzja jest w innej teczce przetargowej - czy to jest zbiór, który powinien być zarejestrowany?
2.4. Kolejny temat, to te decyzje są udostępniane na stronie w ogłoszeniu o przetargu w dokumentacji przetargowej i czy my powinniśmy zakrywać te dane osobowe (które i tak już były upublicznione przez inny organ)?
2.5. Żeby odpowiedni organ wydał nam decyzję, to my składamy wniosek z całym wykazem właścicieli działek (osób fizycznych), czy to powinien być zbiór? czy podlega pod decyzje? czy my jesteśmy administratorem danych?

A może jednak nie rozumiem kiedy jest zbiór danych... bo czy zbiorem są dokumenty, w których m.in. zawarte są dane osobowe, ale nie są kluczowyą wartością dokumentu i czy jeżeli są zarejestrowane w rejestrze korespondencji, a później rozdzielane na odrębne dokuemntacje, to czy to też jest odrębny zbiór... achTen post został edytowany przez Autora dnia 25.11.15 o godzinie 13:58
Link do wypowiedziLink

konto usunięte

Temat: zbiory danych

Kamila kiedy ostatnio był u Was robiony audyt? Wiesz co to są KRI?

Jeśli chodzi o zbiory danych to prosta zasada, której polecam się trzymać:

1 zbiór danych = 1 cel przetwarzania (jeżeli cel jest taki sam, ale realizowany w różnych systemach to i tak jest to jeden zbiór). Jednocześnie każdy zbiór powinien mieć podstawę prawną. Mogą nią być przepisy prawa - one mogą też wyznaczać wspólny cel. Pogrupuj sobie czy nie masz przypadkiem tej samej podstawy prawnej dla kilku zbiorów i de facto tego samego celu przetwarzania.

Tak z ciekawości. Jesteś powołana na ABI?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: zbiory danych

Beata ma świętą rację, ale ja bardziej szczegółowo.
Kamila D.:
Rejestr korespondencji - system działający w całym urzędzie, do którego mają dostęp wszyscy pracownicy.

Mam nadzieję jednak, że każdy ma dostęp tylko do dokumentów sprawy, którą załatwia ;)
Rejestrowane są w nim pisma przychodzące i wychodzące, skanowane i dekretowane na poszczególnych pracowników. Ci pracownicy zakładają sprawę i zajmują się dalej tym pismem... Więc znana nam jest struktura zbioru, cel przetwarzania (rejestracja korespondencji przychodzącej i wychodzącej oraz przetwarzanie jest niezbedne do zrealizowania uprawnień... + wymienione ustawy. Zbiór rozporoszny, wersja papierowa i elektroniczna.

Wg mnie ok.
2.1. otrzymujemy decyzję np. na budowę, czy pozwolenie wodnoprawne, w które są zamieszczone dane osobowe osób fizycznych (właścicieli działek) imię i nazwisko i adres zamieszkania, ta decyzja publikowana jest na stronie urzędu wydającego jako obwieszczenie i te dane są w pełni dostępne - na jakiej podstawie tak można?

Trudno powiedzieć, nie znając nazwy ustawy, w ramach której się to odbywa.
2.2. Czy my otrzymując tą decyzję (rejestrujemy ją w rejestrze korespondencji) stajemy się ADO tych danych i powinniśmy poinformować o tym te osoby?

Tak, stajecie się ADO. Informować pewnie nie (art. 25 ust. 2 pkt 5 uodo).
2.3. Decyzja jest skanowana i przechowywana na jakimś wspólnym dysku, następnie jest wydawana do konkretnego zadania inwestycyjnego i jest załącznikiem do dokumentacji przetargowej. Każda decyzja jest w innej teczce przetargowej - czy to jest zbiór, który powinien być zarejestrowany?

Jaka jest podstawa prawna do tego?
2.4. Kolejny temat, to te decyzje są udostępniane na stronie w ogłoszeniu o przetargu w dokumentacji przetargowej i czy my powinniśmy zakrywać te dane osobowe (które i tak już były upublicznione przez inny organ)?

Patrz wyżej.
2.5. Żeby odpowiedni organ wydał nam decyzję, to my składamy wniosek z całym wykazem właścicieli działek (osób fizycznych), czy to powinien być zbiór?

Patrz wyżej.
A może jednak nie rozumiem kiedy jest zbiór danych

Tu po Beacie nie mam nic do dodania.
Link do wypowiedziLink
Kamila D.

Kamila D. Specjalista, Urząd

Temat: zbiory danych

Nie, nie jestem ABI, ale mam ogarnąć temat... i jestem świadoma braków moich i urzędu. Próbuję zapoznać się z tematem na własną rękę stąd te pytania, dla Was Expertów idioteczne, a dla mnie istotne. Szczerze zazdroszczę obycia w temacie i Waszej wiedzy i jednocześnie jestem wdzięczna, że działacie tutaj. Niesamowite jest, że nie komentujecie, nie krytykujecie, nie linczujecie tylko jest pytanie - jest odpowiedź. Dziękuję :-)

KRI - Krajowe Ramy Interoperacyjności? Ale nie jest to u nas stosowane. Czy to jest bezwzględnie konieczne? Mój Urząd nie świadczy takich usług, które wymagają pobierania dokumentów na stronie urzędu, rejestracji obywateli, czy innych korzyści dla obywateli w kontaktach z Urzędem poprzez internet. Strona jest tylko informacyjna.

Tak, każdy pracownik ma dostęp do swojej sprawy.

Przeprowadzam inwentaryzację zbiorów, bo wg. mnie są nieprawidłowo zgłoszone
Każdy zgłoszony zbiór ma jeden cel: Dopełnienie obowiązków określonych w przepisach prawa oraz statutowych.
Podstawa prawna u większości ta sama: przedstawianie jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa i ustawy: Prawo wodne, o gospodarce nieruchomościami, o planowaniu i zagospodarowaniu przestrzennym.

A czy powinien być zbiór dotyczący zamówień publicznych?Ten post został edytowany przez Autora dnia 26.11.15 o godzinie 08:44
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: zbiory danych

Nie ma idiotycznych pytań, Kamilo. Każdy z nas musiał przejść tą samą drogę ;)

Bez wykazu konkretnych zbiorów i odnoszących do nich celów i podstaw nie możemy określić, czy konkretny zbiór został prawidłowo zgłoszony. Podstawy mogą się powtarzać w różnych zbiorach, cele również.
Beata M.:
1 zbiór danych = 1 cel przetwarzania (jeżeli cel jest taki sam, ale realizowany w różnych systemach to i tak jest to jeden zbiór).

Zgadzam się z tobą, jednak ja bym tak tego nie uogólniał, ponieważ nie zawsze jest to takie proste, ale w sporej liczbie przypadków można połączyć dane w jeden zbiór.
Kamila Dz.:
A czy powinien być zbiór dotyczący zamówień publicznych?

Zamówienia są jawne, wobec czego nie ma obowiązku rejestracji zbioru.

Tak przy okazji Kamilo - słyszeliście o esp?
Link do wypowiedziLink
Kamila D.

Kamila D. Specjalista, Urząd

Temat: zbiory danych

Nie, co to jest esp?Ten post został edytowany przez Autora dnia 26.11.15 o godzinie 11:30
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: zbiory danych

To akurat nie z odo. Esp - elektroniczna skrzynka podawcza. Powszechnie znana jako ePUAP
Link do wypowiedziLink
Kamila D.

Kamila D. Specjalista, Urząd

Temat: zbiory danych

Nie, nie korzystamy. My oprócz zakładki z zamówieniami publicznymi nie świadczymi przez internet żadnych innych usług.
Link do wypowiedziLink
Kamila D.

Kamila D. Specjalista, Urząd

Temat: zbiory danych

1. Nurtuje mnie cały czas kwestia decyzji, które otrzymujemy (opisane powyżej), czy aby na pewno to jest zbiór? Bo przecież istotną kwestią w tym dokumencie jest zgoda/pozwolenie na budową, jest to dokument jawny zamieszczany na stronie organu wydającego i na tablicy. My go otrzymujemy w odpowiedzi na złozony wniosek, a przy okazji do wiadomości osób fizycznych. Decyzja wydawana jest na podstawie ustawy o szczególnych zasadach przygotowania i realizacji inwestycji w zakresie budowli przeciwpowodziowych, o gospodarce nieruchomościami, kodeks postępowania dministracyjnego.

problemem jest to, że nie ma określonych kryteriów wyszukiwania w decyzjach osób fizycznych.

2. Czy zbiorem nie powinny być wnioski, które składamy do organu wydającego pozwolenie, w którym podajemy właścicieli działek? Informację o właścicielach działek dostajemy od projektanta (wybranego na podstawie przetargu) lub z ośrodka geodezyjnego/katastru. W większości wnioski składa projektant na podstawie naszego pełnomocnictwa. Podstawa prawna jest na podstawie ustawy o szczególnych zasadach przygotowania i realizacji inwestycji w zakresie budowli przeciwpowodziowych, kodeks postępowania dministracyjnego.

3. tzn., że jeżeli dokument zawiera dane osobowe, ale nie są one jakby istotą dokumentu, to też to się kwalifikuje do przetwarzania danych osobowych i założenia zbioru?

4. Czy my jesteśmy ADO w przypadku decyzji i wniosku?

5. Czy cel w tych zbiorach: dopełnienie obowiązków określonych w przepisach prawa oraz statutowych jest ok, czy powinien być bardziej doprecyzowany?Ten post został edytowany przez Autora dnia 26.11.15 o godzinie 11:54
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: zbiory danych

Kamila D.:
Nie, nie korzystamy.

Ale macie obowiązek.
Kamila D.:
My oprócz zakładki z zamówieniami publicznymi nie świadczymi przez internet żadnych innych usług.

Świadczycie. Musicie mieć BIP. Musicie mieć ePUAP. Musicie mieć system poczty elektronicznej. Macie też pewnie stronę WWW.

Tak więc musicie spełniać wymagania KRI.Ten post został edytowany przez Autora dnia 26.11.15 o godzinie 16:49
Link do wypowiedziLink
Marta Zawieracz

Marta Zawieracz CISA, IOD

Temat: zbiory danych

KRI obowiązuje wszystkie podmioty realizujące zadania publiczne, czyli z założenia obstawiam w ciemno, że każdy urząd to obejmuje. Lektura do poczytania: ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Szczególnie par. 20 dotyczący bezpieczeństwa informacji.
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: zbiory danych

Kamilo, podejrzewam, że mylisz nieco pojęcia, albo nie do końca ogarniasz temat zbioru danych.

Przez zbiór danych rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie

Wypisze może, żeby nieco rozjaśnić:

Spis (przykładowo)decyzji wg osób których dotyczą:
[Nr decyzji][imię][nazwisko][ulica][...][Decyzja]
1234/2016 Jan Kowalski ul. Uliczna 1 [...] Przyznanie
1235/2016 Anna Kowalska ul. Uliczna 2 [...] Odmowa
[...]

Pola i ich ilość pewnie będzie inna, ale zasada taka sama. Wyszukać w zbiorze można po numerze, nazwisku itp niekoniecznie gdy jest zapisane w systemie informatycznym, ale np również w spisie spraw dokumentów papierowych 'ręcznie'.

Kwestią jest czy dany zbiór należy wykazywać w rejestrze ABI/rejestrować w GIODO. Zapoznaj się z art 43 UODO, tam masz o zwolnieniach z rejestracji zbiorów danych, m.in. 1. 9) "powszechnie dostępnych". (O ile dobrze pamiętam, ty nie jesteś ABI?) Zapoznaj się też z art 2-5.
Link do wypowiedziLink
Krzysztof Kranc

Krzysztof Kranc OCHRONA DANYCH I
DORADZTWO
GOSPODARCZE

Temat: zbiory danych

Poczytałem co piszecie i cieszę się, że można liczyć na życzliwość i pomoc. Od ponad roku zmagam się z ODO, od jakiegoś czasu też jako ABI i ... mam wrażenie, że wciąż jestem na początku. W JST jest tylko nieco mniejszy bałagan niż w podmiotach prywatnych, choć może jest odwrotnie, bo prywatni z reguły nie mają nic i przez to bywa łatwiej, niż odkręcać nieaktualizowane "starocie". Rozumiem koleżankę Kamilę, bo sam też mam wiele wątpliwości. Zbiory ... no jest definicja i niby precyzyjna, ale każdy może według własnego uznania kształtować jedynie słuszne podejście do tematu. Wobec tak szerokiego pola do popisu łatwo można się zgubić, szczególnie jak się chce, jak ja, jakoś temat usystematyzować. Wykombinowałem, że wobec zalewu różnych pomysłów na tworzenie zbiorów i radosnej twórczości w tym zakresie przez wszelakich dyrektorów, kierowników, naczelników, dobrze byłoby wypracować jakiś sensowny system, według którego w sposób przejrzysty można byłoby ustalić zasadę / politykę tworzenia zbiorów. Może zgodnie z jednolitym rzeczowym wykazem akt, czyli zadaniowo? Co myślicie? Mam jeszcze dość radykalny pomysł na stare, zgłaszane lata temu do GIODO zbiory: kasacja w związku z zaprzestaniem przetwarzania w nich danych - bo zakładam, że owszem danych nie ubędzie, ale wobec nowego definiowania ich grupowania w zbiory, powstaną nowe zbiory, czyli w starych już ich nie będę przetwarzał. Przejdzie w GIODO?
Link do wypowiedziLink
Krzysztof Kranc

Krzysztof Kranc OCHRONA DANYCH I
DORADZTWO
GOSPODARCZE

Temat: zbiory danych

I jeszcze jedna kwestia - może ktoś będzie w stanie to rozgryźć: w polityce bezpieczeństwa należy określić obszar przetwarzania danych, czy jeśli jednostka korzysta z obsługi administracyjnej w outsourcingu (obsługa księgowa, płace, zus realizowana przez inny podmiot) to należy w wykazie wskazywać pomieszczenia procesora, jak własne. Moim skromnym zdaniem poprzestałbym na własnym obszarze jednostki, bo przecież nie koniecznie muszę / mogę wiedzieć gdzie konkretnie i czy przez cały okres przetwarzania, procesor przetwarza dla mnie powierzone mu dane. Tak samo przy wykazie zbiorów - czy wykazywać programy i pomieszczenia obcego podmiotu (procesora) skoro właściwie nawet nie bardzo mogę być tu precyzyjnym? Uważam, że ewentualnie można by tylko zamieścić przy zbiorze, który częściowo jest powierzony do przetwarzania, informacje o tym, że jest przetwarzany w innym podmiocie. Czy tak będzie prawidłowo? Procesor ma łatwiej, bo wykazuje wszystkie przetwarzane zbiory razem z tymi przetwarzanymi dla jednostki zlecającej - również jak sądzę w rejestrze zbiorów ABI. Przeczytałem wszystko, co mi weszło w łapy, z komentarzem do ustawy odo włącznie i nie znalazłem odpowiedzi w tej kwestii. Pomóżcie proszę :)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Zbiory danych osobowych




Wyślij zaproszenie do
Anuluj