пропозиції роботи
Wypowiedzi
-
Po stronie ABI leży ciężar dowodowy poinformowania, zatem dobrze byłoby mieć jakiś dowód na spełnienie tego obowiązku. Myślę, że wystarczy wiadomość e-mail z żądaniem potwierdzenia dostarczenia/odczytania do kierowników komórek organizacyjnych. Oczywiście można tez poprosić o złożenie ich podpisów na stosownym zawiadomieniu - wysłanym np wg rozdzielnika. Wszystko zależy od polityki informacyjnej w danym podmiocie :)
-
W planie sprawdzeń, a dalej w planie danego sprawdzenia, określamy:
- przedmiot sprawdzeń (zbiory / systemy informatyczne / środki techniczne i organizacyjne / dokumentację odo - to możemy sprawdzać, wszystko lub jeden rodzaj z tych elementów),
- zakres (cel) sprawdzeń: at. 23-27, art. 31-35a, 37-39a, art. 40-46, art. 47-48 (j.w. jeden, a nawet wszystkie zakresy),
- termin sprawdzenia,
- sposób i zakres dokumentowania sprawdzenia(wydruki, notatki, wyjaśnienia, kopie, zrzuty ekranu, zdjęcia).
Tyle w planie :) -
Ale miało być po chłopsku przecież, zatem Pani Joanno, plan na okres kwiecień 2016 - marzec 2017 to prawidłowa perspektywa czasowa (maksymalna - roczna). Osobiście zrobiłbym to na okres do 31.12.2016, i zaczął nowe planowanie równo z kolejnym rokiem kalendarzowym, żeby mieć spójność plan - kalendarz.
Jeśli w takim, czy innym planie, niezależnie od jego długości, założy Pani 4 sprawdzenia, to należy przeprowadzić wszystkie 4. Obawiając się o wykonanie, lepiej założyć np. tylko 2 sprawdzenia planowe i ... już :) -
Czytam i czytam .... no nie jest łatwo być ABI :) Wiele ciekawych tez i rozważań. W całej rozciągłości zgadzam się a Panem Grzegorzem Krzemińskim. Też nie rozumiem, czemu ustawodawca - może w dobrej wierze - stworzył przepisy wykonawcze, jako mało udany zlepek przecież dobrze napisanych norm, szczególnie właśnie 27001 i 19001, którymi sam się też posługuję w praktyce pracy audytora i kontrolera. W pewnym zakresie ABI faktycznie może być sędzią w swojej sprawie, a jak do tego jest informatykiem pełniącym funkcję ASI, to już szczególnie. I robi się mało bezpiecznie i słabo rzetelnie, choćby i nawet taki ABI - ASI starał się jak tylko może.
Wracając do początków dyskusji:
"Plan sprawdzeń jest przygotowywany przez administratora bezpieczeństwa informacji na okres nie krótszy niż kwartał i nie dłuższy niż rok. Plan sprawdzeń obejmuje co najmniej jedno sprawdzenie.".
Może trochę niedopowiedziane to jest i z interpretacją też, nawet literalną, można mieć problem, ale co do zasady, kwartał to 3 miesiące, a rok to dwanaście miesięcy. Księgowi wiedzą, że np. rok obrachunkowy nie musi być jednoznaczny z rokiem kalendarzowym i tu widzę rozwiązanie, Żeby nie przejmować się ewentualną rozbieżnością planujmy na okres nie krótszy niż 3 miesiące, z końcem np. na 31 marca, 30 czerwca, 30 września, czy 31 grudnia. Niezależnie od ujęcia nikt nie zarzuci nam błędu. Jedno jest pewne - planuje się na okres nie dłuższy niż rok, zatem np. od 1 lutego do 31 stycznia roku następnego, a w kontekście powyższego "wymyku" najlepiej od 01.02 do 31.12. Tak spełnimy warunek niepodważalny przez nikogo. Następne okresy planujmy na pełne lata kalendarzowe, a tak, czy inaczej będzie prawidłowo.
Plan ma zawierać co najmniej 1 sprawdzenie, a skoro plan nie może obejmować okresu dłuższego niż 1 rok, co siłą rzeczy przynajmniej raz w roku (i tu określenie kalendarzowy tak, czy inaczej pasuje) będziemy musieli przeprowadzić minimum jedno sprawdzenie planowe.
Systemy i zbiory sprawdzamy minimum raz na pięć lat, tzn., że niezależnie od nasilenia działań i rozkładu sprawdzeń, każdy system, czy zbiór musi być sprawdzony w czasie max. 5 lat od poprzedniego sprawdzenia - oczywiście można częściej - im mniejszy podmiot tym łatwiej rzecz jasna. Kontrolerzy GIODO tak właśnie będą weryfikować respektowanie tego warunku. -
W każdej organizacji informacje o wynagrodzeniach powinny być chronione i z pewnością wykaz pracowników z przypisanymi premiami (choćby tylko w procentowym ujęciu) jest nieprawidłowością. Co innego, gdy sami chwalimy się zarobkami, a co innego, gdy ktoś nas w tym wyręcza. Dane o zarobkach są danymi osobowymi zwykłymi, ale na pewno "drażliwymi". Być może źle rozumiana potrzeba zmotywowania tych nie powieszonych, albo nobilitacji tych z wykazu, była przyczyną takiego stanu rzeczy, ale zdjąłbym ta informację jak najszybciej.
-
Poczytałem, ale to mocniejszy temat, bo po informacji o obsługiwanych pacjentach można już powiedzieć kto się leczy na jakieś schorzenie, czyli do imienia i nazwiska mamy dodatkową informację, że to np. pacjent urologa (bo w przykładzie mowa o specjaliście, czyli AOS). Gdyby lista wisiała na drzwiach POZ, już nie byłoby tak drażliwie, bo z podstawowej opieki zdrowotnej korzysta każdy prędzej, czy później.
Co nie zmienia faktu, że nawet bardziej, czy mniej skuteczniej broniąc wykazów, lepiej i bezpieczniej szukać trafniejszych rozwiązań niż publiczne publikacje, chociażby po to by nie musieć później tłumaczyć swoje przesłanki.
Druga sprawa, że nawet lista osób do lekarza specjalisty powieszona na drzwiach gabinetu wciąż nie pozwala na identyfikację, chyba, że obserwator zorientowany jest co do tego, kto aktualnie wchodzi, czy wychodzi z gabinetu, co rzeczywiście nie wymaga specjalnych zabiegów detektywistycznych. -
Imię i nazwisko należą do obszernego katalogu danych zwykłych osobowych. Fenomen ustawodawczy dużo upraszcza, ale przez to uproszczenie utrudnia życie wszystkim zainteresowanym. Definicja danych ustawowych jest pojemna i przez to różnie interpretowana co powoduje, że często łatwo zbłądzić, wiem bo sam też często dopytuję mądrzejszych od siebie.
A zatem dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie i literalnie to odnosząc do przypadku imię i nazwisko jako jedyne dane nie wyczerpują tej definicji, bo nie powodują tej identyfikacji, choć uzupełnione o inne dane pewnie już jednoznacznie umożliwiałyby już jednoznaczne wskazanie danej osoby. A chronić trzeba wszelkie dane fakt. -
Działalność lecznicza ma znacznie większe i ważniejsze grzechy w zakresie ochrony danych osobowych, np. wołanie do gabinetu lekarskiego pacjentów oczekujących na swoją kolej na korytarzu! To jest problem! Siedzę i mimo woli poznaję i to właśnie jednoznacznie identyfikowanych w mojej i innych obecności poszczególnych pacjentów pięknie prezentowanych publiczności przez pielęgniarkę. To jest incydent i to powtarzalny nagminnie. Nie muszę znać nikogo ani domyślać się kto jest kim co chwilę poznaję nowe osoby i to bez wysiłku. Notoryczne nieprawne udostępnianie danych osobowych.
-
Ech, to raz już ostatni : jeśli na liście będzie Andrzej Piaseczny np., to czy to już znaczy, że to ten znany piosenkarz? Może zupełnie ktoś inny o tym samym nazwisku? Zatem nie wiadomo kto, a żeby wiedzieć na pewno to potrzeba jeszcze innych danych, np. zdjęcia. Reasumując samo imię i nazwisko nie przesadzają kogo dokładnie dotyczą zatem są niewystarczające do jednoznacznej identyfikacji konkretnej osoby i jak będą wisieć bez innych danych, to na ich samych podstawie nie uda się zidentyfikować skutecznie osoby kryjacej się pod nazwiskiem. Jaśniej już się nie da wytłumaczyć.
-
Znalazło by się sporo osób, które już z nazwiska są identyfikowalne, ale myślę, że ich raczej na wykazie nie było :) Koleżanka, która pytała i tak pewnie w międzyczasie zdjęła już listę, by "nie zawisnąć na suchej gałęzi" powieszona przez nadzwyczaj czujnych ABI :) Miłego dnia i oby starczyło Wam czasu na inne obowiązki dociekliwi Koledzy ABI. Pozdrawiam i do następnych rozważań tam kiedyś :)
-
No i przeczyta taki jegomość, że jeden, czy drugi z wymienionych są na liście i co niby dalej? Ciekawscy ustalą, że pewnie to taki,jeden i drugi, którego znaleźli w Internecie, bo innych o tym nazwisku się nie doszukali na www? Może faktycznie to Ci, których sobie poszukali, a może inni. Żeby się upewnić i tak będą musieli zapytać poszukanych, inaczej nie dowiodą, że ich identyfikacja jest prawidłowa, a zatem jednak muszą sporo zabiegać, by dowieść swojego odkrycia, a ADO od samego początku afery w żaden sposób się do tego nie przyczynia, bo przecież nie potwierdzi rewelacyjnych odkryć zapytany. Panowie, na tej zasadzie każda informacja może być potraktowana jak wystarczająca do identyfikacji osoby fizyczne, włączając splunięcie na chodnik poddane analizie i obróbce laboratoryjnej, czy innej :)
-
Dla uporządkowania. W wątku była mowa o sytuacji, w której na tablicy wiszą imiona i nazwiska osób (w domyśle - przetwarzanych przez ADO, które je powiesił).
Problemem było rozpatrzenie, czy po tych właśnie imionach i nazwiskach można zidentyfikować osoby fizyczne z wykazu - czy mogą wiszących identyfikować tzw. osoby trzecie, nieprzetwarzające danych dotyczących tych osób, a więc wszyscy Ci, którzy wiedzą o osobach z wykazu, zapoznając się z treścią wywieszoną. I w tym przypadku i dla nich właśnie samo imię, czy nazwisko nie będzie stanowiło wystarczającej informacji do jednoznacznego określenia - zidentyfikowania - konkretnej osoby z wykazu. Ewentualne domysły czytającego wykaz, czy ten widniejący tam Kowalski jest akurat tym Kowalskim, którego on zna z sąsiedztwa nie pozwalają przecież jednoznacznie potwierdzić danych tej osoby. Trzeba czegoś jeszcze, np. dociekliwości czytelnika i np. konfrontującego jego przypuszczenia pytania do samego Kowalskiego, bo ADO na pewno nie udzieli ciekawskiemu takiej informacji. A sam Kowalski może nawet nie wiedzieć, że gdzieś tam wisi i na wykazie, a nawet jeśli wie, to sam też zdecyduje, czy zaspokoić ciekawość sąsiada, czy nie - ale to już będzie jego decyzja.
To samo z numerem VIN - dysponując jedynie ciągiem znaków nie można ich przypisać do właściciela, a tym samym zidentyfikować osoby konkretnej osoby fizycznej, a ci, którzy to mogą, bo np. korzystają ze stosownych baz danych i programów, są z kolei zapewne upoważnieni do przetwarzania tych danych. Zatem też zagrożenia nie powinno żadnego być.
Tak, każą daną należy chronić, by nie doszło do nieuprawnionego udostępnienia i raz jeszcze - nie tworzyć zestawień, czy innych wykazów, jeśli są inne sposoby na dotarcie do osób, z którymi ADO ma niezałatwione tematy, ale samo wywieszenie imion i nazwisk, czy nawet (pomijając zasadność i zdrowy rozsądek) wykazu numerów VIN nie spowoduje jeszcze, że dojdzie do wycieku danych. Nie popadajmy w paranoję. -
Rzeczywiście po numerze VIN można dotrzeć do właściciela. Dane te przetwarzają wydziały komunikacji / transportu starostw powiatowych oraz stacje kontroli pojazdów. Ustawodawca traktuje dość szeroko pisząc o jakichkolwiek danych umożliwiających identyfikację osoby fizyczne, więc informacja o nr VIN, tak jak np. numer zamówienia w jakimś sklepie internetowym, może być wykorzystana do identyfikacji osoby fizycznej - w samym zbiorze VIN z reguły jest jednym z kryteriów dostępu do danych. Spróbuję temat na dniach rozebrać na szczegóły, to pochwalę się z ustaleń - proszę się przypomnieć, ale już w wiadomości do mnie, bo wątek był o czym innym. Pozdrawiam.
-
Paweł G.:
U siebie rób, jak chcesz. Do pierwszej skargi podmiotu danych. Na pewno kiedyś znajdzie się ktoś, kto cię wyleczy.
Nie przypominam sobie, by przeszliśmy na per TY Panie Pawle.
Dziękuję za radę. Koledze chyba umknęło, że nie chodzi o moją tablicę ogłoszeń :)
Oczywiście, że każdy robi jak uważa, byle by uważał jak robi i robił to zgodnie z prawem, ale dziękuję za radę.
Również życzę zdrowie i do nienapisania. -
"Art. 27. 1. Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli: ......"
"Nieprawda", że mowa o danych wrażliwych w tym miejscu ustawy?
Właśnie o tym - czyli wyłącznie o danych wrażliwych - jest mowa w art 27. Ustawodawca w żaden sposób nie odnosi się w powyższym artykule do innych, zwykłych danych.
Zapewne tablicowe imiona i nazwiska stanowią dane jakiegoś zbioru, ale czy zawierającego dane wrażliwe? Nie wiem i nie przesądzam. Brak informacji w tym względzie.
A tak w ogóle, to trudno, żeby dane osób, które są przetwarzane przez ADO nie były mu znane :) -
Art. 27.2 określa wyjątki umożliwiające przetwarzanie danych wrażliwych, którymi imiona i nazwiska z pewnością nie są.
Pracownicy ADO, czy raczej osoby przez ADO upoważnione do przetwarzania danych osobowych? Ci, pracownicy, którzy nie przetwarzają danych osobowych osób z tablicy nie będą znać tych osób, a w każdym razie znać nie powinni, bo znaczyłoby to tyle, że ochrona danych nie działa, a oni sami weszli w posiadanie danych, których znać nie powinni, czyli mamy naruszenie - incydent.
Teoretycznie zawsze może znaleźć się taki "obcy", który może domniemywać, że osoba z ogłoszenia to ktoś, kogo zna, ale czy to samo już oznacza, że zidentyfikował tą osobę? Przecież musi to móc zweryfikować, bo samo przypuszczenie jeszcze nic nie znaczy.
Tak dywagować można jeszcze długo.
Fakt, najlepiej unikać wywieszania jakichkolwiek list osobowych, jeśli informacje można przekazać zainteresowanym w jakiś inny, sensowny sposób - dotrzeć do nich bezpośrednio (telefon, e-mail, poczta tradycyjna), tak na pewno będzie bezpieczniej i zdecydowanie profesjonalnie, tym bardziej że ADO z pewnością dysponuje jeszcze innymi danymi osób, które zamieszcza na tablicy ogłoszeń. -
Nie no jasne, że nie, stąd " :) " na końcu mojej wypowiedz. ADO często, zresztą nie w złej wierze, mijają się z wymogami ustawy odo i pewnie jeszcze nie raz i długo zdarzać się będą mniejsze i większe incydenty - wszyscy się uczą, najczęściej na błędach.
-
A przykład informowania, jaki podaje kolega Tomasz, jest bardzo dobry i godny naśladowania :)
-
Pewnie, że najlepiej jest w ogóle unikać wywieszania jakichkolwiek danych osobowych, ale czasem nawet inne przepisy prawa (np. o zamówieniach publicznych) zobowiązują do wręcz precyzyjnego wskazywania konkretnych osób.
-
"Możliwość zidentyfikowania" z art. 6 ust. 2 OchrDanOsU to stan, w którym możliwe jest określenie tożsamości osoby, której ta informacja dotyczy, w sposób bezpośredni lub pośredni, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. W nauce prawa nie udzielono jasnej odpowiedzi na pytanie, kiedy informacja pozwala określić tożsamość osoby. Niewątpliwie zgodzić się trzeba ze stanowiskiem, że to, czy informacje pozwalają na identyfikację osoby, wynika z kontekstu, w jakim informacja ta występuje, a osobowy charakter nie może być z góry przypisany jakiejkolwiek kategorii danych (A. Mednis, Ochrona prawna, s. 35). Czasami bowiem podanie nazwiska, a nawet imienia i nazwiska osoby, nie pozwala na określenie tożsamości tej osoby." - fragment komentarza do uodo. Zatem KONTEKST jest istotny. Dla osoby czytającej informację na tablicy ogłoszeń imiona i nazwiska osób, bez podawania dalszych ich danych, nie stanowią informacji umożliwiającej identyfikacje kogokolwiek z wywieszonych i w tym zakresie ADO nie przekracza przepisu. Jeśli nawet zadać sobie trud poszukania kogoś z listy, to osób o identycznie brzmiącym imieniu i nazwisku znajdzie się w Polsce pewnie co najmniej kilka, zatem nie sadzę bym wprowadzał w błąd.
Dołącz do GoldenLine
Oferty pracy
Sprawdź aktualne oferty pracy
Aplikuj w łatwy sposób
Aplikuj jednym kliknięciem
