пропозиції роботи
Wypowiedzi
-
W przygotowaniu planu sprawdzeń nie jest potrzebny nawet wgląd do zbioru - wszystkie dane do określenia zakresu są dostępne na stronie GIODO lub/i w rejestrze ABI (też dostępnym).
Jeżeli chodzi o sprawdzenie, to zakresem jest zakres sprawdzenia. ABI nigdy nie ma w zakresie sprawdzenia 'poprawiania'. Nie na tym to polega. ABI zabezpiecza dowody i przedstawia sprawdzenie z zaleceniami ADO. Oczywiście w niektórych przypadkach po zabezpieczeniu należy nakazać przywrócenie określonego stanu natychmiast, w szczególności, gdy zwłoka może spowodować wyciek informacji (nie tylko danych osobowych).
Szymon, może się czepiam, ale czy nadzór nad zbiorem ma ADO czy ABI? ;) -
Z tego co rozumiem, to wpłynęło zawiadomienie o ujawnieniu salda, nie danych osobowych. Wobec tego zgodzę się z Grzegorzem, że warto byłoby się zastanowić, czy ABI powinien być w to wciągnięty. Mi to wygląda na naruszenie tajemnicy, a w takim wypadku istnieją już inne procedury niż przy sprawdzeniu.
Sprawdzenie można wykonać równocześnie jeżeli podejrzewamy, że jest prawdopodobieństwo naruszenia procedur. Uważam jednak, że nie należy mieszać tych dwóch rzeczy i umieszczać na siłę ABIego w komisji w szczególności, że tak jak Szymon napisał może on być współwinny.
@Danielu ja wolę określenie 'wyjaśnienia'. Fakt ABI ma narzędzia do tego, żeby pouczyć osobę po wykonaniu sprawdzenia lub przy drobnym incydencie, aby szybko usunęła skutki swoich działań (oczywiście po zabezpieczeniu materiału dowodowego), nadal jednak każdą decyzje podejmuje ADO. Wiadomo jednak jak czasem jest utrudniony z nim kontakt - spotkania, wyjścia itp. Wobec tego uważam, że ABI powinien korzystać ze swoich uprawnień. Oczywiście rozsądnie. -
Witam,
dlaczego Pan sądzi, że ABI ma wąski zakres wglądu do danych osobowych? Chociażby w celach dowodowych ABI kseruje, robi zrzuty ekranu itp, co sugeruje, że jest on szerszy. A jest to tylko wycinek z obowiązków, gdzie przetwarzane są dane w szerszym zakresie.
Jeżeli chodzi o zbiory danych osobowych, to wg. ustawy sprawdzeniu mają podlegać wszystkie zbiory, a nie tylko wybrane.
Kiedyś była dyskusja na forum na temat zasadności wydawania upoważnienia dla ABI.
PS
Nie słyszałem o ABI, który ma w zadaniach podglądanie ;) -
Jerzy F.:
>
Problem powstaje w sytuacji gdy coś się "wysypie", w tym wypadku potrzeba jest bardzo szybko zareagować, w celu zabezpieczenia logów, innych dowodów itp.
Czy powołanie zastępcy mija się z celem, to raczej jest do rozważenia przez firmę.
Napisałem, że mija się z celem powołanie ABI, jeżeli z-ca będzie na miejscu. Generuje to dodatkowe koszty.
Jerzy F.:
Tak jak wspominałem jeśli ktoś chce mieć bezstronne oceny to od pracownika raczej ich nie otrzyma (te zależności służbowe).
Nie zgadzam się z tym. Jeżeli ktoś jest powołany jako ABI powinien mieć wyraźnie zarysowaną granicę pomiędzy życiem osobistym a obowiązkami służbowymi oraz wyraźnie określoną zależność służbową.
W ustawie jest mowa o tym, że ABI może wykonywać inne powierzone zadania, jeżeli nie przeszkadza to w wykonywaniu zadań ABI. Czy jest gdzieś napisane, że wykonując te obowiązki nadal może być w dziale podległym kierownikowi, którego będzie sprawdzać? ;)
Jerzy F.:
>
Dodatkowo na ABI-ego należałoby powołać jakiegoś dyrektora, kierownika bo jak zapewnić podległość bezpośrednio pod ADO?
Nowe stanowisko, wydzielenie pracownika na stanowisko samodzielne, outsourcing i najciekawsze o czym słyszałem to wydzielone stanowisko w dziale nie podległe kierownikowi działu podległe bezpośrednio pod ADO ;)
Jerzy F.:
Chyba, że jako prawdopodobne przyjmiemy, iż pracownik przez 7 godzin podlega pod naczelnika wydziału a 1 godzinę mówi jestem od Pana / Pani niezależny i chcę dokonać sprawdzenia, na koniec wskazując stwierdzone uwagi i to najczęściej przez ADO. A jutro do pracy w wydziale pod kierownictwem naczelnika, który rano miał bardzo nieprzyjemną rozmowę z Prezesem lub jego zastępcą.
Życzę takiemu pracownikowi powodzenia ;) Jednak:
Art. 36a 8 Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust. 2.
I kolejny zapis w temacie:
Art 36a 4. Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2
ADO jest zobowiązany zapewnić ABI 'komfort' pracy.
Jak widać najwygodniej jest powierzyć funkcję kierownikowi podległemu ADO lub jeszcze prościej zdać się na outsourcing. W innym wypadku potrzebna jest mała reorganizacja w firmie/urzędzie.
Wracając do tematu 'ponad 30 firm'. Wszystko jest możliwe, jeżeli ABI potrafi zorganizować czas, firmy są małe i mają mało zbiorów i rekordów w bazach danych lub nie posiadają systemu informatycznego. Pamiętaj, że obowiązkiem jest sprawdzenie każdego zbioru raz na 5 lat, co daje pole do manewru ;) Wszystko zależy też od tego, jak skonstruowana jest umowa. -
Panie Jerzy, nie ma obowiązku powoływania z-cy jeżeli ABI jest zatrudniony na zasadzie outsourcingu. Zgłoszenia można przesyłać pocztą elektroniczną lub telefonicznie. Wszystko jest do uzgodnienia. Powołanie ABI, jeżeli miałby być na miejscu z-ca mijałoby się z celem i generowałoby dodatkowe koszty.
Odnośnie zakazu konkurencji,
Warto zastrzec. Nawet, jeżeli poszczególne kwestie są uregulowane prawnie należy je umieścić w umowie. Nigdy przy podpisywaniu umów nie należy zakładać, że wykonawca jest wszystkowiedzący.
Dodatkowo należy pamiętać, że istnieje również możliwość skopiowania tańszych i wydajniejszych rozwiązań/procedur i zastosowanie ich u konkurencji. -
W takiej sytuacji zmienia się cel przetwarzania danych osobowych, a co za tym idzie wypadałoby mieć zgodę wg. art 23 ust 1 p 1.
Tworzysz też nowy zbiór danych pracowników z inną podstawą prawną, celem przetwarzania i ew. przetwarzaniem w systemie informatycznym jeżeli 'przenosisz' bazę danych zatrudnionych osób, co w przypadku dużej ilości pracowników pewnie będzie miało miejsce. Czeka cię też dodanie zbioru do rejestru ABI, zmiana polityki, instrukcji i załączników, oraz zebranie zgody pracowników. Trochę pracy, żeby wysłać jedno pisemko ;)
Proponuję stworzyć ładną graficznie kartkę i przesłać na maile służbowe pracowników. -
W tym momencie sytuacja się zmieniła. USA nie jest już 'safe harbour'.
Co za tym idzie firma Google nie może się powoływać na zapisy związane z sh. Według mojej opinii na tą chwilę powinno się zawiesić korzystanie z google apps, do czasu podpisania umowy powierzenia najlepiej z zapisem, że dane mają być przechowywane na którymś z serwerów umieszczonych w państwie EU, bez transferu do innych państw w tym wglądu na serw z siedziby Google w USA. Jeżeli ktoś wywalczy podobne obwarowania to gratuluje. Podejrzewam jednak, że Google sam zmieni w najbliższym czasie treść umowy standardowej.
Temat 'safe harbour' został poruszony w innym wątku, ale może warto rozwinąć tą dyskusję, ponieważ chciałbym poznać opinie i doświadczenia związane z tym tematem szczególnie, że sam bronię się przed wprowadzeniem pracy na narzędziach w chmurze choćby ze względu na bezpieczeństwo czy brak kontroli nad centrami danych. -
Zgadzam się z Szymonem, rozwiązanie jest lepsze. Nie dość, że lepiej to wygląda, gdy szef, lub kierownik wręcza życzenia, ponieważ oznacza to większy szacunek dla pracownika, to jeszcze jest oszczędność dla firmy ;)
Jeżeli macie zgodę pracowników na przesyłanie informacji dotyczących bieżącej działalności firmy, to jubileusz jest taką informacją. -
Jeżeli natomiast ciężko uświadomić, to trzeba ograniczyć dostęp. Wprowadzić bardziej restrykcyjne procedury niż wskazane oraz większe zabezpieczenia. Niestety wiadomo, że to nie wystarczy szczególnie w związku z tym, że coraz więcej informacji przechowywanych jest w postaci elektronicznej w bazach danych, często zdublowanych podpiętych do tej samej sieci (automatyczna kopia zapasowa), co umożliwia przeprowadzenie ataku na dwa serwery jednocześnie i skopiowanie danych z tego, który pierwszy 'ulegnie'.
Szkoda tylko, że przy konkursach na każde stanowisko nie można wpisać znajomości zabezpieczeń it, bhp, ppoż, ratownictwa na wszelki jakby ABI zawału miał dostać (tak nawiązując do twoich wypowiedzi w innych tematach Grzegorzu ;)... -
'Potwierdzenie telefoniczne' i GIODO nie są kompatybilne ;)
A tak serio.
Powinien wystarczyć wydruk z ogólnodostępnej strony GIODO. -
No i info na giodo:
http://giodo.gov.pl/1520123/id_art/8912/j/pl/ -
Znalazłem też oświadczenie grupy roboczej:
http://ec.europa.eu/justice/data-protection/article-29...
Oświadczenie jest w eng, ale jeżeli ktoś nie zna angielskiego, to w ciągu najbliższych dni powinno pojawić się tłumaczenie gdzieś w necie. Jak znajdę to dam linka. -
Grzegorz K.:
Pytanie kto zrozumie, że ten stan jest zły? Rozumiesz informację - STAN STABILNY? Ja byłem ratownikiem w straży pożarnej i w pogotowiu. I za każdym razem jak to słyszę, pytam ludzi w otoczeniu, czy zrozumieli co powiedział policjant ;-) Szczerze- 100% błędnych definicji.
Jakbyś chciał zdefiniować STAN jak dobry - to chętnie posłucham. ;-) Ja do dziś nie umiem.
Dlatego mówiłem, że zamieszam. Wszystko jest względne ;)
Grzegorz K.:
>
Co do drugiej rzeczy - coś mam dziś z komunikacją, bo spłaszczam. Już 5 maili więcej musiałem pisać, bo klient też nie zrozumiał o co c`mon.Powiedz mi, skąd wziąłeś ten cel o którym piszesz? ;-) Dałeś się zasugerować artykułom?
Piszę dzisiaj na smartfonie, także wybacz za kiepską korektę autokorekty ;)
Zgodziłem się z tobą Grzegorzu. Dalsza wypowiedź miała być raczej przemyśleniem, żeby nie umieszczać diagnozy, czy szpitala, gdzie można odwiedzić pracownika (brzmi to nieprawdopodobne, ale takie pytanie pytanie wpłynęło do mnie na maila ;) w listach obecności leżących np lukiem w sekretariacie. Może nie przesadzałbym tak, ale trzeba też pamiętać, że trzeba też pamiętać, żeby ograniczyć dostęp do danych osobom
PS. Artykułów jeszcze nie czytałem, ale jak tak zachęcasz to przeczytam ;) -
Grzegorz K.:
W związku z doraźnością i technicznym charakterem zbioru, a dokładniej - ZESTAWU DANYCH OSOBOWYCH, przetwarzanych w strukturze i w ramach zbioru danych osobowych dotyczących zatrudnienia, zastosowanie mają jedynie przepisy rozdziału 5 (zgodnie z art 2 ust. 3).
Zgadzam się z tobą. Lista obecności jest tylko dokumentem technicznym potrzebnym do sporządzenia ewidencji czasu/kart pracy.
Trzeba jednak pamiętać o tym, które dane są niezbędne do prowadzenia takiej listy. W mojej opinii usprawiedliwienie nieobecności (W, Ch) nie jest daną konieczną do prowadzenia listy obecności jako środka technicznego potrzebnego do uzupełnienia dokumentu właściwego, w którym takowe dane są uwzględnione.
Grzegorz K.:
Adekwatność danych osobowych gromadzonych w tym zestawie, czy w innych, związanych z produkcją czy usługami (np. grafiki wykonane), powinna być oceniana zgodnie z ogólnymi zasadami, ale jak pisałem wyżej, trudno jest wywieźć stan zdrowia z zapisu Ch w liście obecności.
A tu zamieszam. Zasada 0-1. Miara stanu zdrowia nie jest określona w ustawie, także równie dobrze stan może być określony przez dwie wartości - dobry/zły ;) -
Mam dylemat odnośnie sposobu przeprowadzania testów penetracyjnych. Prosiłbym was o zdradzenie praktyk wykonywania. Chodzi mi o info czy zlecacie to firmom zewnętrznym(jakieś przykłady?), czy może wewnętrznie. Poza tym przydatna byłaby informacja, czy przeprowadzacie test black czy crystal?
Może znacie jakieś programy, które można 'zapuścić', żeby regularnie przeprowadzały taki test? Oczywiście poza właściwym w formie 'audytu' przeprowadzanym rzadziej przez zespół. -
Tomasz F.:
Jeśli chodzi o art. 24 to w jakich przypadkach - przetwarzania czego - może mieć zastosowanie?
monitoring wizyjny, lista gości-petentów wchodzących do budynku prowadzona przez sufo,
rekrutacja?
W pomocy społecznej podstawową formą zdobywania informacji jest wywiad środowiskowy. Tam właśnie ma zastosowanie art. 24.1 i 2. Poza tym pomoc społeczna opiera się głównie na danych z art. 27.
Art. 25 ma zastosowanie, ale tylko ust. 2 pkt. 1
Dodatkowo często przetwarzane dane do których dostępu nie może mieć klient (np sprawca w niebieskiej karcie), co wyklucza poinformowanie go w jakikolwiek sposób o celu przetwarzania danych. Jeżeli klient przychodzi po pomoc czy to w formie zasiłku, sprawowania opieki lub innego świadczenia to świadomie podaje swoje dane. Ośrodek może, ale nie musi poinformować go o zakresie i celu przetwarzania danych np. przy świadczeniach (art. 100 ust. 2 uops). Nie zmienia to też fakt, że dane często pozyskiwane są z innych instytucji.Ten post został edytowany przez Autora dnia 25.09.15 o godzinie 12:29 -
Administracja publiczna jest specyficzna. Wszystko zależy od rodzaju urzędu oraz celu zbierania danych. Takie kwestie często regulują osobne przepisy, czyli kłania się ust. 2.1.
-
Nie dostaniecie odpowiedzi? Czyli sami wiedzą, że coś jest na rzeczy.
Jeżeli wdrażają system, który nie ma możliwości prawidłowego działania bez danych, których pozyskanie jest niezgodne z prawem to ich sprawa. Wywalili pieniądze w błoto. Producent powinien wydać łatkę na życzenie. Niech poczekają trochę.
Współczuje ci, walka z wiatrakami.
PS. Jeżeli jedne z przekazanych danych mają być twoje, to nie wyraź zgody jako osoba prywatna. Pisemnie, do IN ;) -
Tak, tylko czy rzeczywiście jest to niezbędne? Czy bez tych danych jest możliwe wykonywanie zadań/celów? Podejrzewam, że jest możliwe.
Pamiętaj o jednym. Udostępniasz dane po otrzymaniu pisma (wniosku - warto stworzyć wzór), na którym musisz mieć podstawę prawną żądania, zakres danych i cel ich przetwarzania. Jak nie otrzymasz wniosku zgodnego z wymaganiami lub otrzymasz niekompletny masz podkładkę na podstawie której odrzucasz wniosek.
To oni muszą cię przekonać, że masz im prawo udostępnić, a ty jeżeli uznasz, że podstawa jest prawidłowa i wszystkie warunki spełnione udostępniasz im dane. To, że jest to instytucja 'wyższa' nie oznacza, że mają mieć wgląd do wszystkich informacji.
Jeżeli nie widzisz podstaw odpisz na pismo odmownie informując, że nie ma prawnie uzasadnionych przesłanek do udostępnienia danych osobowych pracowników. Poinformuj też standardowo, że jest możliwość odwołania się od decyzji itp. podając podstawę prawną, zakres, cel. Niech ich radca prawny popracuje a nie twój. Może zmienią zdanie.
I jeszcze jedno. W momencie gdy twój ADO zdaje sobie sprawę lub ma wątpliwości, że wykonując daną czynność złamie prawo, to nie jest działanie nieumyślne. -
Ciekawa sprawa:
"Ze względu na ochronę danych osobowych kraj członkowski UE może zawiesić przekazywanie danych użytkowników Facebooka do serwerów w USA, gdzie mają do nich dostęp amerykańskie służby specjalne - stwierdził w środę rzecznik generalny Trybunału Sprawiedliwości UE.
Rzecznik Yves Bot opowiedział się za stwierdzeniem nieważności decyzji Komisji Europejskiej z 2000 roku, uznającej w ramach systemu zwanego „bezpieczną przystanią”, że USA zapewniają odpowiedni stopień ochrony przekazywanych im danych osobowych.(...)"
http://tvn24bis.pl/tech-moto,80/dane-uzytkownikow-face...
Dołącz do GoldenLine
Oferty pracy
Sprawdź aktualne oferty pracy
Aplikuj w łatwy sposób
Aplikuj jednym kliknięciem
