GoldenLine
Zaloguj się
Tomasz Paweł

Tomasz Paweł

bezpieczeństwo informacji, ochrona danych osobowych, ciągłość działania, IT security

Wypowiedzi

  • Tomasz Paweł
    Wpis na grupie ABI w temacie Dokumentowanie sposobu przetwarzania danych osobowych ADO...
    13.06.2012, 15:21

    Witajcie

    Mam do was pytanie z perspektywy firmy IT - Procesora (w rozumieniu ulubionej Ustawy), któremu inna firma, przyjmijmy, że nazywa się: Kreatywny księgowy - usługi finansowe powierzyła (umowa powierzenia) celem opieki – utrzymanie systemów informatycznych w których są dane osobowe jej jak i jej klientów. Oczywiście pracownicy Procesora na bazie umowy (administrowanie, zarządzanie pojemnością, backupy, itp.) mają pełen dostęp do danych w tym danych osobowych firmy Kreatywny księgowy - usługi finansowe. Jak na profesjonalną firmę IT przystało, jest świadomym ADO, ma zatwierdzoną przez Zarząd dokumentację określającą zasady przetwarzania danych osobowych wymieniona w Rozporządzaniu (Polityka, Instrukcja, upoważnienia, rejestr, itp.). Dokumentacja dot. oczywiście jej procesów i jej systemów.

    Z chwilą podpisania umowy na świadczenie usług utrzymania w tym umowy powierzenia pojawiło się pytanie czy firma IT ma w swojej dokumentacji uwzględnić tj. udokumentować także sposób przetwarzania danych osobowych dla systemów i danych w nich zawartych, które jej powierzyła firma Kreatywny księgowy?

    Z art. 31 ust. 3 Ustawy wynika, że Procesor ma takie same obowiązki w zakresie zabezpieczenia i dokumentowania jak ADO, czyli oznacza, że Procesor musi dokumentować tj. rozszerzyć swoją dokumentację o opis struktury zbiorów m.in. o: wykaz zbiorów, sposób przepływu danych pomiędzy różnymi systemami, opis struktury zbiorów, opis zabezpieczeń tech. org. dla systemów, których nie jest Administratorem w rozumieniu Ustawy?
    Oczywiście wiąże się to dużymi nakładami pracy (rozpoznanie, dokumentowanie) i kosztami (czas pracy specjalistów IT) po stronie Procesora, który nie ma pełnej wiedzy ani o strukturze danych (do administrowania nie potrzebne a nawet niewskazane), przepływach tych danych czy zabezpieczeniach organizacyjnych i technicznych stosowanych przez ADO. W uzupełnieniu dodam że firma Kreatywny księgowy nie posiada aktualnej dokumentacji więc Procesor nie będzie mógł jej u siebie wykorzystać.

    Przepraszam za długi wstęp i bardzo proszę o wasze opinie

  • Tomasz Paweł
    Wpis na tablicy
    ...?
    • 29.01.2011, 14:53
  • Tomasz Paweł
    Wpis na tablicy
    oin
    • 21.01.2011, 09:38

Dołącz do GoldenLine

Oferty pracy

Sprawdź aktualne oferty pracy

Aplikuj w łatwy sposób

Aplikuj jednym kliknięciem

Zarejestruj się zaloguj mnie
Zaloguj się za pomocą Zaloguj przez facebook
Wyślij zaproszenie do
Anuluj