17 Maj

Czy dokumentacja bezpieczeństwa informacji stanowi informację publiczną?

blogger-336371_640

Wiele podmiotów publicznych publikuje na swoich stronach internetowych politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym. Często uzasadniają to koniecznością upublicznienia dokumentacji bezpieczeństwa, jako informacji publicznej. Czy rzeczywiście jest to informacja publiczna? I w szczególności czy odmówienie wglądu w dokumentację może skutkować negatywnymi konsekwencjami dla jednostki publicznej?

Ustawa o dostępie do informacji publicznej określa, że każda informacja o sprawach publicznych stanowi informację publiczną w rozumieniu ustawy i podlega udostępnieniu (…)

Czytaj dalej

12 Maj

Czy trzeba informować osobę, której dane dotyczą o powierzeniu danych?

blogging-15968_640

Jeżeli administrator danych korzysta z usługi realizowanej przez innego administratora (procesora) i realizacja tej usługi wiąże się z uzyskaniem przez ten podmiot dostępu do danych ze zbiorów administratora (np. biura rachunkowego, które poprowadzi także sprawy kadrowe), mówimy o powierzeniu danych osobowych.

Zasady powierzenia reguluje art. 31 ustawy o ochronie danych osobowych, z którego wynika m.in. obowiązek zawarcia umowy powierzenia na piśmie oraz konkretnego określenia zakresu oraz uprawnień procesora. Dodatkowo administratorowi danych przysługuje prawo kontroli sposobu przetwarzania i zabezpieczenia danych przez procesora.

Czy powierzenie danych oznacza konieczność poinformowania osób, do których danych uzyskał dostęp procesor o zaistnieniu tego faktu? Obowiązek informacyjny określają art. 24 i 25 ustawy o ochronie danych osobowych. Zakres danych o jakich należy poinformować obejmuje: Czytaj dalej

10 Maj

Unijna dyrektywa w sprawie ochrony danych przetwarzanych przez organy ścigania

old-books-436498_640

Przepisy zawarte w dyrektywie mają na celu ochronę osób w związku z przetwarzaniem danych osobowych na potrzeby zapobiegania, dochodzenia, wykrywania lub ścigania przestępstw lub wykonywania sankcji karnych. Polska ma dwa lata na dostosowanie obowiązujących przepisów do dyrektywy.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW.

10 Maj

Unijne ogólne rozporządzenie o ochronie danych osobowych

knowledge-1052010_640

Rozporządzenie zastąpi krajowe przepisy o ochronie danych osobowych i będzie obowiązywać w uchwalonym brzmieniu od 27 kwietnia 2018 roku, czyli administratorzy danych mają 2 lata na dostosowanie się do nowych przepisów. Proszę zwrócić uwagę, że przed właściwą treścią rozporządzenia zostały szczegółowo opisane wytyczne do stosowania.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

04 Maj

Instrukcja zarządzania systemami informatycznymi: procedury nadawania uprawnień

creativity-819371_640

Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym bardzo często są mylone z procedurą upoważniania do przetwarzania danych osobowych. Wynika to z faktu mylenia pojęć osoby upoważnionej oraz użytkownika. Na wstępie przypomnę, że użytkownik to osoba upoważniona do przetwarzania danych osobowych, która (dodatkowo) otrzymała uprawnienia do przetwarzania danych w formie elektronicznej w systemie informatycznym. Czyli nie każda osoba upoważniona będzie użytkownikiem, za to każdy użytkownik jest jednocześnie osobą upoważnioną. Czytaj dalej

25 Kwi

Czy numer PESEL jest konieczny w umowie?

writing-1149962_640

Pytanie od Pana Grzegorza:

Nasza firma podpisuje z klientami umowy na wywóz nieczystości. Niektórzy klienci nie chcą podawać numeru PESEL w umowie, zasłaniając się ochroną danych osobowych oraz brakiem celowości zbierania PESEL-u (tzn. uważają, że zbieramy je na zapas). Rzeczywiście PESEL jest przez nas wykorzystywany dopiero, gdy klient nie wywiązuje się ze swoich zobowiązań i chcemy odzyskać należności. Czy klient może odmówić wpisania numeru PESEL do umowy?

W celu zawarcia umowy należy na wstępie określić jednoznacznie strony tej umowy. Jest to ważne nie tylko ze względu na dochodzenie późniejszych roszczeń przez strony, ale także aby uniknąć sytuacji, gdy ktoś wykorzysta cudze dane do zawarcia umowy w jego imieniu. Obecnie jedynym niezmienny identyfikatorem obywatela RP jest jego PESEL. Tak naprawdę numer PESEL pozwala ustalić wszystkie pozostałe dane obywatela (taką informację uzyskuje się na uzasadniony w przepisach prawa wniosek do organu prowadzącego lub mającego dostęp do centralnego rejestru numerów PESEL). Czytaj dalej

21 Kwi

Uważajcie na wnioski on-line o wypłatę świadczenia 500+

stature-935628_640

GIODO ostrzega przed składaniem wniosków o wypłatę świadczenia 500+ poprzez strony nieuprawnionych podmiotów. Zakres podawanych danych jest bardzo szeroki, a podanie ich poprzez nieautoryzowany formularz on-line może prowadzić do kradzieży danych (i tylko pozornego złożenia wniosku). Pamiętajcie, że wnioski on-line można składać tylko i wyłączenie przez stronę podmiotu:
1) utworzonego przez ministra właściwego do spraw rodziny;
2) udostępnianego przez Zakład Ubezpieczeń Społecznych;
3) banków krajowych świadczących usługi drogą elektroniczną spełniających wymogi określone w informacji zamieszczonej na stronie podmiotowej Biuletynu Informacji Publicznej ministra właściwego do spraw rodziny po uzgodnieniu z ministrem właściwym do spraw informatyzacji;
4) wskazanego w informacji, o której mowa w pkt 3.

Pełna treść komunikatu

19 Kwi

Różnica w pojęciu osoby upoważnionej, uprawnionej oraz użytkownika

board-755789_640

Bardzo często spotykam się w dokumentacjach, które przesyłacie mi do sprawdzenia w pomieszaniu pojęć: użytkownika, osoby upoważnionej oraz osoby uprawnionej.  Nie są to synonimy i nie można używać ich zamiennie. Natomiast każde z nich ma kluczowe znaczenie dla dobrej organizacji polityki bezpieczeństwa informacji.

Osoba upoważniona – to osoba (najczęściej pracownik, ale niekoniecznie), która otrzymała upoważnienie do przetwarzania danych osobowych od administratora danych (ADO). Upoważnienie najczęściej jest wydawane na piśmie, chociaż GIODO dopuszcza także wydawanie upoważnień w formie służbowej wiadomości e-mail, ale jest to raczej rozwiązanie dla małych firm. Poza tym może stwarzać problemy w przyszłości przy kontroli upoważnień. Warto jeszcze przypomnieć, że upoważnienie powinno zawierać także informacje o tym do jakich danych (tzn. zbiorów) oraz w jakim zakresie pracownik otrzyma dostęp. Uważam, że warto od razu dodać informację o systemach informatycznych, do których zostaną nadane uprawnienia oraz loginie, który ma zostać przydzielony. Zmniejszy to liczbę dokumentów, które trzeba będzie wypełniać. Możecie skorzystać z przygotowanego przeze mnie wzoru. Czytaj dalej

16 Kwi

Już za dwa lata jednolite przepisy o ochronie danych osobowych w całej Unii!

book-912721_640

Doczekaliśmy się – Parlament Europejski uchwalił nowe rozporządzenie o ochronie danych osobowych oraz dyrektywę w sprawie przekazywania danych do celów policyjnych i sądowych. Oznacza to, że od momentu opublikowania Państwa członkowskie UE mają dwa lata, aby w pełni dostosować się do nowych przepisów. Warto podkreślić, że w odróżnieniu od dotychczas obowiązującej dyrektywy 95/46/WE, kraje członkowskie nie będą dokonywać własnej implementacji rozporządzenia, gdyż rozporządzenia unijne przyjmuje się wprost, dokładnie w brzemieniu, w którym zostały ogłoszone. Mówiąc krótko, w całej UE będą jednolite, identyczne przepisy o ochronie danych osobowych. Jest to bardzo duży krok na przód, bo dotychczas były duże rozbieżności w interpretacji przepisów o ochronie danych osobowych wynikających z dyrektywy 95/46/WE, np. były różne definicje zgody lub różny zakres danych uznany za wrażliwy (Polska jest jedynym krajem UE, w którym przynależność związkową uznaje się za dane wrażliwe). Czytaj dalej

12 Kwi

Czy czytelnik może odmówić podania niektórych danych?

bibliotekarz2-2016

Na to pytanie odpowiadam w najnowszym numerze Bibliotekarza.

Opis numeru:

Kwietniowy numer rozpoczyna artykuł dr Weroniki Parfianowicz-Vertun Prawo do czytania dla przyjemności omawiającym zagadnienie poprawy piśmiennych umiejętności dzieci, młodzieży i dorosłych w Europie. W kolejnym artykule Artur Nowakowski przybliża ważny etap w życiu i działalności Stefana Żeromskiego związany z Zakopanem. Tekst Łukasza Gołębiewskiego poświęcony jest Umberto Eco, pisarzowi – miłośnikowi bibliotek. W dziale

„Wywiady” prezentujemy rozmowę z Ireną Koźmińską, prezesem Fundacji ABCXXI – Cała Polska czyta dzieciom. W bieżącym roku mija 15 lat prowadzenia kampanii czytania przez Fundację.

W dziale „Z bibliotek” prezentujemy tekst Uniwersalna Klasyfikacja Dziesiętna w Bibliotece Uniwersytetu Zielonogórskiego Mai Chocianowskiej-Sidoruk i Elżbiety Czarneckiej omawiający wykorzystanie UKD jako języka informacyjno-wyszukiwawczego oraz porządkującego księgozbiór w przestrzeni otwartej nowego gmachu biblioteki. Danuta Sroka, autorka artykułu Siedemdziesiąt lat Miejskiej Biblioteki Publicznej w Słupsku, przedstawia działalność i aktywność placówki prowadzoną w ciągu minionych lat. Ewa Madej w artykule Twoje miejsce na Ziemi omawia działania podejmowane w ramach międzynarodowej kampanii „Tydzień Edukacji Globalnej” w Miejskiej Bibliotece Publicznej w Jastrzębiu-Zdroju. Czytaj dalej