03 Kwi

Jak wprowadzić nowy wzór upoważnienia do przetwarzania danych?

Ostatnio otrzymałam takie pytanie od Pani Samanty i uświadomiłam sobie, że nie jest to banalny problem, bo sama musiałam się z nim zmierzyć na początku mojej przygody w roli ABI. Wtedy niestety nie wyszło mi to najlepiej…

Zasady nadawania/zmiany/odwołania upoważnień są istotnym elementem, którego nie powinno zabraknąć w polityce bezpieczeństwa (jest to jeden ze stosowanych przez administratora danych środków organizacyjnych mających na celu zapewnienie poufności informacji). Ja w mojej ówczesnej polityce nie miałam przewidzianej sytuacji zmiany wzoru upoważnienia. Dlatego za pierwszym razem odwoływałam wszystkie upoważnienia i nadawałam wszystkim nowe. Wyobraźcie sobie ile było z tym pracy i zamieszania przy ponad 100 osobowej organizacji i ponad 20 zbiorach danych, gdzie stosowałam zasadę nadawania upoważnienia do każdego zbioru. Koszmar. W dodatku ciągle mi czegoś brakowało, nie zgadzało się, itd. Nie wiedziałam co zrobić ze starymi upoważnieniami (niszczyć, czy trzymać?) oraz jak wpisać zmianę do ewidencji upoważnień.  To doświadczenie nauczyło mnie, że najpierw należy zastanowić się nad przebiegiem procesu, następnie zacząć działać. Read More

03 Sty

Czy administrator danych może upoważnić do przetwarzania danych kogoś kto nie jest jego pracownikiem?

Nadawanie upoważnień do przetwarzania danych osobowych jest jednym z podstawowych obowiązków administratora danych, wynikających z ustawy o ochronie danych osobowych.

Informację jak nadawać upoważnienia oraz wzór upoważnienia znajdziesz tutaj

Większość administratorów danych nie ma wątpliwości, że obowiązkiem otrzymania upoważnienia są objęci jego pracownicy i współpracownicy.  Nawet jeżeli przetwarzanie danych wynika bezpośrednio z obowiązku narzuconego przez przepisy prawa (opisywałam to na przykładzie upoważniania nauczycieli przez szkołę). Jednakże w podanym przykładzie zabrakło odpowiedzi na pytanie, kto powinien upoważnić osobę, która nie jest pracownikiem szkoły, np. pielęgniarkę szkolną lub pracownika ochrony. Zgodnie z art. 37. ustawy o ochronie danych osobowych: Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.Oznacza to, że administrator danych upoważnia do swoich danych. Nawet jeżeli osoba, która otrzyma dostęp do danych nie jest pracownikiem administratora, to właśnie on powinien nadać upoważnienie. Read More

19 Kwi

Różnica w pojęciu osoby upoważnionej, uprawnionej oraz użytkownika

Bardzo często spotykam się w dokumentacjach, które przesyłacie mi do sprawdzenia w pomieszaniu pojęć: użytkownika, osoby upoważnionej oraz osoby uprawnionej.  Nie są to synonimy i nie można używać ich zamiennie. Natomiast każde z nich ma kluczowe znaczenie dla dobrej organizacji polityki bezpieczeństwa informacji.

Osoba upoważniona – to osoba (najczęściej pracownik, ale niekoniecznie), która otrzymała upoważnienie do przetwarzania danych osobowych od administratora danych (ADO). Upoważnienie najczęściej jest wydawane na piśmie, chociaż GIODO dopuszcza także wydawanie upoważnień w formie służbowej wiadomości e-mail, ale jest to raczej rozwiązanie dla małych firm. Poza tym może stwarzać problemy w przyszłości przy kontroli upoważnień. Warto jeszcze przypomnieć, że upoważnienie powinno zawierać także informacje o tym do jakich danych (tzn. zbiorów) oraz w jakim zakresie pracownik otrzyma dostęp. Uważam, że warto od razu dodać informację o systemach informatycznych, do których zostaną nadane uprawnienia oraz loginie, który ma zostać przydzielony. Zmniejszy to liczbę dokumentów, które trzeba będzie wypełniać. Możecie skorzystać z przygotowanego przeze mnie wzoru. Read More

18 Lut

Kto upoważnia pracowników do przetwarzania danych przy umowie powierzenia?

Pytanie od Pani Beaty:

Czy firma, która świadczy usługę dla innej firm X, z którą ma podpisaną umowę powierzenia danych osobowych, ma obowiązek zebrać od pracowników oświadczenia o zgodzie na przetwarzanie danych osobowych firmy X? Czy wystarczy sama umowa powierzenia danych? Czy musimy uzyskać zgody od osób, których dane zostaną nam powierzone, na przetwarzanie ich danych?

Read More

06 Lut

Do czego należy upoważnić nauczycieli?

Pytanie od Pana Daniela:

Chciałbym zapytać o upoważnienia dla nauczycieli – czy każdy z nich powinien je posiadać, jeżeli w Polityce Bezpieczeństwa Informacji na wykazie danych osobowych w formie papierowej widnieją między innymi dzienniki zajęć, deklaracje uczęszczania na etykę, itp.? W chwili obecnej upoważnienia posiadają jedynie nauczyciele pracujący w Systemie Informacji Oświatowej.

Read More

14 Sty

2w1, czyli czy upoważnienie i oświadczenie mogą być w jednym pliku

Pytanie od Pani Anny:

Czy istnieje możliwość połączenia w jednym dokumencie upoważnienia pracownika do przetwarzania danych osobowych i oświadczenia o zachowaniu danych w poufności? Czy muszą jednak być to dwa odrębne dokumenty?

Przepisy w żaden sposób nie ograniczają Administratora Danych w tym zakresie, jak najbardziej może to być dokument 2w1. Należy tylko pamiętać o osobach, które nie otrzymują upoważnienia do przetwarzania danych (np. sprzątaczka), a przebywają w pomieszczeniach z danymi. One również powinny podpisać oświadczenie o zachowaniu danych w poufności.

08 Wrz

Dylematy biblioteki publiczno-szkolnej

Niektórzy z Was na pewno kojarzą taki twór, jak biblioteka publiczno-szkolna. Najczęściej jest to biblioteka publiczna, która ma swoją siedzibę (lub filię) w szkole i jednocześnie pełni rolę biblioteki szkolnej i publicznej. W niektórych jest jedna kartoteka czytelników, w innych dwie oddzielne. I od razu nasuwają się pytania natury prawnej.

Kto jest administratorem danych czytelników, biblioteka czy szkoła?

Jeżeli jest to biblioteka publiczna (lub jej filia) mieszcząca się w szkole, to administratorem danych osobowych wszystkich czytelników (także uczniów) jest biblioteka publiczna. Jeżeli w szkole mieści się biblioteka, którą zarządza szkoła i która tylko po godzinach obsługuje mieszkańców, ale nie jest to biblioteka publiczna, a jedynie instytucja pełniąca taką rolę, administratorem danych jest szkoła. Read More

13 Paź

Wzór upoważnienia

Zgodnie z art. 37 UODO: do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Upoważnienie musi zawierać nazwę zbioru oraz zakres upoważnienia. Powinno zostać nadane przez administratora danych (bibliotekę), czyli w praktyce na upoważnieniu powinien podpisać się dyrektor biblioteki lub osoba wyznaczona przez niego (przez odrębne zarządzenie lub określenie tego zadania w polityce bezpieczeństwa).

Read More

11 Paź

Ewidencja upoważnień

Zgodnie z art. 39 UODO:

1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

1) imię i nazwisko osoby upoważnionej,

2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

W bibliotece są przetwarzane dane osobowe znajdujące się w kilkunastu zbiorach danych osobowych.

Read More