Sylwia Czub – Strona 25 – Sylwia Czub bloguje o danych osobowych

06 cze

Czy wykaz zbiorów w polityce może zastąpić rejestr ABI?

Pytanie od Pani Ewy:

W polityce bezpieczeństwa posiadamy wykaz zbiorów danych osobowych. Czy to jest jednoznaczne z jawnym rejestrem zbiorów danych osobowych? Czy powinien to być nowy rozbudowany odrębny dokument (wg Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11. 05.2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych osobowych (Dz. U. poz. 719)) ?

Wykaz zbiorów w polityce bezpieczeństwa zawiera informacje o zawartości zbioru, jego strukturze, polach informacyjnych przetwarzanych w ramach poszczególnych systemów oraz powiązania między nimi. Dodatkowo są wskazane programy służące do przetwarza tych danych. Zakres danych w wykazie zbiorów zawartym w polityce określa Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych.
Read More →

03 cze

Nowelizacja krajowej ustawy o ochronie danych osobowych

Mamy już obowiązujące ogólne rozporządzenie o ochronie danych osobowych, jednak jeszcze przez dwa lata jest czas na dostosowanie się do nowych przepisów, co oznacza że administrator danych może podjąć decyzję, czy stosuje jeszcze przepisy krajowe, czy już unijne. Od 1 czerwca w krajowej ustawie o ochronie danych osobowych pojawi się kilka zmian dotyczących możliwości pociągnięcia Generalnego Inspektora Ochrony Danych Osobowych do odpowiedzialności.

Tekst z zaznaczonymi zmianami jest dostępny na stronach GIODO.

25 maj

Instrukcja zarządzania: Stosowane metody i środki uwierzytelniania

Pełny tytuł do zastosowania w Instrukcji: Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowanie.

Należy określić:

1. Kto odpowiada za przydzielanie i zmienianie haseł użytkownikom.

Na przykład uprawnienia do systemu są nadawane przez dyrektora bezpośrednio na upoważnieniu, którego kopia jest przekazywana do ASI. Na podstawie upoważnienia do przetwarzania danych osobowych ASI nadaje uprawnienia (login i pierwsze hasło).

2. Jakie są wymagania dotyczące złożoności hasła.

Co do zasady hasło nie może być krótsze niż osiem znaków, powinno zawierać małe i duże litery oraz cyfry lub znaki specjalne (musi zawierać 3 spośród 4 wymienionych elementów).

3. Jak często należy zmieniać hasło. Read More →

17 maj

Czy dokumentacja bezpieczeństwa informacji stanowi informację publiczną?

Wiele podmiotów publicznych publikuje na swoich stronach internetowych politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym. Często uzasadniają to koniecznością upublicznienia dokumentacji bezpieczeństwa, jako informacji publicznej. Czy rzeczywiście jest to informacja publiczna? I w szczególności czy odmówienie wglądu w dokumentację może skutkować negatywnymi konsekwencjami dla jednostki publicznej?

Ustawa o dostępie do informacji publicznej określa, że każda informacja o sprawach publicznych stanowi informację publiczną w rozumieniu ustawy i podlega udostępnieniu (…)

Czy trzeba informować osobę, której dane dotyczą o powierzeniu danych?

Jeżeli administrator danych korzysta z usługi realizowanej przez innego administratora (procesora) i realizacja tej usługi wiąże się z uzyskaniem przez ten podmiot dostępu do danych ze zbiorów administratora (np. biura rachunkowego, które poprowadzi także sprawy kadrowe), mówimy o powierzeniu danych osobowych.

Zasady powierzenia reguluje art. 31 ustawy o ochronie danych osobowych, z którego wynika m.in. obowiązek zawarcia umowy powierzenia na piśmie oraz konkretnego określenia zakresu oraz uprawnień procesora. Dodatkowo administratorowi danych przysługuje prawo kontroli sposobu przetwarzania i zabezpieczenia danych przez procesora.

Czy powierzenie danych oznacza konieczność poinformowania osób, do których danych uzyskał dostęp procesor o zaistnieniu tego faktu? Obowiązek informacyjny określają art. 24 i 25 ustawy o ochronie danych osobowych. Zakres danych o jakich należy poinformować obejmuje: Read More →

10 maj

Unijna dyrektywa w sprawie ochrony danych przetwarzanych przez organy ścigania

Przepisy zawarte w dyrektywie mają na celu ochronę osób w związku z przetwarzaniem danych osobowych na potrzeby zapobiegania, dochodzenia, wykrywania lub ścigania przestępstw lub wykonywania sankcji karnych. Polska ma dwa lata na dostosowanie obowiązujących przepisów do dyrektywy.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW.

10 maj

Unijne ogólne rozporządzenie o ochronie danych osobowych

Rozporządzenie zastąpi krajowe przepisy o ochronie danych osobowych i będzie obowiązywać w uchwalonym brzmieniu od 27 kwietnia 2018 roku, czyli administratorzy danych mają 2 lata na dostosowanie się do nowych przepisów. Proszę zwrócić uwagę, że przed właściwą treścią rozporządzenia zostały szczegółowo opisane wytyczne do stosowania.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

04 maj

Instrukcja zarządzania systemami informatycznymi: procedury nadawania uprawnień

Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym bardzo często są mylone z procedurą upoważniania do przetwarzania danych osobowych. Wynika to z faktu mylenia pojęć osoby upoważnionej oraz użytkownika. Na wstępie przypomnę, że użytkownik to osoba upoważniona do przetwarzania danych osobowych, która (dodatkowo) otrzymała uprawnienia do przetwarzania danych w formie elektronicznej w systemie informatycznym. Czyli nie każda osoba upoważniona będzie użytkownikiem, za to każdy użytkownik jest jednocześnie osobą upoważnioną. Read More →

25 kwi

Czy numer PESEL jest konieczny w umowie?

Pytanie od Pana Grzegorza:

Nasza firma podpisuje z klientami umowy na wywóz nieczystości. Niektórzy klienci nie chcą podawać numeru PESEL w umowie, zasłaniając się ochroną danych osobowych oraz brakiem celowości zbierania PESEL-u (tzn. uważają, że zbieramy je na zapas). Rzeczywiście PESEL jest przez nas wykorzystywany dopiero, gdy klient nie wywiązuje się ze swoich zobowiązań i chcemy odzyskać należności. Czy klient może odmówić wpisania numeru PESEL do umowy?

W celu zawarcia umowy należy na wstępie określić jednoznacznie strony tej umowy. Jest to ważne nie tylko ze względu na dochodzenie późniejszych roszczeń przez strony, ale także aby uniknąć sytuacji, gdy ktoś wykorzysta cudze dane do zawarcia umowy w jego imieniu. Jeżeli nie da się jednoznacznie zidentyfikować stron podpisujących umowę, jest ona nieważna. Numer PESEL pozwala ustalić wszystkie pozostałe dane obywatela (taką informację uzyskuje się na uzasadniony w przepisach prawa wniosek do organu prowadzącego lub mającego dostęp do centralnego rejestru numerów PESEL). Read More →

21 kwi

Uważajcie na wnioski on-line o wypłatę świadczenia 500+

GIODO ostrzega przed składaniem wniosków o wypłatę świadczenia 500+ poprzez strony nieuprawnionych podmiotów. Zakres podawanych danych jest bardzo szeroki, a podanie ich poprzez nieautoryzowany formularz on-line może prowadzić do kradzieży danych (i tylko pozornego złożenia wniosku). Pamiętajcie, że wnioski on-line można składać tylko i wyłączenie przez stronę podmiotu:
1) utworzonego przez ministra właściwego do spraw rodziny;
2) udostępnianego przez Zakład Ubezpieczeń Społecznych;
3) banków krajowych świadczących usługi drogą elektroniczną spełniających wymogi określone w informacji zamieszczonej na stronie podmiotowej Biuletynu Informacji Publicznej ministra właściwego do spraw rodziny po uzgodnieniu z ministrem właściwym do spraw informatyzacji;
4) wskazanego w informacji, o której mowa w pkt 3.

Pełna treść komunikatu

Zdjęcie CC0 by succo https://pixabay.com/pl/users/succo-96729/