28 Lis

RODO: czy trzeba będzie upoważniać do przetwarzania danych

Chciałabym częściej dla Was pisać, ale niestety doba ma tylko 24 godziny. Bycie popularnym blogerem ma swoją cenę, spędzam nawet kilka godzin dziennie (głownie wieczorami) odpisując na pytania z Waszych maili. Jednakże wiele z nich bardzo pozytywnie mnie nastraja, bo tworzą obraz naprawdę dużego i fajnego zaangażowania w tematykę ochrony prywatności. Ale pora wrócić do zagadnienia rozliczalności procesów przetwarzania. Zodnie z art. 38. UODO: Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, czyli jednym z najważniejszych obowiązków administratora danych jest posiadanie wiedzy nad tym kto, kiedy i w jakim zakresie ma dostęp do jego zasobów chronionych. Dlatego powinien nadawać uprawnienia do systemów informatycznych oraz zasobów papierowych (np. akta pracownicze, umowy z podwykonawcami). Często mówimy: zakres uprawnień powinien być zgodny z zakresem obowiązków pracownika. Jednakże żyjemy w ciekawych czasach, gdy zakresy obowiązków z upływem przepracowanych lat zaczynają rozmijać się z faktycznym zakresem wykonywanych czynności, a większość osób mających dostęp do danych to wykonawcy usług, na podstawie umów zleceń, dzieł, czy umów na usługi. W dotychczasowym stanie prawnym, odpowiedzią na taki stan rzeczy, było wprowadzenie przez ustawodawcę dodatkowego obowiązku nadawania upoważnień do przetwarzania danych osobowych. Upoważnienie nadaje się każdej osobie, która wykonuje czynności na danych osobowych (także osobom, które robią to w imieniu podmiotu przetwarzającego, o ile umowa powierzenia nie stanowi inaczej). Jest to dość żmudny i czasochłonny obowiązek. Dodatkowo z czasem upoważnień robi się bardzo dużo i ciężko byłoby się w nich odnaleźć, gdyby nie prowadzona dodatkowo ewidencja upoważnień. W praktyce jest to główne źródło wiedzy osoby, która nadzoruje procesy przetwarzania danych, nad tym kto i w jakim zakresie ma dostęp do danych. Jest to także bardzo przydatne narzędzie, gdy trzeba sięgnąć do wiedzy historycznej. Read More

03 Kwi

Jak wprowadzić nowy wzór upoważnienia do przetwarzania danych?

Ostatnio otrzymałam takie pytanie od Pani Samanty i uświadomiłam sobie, że nie jest to banalny problem, bo sama musiałam się z nim zmierzyć na początku mojej przygody w roli ABI. Wtedy niestety nie wyszło mi to najlepiej…

Zasady nadawania/zmiany/odwołania upoważnień są istotnym elementem, którego nie powinno zabraknąć w polityce bezpieczeństwa (jest to jeden ze stosowanych przez administratora danych środków organizacyjnych mających na celu zapewnienie poufności informacji). Ja w mojej ówczesnej polityce nie miałam przewidzianej sytuacji zmiany wzoru upoważnienia. Dlatego za pierwszym razem odwoływałam wszystkie upoważnienia i nadawałam wszystkim nowe. Wyobraźcie sobie ile było z tym pracy i zamieszania przy ponad 100 osobowej organizacji i ponad 20 zbiorach danych, gdzie stosowałam zasadę nadawania upoważnienia do każdego zbioru. Koszmar. W dodatku ciągle mi czegoś brakowało, nie zgadzało się, itd. Nie wiedziałam co zrobić ze starymi upoważnieniami (niszczyć, czy trzymać?) oraz jak wpisać zmianę do ewidencji upoważnień.  To doświadczenie nauczyło mnie, że najpierw należy zastanowić się nad przebiegiem procesu, następnie zacząć działać. Read More

03 Sty

Czy administrator danych może upoważnić do przetwarzania danych kogoś kto nie jest jego pracownikiem?

Nadawanie upoważnień do przetwarzania danych osobowych jest jednym z podstawowych obowiązków administratora danych, wynikających z ustawy o ochronie danych osobowych.

Informację jak nadawać upoważnienia oraz wzór upoważnienia znajdziesz tutaj

Większość administratorów danych nie ma wątpliwości, że obowiązkiem otrzymania upoważnienia są objęci jego pracownicy i współpracownicy.  Nawet jeżeli przetwarzanie danych wynika bezpośrednio z obowiązku narzuconego przez przepisy prawa (opisywałam to na przykładzie upoważniania nauczycieli przez szkołę). Jednakże w podanym przykładzie zabrakło odpowiedzi na pytanie, kto powinien upoważnić osobę, która nie jest pracownikiem szkoły, np. pielęgniarkę szkolną lub pracownika ochrony. Zgodnie z art. 37. ustawy o ochronie danych osobowych: Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.Oznacza to, że administrator danych upoważnia do swoich danych. Nawet jeżeli osoba, która otrzyma dostęp do danych nie jest pracownikiem administratora, to właśnie on powinien nadać upoważnienie. Read More

19 Kwi

Różnica w pojęciu osoby upoważnionej, uprawnionej oraz użytkownika

Bardzo często spotykam się w dokumentacjach, które przesyłacie mi do sprawdzenia w pomieszaniu pojęć: użytkownika, osoby upoważnionej oraz osoby uprawnionej.  Nie są to synonimy i nie można używać ich zamiennie. Natomiast każde z nich ma kluczowe znaczenie dla dobrej organizacji polityki bezpieczeństwa informacji.

Osoba upoważniona – to osoba (najczęściej pracownik, ale niekoniecznie), która otrzymała upoważnienie do przetwarzania danych osobowych od administratora danych (ADO). Upoważnienie najczęściej jest wydawane na piśmie, chociaż GIODO dopuszcza także wydawanie upoważnień w formie służbowej wiadomości e-mail, ale jest to raczej rozwiązanie dla małych firm. Poza tym może stwarzać problemy w przyszłości przy kontroli upoważnień. Warto jeszcze przypomnieć, że upoważnienie powinno zawierać także informacje o tym do jakich danych (tzn. zbiorów) oraz w jakim zakresie pracownik otrzyma dostęp. Uważam, że warto od razu dodać informację o systemach informatycznych, do których zostaną nadane uprawnienia oraz loginie, który ma zostać przydzielony. Zmniejszy to liczbę dokumentów, które trzeba będzie wypełniać. Możecie skorzystać z przygotowanego przeze mnie wzoru. Read More

18 Lut

Kto upoważnia pracowników do przetwarzania danych przy umowie powierzenia?

Pytanie od Pani Beaty:

Czy firma, która świadczy usługę dla innej firm X, z którą ma podpisaną umowę powierzenia danych osobowych, ma obowiązek zebrać od pracowników oświadczenia o zgodzie na przetwarzanie danych osobowych firmy X? Czy wystarczy sama umowa powierzenia danych? Czy musimy uzyskać zgody od osób, których dane zostaną nam powierzone, na przetwarzanie ich danych?

Read More

06 Lut

Do czego należy upoważnić nauczycieli?

Pytanie od Pana Daniela:

Chciałbym zapytać o upoważnienia dla nauczycieli – czy każdy z nich powinien je posiadać, jeżeli w Polityce Bezpieczeństwa Informacji na wykazie danych osobowych w formie papierowej widnieją między innymi dzienniki zajęć, deklaracje uczęszczania na etykę, itp.? W chwili obecnej upoważnienia posiadają jedynie nauczyciele pracujący w Systemie Informacji Oświatowej.

Read More

14 Sty

2w1, czyli czy upoważnienie i oświadczenie mogą być w jednym pliku

Pytanie od Pani Anny:

Czy istnieje możliwość połączenia w jednym dokumencie upoważnienia pracownika do przetwarzania danych osobowych i oświadczenia o zachowaniu danych w poufności? Czy muszą jednak być to dwa odrębne dokumenty?

Przepisy w żaden sposób nie ograniczają Administratora Danych w tym zakresie, jak najbardziej może to być dokument 2w1. Należy tylko pamiętać o osobach, które nie otrzymują upoważnienia do przetwarzania danych (np. sprzątaczka), a przebywają w pomieszczeniach z danymi. One również powinny podpisać oświadczenie o zachowaniu danych w poufności.

08 Wrz

Dylematy biblioteki publiczno-szkolnej

Niektórzy z Was na pewno kojarzą taki twór, jak biblioteka publiczno-szkolna. Najczęściej jest to biblioteka publiczna, która ma swoją siedzibę (lub filię) w szkole i jednocześnie pełni rolę biblioteki szkolnej i publicznej. W niektórych jest jedna kartoteka czytelników, w innych dwie oddzielne. I od razu nasuwają się pytania natury prawnej.

Kto jest administratorem danych czytelników, biblioteka czy szkoła?

Jeżeli jest to biblioteka publiczna (lub jej filia) mieszcząca się w szkole, to administratorem danych osobowych wszystkich czytelników (także uczniów) jest biblioteka publiczna. Jeżeli w szkole mieści się biblioteka, którą zarządza szkoła i która tylko po godzinach obsługuje mieszkańców, ale nie jest to biblioteka publiczna, a jedynie instytucja pełniąca taką rolę, administratorem danych jest szkoła. Read More

13 Paź

Wzór upoważnienia

Zgodnie z art. 37 UODO: do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Upoważnienie musi zawierać nazwę zbioru oraz zakres upoważnienia. Powinno zostać nadane przez administratora danych (bibliotekę), czyli w praktyce na upoważnieniu powinien podpisać się dyrektor biblioteki lub osoba wyznaczona przez niego (przez odrębne zarządzenie lub określenie tego zadania w polityce bezpieczeństwa).

Read More