Ochrona danych osobowych - nowelizacja przepisów.
Moderator: Moderatorzy
Ochrona danych osobowych - nowelizacja przepisów.
Cześć
Jestem ciekaw, jak wygląda u was stosowanie się do zapisów ustawy o ochronie danych osobowych?
Właśnie niedawno ukazała się nowela tejże ustawy oraz jedno rozporządzenie (2 rozporządzenia są w drodze).
Generalny Inspektor Danych Osobowych spycha - swoją dotychczas - robotę na doły, do firm – Administratorów Danych Osobowych (ADO).
W obecnej sytuacji prawnej, ADO może ustanowić u siebie (w firmie) ABI – Administratora Bezpieczeństwa Informacji, bądź, co jest chyba korzystniejszym dla nas (ADO i pracownika) rozwiązaniem, nie wyznaczać ABI. Jeżeli wyznaczy ABI, wtedy musi go zarejestrować u GIODO. ABI wtedy nie rejestruje zbiorów danych osobowych (podlegających rejestracji), lecz sam prowadzi ich rejestry. Przy czym rejestr danych osobowych prowadzonych przez ABI ma zawierać o wiele więcej danych niż do tej pory prowadzone przez GIODO rejestry (jak się robotę spycha na dół, to można więcej – szczegółowiej wymagać – GIODO rączki nie bolą). Ponadto ABI ma dodatkowe zadania – GIODO może mu bezpośrednio zlecić wykonanie kontroli przestrzegania „prawa o ochronie danych osobowych” u jego pracodawcy (czyli ADO). To tak na szybko, w dużym uproszczeniu.
W drugim przypadku ADO może nie wyznaczać ABI. Wtedy trzeba rejestrować zbiory danych osobowych (te, które podlegają rejestracji w GIODO). Skoro nie wyznaczono ABI, więc nie trzeba go rejestrować u GIODO. W tym przypadku dla ADO sprawami ochrony danych osobowych może się zajmować wyznaczony przez niego pracownik – zwany np.: koordynatorem ds. ochrony danych osobowych. Koordynator rejestruje zbiory, a rejestry prowadzi GIODO. Ten drugi przypadek jest dla nas bardziej korzystny. Gdyby tak nie było, to GIODO nie spychał by roboty na doły.
Oczywiści Polityka Bezpieczeństwa Informacji, jak i Instrukcja Bezpieczeństwa Systemu Informatycznego – obowiązują w obu przypadkach. ADO w jednym i w drugim przypadku odpowiada za przestrzeganie „przepisów o ochronie danych osobowych”.
To tak pokrótce i z pamięci. Ciekaw jestem jak to wygląda u Was? Czy zgłaszaliście w poprzednich latach jakieś zbiory danych osobowych do rejestracji u GIODO? Ciekaw jestem Waszych refleksji i opinii?
Jestem ciekaw, jak wygląda u was stosowanie się do zapisów ustawy o ochronie danych osobowych?
Właśnie niedawno ukazała się nowela tejże ustawy oraz jedno rozporządzenie (2 rozporządzenia są w drodze).
Generalny Inspektor Danych Osobowych spycha - swoją dotychczas - robotę na doły, do firm – Administratorów Danych Osobowych (ADO).
W obecnej sytuacji prawnej, ADO może ustanowić u siebie (w firmie) ABI – Administratora Bezpieczeństwa Informacji, bądź, co jest chyba korzystniejszym dla nas (ADO i pracownika) rozwiązaniem, nie wyznaczać ABI. Jeżeli wyznaczy ABI, wtedy musi go zarejestrować u GIODO. ABI wtedy nie rejestruje zbiorów danych osobowych (podlegających rejestracji), lecz sam prowadzi ich rejestry. Przy czym rejestr danych osobowych prowadzonych przez ABI ma zawierać o wiele więcej danych niż do tej pory prowadzone przez GIODO rejestry (jak się robotę spycha na dół, to można więcej – szczegółowiej wymagać – GIODO rączki nie bolą). Ponadto ABI ma dodatkowe zadania – GIODO może mu bezpośrednio zlecić wykonanie kontroli przestrzegania „prawa o ochronie danych osobowych” u jego pracodawcy (czyli ADO). To tak na szybko, w dużym uproszczeniu.
W drugim przypadku ADO może nie wyznaczać ABI. Wtedy trzeba rejestrować zbiory danych osobowych (te, które podlegają rejestracji w GIODO). Skoro nie wyznaczono ABI, więc nie trzeba go rejestrować u GIODO. W tym przypadku dla ADO sprawami ochrony danych osobowych może się zajmować wyznaczony przez niego pracownik – zwany np.: koordynatorem ds. ochrony danych osobowych. Koordynator rejestruje zbiory, a rejestry prowadzi GIODO. Ten drugi przypadek jest dla nas bardziej korzystny. Gdyby tak nie było, to GIODO nie spychał by roboty na doły.
Oczywiści Polityka Bezpieczeństwa Informacji, jak i Instrukcja Bezpieczeństwa Systemu Informatycznego – obowiązują w obu przypadkach. ADO w jednym i w drugim przypadku odpowiada za przestrzeganie „przepisów o ochronie danych osobowych”.
To tak pokrótce i z pamięci. Ciekaw jestem jak to wygląda u Was? Czy zgłaszaliście w poprzednich latach jakieś zbiory danych osobowych do rejestracji u GIODO? Ciekaw jestem Waszych refleksji i opinii?
juniperus (but not communis )
Z perspektywy leśniczego: mieliśmy kilka lat temu szkolenie z danych osobowych i ich ochrony. Prowadził ktoś z zewnątrz (spoza LP), nie pamiętam już dokładnie skąd.
Były to same ogólniki na zasadzie: " W swojej pracy macie na co dzień do czynienia z danymi osobowymi. Musicie uważać, jak z nimi postępujecie. Macie je chronić."
PS. Zaletą tego szkolenia była jego szybkość... Dnia pracy nam nie zdezorganizowało ....
Były to same ogólniki na zasadzie: " W swojej pracy macie na co dzień do czynienia z danymi osobowymi. Musicie uważać, jak z nimi postępujecie. Macie je chronić."
PS. Zaletą tego szkolenia była jego szybkość... Dnia pracy nam nie zdezorganizowało ....
Nie troszczcie się więc zbytnio o jutro, bo jutrzejszy dzień sam o siebie troszczyć się będzie. Dosyć ma dzień swojej biedy. (Mt 6,34)
Poprawiłem.juniperus pisze:Oczywiście w moim poście wyżej miało być: nie "ABI – Administratora Danych Osobowych" - tylko ABI - Administratora Bezpieczeństwa Informacji.
Przepraszam
Nie troszczcie się więc zbytnio o jutro, bo jutrzejszy dzień sam o siebie troszczyć się będzie. Dosyć ma dzień swojej biedy. (Mt 6,34)
Segregator z asygnatami, upul, oświadczenia samowyrobników (choć nowe druki już niekoniecznie) ... itd ...kolorowe kredki pisze:Wygląda to niestety tak, że bierze się pierwszy lepszy rejestrator i można już uruchamiać proceduryj24 pisze:Z perspektywy leśniczego ...
Nie troszczcie się więc zbytnio o jutro, bo jutrzejszy dzień sam o siebie troszczyć się będzie. Dosyć ma dzień swojej biedy. (Mt 6,34)
W starych był adres. W nowych tylko imię i nazwisko.Skrzacik pisze:to w oświadczeniach samowyrobników nie ma danych osobowych? Bosz, chyba mam strasznie stare drukij24 pisze: (...) oświadczenia samowyrobników (choć nowe druki już niekoniecznie) ... itd ...
Nie troszczcie się więc zbytnio o jutro, bo jutrzejszy dzień sam o siebie troszczyć się będzie. Dosyć ma dzień swojej biedy. (Mt 6,34)
Na podstawie imienia i nazwiska teoretycznie nie można zidentyfikować konkretnej osoby.
"Jak tam było, tak tam było, zawsze jakoś było. Jeszcze nigdy tak nie było, żeby jakoś nie było."
Beer-o-pedia - Encyklopedia piwa
Beer-o-pedia - Encyklopedia piwa
Outsourcing jest pewnym rozwiązaniem, ale nie koniecznie dobrym. Większość problemów z wyciekiem informacji leży po stronie pracowników. Outsourcing zapewni profesjonalne zarządzanie, ale nie uświadomi zwykłych pracowników o konieczności pilnowania danych przed wyciekiem. Wyciek jest niedopuszczalny w żadnej instytucji państwowej, nawet w LP, które z regóły nie dysponują newralgicznymi informacjami. Idealnie przy organizacji możliwości pracowników wspomaga nas PN-ISO/IEC 27002:2014-12. Norma ta w punkcie 7 zaleca m.in. postępowanie sprawdzające przed zatrudnieniem, wprowadzenie specjalnych warunków zatrudnienia, zakres odpowiedzalności kierownictwa, jak i najważniejsze, czyli "7.2.2 Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji".
I fragment tego punktu:
Podczas tworzenia programu uświadamiania, ważne jest nie tylko, aby skupić się na tym "co" i "jak", ale także
"dlaczego". Ważne jest, aby pracownicy rozumieli cel bezpieczeństwa informacji oraz potencjalny, pozytywny
i negatywny, wpływ własnego zachowania na organizację.
Uświadamianie, kształcenie i szkolenia mogą być częścią lub mogą być prowadzone razem z innymi działaniami
szkoleniowymi, na przykład z ogólnymi szkoleniami w zakresie teleinformatyki lub ogólnymi szkoleniami
w zakresie bezpieczeństwa. Zaleca się, aby uświadamianie, kształcenie i szkolenia były odpowiednie i istotne
dla ról, odpowiedzialności i umiejętności osób szkolonych.
Polecam zajrzeć do tej normy, genialna.
I fragment tego punktu:
Podczas tworzenia programu uświadamiania, ważne jest nie tylko, aby skupić się na tym "co" i "jak", ale także
"dlaczego". Ważne jest, aby pracownicy rozumieli cel bezpieczeństwa informacji oraz potencjalny, pozytywny
i negatywny, wpływ własnego zachowania na organizację.
Uświadamianie, kształcenie i szkolenia mogą być częścią lub mogą być prowadzone razem z innymi działaniami
szkoleniowymi, na przykład z ogólnymi szkoleniami w zakresie teleinformatyki lub ogólnymi szkoleniami
w zakresie bezpieczeństwa. Zaleca się, aby uświadamianie, kształcenie i szkolenia były odpowiednie i istotne
dla ról, odpowiedzialności i umiejętności osób szkolonych.
Polecam zajrzeć do tej normy, genialna.
To piękny zapis. Ale wykonalny tylko w przypadku daleko posuniętej integracji pracownika z organizacją/firmą. W przypadku gdy pracownikowi zwisa i powiewa ogólne dobro i stan firmy żadne przekonywanie go nie odniesie skutku.9_2015 pisze:Ważne jest, aby pracownicy rozumieli cel bezpieczeństwa informacji oraz potencjalny, pozytywny i negatywny, wpływ własnego zachowania na organizację.
Poezja to opisanie uczuć słowami, a świata - uczuciami.
***Unless otherwise stated, my posts are my opinion, not official***
No trees were killed to send this message, however, a large number of electrons were terribly inconvenienced.
***Unless otherwise stated, my posts are my opinion, not official***
No trees were killed to send this message, however, a large number of electrons were terribly inconvenienced.
-
- początkujący
- Posty: 23
- Rejestracja: środa 02 wrz 2015, 08:13
Nikt nie może być pewien, że do jego danych nie ma wglądu osoba niepowołana, jeśli przy komputerze kadrowca siedzi znajomek, mąż, koleżanka czy żona i czyta co chce i o kim chce, a szefostwo udaje, że nie widzi. Może tak być? - może, bo jest i pewnie długo będzie jeszcze! Nie ma ustawy, która nie pozwoliłaby na to?
Prawda w oczy kole?
Jest. Ustawa o ochronie danych osobowych i każdy pracownik, który przetwarza takie dane, podpisuje oświadczenie, że zapisów ustawy będzie przestrzegał. Jak masz dowody, że tak nie jest, zgłoś to do GIODO.
"Jak tam było, tak tam było, zawsze jakoś było. Jeszcze nigdy tak nie było, żeby jakoś nie było."
Beer-o-pedia - Encyklopedia piwa
Beer-o-pedia - Encyklopedia piwa