Ochrona danych osobowych - nowelizacja przepisów.

[juniperus]

Cześć
Jestem ciekaw, jak wygląda u was stosowanie się do zapisów ustawy o ochronie danych osobowych?
Właśnie niedawno ukazała się nowela tejże ustawy oraz jedno rozporządzenie (2 rozporządzenia są w drodze).
Generalny Inspektor Danych Osobowych spycha - swoją dotychczas - robotę na doły, do firm – Administratorów Danych Osobowych (ADO).
W obecnej sytuacji prawnej, ADO może ustanowić u siebie (w firmie) ABI – Administratora Bezpieczeństwa Informacji, bądź, co jest chyba korzystniejszym dla nas (ADO i pracownika) rozwiązaniem, nie wyznaczać ABI. Jeżeli wyznaczy ABI, wtedy musi go zarejestrować u GIODO. ABI wtedy nie rejestruje zbiorów danych osobowych (podlegających rejestracji), lecz sam prowadzi ich rejestry. Przy czym rejestr danych osobowych prowadzonych przez ABI ma zawierać o wiele więcej danych niż do tej pory prowadzone przez GIODO rejestry (jak się robotę spycha na dół, to można więcej – szczegółowiej wymagać – GIODO rączki nie bolą). Ponadto ABI ma dodatkowe zadania – GIODO może mu bezpośrednio zlecić wykonanie kontroli przestrzegania „prawa o ochronie danych osobowych” u jego pracodawcy (czyli ADO). To tak na szybko, w dużym uproszczeniu.
W drugim przypadku ADO może nie wyznaczać ABI. Wtedy trzeba rejestrować zbiory danych osobowych (te, które podlegają rejestracji w GIODO). Skoro nie wyznaczono ABI, więc nie trzeba go rejestrować u GIODO. W tym przypadku dla ADO sprawami ochrony danych osobowych może się zajmować wyznaczony przez niego pracownik – zwany np.: koordynatorem ds. ochrony danych osobowych. Koordynator rejestruje zbiory, a rejestry prowadzi GIODO. Ten drugi przypadek jest dla nas bardziej korzystny. Gdyby tak nie było, to GIODO nie spychał by roboty na doły.
Oczywiści Polityka Bezpieczeństwa Informacji, jak i Instrukcja Bezpieczeństwa Systemu Informatycznego – obowiązują w obu przypadkach. ADO w jednym i w drugim przypadku odpowiada za przestrzeganie „przepisów o ochronie danych osobowych”.
To tak pokrótce i z pamięci. Ciekaw jestem jak to wygląda u Was? Czy zgłaszaliście w poprzednich latach jakieś zbiory danych osobowych do rejestracji u GIODO? Ciekaw jestem Waszych refleksji i opinii?

[j24]

Z perspektywy leśniczego: mieliśmy kilka lat temu szkolenie z danych osobowych i ich ochrony. Prowadził ktoś z zewnątrz (spoza LP), nie pamiętam już dokładnie skąd.
Były to same ogólniki na zasadzie: " W swojej pracy macie na co dzień do czynienia z danymi osobowymi. Musicie uważać, jak z nimi postępujecie. Macie je chronić."

PS. Zaletą tego szkolenia była jego szybkość... Dnia pracy nam nie zdezorganizowało ....

[juniperus]

Oczywiście w moim poście wyżej miało być: nie "ABI – Administratora Danych Osobowych" - tylko ABI - Administratora Bezpieczeństwa Informacji.
Przepraszam

[kolorowe kredki]

Z perspektywy leśniczego ...

Wygląda to niestety tak, że bierze się pierwszy lepszy rejestrator i można już uruchamiać procedury

[j24]

Oczywiście w moim poście wyżej miało być: nie "ABI – Administratora Danych Osobowych" - tylko ABI - Administratora Bezpieczeństwa Informacji.
Przepraszam

Poprawiłem.

[j24]

Z perspektywy leśniczego ...

Wygląda to niestety tak, że bierze się pierwszy lepszy rejestrator i można już uruchamiać procedury

Segregator z asygnatami, upul, oświadczenia samowyrobników (choć nowe druki już niekoniecznie) ... itd ...

[Skrzacik]

(...) oświadczenia samowyrobników (choć nowe druki już niekoniecznie) ... itd ...

to w oświadczeniach samowyrobników nie ma danych osobowych? Bosz, chyba mam strasznie stare druki

[j24]

(...) oświadczenia samowyrobników (choć nowe druki już niekoniecznie) ... itd ...

to w oświadczeniach samowyrobników nie ma danych osobowych? Bosz, chyba mam strasznie stare druki

W starych był adres. W nowych tylko imię i nazwisko.

[Skrzacik]

Dzięki j24, do nas nowe jeszcze nie dotarło...

[kolorowe kredki]

... do nas nowe jeszcze nie dotarło...

Do mnie też. Czekamy na powołanie spec - zespołu w DGLP

[Capricorn]

Dzięki j24, do nas nowe jeszcze nie dotarło...

My na nim działamy od ubiegłego roku. Jakoś tak w lutym weszło

[Skrzacik]

Dzięki j24, do nas nowe jeszcze nie dotarło...

My na nim działamy od ubiegłego roku. Jakoś tak w lutym weszło

u nas się też w zeszłym roku zmieniło, ale część "adres" pozostała bez zmian.

[crocidura]

a samo imię i nazwisko (powiązane z danymi dotyczącymi pozyskania drewna) nie stanowi danych osobowych? Myślałem, że tak...

Wątpię by zaznaczone dane na KW - nazwiska przewoźników i nr rejestracji stanowiły problem, ale może jednak?

[Sten]

Na podstawie imienia i nazwiska teoretycznie nie można zidentyfikować konkretnej osoby.

[TomCio]

Na podstawie imienia i nazwiska teoretycznie nie można zidentyfikować konkretnej osoby.

Teoretycznie. Bo na ten przykład nie dotyczy to komorników co poniektórych...

[wasinek]

U mnie? U mnie forma zdecydowała się na outsourcing ABI [... mod ...] i to oni zajmują się wszystkimi takimi kwestiami. Czyli ustawa działa, GIODO zrzuciło z siebie odpowiedzialność.

[9_2015]

Outsourcing jest pewnym rozwiązaniem, ale nie koniecznie dobrym. Większość problemów z wyciekiem informacji leży po stronie pracowników. Outsourcing zapewni profesjonalne zarządzanie, ale nie uświadomi zwykłych pracowników o konieczności pilnowania danych przed wyciekiem. Wyciek jest niedopuszczalny w żadnej instytucji państwowej, nawet w LP, które z regóły nie dysponują newralgicznymi informacjami. Idealnie przy organizacji możliwości pracowników wspomaga nas PN-ISO/IEC 27002:2014-12. Norma ta w punkcie 7 zaleca m.in. postępowanie sprawdzające przed zatrudnieniem, wprowadzenie specjalnych warunków zatrudnienia, zakres odpowiedzalności kierownictwa, jak i najważniejsze, czyli "7.2.2 Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji".

I fragment tego punktu:
Podczas tworzenia programu uświadamiania, ważne jest nie tylko, aby skupić się na tym "co" i "jak", ale także
"dlaczego". Ważne jest, aby pracownicy rozumieli cel bezpieczeństwa informacji oraz potencjalny, pozytywny
i negatywny, wpływ własnego zachowania na organizację.
Uświadamianie, kształcenie i szkolenia mogą być częścią lub mogą być prowadzone razem z innymi działaniami
szkoleniowymi, na przykład z ogólnymi szkoleniami w zakresie teleinformatyki lub ogólnymi szkoleniami
w zakresie bezpieczeństwa. Zaleca się, aby uświadamianie, kształcenie i szkolenia były odpowiednie i istotne
dla ról, odpowiedzialności i umiejętności osób szkolonych.

Polecam zajrzeć do tej normy, genialna.

[Piotrek]

Ważne jest, aby pracownicy rozumieli cel bezpieczeństwa informacji oraz potencjalny, pozytywny i negatywny, wpływ własnego zachowania na organizację.

To piękny zapis. Ale wykonalny tylko w przypadku daleko posuniętej integracji pracownika z organizacją/firmą. W przypadku gdy pracownikowi zwisa i powiewa ogólne dobro i stan firmy żadne przekonywanie go nie odniesie skutku.

[Mysiadziura]

Nikt nie może być pewien, że do jego danych nie ma wglądu osoba niepowołana, jeśli przy komputerze kadrowca siedzi znajomek, mąż, koleżanka czy żona i czyta co chce i o kim chce, a szefostwo udaje, że nie widzi. Może tak być? - może, bo jest i pewnie długo będzie jeszcze! Nie ma ustawy, która nie pozwoliłaby na to?

[Sten]

Jest. Ustawa o ochronie danych osobowych i każdy pracownik, który przetwarza takie dane, podpisuje oświadczenie, że zapisów ustawy będzie przestrzegał. Jak masz dowody, że tak nie jest, zgłoś to do GIODO.