Najnowsze

REJESTR ZBIORÓW DANYCH OSOBOWYCH

Rejestr zbiorów danych osobowych – na czym polega, a także co możemy nazwać jawnym rejestrem?

     Obowiązek prowadzenia jawnego rejestru danych osobowych wynika bezpośrednio z Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745)

     Najważniejszą kwestią każdego Administratora Danych Osobowych są akty wykonawcze do ustawy. Rozporządzenie objaśnia kwestię, jakie warunki musi spełniać osoba powoływana na stanowisko Administratora Bezpieczeństwa Informacji, ale również wskazuje w jaki sposób skutecznie opracować i prowadzić jawny rejestr zbiorów danych osobowych.

Co to jest rejestr zbiorów danych osobowych?

     Jawny rejestr ma za zadanie sprawić, by procesy przetwarzania danych osobowych były bardziej przejrzyste. Okazuje się, że wraz z wdrożeniem rejestru zbiorów powstały nowe obowiązki z tego tytułu. Nowe zadanie powstało celem zaoszczędzenia zaoszczędzenie nakładu czasu w przeciwieństwie do wypełniania klasycznego wniosku – czy jednak tak stało się rzeczywiście nie poddajemy ocenie w tym wpisie.
Ogromnym plusem jest natychmiastowa aktualizacja rejestru przez ABI oraz brak konieczności zgłaszania oficjalnych wniosków aktualizacyjnych do Generalnego Inspektora Ochrony Danych osobowych.

Prowadzenie jawnego rejestru zbiorów

     Zastanawiając się, jakie informacje dotyczące każdego zbioru danych, powinny znaleźć się w jawnym rejestrze, GIODO wymaga następującej zawartości:
1) nazwa zbioru danych;
2) oznaczenie administratora danych, adresu jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej;
3) oznaczenie przedstawiciela administratora danych, a także adres siedziby lub miejsca zamieszkania – w przypadku wyznaczenia podmiotu;
4) oznaczenie podmiotu, któremu powierzono przetwarzanie danych osobowych, a także jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych ów podmiotowi;
5) podstawy prawnej upoważniającej do prowadzenia zbioru danych;
6) celu przetwarzania danych w danym zbiorze;
7) opisu kategorii osób, których dane są przetwarzane;
8) zakresu danych przetwarzanych w zbiorze;
9) sposobu zbierania danych do zbioru, w szczególności informacji, czy dane są zbierane od osób, których dotyczą;
10) sposobu udostępniania danych ze zbioru, w szczególności informacji, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa;
11) oznaczenia odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
12) informacji dotycząca ewentualnego przekazywania danych do państwa trzeciego.

Jawność rejestru – czy to słuszna decyzja?

     Dobrze opracowany opis struktury zbiorów danych osobowych nie powinien zawierać informacji niejawnych lub poufnych, więc teoretycznie nie ma zagrożenia w upublicznieniu zawartości; tym bardziej, że analogicznie rejestr zbiorów w przypadku braku powołania ABI lub gry przetwarzamy dane wrażliwe i tak jest publiczny – na stronie GIODO. Zawartość zależy od formy rejestru papierowej bądź elektronicznej. Ustawodawca zapewnia kilka możliwości jawności rejestru zbiorów danych.
Wersja papierowa – powinna być udostępniana do zapoznania się w siedzibie Administratora Danych Osobowych.

     W przypadku prowadzenia jawnego rejestru zbiorów danych osobowych w wersji elektronicznej, mamy trzy możliwości:
1) Link na stronie internetowej Administratora Danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru;
2) Stanowisko dostępowe w systemie informatycznym Administratora;
3) Sporządzanie wydruku rejestru z systemu informatycznego Administratora Danych;

Warto uwzględnić wszystkie zalety prowadzenia jawnego rejestru elektronicznie.

     Duże podmioty zarządzające danymi osobowymi, zamieszczające rejestr na stronie internetowej wpływają w znaczny sposób na własnych klientów, pokazując, iż nie mają nic do ukrycia oraz przestrzegają przepisy dotyczące ochrony danych osobowych. Najlepszym sposobem na prowadzenie elektronicznego jawnego rejestru zbiorów danych osobowych jest skorzystanie z programu dla ABI Kryptos24. Nie ma znaczenia czy nasza firma to korporacja, czy mała firmą, która przetwarza niewielką ilość danych osobowych.

W jakim terminie trzeba powiadomić GIODO o prowadzeniu rejestru danych osobowych?

     Każdy ABI, powołany przed Administratora Danych przed 1 stycznia 2015 r., powinien sporządzić jawny rejestr zbiorów danych, najpóźniej do czasu zgłoszenia go do rejestru Administratora Bezpieczeństwa Informacji. Zgłoszenie powinno nastąpić do dnia 30 czerwca 2015 roku.
W przypadku Administratorów Bezpieczeństwa Informacji powołanych po dacie 1 stycznia 2015 r., sprawa wygląda inaczej. Zgodnie z ustawą, zgłoszenie do rejestru GIODO powinno nastąpić w terminie 30 dni od daty powołania. Swoje obowiązki od początku realizują na podstawie znowelizowanych przepisów. Tym samym, obowiązek prowadzenia jawnego rejestru zbiorów danych osobowych, ciąży na nich od momentu wejścia w życie rozrządzenia czyli od 26 maja 2015 roku.

Informacje, na które warto zwrócić uwagę

     Aktualizacje jawnego rejestru stały się kolejnym kłopotem ABI. W rejestrze podaje się datę wpisu każdego zbioru danych do rejestru, a także datę ostatniej aktualizacji informacji.

jawny rejestr

     Co w przypadku wykreślenia zbioru danych? W rejestrze pozostawia się nazwę zbioru danych, datę wpisania zbioru danych oraz datę ostatniej aktualizacji informacji dotyczących ów zbioru wraz z adnotacją, iż jest to data wykreślenia zbioru z rejestru.
Odnotowania wymaga również historia zmian w danym rejestrze. Musi ona zawierać informację o rodzaju zmiany (nowy wpis, aktualizacja, wykreślenie), datę dokonania zmiany oraz informację o zakresie.
Które zbiory danych podlegają wpisowi do jawnego rejestru? Wszystkie, które byłyby zgłaszane do Generalnego Inspektora Ochrony Danych Osobowych.
Zgodnie z art. 36a ust. 2 pkt 2 ustawy o ochronie danych osobowych, wszystkie zbiory wymienione w art. 43 ust. 1 ustawy, a więc na przykład zbiory kadrowe, zostały wyłączone z opisania w jawnym rejestrze zbiorów danych.

Kryptos24, a jawny rejestr zbiorów

     Co to jest Agencja Bezpieczeństwa Danych Osobowych Sp. z o.o. ? To firma ekspercka w zakresie przetwarzania i ochrony danych osobowych, posiadająca kod podmiotu gospodarki narodowej. Dzięki API Kryptos24 istnieje możliwość integracji programu dla ABI do prowadzenia jawnego rejestru zbiorów z wszystkimi stronami internetowymi zarówno tymi opartymi na WordPress, Joomla jak i autorskimi.

Rejestr zbiorów

     Poszukując profesjonalnego, a także rzetelnego eksperta ds. ochrony danych osobowych, watro dodać, iż Kryptos24 nadaje się do zainstalowania i użytkowania w organach państwowych, samorządowych, komunalnych, podmiotach publicznych i niepublicznych, dla osób fizycznych i prawnych, słowem – dla każdej firmy i przedsiębiorstwa w Polsce. Mimo swej rozbudowanej struktury i wszechstronności jest bardzo łatwy w obsłudze, posiada przyjazną platformę komunikacji, a co najważniejsze – rewelacyjnie sprawdza się w codziennej praktyce.

Oprogramowanie dla ABI

    Sprawdź również

  • INSPEKTOR PIP A OCHRONA DANYCH OSOBOWYCH

    Inspektor PIP jako inspektor ochrony danych osobowych

         Na mocy porozumienia zawartego 14.12.2012 Generalnego Inspektora Danych Osobowych z Państwową Inspekcją Pracy inspektorzy PIP mogą sprawdzać w jaki sposób są zabezpieczone dane osobowe pracowników. Zobowiązani są zwracać uwagę na przypadki łamania ustawy o ochronie danych osobowych. Jako inspektorzy z dziedziny prawa pracy sprawdzają sposób w jaki pracodawca chroni dane osobowe pracowników. Ich uwadze nie umknie również fakt zbyt szerokiego zakresu gromadzonych danych. W celu ułatwienia pracy inspektorom, a także aby zwrócić uwagę pracodawców przygotowaliśmy kilka wskazówek jakimi powinien kierować się inspektor PIP.

          Inspektor PIP powinien przede wszystkim zwrócić uwagę na zakres przetwarzanych danych osobowych. Pracodawca może przetwarzać tylko dane osobowe pracowników, na które pozwalają przepisy prawa pracy – Kodeks Pracy – ustawy powiązane.

    1. Czy w aktach osobowych pracowników znajdują się kserokopie dokumentów, mogących poszerzają zakres zbiory danych? Część informacji w dowodach osobistych, paszportach, prawach jazdy, dyplomach powinny być zamazywane.

    2. W jaki sposób zabezpieczone są dane osobowe pracowników? Nie tylko akta osobowe umieszczamy w zamkniętych na klucz szafkach. Zbiory osobowe w szczególności zawierające dane wrażliwe powinny zostać odpowiednio zabezpieczone. W przypadku zbiorów papierowych należy zwrócić uwagę na zamykane szafki oraz dostęp do pomieszczeń. Inspektor powinien dopytać jak przechowywane są klucze do szafek i do pomieszczenia.

    3. Kto ma dostęp do danych osobowych. Osoby pracujące z danymi osobowymi pracowników powinny posiadać upoważnienia pozwalające na pracę z konkretnymi zbiorami. Powtórzenie na upoważnieniu zakresu obowiązków nie jest wystarczające. Ustawa o ochronie danych osobowych wyraźnie powołuje się na upoważnienie do konkretnego zbioru danych osobowych. Inspektor dokonując kontroli zakresu przy okazji sprawdza, czy na terenie placówki znajduje się Polityka Bezpieczeństwa i czy dokumentacja jest na bieżąco prowadzona. Rozporządzenie z 29.04.2004 r ( Dz.U. z 2004, Nr 100, poz. 1024) do UODO wymienia upoważnienia z rejestrem jako obowiązkowy element PB i nakazuje jej aktualizację.)

    4. Czy dokumenty tworzone przez dział kadrowy nie zawierają zbyt szerokiego zakresu danych i czy w ten sposób nie dochodzi do niekontrolowanego wycieku danych?  Przykładem mogą być listy płac, które oprócz wynagrodzenia z imieniem i nazwiskiem, zawierają również nr PESEL – zakres jest zbyt szeroki. W tym przypadku mniej znaczy lepiej.

    5. Rekrutacja do jednostki – co dzieje się z CV nadesłanymi przez potencjalnych pracowników, kto ma do nich dostęp, czy zawierają klauzulę o ochronie danych osobowych? CV osób odrzuconych po zakończonym okresie rekrutacji powinny zostać zniszczone w niszczarce dokumentów. Pracodawca nie może wykorzystywać danych z CV do innych celów niż rekrutacja na dane stanowisko.

    6. Przetwarzanie danych osobowych pracownika na podstawie udzielonej przez niego zgody – czy taka zgoda na formę pisemną i czy pracownik mógł odmówić jej udzielenia. Formuła pisma wyrażającego zgodę powinna zamierać opcje  – nie wyrażam zgody.

          Inspektor PIP po ustaleniu, że dane osobowe przetwarzane są w systemach informatycznych powinien zwrócić uwagę:

    1. Czy program kadrowo-płacowy spełnia wymagania Rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024). W szczególności powinien ustalić jakie są stosowane środki bezpieczeństwa i czy znajdują się na odpowiednim poziomie. Osoba pracująca z danymi osobowymi powinna posiadać indywidualny login, hasło od 6 znaków zmieniane co 30 dni. Inspektor powinien zapytać o datę ostatniego wykonania kopi zapasowej systemu i gdzie się ona znajduje (inne pomieszczenie niż oryginał).

    2. Program kadrowo – płacowy powinien być dostosowany do przepisów ustawy o ochronie danych osobowych. Administrator systemu powinien mieć możliwość wydrukowania raportu zawierające daty logowań użytkowników do systemu, kto i kiedy wprowadził, zmodyfikował i udostępnił dane osobowe pracowników.

    3. Czy zakres danych w systemach informatycznych jest zgodny z przepisami prawa pracy. Inspektor powinien zwrócić uwagę jakie pola są uzupełniane. Poszczególne programy pozwalają na wpisanie bardzo szerokiego zakresu danych, ale użytkownik sam może ustalić które pola uzupełniać. Jeśli wpływa to na nieprawidłowe funkcjonowanie systemu inspektor powinien powiadomić przedsiębiorcę o konieczności zmiany oprogramowania.

    4. Czy komputer na którym znajdują się dane osobowe jest połączony z internetem i czy został na nim  zainstalowany program antywirusowy. Program antywirusowy powinien być aktualizowany do najnowszej licencji. Inspektor PIP powinien rozwiązać problem, gdy data ostatniej aktualizacji wynosi ponad rok.

    5. Czy użytkownik ma ustalone hasło do systemu operacyjnego komputera oraz blokowany na hasło wygaszacz ekranu. System operacyjny firmy Microsoft musi być nowszy od Windows XP.

    6. Poczta elektroniczna działu kadrowego musi być zabezpieczona oddzielnym hasłem.

    7. Inspektor powinien zwrócić uwagę również na ustawienie monitorów. Osoby przychodzące do działu kadr nie powinny mieć możliwości podejrzenia tego jest wyświetlane na ekranie monitora.

    8. Komputery powinny być podłączone do sieci za pomocą listw zabezpieczających UPS.

          Powyższe kroki powinny pomóc inspektorom PIP w spełnieniu nowej roli inspektorów GIODO w miarę wypełniania swoich dotychczasowych obowiązków.

    Program dla ABI

Copyright © 2016 Kryptos - All Rights Reserved