[Audyt KRI w urzedzie gminy]

Przerabiałem ten temat jako ABI i audytor sprawdzał zgodność po pierwsze dokumentów w urzędzie pod kątem ustawy/rozporządzenia - czy posiadamy legalne dokumenty (politykę/instrukcję) w urzędzie. A następnie czy dane zawarte w dokumentach są wprowadzone w życie i stosowane w praktyce. Oczywiście zwrócił jeszcze uwagę na to, czy czegoś nie pomineliśmy z normy ISO 27001

[Gotowy druk powołania zespołu powypadkowego]

Ja korzystam z druków umieszczonych na stronie Państwowej Inspekcji Pracy i nigdy nie miałem żadnych problemów - https://www.pip.gov.pl/pl/f/v/23019/88300005.pdf Są przejrzyste, na dole jest pouczenie w jaki sposób należy go wypełnić i generalnie ja, ani moi pracownicy nigdy nie mieli z tym problemów. Czasem wymyśla się na siłę różne formularze, które w ogóle nie mają sensu, ani podstawowych punktów

[Zbiorowy wypadek]

Każdy z osobna zgłasza wypadek, tylko w pkt. 8 wskazujesz, że jest to wypadek zbiorowy. Jest to formularz z rozporządzenia na stornie PiP, więc śmiało go możesz wpyłeniąć - https://www.pip.gov.pl/pl/f/v/23019/88300005.pdf

[Regulamin na stronie internetowej]

Gdy odpłatnie świadczymy usługi to nie jest to już takie proste. Ustawa o prawie konsumentów i ustawa o świadczeniu usług drogą elektroniczną wprowadziły wiele pierdół np. button, który musi obowiązkowo znaleźć się przy zakupie, że jest to zakup z obowiązkiem zapłaty Trochę śmieszne, ale tak jest. Więc nie polecam przy komercyjnych projektach bawić się w prawnika, lepiej oddać to w fachowe ręce. A jak po prostu zarabiamy z reklam, to można samemu coś naskrobać na podstawie już bogatej bazy przykładów

[Określenie zbiorów danych osobowych]

Kurde, widzę że jednak nie będzie to takie proste, aby zrobić to samemu Myślę, że skorzystam z gotowca, albo pomocy kancelarii jakiejś. Bo do głowy mi nawet nie przychodzi, jakie to zbiory mogą być, co może być w ogóle zbiorem danych (to że monitoring jest, nawet by mi do głowy nie przyszło). Darek, to mógłbyś mi opisać jaka jest podstawa i czy trzeba zgłaszać następujące dane? tj.

- dane pracowników (tj. ich dane osobowe, dane z protokółów tj. L4, powypadkowy, dane z dokumentów rekrutacyjnych, które od nich bierzemy)

- dane klientów (podstawowe do przesyłki i realizacji zamówienia)

- ten monitoring też mam

- dane z newlsettera na naszej stronie internetowej

[Powiązania pomiędzy strukturami zbiorów danych osobowych]

Dzięki Darek Sam miałem z tym  nie lada problem i nie wiedziałem jak podejść do określenia struktury danych osobowych. Teraz wiem, jak sobie z tym poradzić i myślę, że nie będzie to stwarzać najmniejszych problemów.

[Procedura tworzenia kopii zapasowej]

Rzeczywiście, macierzy dyskowej nie opłaca się w tym zakresie w ogóle kupować. Możesz wykorzystać jakiekolwiek zewnętrzne źródło np. dysk twardy, pendrive etc. Nawet możesz na wirtualnym dysku google je zapisać, ale muszą być w jakimś pliku zapisane. Jeśli program je zapisuje, to myślę, że też by to przeszło i nie byłoby najmniejszego problemu w tym zakresie

[Instrukcja zarządzania systemem informatycznym]

W praktyce zmianę haseł wprowadziliśmy tylko dzięki temu, że mamy wgrany program do wymuszania haseł (my po prostu w windowskie mamy taką opcję na secpol.msc w panelu komend). Jednak dostępna ta opcja jest tylko w wersjach pro windows, więc wiele osób musi korzystać tutaj z zewnętrznych programów, albo samemu pamiętać o odpowiedniej zmianie. Dane wprowadzane do systemu mamy w zasadzie tylko w 3 programach i one na szczęście są w stanie odnotować jaki użytkownik i kiedy wprowadził jakie dane. Ponadto, w firmie mamy macierz dyskową, więc nie ma żadnego problemu z tym, aby w odpowiedni sposób zrobić kopię wszystkich danych (+ w tym danych osobowych).

[Kupowanie gotowych dokumentów z zakresu ochrony danych osobowych]

Jeśli w tej cenie pomogą Ci w dostosowaniu tych dokumentów do potrzeb twojej firmy to jak najbardziej warto. Moim zdaniem 500-600zł to rozsądna cena za dokumenty, które będzie można już wykorzystać w określonej firmie. Z tego też powodu jak najbardziej polecam skorzystanie z takich firm, dasz znać gdzie znalazłeś/aś takie oferty? Jak ja się rozpytywałem to zawsze wychodziło nieco drożej

[Lista mailingowa]

A czy to działa także względem cudzoziemców? Jak to wygląda w UE i na świecie? Nie wiem w jaki sposób zapewnić im odpowiednią informację oraz czy nie jest to kwestia regulowana przez poszczególne ustawy?

[Zabezpieczenie danych osobowych]

W instrukcji zarządzania systemem informatycznym będziesz musiał wszystko ładnie wskazać za rozporządzeniem tj. możliwość odnotowania wprowadzenia danych osobowych, posiadanie back up-ów danych osobowych, zmiana haseł w kompach (w aplikacji i systemie), antywirus, polityka zarządzania danymi osobowymi

[O czym informować użytkowników przy rejestracji na forum]

Dokładnie! Informacje powinny być, gdy świadczysz w internecie jakieś usługi odpłatnie. Ale w tym wypadku, gdy jest to forum to nie ma takiej potrzeby. Po prostu daj odnośniki do polityki prywatności/regulaminu i będzie wszytko ok. Ustawy tutaj jedynie wskazują na ogólne obowiązki w zakresie zbierania danych od określonych osób (tj. wskazanie baneru w zakresie cookies oraz poinformowania w polityce prywatności o celach przetwarzania danych osobowych).

[GIODO kontrola]

Dobry artykuł, teraz różne rzeczy się słyszy. Że to niby przedsiębiorcy mają być kontrolowani, dobrze że nie jest to prawdą Chociaż w niektórych firmach które zajmują się pożyczkami takie kontrole jak najbardziej by się przydały. Z moich obserwacji wynika, że nie ma tam w zasadzie żadnych procedur, gdy idzie o utrzymanie odpowiedniego stopnia ochrony danych osobowych, a moim zdaniem jest to podstawa! Często te dane są wręczane komukolwiek, bez żadnego upoważnienia, w szczególności firmą które zajmują się ich publikacją w internecie (co do dłużników - bezprawnie)! i windykatorom

[Koszt ustanowienia ABI-ego]

Nie ma co oszczędzać na wszystkim .. A potem się dziwimy, że wszystko wokół nas funkcjonuje źle i wygląda okropnie .. Ustanowienie ABI u nas kosztuje około 1000 zł na rok. Są to koszta związane z stworzeniem odpowiedniej dokumentacji, zmianami w niej, prowadzenie ewidencji osób upoważnionych, audyt od czasu do czasu (przy jakiś zmianach) i doraźna pomoc. Moim zdaniem jak najbardziej warto powołać ABI, bo inaczej można się utopić w gąszczu przepisów, a kontrole w niektórych firmach by się przydały, które dosłownie wylewają dane klientów gdziekolwiek!

[Czy trzeba upoważnić kuriera do przetwarzania danych osobowych?]

Cześć, zastanawiam się, czy trzeba upoważniać kuriera do przetwarzania danych osobowych, czy też posiada on może umocowanie ustawowe do przetwarzania danych osobowych naszych klientów, którzy w tym wypadku otrzymają odpowiednie przesyłki. Proszę o pomoc, bo w internecie nie mogę na ten temat znaleźć żadnych informacji ..

[Zalety powołania ABI?]

Na ABI-im ciąży ustawowa odopowiedzialność (niestety, solidarna z pracodawcą - nie można jej całkowicie przenieść), aby wszystko się zgadzało z danymi osobowymi w firmie. Z pewnością to duży plus. Duże korporacje swoje zespoły zatrudniają, która działają wedle własnych procedur. Ale w średnich firmach warto zatrudnić ABI (w małych raczej nie), bo samemu naprawdę ciężko dane osobowe ogarnąć ...

[Obowiązki zmiany haseł co 30 dni]

Nawet o tym nie wiedziałem. U nas w firmie niczego takiego się nie stosuje. Haseł się zmienia, jak ktoś się zmieni w firmie. A tak to nawet nie ma potrzeby. Dokumenty z zakresu ochrony danych osobowych mamy, ale ten punkt był widocznie celowo pominięty .. I dobrze, kto by pamiętał o tych wszystkich obowiązkach

[Przekazywanie danych do Niemiec - wymogi prawne]

Jeśli szukasz odpowiedzi ze strony UE, to masz dyrektywę 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.  Motyw 56 preambuły stanowi, iż "Transgraniczny przepływ danych osobowych jest koniecznym warunkiem rozwoju handlu międzynarodowego; ochrona osób jaką niniejsza dyrektywa gwarantuje we Wspólnocie nie stanowi przeszkody dla przekazywania danych osobowych do państw trzecich, które zapewniają odpowiedni stopień ochrony; prawidłowość stopnia ochrony danych zapewnianej przez państwo trzecie należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazywania danych lub zestawu takich operacji."

To oznacza, iż dyrektywa (a więc akt prawny, który ma być implementowany w wszystkich państwach członkowskich) ma zapewnić ochronę we wszystkich państwach wspólnoty i w tym wypadku nie trzeba dbać o to, czy jest tam odpowiedni poziom ochrony, bo istnieje domniemanie, iż skoro dyrektywa była implementowana to jest odpowiedni poziom ochrony danych osobowych zachowany. Inaczej jest w państwach trzecich tj. poza unią europejską, gdzie w tym wypadku musi być pierwsze sprawdzone, czy państwo trzecie zapewnia odpowiedni poziom ochrony.