PILNE-ochrona danych osobowych

[anita74]

Pilnie potrzebuję opinii czy audytor musi posiadać upoważnienie do przetwarzania danych osobowych. Ja takiego nie mam i kierownik jednostki audytowanej chce mi z tego względu podważyć wyniki audytu

[ceem]

Audytor wewnętrzny przystępując do zadania powinien przedstawić upoważnienie do przeprowadzania audytu wewnętrznego oraz dowód osobisty. Upoważnienie to jest ważne za okazaniem dowodu osobistego oraz poświadczenia bezpieczeństwa upoważniającego do dostępu do informacji niejawnych, oznaczonych klauzulą zastrzeżone.
Myślę, że jeżeli posiadasz takowe poświadczenie bezpieczeństwa, które wskazuje na to że osoba je posiadająca daje gwarancję zachowania tajemnicy służbowej (którą objęte są dane osobowe), to kierownik tej jednostki audytowanej nie powinien podważać wyników audytu.

[groszek]

Za mało podałaś danych, czy posiadasz poświadczenie bezpieczeństwa – z tego, co mi kiedyś tłumaczyła inspektor NIK, która była u nas na kontroli – w tedy nie musi się mieć oddzielnego upoważnienia do wglądu do akt osobowych.
Jeśli nie masz takiego poświadczenia to na twoim upoważnieniu powinnaś była zamieścić klauzulę o dostępie do danych osobowych w zakresie audytu.

[anita74]

Nie mam poswiadczenia bezpieczeństwa. Czyli na upoważnieniu do audytu wystarczy klauzula o dostępie do danych osobowych?

[lucy]

Najlepiej – jeżeli oczywiście jednostką audytowaną nie jest jednostka zatrudniająca ciebie, bo wtedy kierownik tej jednostki – przy twoim braku poświadczenia – musi określić do jakich dokumentów możesz mieć dostęp ( najczęściej kaluzula „poufne” nie niżej )- zapytaj waszego radcę prawnego. Z tego co pamiętam jest zalecane , aby chociaż jeden z audytorów miał poświadczenie dostępu domateriałów oznaczonych „tajne” . Takie poświadczenie ułatwia prace.

[nickkita]

Ludzie ale namieszaliście – dane osobowe a informacje niejawne to dwie różne sprawy. Poświadczenia do tajnych? ma je zazwyczaj pełnomocnik ds. informacji niejawnych. Aby móc przetwarzać dane osobowe wystarczy upoważnienie od administratora danych, którym jest burmistrz bądź sekretarz. Reasumując – poświadczenia przeprowadza pełnomocnik ds. informacji niejawnych powołany na podstawie ustawy o ochronie informacji niejawnych i poświadczenie takie jest potrzebne do wglądu w sprawy zastrzeżone ale upoważnienie do przetwarzania danych osobwych wystawia administrator danych w myśl ustawy o ochronie danych osobowych. Proszę zatem nie mylić informacji niejawnych z ochroną danych osobowych. Pozdrawiam.

[pawels]

Wójt Burmistrz Prezydent nie może delegować funkcji administratora danych na sekretarza!!!! W ustawie jest jasno wskazane ze administratorem danych jest kierownik jednostki który wyznacza administratora bezpieczeństwa informacji!!!! W necie jest sporo artykułów na ten temat ćwiczyłem to przy audycie informatycznym.
Pozdrawiam

[anita74]

Czy ja jako audytor mam napisać do Burmistrza wniosek o podpisanie takiego upoważnienia? CZy jest jakiś druk urzędowy upoważnienia?

[mareksp]

Nie ma żadnych urzędowych druków upoważnienia do przetwarzania danych. Wg komentarzy w LEX ustawodawca nie określa formy ani treści takiego upoważnienia. Ze względów dowodowych powinno być ono wystawione na piśmie. Wystawienie upoważnień (jak też prowadzenie ewidencji osób upoważnionych) jest obowiązkiem administratora danych osobowych a nie audytora. Audytor, tak jak każdy inny pracownik nie ma obowiązku „upominania się” o wystawienie upoważnienia. Jego posiadanie czy brak nie ma żadnego wpływu na wiarygodność wyników audytu. Jeśli audytowany uważa, ze nie miałaś prawa do dostępu do danych osobowych, to nie powinien był Ci ich udostepniać. Ponadto jest wątpliwość czy twój pacodawca może Ci wystawić upoważnienie do przetwarzania danych w jednostce podległej i czy to jest potrzebne. Mądrzy profesorowie w komentarzach do ustawy o ochronie danych twierdzą, że: „Dyskusyjne jest czy ewidencją osób zatrudnionych przy przetwarzaniu danych powinni być objęci Ci, którzy tylko pośrednio mają do czynienia z przetwarzaniem danych, np. z racji wykonywania funkcji kontrolnych w zakładzie”.
Podsumowując powyższe, tak jak wspomniał ceem, wystarczające jest upoważnienie do audytu wewnętrznego wraz z dowodem tożsamości. Prawo dostępu do danych wynika zaś z uprawnienia ustawowego, o ile taka potrzeba wynika w związku z prowadzonym zadaniem audytowym.

[sabcia]

faktycznie jeżeli przetwarzasz w trakcie pracy dane osobowe, powinnas miec takie upoważnienie.To nie ma nic wspólnego z informacjami niejawnymi.
U mnie wydawaniem upowaznien zajmuje się ABI. Ale w mojej jednostce przewtarza się mnóstwo danych osobowych. I praktycznie większość pracowników takie upoważnienie posiada. Ale jesli w twojej pracy nie macie dostępu do danych osobowych (nie sa traktowane tak na przykład dane przedsiębiorców), to chyba tylko w przypadku audytu w kadrach można od ciebie takowego wymagac.
Ale i tak nie wydaje mi się, żeby można było podważyc wyniki audytu. Najwyżej zarzucic kierownikowi jednostki nieprawidłowe działanie (nie wystawił upoważnien) a osobie wydajacej dane – bezprawne ich udostępnienie. Ale tobie? Żądać każdy może. Odpowiada ten, który wydaje. Ostatecznie jest to świetny dowód na brak mechanizmów kontrolnych:smile:))

[eddie]

ABI. Projekt ustawy o ochronie danych osobowych

Administratorzy Bezpieczeństwa Informacji: Projekt ustawy o ochronie danych osobowych – po raz drugi – zobaczmy, co nowego!

Już jakiś czas temu pisałem o projekcie ustawy o ochronie danych osobowych, a teraz mamy kolejną wersję tego projektu na stronach Ministerstwa Cyfryzacji, które z dniem 14 września 2017 r. zaprasza do konsultacji społecznych. W pakiecie mamy projekt ustawy (który tutaj podsumowuję), projekt ustawy wprowadzający zmiany w szeroko pojętym otoczeniu prawnym (opisuję go tutaj, tutaj i tutaj), ocena skutków zmian w regulacja itp.

Czytaj dalej: https://www.goldenline.pl/grupy/Organizacje_i_stowarzyszenia/fejs/abi-projekt-ustawy-o-ochronie-danych-osobowych-po-raz-drugi-zobaczmy-co-nowego,3800612/

[eddie]

Zapraszamy do Grupy FEJS (Fundacja Edmunda J. Saundersa) oraz do Grupy IIC POLAND CHAPTER (The Institute for Internal Controls (The IIC) IIC POLSKA).

[Autor]

Wpisy