Dyskusja:14-12.01: Różnice pomiędzy wersjami
Z WSTOIn
(Utworzono nową stronę "Polskie Towarzystwo Informatyczne przekazuje opinię dotyczącą projektu rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez adminis...") |
(wpis i zmiana pokazywania wydzielonych partii tekstu (domyślnie zwinięte) |
||
| Linia 1: | Linia 1: | ||
| + | {| class="wikitable collapsible collapsed" width=100% | ||
| + | ! <small>Powielone ze strony [[Dyskusja_pliku:Mat-14-12_01m01.docx]] - [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 22:15, 7 gru 2014 (CET) </small> | ||
| + | |- | ||
| + | | | ||
| + | §3.1. p.3 jeżeli został wyznaczony - wydaje się że jeśli ADO to organizacja to jeśli nie wyznaczono ABI kierownik jednostki pełni tą funkcję<br /> | ||
| + | p. 5 podstawa prawna upoważniająca do prowadzenia zbioru danych - czy prowadzenie działalności gospodarczej i posiadanie bazy klientów nie uprawnia do prowadzenia zbioru danych osobowych? Jaka jest podstawa prawna?<br /> | ||
| + | §3.2,3,4 wydaje się że logiczniej byłoby prowadzić zapisy "narastająco" i nie wykreślać zbioru a jedynie oznaczać że jest nieużywany wraz z wyjaśnieniem jak zbiór został usunięty<br /> | ||
| + | Nie rozumiem po co jest §4 wobec §3 w którym można określić że zapisy te wykonuje ABI<br /> | ||
| + | Dalsze punkty tego paragrafu zawierają to czego brakowało mi w §3<br /> | ||
| + | §5.1.2 jaki sens udostępniania na stanowisku skoro dostęp online na stronie www?<br /> | ||
| + | --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 22:09, 3 gru 2014 (CET) | ||
| + | |} | ||
| + | :Przemysławie, czy powyższe stwierdzenia mają się znaleźć w opinii? [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 22:32, 7 gru 2014 (CET) | ||
| + | |||
| + | |||
Polskie Towarzystwo Informatyczne przekazuje opinię dotyczącą projektu rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.<br /> | Polskie Towarzystwo Informatyczne przekazuje opinię dotyczącą projektu rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.<br /> | ||
Pragniemy zwrócić uwagę na konieczność doprecyzowania zapisów §5 ust. 1 p.2 oraz ust. 2 odnośnie miejsca udostępnienia rejestru. Miejsce zamieszkania dotyczy tylko i wyłącznie administratorów danych będących osobami fizycznymi. Mogą one jednak przetwarzać dane jak i prowadzić dokumentację także poza miejscem swojego zamieszkania.<br /> | Pragniemy zwrócić uwagę na konieczność doprecyzowania zapisów §5 ust. 1 p.2 oraz ust. 2 odnośnie miejsca udostępnienia rejestru. Miejsce zamieszkania dotyczy tylko i wyłącznie administratorów danych będących osobami fizycznymi. Mogą one jednak przetwarzać dane jak i prowadzić dokumentację także poza miejscem swojego zamieszkania.<br /> | ||
| Linia 6: | Linia 21: | ||
§5 ust. 2 winien brzmieć:<br /> | §5 ust. 2 winien brzmieć:<br /> | ||
„''W przypadku prowadzenia rejestru w postaci papierowej, administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu jego treść w swojej siedzibie, a w przypadku gdy administrator danych jest osobą fizyczną, w jego miejscu zamieszkania lub miejscu pełnienia przez niego obowiązków administratora danych''.”<br /> | „''W przypadku prowadzenia rejestru w postaci papierowej, administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu jego treść w swojej siedzibie, a w przypadku gdy administrator danych jest osobą fizyczną, w jego miejscu zamieszkania lub miejscu pełnienia przez niego obowiązków administratora danych''.”<br /> | ||
| + | W §3 ust. 3 oraz w §4 ust.3 mówi się o wykreśleniu zbioru danych z rejestru w przypadku zaprzestania przetwarzania w nim danych osobowych. Z kontekstu zapisów wynika, że zostają wykreślone wszystkie zapisy związane ze zbiorem poza jego nazwą, datą wpisu i wykreślenia. Uważamy, że fakt zaprzestania przetwarzania powinien skutkować nie wykreśleniem ze zbioru a jedynie zapisem o zaprzestaniu przetwarzania. Ponieważ zaprzestanie przetwarzania jest równoznaczne z usunięciem samego zbioru lub usunięciu danych osobowych ze zbioru, zapis o zaprzestaniu przetwarzania winien być uzupełniony o formę usunięcia danych osobowych.<br /> | ||
| + | '''Stanowisko PTI:'''<br /> | ||
| + | §3 ust. 3 winien brzmieć:<br /> | ||
| + | „''W przypadku zaprzestania przetwarzania informacji w zbiorze odnotowuje się nazwę zbioru, datę zaprzestania przetwarzania zawartych w nim danych osobowych oraz sposób ich usunięcia''”<br /> | ||
| + | §4 ust. 3 winien brzmieć:<br /> | ||
| + | „''zaprzestanie przetwarzania danych osobowych zawartych w zbiorze''” | ||
| + | |||
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 12:03, 4 gru 2014 (CET) | --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 12:03, 4 gru 2014 (CET) | ||
| + | |||
| + | <br /> | ||
| + | <HR> | ||
| + | |||
| + | Przeglądam przesłany projekt rozporządzenia i zastanawiam się nad pragmatyzmem rozwiązania narzucającego sporą pracochłonność w zakresie prowadzonego rejestru zbiorów. | ||
| + | Kształt UoODO po zmianach zachęcał do powoływania ABI poprzez wizję odciążenia przedsiębiorców procesem rejestracji zbiorów w GIODO na rzecz prowadzenia własnego rejestru - niestety aktualny kształt projektu podważa taką wizję. Proponuję analizę tekstu pod kontem możliwości optymalizacji - zminimalizowania wymaganych pól rejestru chociażby w zakresie porównania z [http://www.giodo.gov.pl/plik/id_p/525/j/pl/ ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH]) <br /> | ||
| + | Przykład propozycji optymalizacji:<br /> | ||
| + | np: zmianę § 3. 1. pkt 2 i 3 - jaki jest sens powielania tych informacji dla każdego zbioru danych ???<br /> | ||
| + | wystarczy przecież, że te informacje będą zawarte dla całego rejestru co skutkuje '''Propozycją zmian PTI''' <br /> | ||
| + | * Wykreślenie z § 3. 1. pkt. 2 i 3 | ||
| + | * Zmianę § 2. na <br /> | ||
| + | § 2.1 Rejestr zbiorów zawiera: <br /> | ||
| + | 1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany ;<br /> | ||
| + | 2) jeżeli został wyznaczony, oznaczenie przedstawiciela administratora danych, o którym mowa w art. 3la ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej „ustawą", i adres jego siedziby lub miejsca zamieszkania; <br /> | ||
| + | § 2.2 Rejestr prowadzony jest w postaci papierowej albo w postaci elektronicznej.<br /> | ||
| + | --[[Użytkownik:Mizerski Adam|Mizerski Adam]] ([[Dyskusja użytkownika:Mizerski Adam|dyskusja]]) 10:15, 6 gru 2014 (CET) | ||
| + | |||
| + | Podaję propozycję opinii: | ||
| + | {| class="wikitable collapsible collapsed" width=100% | ||
| + | ! <small>Projekt opinii - roboczy </small> | ||
| + | |- | ||
| + | | | ||
| + | Polskie Towarzystwo Informatyczne przekazuje opinię dotyczącą projektu rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.<br /> | ||
| + | |||
| + | |||
| + | Pragniemy zwrócić uwagę na konieczność doprecyzowania zapisów §5 ust. 1 p. 2 oraz ust. 2 odnośnie miejsca udostępnienia rejestru. Miejsce zamieszkania dotyczy tylko i wyłącznie administratorów danych będących osobami fizycznymi. Mogą one jednak przetwarzać dane jak i prowadzić dokumentację także poza miejscem swojego zamieszkania.<br /> | ||
| + | |||
| + | '''Rekomendacja PTI:''' §5 ust. 1 p. 2 winien brzmieć: <br /> | ||
| + | „''udostępnienie każdemu zainteresowanemu rejestru na stanowisku dostępowym w systemie informatycznym administratora danych, znajdującym się w jego siedzibie, a w przypadku gdy administrator danych jest osobą fizyczną, w jego miejscu zamieszkania lub miejscu pełnienia przez niego obowiązków administratora danych''.”<br /> | ||
| + | §5 ust. 2 winien brzmieć:<br /> | ||
| + | „''W przypadku prowadzenia rejestru w postaci papierowej, administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu jego treść w swojej siedzibie, a w przypadku gdy administrator danych jest osobą fizyczną, w jego miejscu zamieszkania lub miejscu pełnienia przez niego obowiązków administratora danych''.”<br /> | ||
| + | |||
| + | |||
| + | W §3 ust. 3 oraz w §4 ust.3 mówi się o wykreśleniu zbioru danych z rejestru w przypadku zaprzestania przetwarzania w nim danych osobowych. Z kontekstu zapisów wynika, że zostają wykreślone wszystkie zapisy związane ze zbiorem poza jego nazwą, datą wpisu i wykreślenia. Uważamy, że fakt zaprzestania przetwarzania powinien skutkować nie wykreśleniem z rejestru a jedynie zapisem o zaprzestaniu przetwarzania zbioru. Ponieważ zaprzestanie przetwarzania jest równoznaczne z usunięciem samego zbioru lub usunięciu danych osobowych ze zbioru, zapis o zaprzestaniu przetwarzania winien być uzupełniony o formę usunięcia danych osobowych.<br /> | ||
| + | |||
| + | '''Rekomendacja PTI:''' §3 ust. 3 winien brzmieć:<br /> | ||
| + | „''W przypadku zaprzestania przetwarzania informacji w zbiorze odnotowuje się nazwę zbioru, datę zaprzestania przetwarzania zawartych w nim danych osobowych oraz sposób ich usunięcia''”<br /> | ||
| + | §4 ust. 3 winien brzmieć:<br /> | ||
| + | „''zaprzestanie przetwarzania danych osobowych zawartych w zbiorze''” | ||
| + | |||
| + | |||
| + | Wskazane w § 3 ust. 1 pkt 2 i 3 informacje - identyczne - zgodnie z proponowanymi przepisami są wymagane dla każdego zbioru. Zastosowanie takich przepisów spowoduje redundancję informacji, co według nas jest bezsensowne jako powielanie tych informacji dla każdego zbioru danych. W zupełności wystarczającym jest, aby informacje te były zawarte jednokrotnie dla całego rejestru. | ||
| + | |||
| + | '''Rekomendacja PTI:''' | ||
| + | * Wykreślić z § 3 ust. 1 punkty 2 i 3 | ||
| + | * Zmienić treść § 2 na poniższą: | ||
| + | *:§ 2.1 Rejestr zbiorów zawiera: | ||
| + | *:# oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany ; | ||
| + | *:# jeżeli został wyznaczony, oznaczenie przedstawiciela administratora danych, o którym mowa w art. 3la ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej „ustawą", i adres jego siedziby lub miejsca zamieszkania; | ||
| + | *:§ 2.2 Rejestr prowadzony jest w postaci papierowej albo w postaci elektronicznej. | ||
| + | |} | ||
| + | [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 22:32, 7 gru 2014 (CET)<br /> | ||
| + | Dokonałem kosmetycznych poprawek | ||
| + | <br /> | ||
| + | --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 08:13, 8 gru 2014 (CET) | ||
| + | :Ok., przenoszę na stronę główną opinii i zlecam wysyłkę. [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 23:04, 8 gru 2014 (CET) | ||
