Karla26
08.01.14,19:55
Dobrý deň, pracujem v kancelárii zhruba 2 mesiace a mám prístup ako každý jeden administratívny pracovník aj ku všetkým verejným zložkám na firemnej sieti-intranet. Len tak som si pozerala rôzne dokumenty až som natrafila na jeden ohľadom prídavkov na deti alebo niečo podobné. A s prekvapením som zistila, že mám pred sebou mená všetkých zamestnancov a ich rodné čísla, mená detí a ich rodné čísla, vek..jednoducho všetkých ktorí majú nárok na nejaké prídavky alebo danovy bonus. Je to v súlade so zákonom? Nie je to proti nejakému zákonu o osobných informáciách alebo také niečo??
V našej firme pracuje cca.900 ľudí, takže sme veľká firma.. Nepáči sa mi, že má prístup hocikto k týmto informáciám, podľa mna by to malo byt uložene čisto len v zložkách na personálnom alebo mzdovom oddeledí alebo pod..
Mohla by som s tým niečo urobiť? Dať nejaký podnet a odvolať sa na nejaký zákon?
Dakujem za pomoc.
V našej firme pracuje cca.900 ľudí, takže sme veľká firma.. Nepáči sa mi, že má prístup hocikto k týmto informáciám, podľa mna by to malo byt uložene čisto len v zložkách na personálnom alebo mzdovom oddeledí alebo pod..
Mohla by som s tým niečo urobiť? Dať nejaký podnet a odvolať sa na nejaký zákon?
Dakujem za pomoc.
ivka70
08.01.14,18:58
Nie je to v sulade s o zakonom na ochranu osobnych udajov. Upozorni na to zamestnavatela, aby to okamzite napravil.
terezamaria
08.01.14,19:01
Nie, nemáte právo to vedieť. Na odmeny, platy a pod. sa vzťahuje Zákon o ochrane osobných údajov. Dňa 01.07.2013 nadobudol účinnosť nový zákon o ochrane osobných údajov č. 122/2013 Z.z. v znení neskorších predpisov. Tento zákon nahrádza pôvodný zákon o ochrane osobných údajov č. 428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpisov, platný a účinný ku dňu 30.06.2013.
buchač
08.01.14,19:04
Neskoro ..........
Už tie informácie sú dávno okopčené a niekde uložené .....
Už tie informácie sú dávno okopčené a niekde uložené .....
anna1103
08.01.14,19:45
Áno, je to presne tak nemalo by to byť zverejnené, alebo ak všetci s tými údajmi pracujú mali by mať podpísanu mlčanlivosť a to si asi každý uvedomí aké následky by mohli byť vyvodené ak by niekto zneužil údaje, na ktoré ma podpísanú mlčanlivosť /minútová výpoveď/
Karla26
08.01.14,19:46
Ono platy ani odmeny čo sa týka mzdy vidno nebolo, išlo len o ten príspevok na dieťa alebo danovy bonus alebo ako sa to volá, na nezaopatrení dieťa tuším, ale aj tak som bola prekvapená že vidím rodné čísla a vek detí.. výška toho bonusu tam tuším nebola.
Ale aj to rodné číslo je podla mna dosť osobná vec, takže zajtra sa pokúsim o vyjadrenie z personálneho. Dúfam že z toho nebude nejake halo, ze co sa starám do vecí, lebo robím na tej pozícii krátko, ale aj mne by to vadilo, keby hocikto vidí moje rodné číslo a rodné číslo mojich detí..
Ale aj to rodné číslo je podla mna dosť osobná vec, takže zajtra sa pokúsim o vyjadrenie z personálneho. Dúfam že z toho nebude nejake halo, ze co sa starám do vecí, lebo robím na tej pozícii krátko, ale aj mne by to vadilo, keby hocikto vidí moje rodné číslo a rodné číslo mojich detí..
terezamaria
08.01.14,20:52
pracovníčky mzdového a personálneho oddelenia musia mať zaheslované tieto údaje, aby nebehali po celej internej sieti
Peggynka
08.01.14,21:06
Tu:
http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=97
A tu:
statny.dozor@pdp.gov.sk
http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=97
A tu:
statny.dozor@pdp.gov.sk
Ing. Ľubomír Janoška
09.01.14,05:14
Dobrý deň,
dovolím si poradiť Vám trošku imperatívne, myslím to dobre:
1/ Najprv zaistite dôkazy: vytlačte zopár stránok s osobnými údajmi osobitnej kategórie osôb vyživovaných zamestnancami a dajte si od spoľahlivých kolegov potvrdiť, že ide o tlač z firemného intranetu, otvorte si stránky internet explorerom a uložte ako archív (mht), urobte si fotografie pracoviska s príslušnými stránkami na obrazovke, najlepšie s veľkým rozlíšením, aby sa dalo zoomovať na obsah stránok. Dôkazy nesprístupňujte žiadnej ďalšej fyzickej osobe.
2/ Zvážte, či budete konať počas výpovednej lehoty alebo počkáte, až budete mať "imunitu proti výpovedi". Teraz je ľahké sa Vás zbaviť a pokračovať v porušovaní zákonov. Predpokladám, že nejde o ojedinelý prípad.
3/ Čo porušuje Váš zamestnávateľ:
* zásady spracúvania osobných údajov - z. 122/2013, § 5 ods. 1 + § 6 ods. 1 + § 6 ods. 2 písm. b/ a e/
* zásah do ochrany súkromia a do ochrany osobnosti - z. 122/2013, § 12 ods. 5
* právo na ochranu osobnosti - Občiansky zákonník (zákon 40/1964 Zb.), § 11
* nechcem preháňať, ale možno prichádza do úvahy aj trestný čin neoprávneného nakladania s osobnými údajmi, mám na to málo informácií, ale skôr si myslím, že áno
4/ Čo treba urobiť:
* podať na Úrad návrh na začatie konania podľa § 63 zákona 122/2013
* zvážiť, či podať trestné oznámenie na neznámeho páchateľa za neoprávnené nakladanie s osobnými údajmi podľa § 374 TZ
PS - Nespoliehajte sa na interné riešenie bez zásahu autorít. Popísali ste katastrofálny stav, z ktorého je zrejmé, že šéfom nezáleží na základných pravidlách. Treba ich prinútiť.
dovolím si poradiť Vám trošku imperatívne, myslím to dobre:
1/ Najprv zaistite dôkazy: vytlačte zopár stránok s osobnými údajmi osobitnej kategórie osôb vyživovaných zamestnancami a dajte si od spoľahlivých kolegov potvrdiť, že ide o tlač z firemného intranetu, otvorte si stránky internet explorerom a uložte ako archív (mht), urobte si fotografie pracoviska s príslušnými stránkami na obrazovke, najlepšie s veľkým rozlíšením, aby sa dalo zoomovať na obsah stránok. Dôkazy nesprístupňujte žiadnej ďalšej fyzickej osobe.
2/ Zvážte, či budete konať počas výpovednej lehoty alebo počkáte, až budete mať "imunitu proti výpovedi". Teraz je ľahké sa Vás zbaviť a pokračovať v porušovaní zákonov. Predpokladám, že nejde o ojedinelý prípad.
3/ Čo porušuje Váš zamestnávateľ:
* zásady spracúvania osobných údajov - z. 122/2013, § 5 ods. 1 + § 6 ods. 1 + § 6 ods. 2 písm. b/ a e/
* zásah do ochrany súkromia a do ochrany osobnosti - z. 122/2013, § 12 ods. 5
* právo na ochranu osobnosti - Občiansky zákonník (zákon 40/1964 Zb.), § 11
* nechcem preháňať, ale možno prichádza do úvahy aj trestný čin neoprávneného nakladania s osobnými údajmi, mám na to málo informácií, ale skôr si myslím, že áno
4/ Čo treba urobiť:
* podať na Úrad návrh na začatie konania podľa § 63 zákona 122/2013
* zvážiť, či podať trestné oznámenie na neznámeho páchateľa za neoprávnené nakladanie s osobnými údajmi podľa § 374 TZ
PS - Nespoliehajte sa na interné riešenie bez zásahu autorít. Popísali ste katastrofálny stav, z ktorého je zrejmé, že šéfom nezáleží na základných pravidlách. Treba ich prinútiť.
Ing. Ľubomír Janoška
09.01.14,05:15
tak, tak...
Peggynka
09.01.14,06:27
Ja by som sa pokúsila poslať to anonymne na UOOU.Oficiálne by asi na to zadávateľka doplatila a je zaujímavé,že tá možnosť na stránke UOOU nie je.Ale je to závažné porušenie,mali by to riešiť.
JWC s.r.o.
09.01.14,06:44
Odporúčam v prvom kroku nerobiť drastické rozhodnutia. V takej veľkej organizácii by mal byť bezpečnostný manažér, ktorý by tieto veci mal mať pod kontrolou. Predpokladám, že existujú aj interné dokumenty, bezpečnostné smernice, v ktorých môže byť táto situácia riešená. Pokiaľ sa v daných dokumentoch nachádzajú aj vaše údaje, tak by som v prvom kroku požiadala o vymazanie týchto údajov zo spomínaných dokumentoch.
V konečnom dôsledku je za všetko zodpovedné vedenie spoločnosti, príp. iný pracovník, ktorý rieši pracovno-právne vzťahy na základe generálnej plnej moci, ale zamysleli ste sa nad tým, že by sa mohla stať chyba na strane správcu (toho, kto prideľuje prístupy k jednotlivým či už adresárom alebo dokumentom na firemnej sieti)? Sme len ľudia a v prvom kroku by som to riešila upozornením zodpovedných osôb a návrhom na nápravu.
V konečnom dôsledku je za všetko zodpovedné vedenie spoločnosti, príp. iný pracovník, ktorý rieši pracovno-právne vzťahy na základe generálnej plnej moci, ale zamysleli ste sa nad tým, že by sa mohla stať chyba na strane správcu (toho, kto prideľuje prístupy k jednotlivým či už adresárom alebo dokumentom na firemnej sieti)? Sme len ľudia a v prvom kroku by som to riešila upozornením zodpovedných osôb a návrhom na nápravu.
Ing. Ľubomír Janoška
09.01.14,07:17
Nerobiť drastické rozhodnutia v prvom kroku - potiaľto sa zhodneme, že nie v prvom kroku.
Ja ale nepovažujem za drastické rozhodnutie reagovať na takéto skutočne veľmi hrubé zrno. Roky som robil toho manažéra bezpečnosti, o ktorom sa zmieňujete a tvrdím, že takýto problém nemôže vzniknúť z nepozornosti. Predovšetkým SW pre spracovanie miezd nesmie podporovať neriadené exporty a intranet má mať svojho content supervisora, ktorý nedovolí opublikovať čokoľvek, čo nie je dopredu autorizované/schválené.
Čiže aj ak dôjde k pochybeniu, musí existovať nejaký mechanizmus, ktorý ho zastaví. V opačnom prípade je to systémová chyba, neriadená strela.
PS - čo ak aj existujú riadiace dokumenty, ktoré nikto nečíta? K niekoľkonásobnému porušeniu zákonov pribudne porušenie internej normatívy. Zrejme je to aj o nefunkčnej kontrole. Ďalší zlý bod.
Ja ale nepovažujem za drastické rozhodnutie reagovať na takéto skutočne veľmi hrubé zrno. Roky som robil toho manažéra bezpečnosti, o ktorom sa zmieňujete a tvrdím, že takýto problém nemôže vzniknúť z nepozornosti. Predovšetkým SW pre spracovanie miezd nesmie podporovať neriadené exporty a intranet má mať svojho content supervisora, ktorý nedovolí opublikovať čokoľvek, čo nie je dopredu autorizované/schválené.
Čiže aj ak dôjde k pochybeniu, musí existovať nejaký mechanizmus, ktorý ho zastaví. V opačnom prípade je to systémová chyba, neriadená strela.
PS - čo ak aj existujú riadiace dokumenty, ktoré nikto nečíta? K niekoľkonásobnému porušeniu zákonov pribudne porušenie internej normatívy. Zrejme je to aj o nefunkčnej kontrole. Ďalší zlý bod.
Ing. Ľubomír Janoška
09.01.14,07:24
Dodatočne:
prepojenie SW pre mzdy a intranetu má byť popísané v analýze rizík - existuje vôbec?
(ďalší zlý bod)
prepojenie SW pre mzdy a intranetu má byť popísané v analýze rizík - existuje vôbec?
(ďalší zlý bod)
Dav
09.01.14,07:40
V prvom rade treba zistiť, či nie sú všetci užívatelia firemnej siete intranet ponímaní ako oprávnené osoby.
Ing. Ľubomír Janoška
09.01.14,08:42
1/ to by bola iba formalita, bez vplyvu na skutočnosť, že sú porušené zásady spracúvania osobných údajov:
§ 6 ods. 1 Prevádzkovateľ spracúva osobné údaje v súlade s § 9, spôsobom, ktorý je v súlade s dobrými mravmi
§ 6 ods. 2 písm. b/ Prevádzkovateľ je povinný ... určiť podmienky spracúvania osobných údajov tak, aby neobmedzil právo dotknutej osoby ustanovené zákonom (pozn. hlavne v spojení s ochranou osobnosti podľa Občianskeho zákonníka)
§ 6 ods. 2 písm. e/ Prevádzkovateľ je povinný ... zabezpečiť, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené
2/ vyhláška 164/2013 je vykonávacou vyhláškou k zákonu 122/2013, takže má právnu silu zákona. Táto vyhláška implicitne preberá štandardy bezpečnosti informácií ISO/IEC 27001 a 27002, ktoré jednoznačne hovoria o povinnosti riadiť prístupové práva, o kompetenciách pri ich schvaľovaní, o procese zriaďovania a rušenia prístupových práv, o povinnosti minimalizovať počet zapojených osôb a podobne ... + plus to, čo som napísal o analýze rizík
3/ Karla26 zrejme nie je podľa svojho poučenia oprávnenou osobou vo vzťahu k rodným číslam vyživovaných osôb, inak by to neriešila.
§ 6 ods. 1 Prevádzkovateľ spracúva osobné údaje v súlade s § 9, spôsobom, ktorý je v súlade s dobrými mravmi
§ 6 ods. 2 písm. b/ Prevádzkovateľ je povinný ... určiť podmienky spracúvania osobných údajov tak, aby neobmedzil právo dotknutej osoby ustanovené zákonom (pozn. hlavne v spojení s ochranou osobnosti podľa Občianskeho zákonníka)
§ 6 ods. 2 písm. e/ Prevádzkovateľ je povinný ... zabezpečiť, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené
2/ vyhláška 164/2013 je vykonávacou vyhláškou k zákonu 122/2013, takže má právnu silu zákona. Táto vyhláška implicitne preberá štandardy bezpečnosti informácií ISO/IEC 27001 a 27002, ktoré jednoznačne hovoria o povinnosti riadiť prístupové práva, o kompetenciách pri ich schvaľovaní, o procese zriaďovania a rušenia prístupových práv, o povinnosti minimalizovať počet zapojených osôb a podobne ... + plus to, čo som napísal o analýze rizík
3/ Karla26 zrejme nie je podľa svojho poučenia oprávnenou osobou vo vzťahu k rodným číslam vyživovaných osôb, inak by to neriešila.
Ing. Ľubomír Janoška
09.01.14,08:49
dá sa požiadať Úrad o anonymitu podľa § 63 ods. 4
V odôvodnených prípadoch, v ktorých by mohlo dôjsť k porušeniu práv a právom chránených záujmov dotknutej osoby, môže úrad na žiadosť navrhovateľa utajiť jeho totožnosť.
V odôvodnených prípadoch, v ktorých by mohlo dôjsť k porušeniu práv a právom chránených záujmov dotknutej osoby, môže úrad na žiadosť navrhovateľa utajiť jeho totožnosť.
Karla26
09.01.14,17:01
Dakujem vsetkym za rady. Zatial som to neriesila. Na intranet ma pristup velmi vela ludi, vsetci, ktorí pracuju v administrative ale aj na inych oddeleniach - kvalita, nákup, výrob.proces, balenie, logistika.. A urcite nie je ani jeden z nich oprávnený to vidieť, ved ja sama som bola prekvapena ze vidim osobne info o inych zamestnancoch. Čo je nejakeho veduceho logistiky do toho, ze Mara Hrášková má dieta a priznany bonus a este je tam vidno aj jej rodne cislo..Tieto informacie nemaju byt zavesene vo verejnych polozkach intraneto, ku ktoremu ma pristup kazdy kto pouziva vo firme pocitac.
Nechcem vsak z toho robit nejaku vedu ale keby tam figurovalo moje meno a rodne cislo a informacie o mojich detoch, asi by ma to nastvalo..
Ono to tam visí uz ale od septembra minuleho roka.
Nechcem vsak z toho robit nejaku vedu ale keby tam figurovalo moje meno a rodne cislo a informacie o mojich detoch, asi by ma to nastvalo..
Ono to tam visí uz ale od septembra minuleho roka.
kati4
12.01.14,11:20
Píšete, že pracujete ako administratívny pracovník. Prichádzate do styku s osobnými údajmi, vykonávate s nimi nejaké operácie ? (zhromažďujete, ukladáte, oboznamujete sa s nimi a pod.), v rámci svojho pracovného pomeru ?
Katarína Mikle
12.01.14,17:59
Definujte prosím: "hocikto má prístup k týmto informáciám" ... Váš zamestnávateľ má veľký počet zamestnacov, avšak prístup k týmto informáciám určite nemajú všetci. Ak ste zamestnancom, ktorý nespracúva osobné údaje, nevykonáva s nimi akékoľvek operácie v rámci svojich pracovných povinností a napriek tomu, k nim máte prístup a nie ste zaviazaná mlčanlivosťou, je nevyhnutné túto skutočnosť nahlásiť Vášmu nadriadenému. Neriešila by som to cestou, akéhosi podnetu, riadila by som sa týmto: "nehryz ruku, ktorá Ťa živí."
pavol54
12.01.14,18:19
Ak sa so bude riešiť zvonku, dokáže sa že najvyššie vedenie podniku vydalo a zapracovalo príslušnú smernicu, ale niekto spravidla nejaký IT -čkár niečo porušil(chtiac - nechtiac) a odskáče si to. V takom podniku má vedenie na to lidi.
Katarína Mikle
12.01.14,18:31
Viesť akúsi "vojnu" voči zamestnávateľovi, hoc i anonymne sa nevypláca. Ja osobne som za "čistú hru" a preto je dôležité, aby bola táto skutočnosť správnou formou a na správne miesto oznámená - smerom k zamestnávateľovi.