On Sun, 15 May 2011 13:25:17 +0200, Rafał Ramocki wrote:
Dokument pochodzi z 2004 roku. Od tego czasu ustawa była wielokrotnie zmieniana. Dlatego poprosiłem o konkretny przepis. Nie przypominam sobie(ale moge się mylić) by w ustawie był zapis mówiący o tym ze masz trzymać histore wszystkich modyfikacji. W obowiązującej ustawie (tekst jednolity z konca ubieglego roku) nie znalazłem tez terminu "rozliczalnosc". Jeżeli jednak chcesz mieć historie w postaci logu to możesz to załatwić triggerem.
Wiec ponawiam prośbę:
- zacytuj przepis
- Od razu napisz o wszyskich wymaganiach których nie spełnia.
To może tak - nie jestem specjalista od ochrony danych, ale, na moje nie wprawne oko, w razie kontroli może być problem - stad temat poruszam. Jak ktoś ma przekonujące argumenty, że nie, to bardzo chce by miał racje.
A co do wątpliwości: Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
- LMS ma tylko informacje o dacie dodania rekordu oraz o dacie zmian - brak ich historii (szczególnie, że art. 32 i 33 nakazują wydanie takich informacji na żądanie)
art. 24 ust. 1 pkt. 3 - jego poprawna i wygodna realizacja wymagała by IMHO jakiegoś guziku w style "raport danych" na karcie klienta
I, tak jak pisze, nie jestem specem w tym zakresie. Chciałbym mieć tylko pewność, że wszystko jest OK.
W kontekście ostatnich historii z ps network słyszałem wiele wypowiedzi utyskujących na prawo amerykańskie niewymagające od administratora danych osobowych rejestracji dostępu do nich i stawiania w kontraście prawa europejskie, które takie wymogi nakłada. Z tego co widze, wymogi te wynikają z rozporządzenia MSWIA z 29 kwietnia 2004 roku. Dodładniej par. 7
1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym — z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie — system ten zapewnia odnotowanie: 1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; 3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; 4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
a art.7 pkt 6 ustawy to:
6) odbiorcy danych - rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a, d) podmiotu, o którym mowa w art. 31, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem,
Albo ja czegoś nie kumam, albo trzeba trzymać historie dostępu do danych.
Co do rozwiązania technicznego - TRIGGER, o ile pamiętam, działa na zapytania INSERT, UPDATE i DELETE a tu potrzeba reagować na SELECT o ile się w LMS`ie orientuje...