пропозиції роботи
Wypowiedzi
-
Na razie sobie grzecznie rozmawiamy o zakresie wniosków, bezpłatnej automatyzacji czy półautomatyzacji obsługi itp. Na palenie na stosie zawsze może przyjść kolej :)
-
Ogólnie jestem w kontakcie z p. Michałem i sobie dyskutujemy nad rozwiązaniami. W chwili, gdy zapytania będą kierowane do administratorów rzeczywiście posiadających dane to nabiera znacznie więcej sensu.
Takie strzelanie na oślep, jak w moim przypadku, nie prowadzi do niczego dobrego, tylko generuje mnóstwo pracy dla wielu działów firmy i produkuje zaskakujące dla Bsafer rezultaty :) -
300 maili. Nie jest tak prosto - jak mam w różnych bazach tysiące rekordów, to mi się rodzynki trafiają. Jak na razie na tych 300 zapytań około 10 osób znalazłem, a to newsletter, a to kandydaci do pracy. Ale i tak to IMHO łowienie jelenia...
-
Przejrzyjcie swoje IODowskie skrzynki pocztowe. Nastąpił ciąg dalszy. Chyba, że tylko mnie kopnął zaszczyt otrzymania tych 300 wniosków.
Taki nieco trolling RODOwski z tego wychodzi. Bo po co bombardować administratora wnioskami o udostępnienie danych, kiedy praktycznie żadna z osób, których te wnioski dotyczą nie miała wcześniej jakiegokolwiek kontaktu z tym administratorem? -
Dlatego też urząd nie pochylił się nad jakimś rozsądnym uzasadnieniem tego, że to jednak nie jest niewspółmierny wysiłek. Ot nie jest i już. Nie mamy pana płaszcza... A rozważanie ukaranej spółki o finansowych konsekwencjach realizacji tego obowiązku urząd uznał za okoliczność obciążającą... Bo spółkę zakłada się, by chronić dane osobowe, a nie by zarabiać, więc pieniądze się nie liczą.
Kiepski case na pierwszą karę. -
Wpisuję w umowę najdokładniej jak się da w konkretnym przypadku. Jak powierzam imię, nazwisko, mail, adres korespondencyjny i telefon to to wpisuję do umowy. Jak nie wiem dokładnie co powierzam (np. w przypadku usług archiwum zewnętrznego) to wpisuję opisowo, np. "wszystkie dane osobowe dotyczące kontrahentów jakie mogą się znaleźć w dokumentach przekazanych do przechowywania".
Czyli standardowa odpowiedź prawnika: "to zależy" :) -
Taki przypadek, ciekawe co Wy o tym sądzicie.
Procesor wykonuje pewną usługę na danych osobowych.
Po jej wykonaniu, zgodnie z art. 28 g) ma obowiązek usunąć lub zwrócić dane administratorowi, chyba że "prawo Unii lub prawo państwa członkowskiego *nakazują* przechowywanie danych osobowych".
To teraz pytanie - czy procesor może nadal przechowywać powierzone dane, które wykorzystał do świadczenia usługi, w celu udowodnienia, że usługę wykonał prawidłowo? Np. przez okres 3 lat, do czasu przedawnienia. Jeżeli nie może, to jak ma udowodnić, że wykonał usługę prawidłowo, skoro wszystkie dane musi usunąć?
Na przykład robię kopertowanie i wysyłkę. Po wysyłce, muszę usunąć wszystkie bazy, wszystkie książki nadania, inne dowody nadania, bo przecież to nie moje dane tylko dane powierzone. Jak mam więc udowodnić, że prawidłowo wykonałem usługę, skoro muszę usunąć wszelkie dowody wykonania tej usługi?
EDIT: małe uzupełnienie. W poradniku dla sektora Fintech Ministerstwo Cyfryzacji zgadza się na dłuższe niż podstawa prawna przechowywanie kopii awaryjnych z powodów technicznych. Więc art. 28 g) nie jest odbierany przez MC tak zerojedynkowo. To opinia niezgodna z zaleceniami PUODO i dotychczasowym orzecznictwem.
"Tworzenie i przechowywanie kopii zapasowych systemów informatycznych, obejmujących
dane osobowe, stanowi techniczny sposób zabezpieczenia danych osobowych, co do
których administrator ma podstawę prawną przetwarzania w określonych celach. Nie jest
zatem konieczne poszukiwanie niezależnej podstawy prawnej dla tworzenia
i przechowywania takich kopii zapasowych. W przypadku ustania podstawy prawnej
przetwarzania danych osobowych utrwalonych w kopii zapasowej, dane te powinny zostać
usunięte (lub zanonimizowane), jednak przy uwzględnieniu ograniczeń wynikających
z technologicznych uwarunkowań kopii zapasowych oraz ryzyka naruszenia praw i wolności
wszystkich osób, których dane osobowe są przechowywane w kopii zapasowej."Ten post został edytowany przez Autora dnia 05.12.18 o godzinie 14:15 -
Ciekawe jak serwis by zareagował na oddanie dysku w takim stanie: :)
-
Grzegorz K.:
Jacek Z.:
Ja nie chcę... :-)
Mecenas Litwiński byłby z Was dumny.
Chyba że już mnie odbanował. Bo nawet nie widzę jego komentarzy...
Na GL zlikwidował chyba konto. Ale muszę przyznać, że ostatnie opinie dr Litwińskiego czytam z zadowoleniem. Dużo się zmieniło w podejściu mecenasa do ochrony danych. -
Niech ktoś proszę wskaże mi podstawę do spamowania wszystkich informacjami o przetwarzaniu danych po wejściu w życie RODO. RODO nakłada obowiązek informacyjny w chwili zbierania danych, analogicznie do starej UODO. Dane byłych pracowników zebrałem podczas ich zatrudniania i wtedy zrealizowałem (lub nie) obowiązek informacyjny. Nie muszę ich ponownie informować tylko dlatego, że jest RODO.
-
Jan S.:
Dlaczego nie mogę usunąć po np. 6 latach (księgowe 5 lat + rok biezący) danych klienta, który kupił coś raz, a teraz o nim zapominam. Tak właśnie wyobrażam sobie retencję.
Możesz, ale pozbędziesz się ewentualnych dowodów w przypadku pozwu niezadowolonego klienta. Przedawnienie tego typu roszczeń to nadal 10 lat, więc IMHO w wielkim skrócie to jest okres, w którym jest uzasadnienie do trzymania informacji o transakcji. -
Radosław Z.:
Nie wiem czy ktoś bierze to pod uwagę. Być może takowi się znajdą, także wśród prawników. Obawiam się jednak, że takie działanie/podejście nie będzie miało nic wspólnego z ochroną danych osobowych wg. rodo.
Ale dlaczego? Ważne, bym potrafił realnie wykazać kto ma dostęp do jakich danych. Upoważnienia mi tego i tak nie zagwarantują, są tylko papierem, który wiele zniesie.
Przy braku obowiązku prowadzenia dokumentacji pisemnej, jeżeli potrafię w inny sposób wykazać komu jakie uprawnienia zostały przydzielone, upoważnienia uważam za przerost formy nad treścią. Nie na tym polega ochrona danych. UODO i nasze rozporządzenie wprowadzało wiele formalizmów, na które administratorzy danych narzekali. RODO miało to zmienić.
A jak widzę, to obecni ABI dążą do utrzymania w praktyce tych samych albo podobnych formalizmów, jak mieliśmy do tej pory. Jeżeli będę w komputerze miał aktualną listę osób z odnotowanymi tam zakresami dostępu do danych, datami nadania i odebrania, to upoważnień nie potrzebuję, a wręcz są nadmiarowym obciążeniem.
Hasła też będziecie zmieniać nadal co miesiąc? Każdy bezpiecznik wam powie, że to za często. -
A nikt nie bierze pod uwagę, że nie trzeba będzie już wystawiać jakichkolwiek upoważnień do dostępu do danych po 25 maja?
-
RODO=GDPR. To to samo rozporządzenie, tylko skrót polski albo angielski.
-
A administrator nagrywa w celu zapewnienia sobie dowodu złożenia takiego oświadczenia woli.
-
A teraz powiedzcie, czy widzieliście by kiedykolwiek jakakolwiek strona postępowania cywilnego lub administracyjnego, po pozyskaniu danych osobowych uczestników z akt, zrealizowała taki obowiązek informacyjny? Bo ja nie. Przez prawie 20 lat praktyki. Dlatego pisze o wkładaniu przez GIODO kija w mrowisko.
-
Ciekawy kazus, chętnie się dowiem, co o tym sądzicie.
Spółka jest stroną postępowania administracyjnego. Na skutek przejrzenia akt postępowania, zapoznała się z danymi osób fizycznych, będących stronami tego samego postępowania. Następnie w piśmie do organu prowadzącego postępowanie Spółka odniosła się do argumentów stron będących osobami fizycznymi. No i oczywiście w nagłówku pisma znalazło się wskazanie stron - też osób fizycznych.
Na razie normalnie, ciekawy jest ciąg dalszy. Osoby fizyczne napisały skargę do GIODO na nieuprawnione udostępnienie ich danych osobowych Spółce i nieuprawnione dalsze przetwarzanie tych danych przez Spółkę.
GIODO wysłało pismo z prośbą o wyjaśnienia. Spółka wyjaśniła skąd ma dane (przeglądanie akt postępowania, w którym jest stroną), że nie wykorzystała danych w innych celach, tylko do przygotowania pisma w toku postępowania administracyjnego.
GIODO teraz się dopytuje czy Spółka spełniła obowiązek informacyjny i w jakim zbiorze danych przetwarza dane...
Czy aby przypadkiem ktoś z GIODO nie wkłada jakiegoś kija w mrowisko? Czy każda spółka, będąca stroną postępowania administracyjnego, w którym stronami są też osoby fizyczne, po otrzymaniu od organu pisma z danymi stron albo po zapoznaniu się z aktami powinna powiadomić te strony o tym, że pozyskała ich dane osobowe?
To samo w postępowaniu cywilnym? Po zapoznaniu się z aktami wysyłać informacje z art. 25 do osób fizycznych, będących stronami?
Tak sobie czytam art. 25 ust. 2 i czytam i wychodzi mi tylko ewentualnie pkt. 6. Strony postępowania wiedzą chyba z zasady, że ich dane będą dostępne dla innych stron. Chociaż, skoro napisali skargę do GIODO, to chyba nie wiedzieli :)
No i to pytanie o zbiór danych, w jakim są dane przetwarzane... -
Marek P.:
Skąd wymóg opracowywania sprawozdania rocznego?
W przepisach nic o tym nie ma.
Hmm.
ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI W SPRAWIE TRYBU I SPOSOBU REALIZACJI ZADAŃ W CELU ZAPEWNIANIA PRZESTRZEGANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH PRZEZ ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI z dnia 11 maja 2015 r.
§ 3
1. Sprawdzenie jest dokonywane:
1) dla administratora danych;
(...)
2. Sprawdzenie jest przeprowadzane w trybie:
1) sprawdzenia planowego - według planu sprawdzeń, o którym mowa w ust. 3;
(...)
5. Plan sprawdzeń jest przygotowywany przez administratora bezpieczeństwa informacji na okres nie krótszy niż kwartał i nie dłuższy niż rok. (...) Plan sprawdzeń obejmuje co najmniej jedno sprawdzenie.
§ 6
1. Po zakończeniu sprawdzenia administrator bezpieczeństwa informacji przygotowuje sprawozdanie.
Jak byk, wychodzi co najmniej jedno sprawdzenie i sprawozdanie rocznie. -
Paweł G.:
Zrozumie, jeśli będzie stały nadzór bezpośredniego szefa i natychmiastowe przełożenie teorii na praktykę. Tzn. gdy po szefie widać, że zasady ochrony danych szanuje i trzęsie tyłkiem przed swoim szefem, a nie że kwestia wisi mu zwiędłym kalafiorem.
Bajki jakieś, świat idealny itp. Tumiwisizm w kwestii ODO jest tak powszechny, że tylko RODO i wizja 20 eurobaniek coś tu może zmienić. Już zmienia :)
No i trzeba szkolić, wyjaśniać przepisy, bo są trudne w interpretacji, a nie tylko podsunąć do podpisu papiór, że "z przepisami się zapoznał".
Co trzeba w praktyce, żeby to działało, a czego wymaga ustawa to co innego. Szkolić trzeba, wyjaśniać trzeba. Ale ustawa mówi "zapewnić zapoznanie". -
Paweł G.:
Zgodnie bowiem z art. 36a ust. 2 pkt 1 lit. c ustawy o ochronie danych osobowych, do zadań administratora bezpieczeństwa informacji należy zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Natomiast w myśl art. 36b ustawy, w przypadku niepowołania administratora bezpieczeństwa informacji, zadanie to wykonuje administrator danych. Żeby uznać, iż obowiązek ten został zrealizowany, przez osobę dysponującą odpowiednią wiedzą w tym zakresie powinno zostać przeprowadzone szkolenie. Samodzielne zapoznanie się z przepisami o ochronie danych, nawet wówczas gdy zostanie potwierdzone odpowiednim oświadczeniem, nie tylko zatem nie zawiera w sobie waloru „zapewnienia zapoznania”, co jest wymagane w świetle powołanych wyżej przepisów ustawy, ale też nie daje gwarancji, iż taka osoba podczas „samokształcenia” rzeczywiście zwróciła uwagę na wszelkie aspekty przetwarzania przez nią danych osobowych w związku z realizacją należących do niej obowiązków służbowych, a także na wszystkie zagrożenia związane z tym przetwarzaniem. Ułomność takiej formy zaznajomienia się z przepisami o ochronie danych osobowych potwierdziła przeprowadzona kontrola – osoba, która w ten sposób zapoznała się z przepisami o ochronie danych osobowych, dopuściła bowiem do niezgodnego z prawem udostępnienia danych osobowych w BIP."
Nie jestem w stanie zgodzić się z taką interpretacją rozszerzająca obowiązki ABI czy Zarządu. Z ustawy wyraźnie wynika obowiązek zapewnienia ZAPOZNANIA się z przepisami, a nie ZROZUMIENIA przepisów.
Nikt nie jest w stanie zagwarantować, że nawet milion razy szkolony pracownik zrozumie o co w tym biega. Tak, wiem, taki jest cel i ratio legis. Ale samo zapoznanie z przepisami IMHO spełnia wymogi ustawowe. Co oczywiście nie oznacza, że nie szkolę osób, mających dostęp do danych. Szkolę namiętnie, jeśli tylko na szkolenia ich przełożony wyśle :)
Dołącz do GoldenLine
Oferty pracy
Sprawdź aktualne oferty pracy
Aplikuj w łatwy sposób
Aplikuj jednym kliknięciem
