Temat: Google Drive itp.

1/ Czy coś wiadomo na temat przetrzymywania danych w Google Drive, Gmail. Czy da się to zrobić w zgodzie z GIODO?

2/ Czy zapisując sobie terminy spotkań w Kalendarzu Google i np. miejsce spotkania którym jest dom tej osoby naruszam prawo ?

konto usunięte

Temat: Google Drive itp.

1)
a) nie wiadomo gdzie serwery - pewnie poza UE jednak
b) regulamin: "„Przesyłając materiały w jakikolwiek sposób do Usług, użytkownik udziela firmie Google (…) licencji na wykorzystywanie, udostępnianie (…) tych materiałów (…). (…) Licencja pozostanie w mocy nawet wówczas, gdy użytkownik przestanie korzystać z Usług (…)” - czyli Ty te dane faktycznie im oddajesz.

Więc moim zdaniem nie da się tego zrobić w zgodzie z GIODO

2) To zależy, wg GIODO:
"Do danych osobowych zalicza się więc nie tylko imię, nazwisko i adres osoby, ale również przypisane jej numery, dane o cechach fizjologicznych, umysłowych, ekonomicznych, kulturowych i społecznych.

Danymi osobowymi nie będą zatem pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy i numer domu, w którym mieszka wiele osób, czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić dane osobowe wówczas, gdy zostanie zestawiona z innymi, dodatkowymi informacjami, np. imieniem i nazwiskiem czy numerem PESEL, które w konsekwencji można odnieść do konkretnej osoby."
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Google Drive itp.

Skąd założenie, że poza UK? Google jest z Irlandii. W samy UK są mocne serwerownie, nie jestem przekonany czy tak chętnie wyjdą poza EOG z serwerami, patrząc przez pryzmat dostępności, szybkości etc. Jednak to w Europie jest mocna sieć więc i dostępność i niezawodność. Poza tym jeśli juz to typuję USA a tam bardzo często firmy spełniają wymagania umowy safe harbour - bo im się to po prostu opłaca.

Przy czym proszę zwrócić uwagę na wymagania dla bezpieczeństwa serwerowni w USA i w Europie. Naprawdę - specjalista od bezpieczeństwa ma niezły ubaw, jak to w wielu przypadkach nie może skorzystać (tak od ręki, bo może) z mocnych serwerowni, super zabezpieczonych, backupwanych Asigrą, tylko dlatego że jest w USA a nie w Europie.

Ubaw wynika z... braku wymagań w Europie dla serwerowni, a w USA jest szereg kryteriów i standardów ;-)

Natomiast co do chmury, bo pewnie chodzi o dostępność plików. Może warto jednak zainteresować się prywatnymi rozwiązaniami? Takie, które mają podobne funkcjonalności - synchronizację plików na serwerze, kompie i smart - np pydio (dawniej ajaxplorer) czy owncloud.
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Google Drive itp.

Serwerownia jest w USA
http://natemat.pl/gallery/83,supertajne-serwery-google...

... przynajmniej ta :)
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Google Drive itp.

Oni pokazują swoje serwerownie, na youtubie nawet jakieś filmiki ze street view są. Jedynym minusem jest umowa która była wyżej cytowana.

Temat: Google Drive itp.

Grzegorz K.:
Skąd założenie, że poza UK? Google jest z Irlandii. W samy UK są mocne serwerownie, nie jestem przekonany czy tak chętnie wyjdą poza EOG z serwerami, patrząc przez pryzmat dostępności, szybkości etc. Jednak to w Europie jest mocna sieć więc i dostępność i niezawodność. Poza tym jeśli juz to typuję USA a tam bardzo często firmy spełniają wymagania umowy safe harbour - bo im się to po prostu opłaca.

Przy czym proszę zwrócić uwagę na wymagania dla bezpieczeństwa serwerowni w USA i w Europie. Naprawdę - specjalista od bezpieczeństwa ma niezły ubaw, jak to w wielu przypadkach nie może skorzystać (tak od ręki, bo może) z mocnych serwerowni, super zabezpieczonych, backupwanych Asigrą, tylko dlatego że jest w USA a nie w Europie.

Ubaw wynika z... braku wymagań w Europie dla serwerowni, a w USA jest szereg kryteriów i standardów ;-)

Natomiast co do chmury, bo pewnie chodzi o dostępność plików. Może warto jednak zainteresować się prywatnymi rozwiązaniami? Takie, które mają podobne funkcjonalności - synchronizację plików na serwerze, kompie i smart - np pydio (dawniej ajaxplorer) czy owncloud.

Faktycznie, nie pomyślałem.. prywatne rozwiązanie spełni moje wymagania :) dziękuje bardzo za pomoc !
Michał L.

Michał L. Administrator
Bezpieczeństwa
Informacji

Temat: Google Drive itp.

Jedna serwerownia Google'a jest w Belgii. Wiem, bo się tam rekrutowałem;)
Poza tym osobiście korzystam z Dropbox'a.Ten post został edytowany przez Autora dnia 17.01.14 o godzinie 21:12
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Google Drive itp.

A co mówi licencja o droboxie? ;-) Bo mam wrażenie, że dość podobnie.
I co w kontekście skanowania plików, o których pisał Piotrek Konieczny?
http://niebezpiecznik.pl/post/dropbox-przeglada-twoje-...
Rafał Tochman

Rafał Tochman Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...

Temat: Google Drive itp.

Rafał K.:
1)
a) nie wiadomo gdzie serwery - pewnie poza UE jednak
b) regulamin: "„Przesyłając materiały w jakikolwiek sposób do Usług, użytkownik udziela firmie Google (…) licencji na wykorzystywanie, udostępnianie (…) tych materiałów (…). (…) Licencja pozostanie w mocy nawet wówczas, gdy użytkownik przestanie korzystać z Usług (…)” - czyli Ty te dane faktycznie im oddajesz.

Więc moim zdaniem nie da się tego zrobić w zgodzie z GIODO
A jeśli te dane zaszyfruję ;)?
Dla mnie to nadal będą dane osobowe, bo mam dane dostępowe do zaszyfrowanego pliku.
Dla Googla, czy innego Dropboxa będzie to tylko ciąg znaków.

konto usunięte

Temat: Google Drive itp.

Rafale,

Poruszyłeś bardzo ważny temat - szyfrowanie danych. Generalnie w tym temacie nie zaczęto od podstawowej kwestii, a mianowicie od ustalenia o jakie dane osobowe chodzi czy też szerzej informacje (np. objęte tajemnicami). Od tego trzeba najpierw wyjść by potem dopasować adekwatny system zabezpieczenia danych.

Dane osobowe, które są zaszyfrowane to tak jak pisze Rafał dane osobowe - informacje tylko dla podmiotu, który będzie miał klucz by je odczytać, dla pozostałych podmiotów będą to tylko dane. Szyfrowanie jednak musi być skuteczne.Ten post został edytowany przez Autora dnia 20.01.14 o godzinie 13:41
Rafał Tochman

Rafał Tochman Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...

Temat: Google Drive itp.

Beata M.:
[...]
Dane osobowe, które są zaszyfrowane to tak jak pisze Rafał dane osobowe - informacje tylko dla podmiotu, który będzie miał klucz by je odczytać, dla pozostałych podmiotów będą to tylko dane. Szyfrowanie jednak musi być skuteczne.

Dokładanie .
Dlatego jak już ktoś chce trzymać dane w Dropboxach i innych Drive'ach, gdzie nie wiadomo co się z tymi danymi dzieje, to sugeruję zaszyfrować plik mocnym algorytmem i mocnym hasłem.
I mimo wszystko myśleć, czy chcemy rzeczywiście trzymać to w chmurze... Jak Google będzie chciało naszych danych, to i tak sobie poradzi ;).

konto usunięte

Temat: Google Drive itp.

Rafał T.:
... jak już ktoś chce trzymać dane w Dropboxach i innych Drive'ach, gdzie nie wiadomo co się z tymi danymi dzieje, to sugeruję zaszyfrować plik mocnym algorytmem i mocnym hasłem.

Nie jestem tego taki pewien. Ustawa określa sposób dostępu do serwerów, którego to sposobu nie jesteś w stanie zagwarantować trzymając pliki "w google". Ustawa nie zwalania Ciebie z tego sposobu dostępu po zaszyfrowaniu plików.

Niezależnie od tego mam ogromną wątpliwość czy zaszyfrowane pliki danych osobowych nie są już danymi osobowymi i tym samym wyłączone są spod ustawy. Byłoby to zbyt proste i zbyt piękne. Odnoszę wrażenie, że szyfrowanie danych na dysku to tylko jeden z dodatkowych elementów zabezpieczenia ale tak zaszyfrowane dane nadal są danymi osobowymi.
Rafał Tochman

Rafał Tochman Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...

Temat: Google Drive itp.

Robert B.:

Nie jestem tego taki pewien. Ustawa określa sposób dostępu do serwerów, którego to sposobu nie jesteś w stanie zagwarantować trzymając pliki "w google". Ustawa nie zwalania Ciebie z tego sposobu dostępu po zaszyfrowaniu plików.

A jakie konkretnie zapisy Ustawy masz na myśli?

konto usunięte

Temat: Google Drive itp.

Rafał T.:
Robert B.:

Nie jestem tego taki pewien. Ustawa określa sposób dostępu do serwerów, którego to sposobu nie jesteś w stanie zagwarantować trzymając pliki "w google". Ustawa nie zwalania Ciebie z tego sposobu dostępu po zaszyfrowaniu plików.

A jakie konkretnie zapisy Ustawy masz na myśli?

Znaczy - mam zacytować całą UODO aby pokazać, że nigdzie nie ma wzmianki o tym, że zaszyfrowane dane mogą leżeć gdziekolwiek ? Bo nie bardzo rozumiem o jakie konkretne zapisy ustawy pytasz.
Rafał Tochman

Rafał Tochman Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...

Temat: Google Drive itp.

Robert B.:
A jakie konkretnie zapisy Ustawy masz na myśli?

Znaczy - mam zacytować całą UODO aby pokazać, że nigdzie nie ma wzmianki o tym, że zaszyfrowane dane mogą leżeć gdziekolwiek ? Bo nie bardzo rozumiem o jakie konkretne zapisy ustawy pytasz.

Pytam o konkretne zapisy w których "Ustawa określa sposób dostępu do serwerów".

konto usunięte

Temat: Google Drive itp.

Rafał T.:
Robert B.:
A jakie konkretnie zapisy Ustawy masz na myśli?

Znaczy - mam zacytować całą UODO aby pokazać, że nigdzie nie ma wzmianki o tym, że zaszyfrowane dane mogą leżeć gdziekolwiek ? Bo nie bardzo rozumiem o jakie konkretne zapisy ustawy pytasz.

Pytam o konkretne zapisy w których "Ustawa określa sposób dostępu do serwerów".

Czy ten zapis wystarczy ?

Art. 52.
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia
ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub
zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku.p

art. 52 wynika bezpośrednio z art. 36

Jak chronić się "przed zabraniem przez osobę nieuprawnioną, uszkodzeniem" proszę poszukać interpretacji.

[edyta]
Proszę poszukać hasła "środki ochrony fizycznej danych osobowych".

[edyta2]
Na koniec ciekawostka znaleziona w "ABC rejestracji zbiorów... "

2. środki sprzętowe, infrastruktury informatycznej i telekomunikacyjnej
... określić typ, standard sprzętu wykorzystywanego w ramach systemu informatycznego służącego do przetwarzania danych osobowych (komputery, sieci, routery, huby, sprzętowe szyfratory do szyfrowania dysków...

link -> https://edugiodo.giodo.gov.pl/file.php/1/REJ/REJ_R06_05...

Jak widzisz (w domyśle) nawet szyfrowanie dysków jest wymienione tylko jako element ochrony a nie jako zwolnienie z ustawy.Ten post został edytowany przez Autora dnia 29.01.14 o godzinie 21:58
Rafał Tochman

Rafał Tochman Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...

Temat: Google Drive itp.

Robert B.:

Czy ten zapis wystarczy ?

Art. 52.
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia
ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub
zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku.p


Jak chronić się "przed zabraniem przez osobę nieuprawnioną, uszkodzeniem" proszę poszukać interpretacji.

[edyta]
Proszę poszukać hasła "środki ochrony fizycznej danych osobowych".

Nie chcę, aby wyszło że się czepiam, ale słowa tu nie ma o "sposobie dostępu do serwerów", o którym wcześniej wspominałeś.

Trzymam się natomiast tego, że powierzamy co najwyżej zaszyfrowany plik. Danymi osobowymi jest on dla nas (po odszyfrowaniu), a nie dla świadczącego usługę.

konto usunięte

Temat: Google Drive itp.

Rafał T.:
... Danymi osobowymi jest on dla nas (po odszyfrowaniu), a nie dla świadczącego usługę.

Uważam, że jest to Twoja nadinterpretacja. Szyfrowanie jest tylko środkiem ochrony, który nie zwalania z ustawy. Dziękuję, że pozwoliłeś mnie się w tym utwierdzić ;)

p.s.
Może edytowane we wcześniejszym poście dodatkowe informacje doprowadzą Ciebie do zmiany poglądu a jeśli nie to co stoi na przeszkodzie abyś zapytał GIODO ?Ten post został edytowany przez Autora dnia 29.01.14 o godzinie 22:22
Rafał Tochman

Rafał Tochman Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...

Temat: Google Drive itp.

Robert B.:
Rafał T.:
... Danymi osobowymi jest on dla nas (po odszyfrowaniu), a nie dla świadczącego usługę.

Uważam, że jest to Twoja nadinterpretacja. Szyfrowanie jest tylko środkiem ochrony, który nie zwalania z ustawy. Dziękuję, że pozwoliłeś mnie się w tym utwierdzić ;)

Cieszę się, że mogłem pomóc ;).

p.s.
Może edytowane we wcześniejszym poście dodatkowe informacje doprowadzą Ciebie do zmiany poglądu a jeśli nie to co stoi na przeszkodzie abyś zapytał GIODO ?

Nie przekonało mnie to.
Po prostu patrzymy na tę problematykę inaczej. Ty mówisz o metodzie, ja o wyniku jej zastosowanie, więc chyba żaden z nas drugiego nie przekona.
Niemniej dzięki, że poświęciłeś czas. Więcej opinii - czytelnicy mogą sobie coś wybrać :).

Pozdrawiam.

konto usunięte

Temat: Google Drive itp.

Tak à propos Googla:

"Google zaktualizowało regulamin korzystania z usług, dodając jeden, pozornie niedługi akapit. Zmiana, która miała przejść bez większego echa polega na wprowadzeniu zapisu, że systemy automatyczne amerykańskiego giganta analizują wszystkie treści wymieniane za pośrednictwem serwisów Google, w tym e-maile.

Zmiany w regulaminie wprowadzono w związku ze złożonym w 2013 roku pozwem przeciw Google, w którym firma została oskarżona o naruszanie praw dotyczących inwigilacji użytkowników. Główny zarzut dotyczy właśnie przeglądania zawartości prywatnych maili. We wrześniu ubiegłego roku Google złożyło do sądu wniosek o odrzucenie pozwu, sędzia Lucy Koh odrzuciła go jednak, więc sprawa jest w toku.

Problem jest wyjątkowo dyskusyjny, ponieważ, jak samo Google przyznaje w nowych zapisach regulaminu, analizowana jest zawartość przekazywana przez usługi Google zarówno w momencie jej wysyłania, odbierania, jak i przechowywania na serwerach. Oficjalnie firma podaje, że informacje są analizowany, by lepiej dopasować funkcje usług, wyniki wyszukiwania, reklamy oraz blokować spam i szkodliwe oprogramowanie. Najbardziej zagorzali obrońcy polityki amerykańskiej korporacji uznają, że nie ma nic złego w analizowaniu treści ich maili, a zakładając konto byli świadomi, że może to mieć miejsce.

Co ciekawe, problem dotyczy jednak nie tylko użytkowników korzystających z usług Google. Jak wspomnieliśmy wyżej, analizie poddawane są również przychodzące wiadomości. To oznacza, że jeśli wysyłacie maila do znajomego na adres @gmail.com z adresu w zupełnie innej domenie, treść wiadomości oraz wasz adres, jak i inne przesyłane informacje zostaną przeanalizowane przez maszyny Google.

To tworzy bardzo nietypowy precedens. Treści tworzone przez osoby, które nigdy nie zgodziły się na ich przekazanie amerykańskiej korporacji, trafiają do niej bez wiedzy tych osób. W skrajnym przypadku można by to uznać za wyłudzenie danych. Na razie nie znaleziono jeszcze rozwiązania zadowalającego wszystkie strony. Jeśli nie chcecie, aby jakiś bliżej nieokreślony algorytm analizował treści waszych listów, lepiej uważajcie na maile oraz inne wiadomości wysyłane do osób z kontami Google."

Następna dyskusja:

Umowa na stworzenie Polityk...




Wyślij zaproszenie do