GoldenLine
Zaloguj się
Jan Nartowicz

Jan Nartowicz Student, Uniwersytet
Warszawski

Temat: poczta elektroniczna

Czy adresy w poczcie elektronicznej każdego pracownika, to są oddzielne bazy danych?
Jan
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: poczta elektroniczna

To zależy jakiego programu pocztowego używasz.
Link do wypowiedziLink
Jan Nartowicz

Jan Nartowicz Student, Uniwersytet
Warszawski

Temat: poczta elektroniczna

Proszę o naprowadzenie...
Poczta jest na webmailu, poza tym niektórzy używają oprogramowania windowsa do otwierania. co więcej powinienem wiedzieć?
Jan
Link do wypowiedziLink

konto usunięte

Temat: poczta elektroniczna

Jan Nartowicz:
Czy adresy w poczcie elektronicznej każdego pracownika, to są oddzielne bazy danych?

Bazy danych - nie wiem (i nie bardzo jest sens się nad tym zastanawiać). Zbiory danych w rozumieniu przepisów o ochronie danych osobowych - nie, to jest jeden zbiór danych, ale rozproszony.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: poczta elektroniczna

Panie Pawle,

Przykro mi ale nie jest to prawda.

W zależności od urzytego narzędzia może to być nawet kilka zbiorów danych (adresów). Dodatkowo taka baza może (nie musi jeżeli użytkownik nie wprowadzi tych danych) zawierać dodatkowe informacje oprócz adresu mailowego np. imię, nazwisko, firmę, telefon (to tylko te najczęściej używane) a więc mogą spełniać kryteria zbioru danych osobowych.

Problem polega na tym, że administratorem (nie ADO choć tutaj nie byłbym taki stanowczy) każdego ze zbiorów jest inna osoba. Oprócz zbiorów administrowanych centralnie, np. frmowej książki adresowej czy zbiru użytkowników, każda z osób użytkujących program pocztowy ma swój własny (minimum jeden choć może być więcej) zbiór adresów mailowych. Ich struktura jest taka sama ale zawartość może być (i zwykle jest) różna.

Pomijając kwestie techniczne uważam, że nie koniecznie musi to być jeden zbiór z punktu widzenia uodo. Szczególnie jeżeli adresy są zbierane w konkretnym zbiorze w konkretnym celu. Pryzkładowo baza mailowa pracownika działu marketingu może być tworzona w celu prowadzenia akcji marketingowej. W dziale księgowości w celu prowadzenia korespondencji w sprawie windykacji, itd.

Co do baz danych to na 100% bazami danych są zbiory adresów w Lotus Notes. W innych programach z technicznego punktu widzenia też mamy do czynienia bazami danych ale są to własne formaty tych programów i zwykle nie mogą być przetwarzane (poza importem) przez inne programy pocztowe.

Co do webmaila to jest to jedynie narzędzie do otwierania poczty.

Na początek proponowałbym sprawdzenie gdzie poczta jes ulokowana - na serwerze firmowym czy hostowana na serwerze zewnętrznym.

Kolejny krok to sprawdzenie jaki serwer pocztowy jest używany do obsługi poczty.

Dalej pozostaje dokumentacja i sprawdzenie jak są przechowywane adresy mailowe.

Potem to już tylko rozmowa z urzytkownikami do czego tych adresów używają oprócz wymiany korespondencji ze znajomymi i podjęcie decyzji co dalej. Na pewno wszystkie zbiory programu mailowego trzeba zabezpieczyć przed zniszczeniem i nieuprawnionym dostępem.

Jedyne czego jestem pewien to to że zbioru adresów mailowych urzytkowników nie trzeba raczej zgłaszac do GIODO (do takiej paranoi jeszcze UE a z nią i my nie doszliśmy). Przynajmniej tych, które nie sa wykorzstywane wyłącznie do windykacji.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: poczta elektroniczna

Panie Pawle,

Przykro mi ale nie jest to prawda.

W zależności od urzytego narzędzia może to być nawet kilka zbiorów danych (adresów). Dodatkowo taka baza może (nie musi jeżeli użytkownik nie wprowadzi tych danych) zawierać dodatkowe informacje oprócz adresu mailowego np. imię, nazwisko, firmę, telefon (to tylko te najczęściej używane) a więc mogą spełniać kryteria zbioru danych osobowych.

Problem polega na tym, że administratorem (nie ADO choć tutaj nie byłbym taki stanowczy) każdego ze zbiorów jest inna osoba. Oprócz zbiorów administrowanych centralnie, np. frmowej książki adresowej czy zbiru użytkowników, każda z osób użytkujących program pocztowy ma swój własny (minimum jeden choć może być więcej) zbiór adresów mailowych. Ich struktura jest taka sama ale zawartość może być (i zwykle jest) różna.

Pomijając kwestie techniczne uważam, że nie koniecznie musi to być jeden zbiór z punktu widzenia uodo. Szczególnie jeżeli adresy są zbierane w konkretnym zbiorze w konkretnym celu. Pryzkładowo baza mailowa pracownika działu marketingu może być tworzona w celu prowadzenia akcji marketingowej. W dziale księgowości w celu prowadzenia korespondencji w sprawie windykacji, itd.

Co do baz danych to na 100% bazami danych są zbiory adresów w Lotus Notes. W innych programach z technicznego punktu widzenia też mamy do czynienia bazami danych ale są to własne formaty tych programów i zwykle nie mogą być przetwarzane (poza importem) przez inne programy pocztowe.

Co do webmaila to jest to jedynie narzędzie do otwierania poczty.

Na początek proponowałbym sprawdzenie gdzie poczta jes ulokowana - na serwerze firmowym czy hostowana na serwerze zewnętrznym.

Kolejny krok to sprawdzenie jaki serwer pocztowy jest używany do obsługi poczty.

Dalej pozostaje dokumentacja i sprawdzenie jak są przechowywane adresy mailowe.

Potem to już tylko rozmowa z urzytkownikami do czego tych adresów używają oprócz wymiany korespondencji ze znajomymi i podjęcie decyzji co dalej. Na pewno wszystkie zbiory programu mailowego trzeba zabezpieczyć przed zniszczeniem i nieuprawnionym dostępem.

Jedyne czego jestem pewien to to że zbioru adresów mailowych urzytkowników nie trzeba raczej zgłaszac do GIODO (do takiej paranoi jeszcze UE a z nią i my nie doszliśmy). Przynajmniej tych, które nie sa wykorzstywane wyłącznie do windykacji.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: poczta elektroniczna

Panie Pawle,

Przykro mi ale nie jest to prawda.

W zależności od urzytego narzędzia może to być nawet kilka zbiorów danych (adresów). Dodatkowo taka baza może (nie musi jeżeli użytkownik nie wprowadzi tych danych) zawierać dodatkowe informacje oprócz adresu mailowego np. imię, nazwisko, firmę, telefon (to tylko te najczęściej używane) a więc mogą spełniać kryteria zbioru danych osobowych.

Problem polega na tym, że administratorem (nie ADO choć tutaj nie byłbym taki stanowczy) każdego ze zbiorów jest inna osoba. Oprócz zbiorów administrowanych centralnie, np. frmowej książki adresowej czy zbiru użytkowników, każda z osób użytkujących program pocztowy ma swój własny (minimum jeden choć może być więcej) zbiór adresów mailowych. Ich struktura jest taka sama ale zawartość może być (i zwykle jest) różna.

Pomijając kwestie techniczne uważam, że nie koniecznie musi to być jeden zbiór z punktu widzenia uodo. Szczególnie jeżeli adresy są zbierane w konkretnym zbiorze w konkretnym celu. Pryzkładowo baza mailowa pracownika działu marketingu może być tworzona w celu prowadzenia akcji marketingowej. W dziale księgowości w celu prowadzenia korespondencji w sprawie windykacji, itd.

Co do baz danych to na 100% bazami danych są zbiory adresów w Lotus Notes. W innych programach z technicznego punktu widzenia też mamy do czynienia bazami danych ale są to własne formaty tych programów i zwykle nie mogą być przetwarzane (poza importem) przez inne programy pocztowe.

Co do webmaila to jest to jedynie narzędzie do otwierania poczty.

Na początek proponowałbym sprawdzenie gdzie poczta jes ulokowana - na serwerze firmowym czy hostowana na serwerze zewnętrznym.

Kolejny krok to sprawdzenie jaki serwer pocztowy jest używany do obsługi poczty.

Dalej pozostaje dokumentacja i sprawdzenie jak są przechowywane adresy mailowe.

Potem to już tylko rozmowa z urzytkownikami do czego tych adresów używają oprócz wymiany korespondencji ze znajomymi i podjęcie decyzji co dalej. Na pewno wszystkie zbiory programu mailowego trzeba zabezpieczyć przed zniszczeniem i nieuprawnionym dostępem.

Jedyne czego jestem pewien to to że zbioru adresów mailowych urzytkowników nie trzeba raczej zgłaszac do GIODO (do takiej paranoi jeszcze UE a z nią i my nie doszliśmy). Przynajmniej tych, które nie sa wykorzstywane wyłącznie do windykacji.
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: poczta elektroniczna

Panie Romanie - tak się zastanawiam czy nie za bardzo podzielił Pan jeden zbiór - bazę mailingową na kilka zbiorów - bo to czy maile są wykorzystywane do kontaktów marketingowych czy kadrowych - to chyba nie ma za dużego znaczenia - cała baza służy do kontaktu z kontrahentami, Tak jak podał Pan Lotu Notes - baza adresowa jest przechowywana centralnie - i posada strukturę jednej bazy danych - bez znaczenia jakie adresy zawiera czy działu marketingowego czy kadrowego i dlatego śmiem twierdzić że to jest jeden zbiór danych osobowych - i analogiczne też śmiem twierdzić że zbiór danych mailingowa będzie jednym zbiorem danych osobowych mimo tego że funkcjonalnie podzielonym (np.na wielu PC) i tyle. Moim zdaniem również nie ma znaczenie rodzaj użytego narzędzia na to że zmieni nam się ilość zbiorów - co najwyżej jeden zbiór będzie przetwarzany przez wiele programów ( narzędzi) - co trzeba opisać w polityce Inna sprawa jakie dane będą wpisywane - ale to powinna określić polityka i opis struktury zbioru no i ostatni problem - programu pocztowego który powinien spełniać wymagania rozporządzenia.
Biorą pod uwagę upodobania każdego użytkownika, ADO powinien w sposób bardzo zdecydowany określić narzędzia do przetwarzania zbioru mailingowego oraz strukturę zbieranych danych
Link do wypowiedziLink

konto usunięte

Temat: poczta elektroniczna

Roman Janas:
Problem polega na tym, że administratorem (nie ADO choć tutaj nie byłbym taki stanowczy) każdego ze zbiorów jest inna osoba.

Tak? A kto?
Jeżeli dyskutujemy, to używajmy precyzyjnych pojęć. Administrator danych osobowych jest ten sam. Są różne osoby administrujące danymi, ale to z naszego punktu widzenia nie ma żadnego znaczenia.

Powtórzę raz jeszcze: bazy danych adresów mailowych, czy szerzej - kontaktów - zapisane w programach pocztowych pracowników administratora danych osobowych to w 99% przypadków elementy jednego zbioru danych, rozproszonego lub podzielonego funkcjonalnie. Ten 1% to przypadek, z jakim się w życiu nie spotkałem, czyli różne cele przetwarzania danych osobowych w różnych programach pocztowych różnych pracowników. Nie spotkałem się dlatego, że logika podpowiada, aby te przypadku uznać za jeden zbiór danych osobowych (cel przetwarzania danych w zbiorze może być np pokreślony jako "utrzymywanie relacji handlowych z partnerami handlowymi, działania marketingowe, bieżąca korespondencja"). Oczywiście, możemy w takim wypadku kreować więcej, niż 1 zbiór danych osobowych - powstaje tylko pytanie po co?

A tak na marginesie - współczuję organizacji, która zatrudnia parę tysięcy osób i musi zgodnie ze stanowiskiem p. Romana przygotować wykaz zbiorów danych osobowych ;-) No chyba, że to właśnie ma uzasadniać potrzebę istnienia ABI w takiej organizacji ;-)) Stosując prawo nie zapominajmy o zdrowym rozsądku.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: poczta elektroniczna

Na wstępie przepraszam za powielenie mojej wypowiedzi ale jest to przyczyną problemów z serwerem.

Panie Pawle,

Co do rozsądku ma Pan jak najbardziej rację i oby wszyscy prawnicy stosowali Pana podejście do stosowania prawa.

A co do baz adresów mailowych lub jak bardzo dobrze Pan zauważył baz kontaktów bo w sumie tym stały sie zbiory adresów mailowych w programach pocztowych. Zarówno pan Paweł jak i pan Przemek mają częściowo rację. Zwykle jest to jeden zbiór, przetwarzany w jednym celu i nie ma znaczenia jaki program go przetwarza. Zwykle ale nie zawsze.

Nie bez kozery podałem tutaj przykład Lotus Notes. Powszechnie system ten jest postrzegany jako program mailowy którym tak naprawdę nie jest. Funkcja odbioru / wysyłania poczty jest tylko jedną z funkcji tego systemu. W Lotus Notes zbiór, a właściwie baza danych adresów mailowych nie jest jeden. Minimalna liczba to 1 + n gdzie n to liczba zarejestrowanych profili urzytkowników (jedna baza centralna i baza dla każdego urzytkownika na serwerze lub tylko na stacji). Ponadto można utworzyć dodatkowe bazy i skonfigurować indywidualne lub grupowe prawa dostępu (w końcu nie wszyscy powinni mieć dostęp do wszystkiego). Mało tego takie bazy mogą być niezależnie przetwarzane. W sumie są to samodzielne bazy danych. Jak sami Panowie widzicie w tym przypadku nie mamy do czynienia ze "zwykłym" programem pocztowym.

Moim celem było i jest zwrócenie uwagi, że mówiąc wiele o ochronie danych osobowych często zapominamy o sprawach teoretycznie oczywistych np. o zbiorach używanych przez programy pocztowe, do czego są one wykorzystywane czy lokowaniu funkcji serwera mailowego w serwisie internetowym. Co często prowadzi do tego że w polityce i procedurach powielane są "dobre wzorce" nie mające nic wspólnego z tym co jest w organizacji.

Panie Pawle nie jestem paranoikiem i nie zamierzam nikomu doradzać, jak może Pan zauważyć na końcu mojej porzedniej wypowiedzi, by bazy adresów mailowych rejestrował jako bazy danych osobowych choć czy chcemy czy nie to powoli tym sie stają. Jeżeli już mówimy o paranoi to raczej należy ją przypisać autorom rozporządzeń do Ustawy o Ochronie Danych Osobowych. O ile mnie pamięć nie myli konieczność stworzenia wykazu zbiorów danych osobowych pojawiła się właśnie tam. A w przypadku nie koniecznie dużej organizacji lecz przetwarzającej dużą liczbę danych tych zbiorów nie tylko z programów pocztowych są tysiące i każdy ma własną strukturę. I jak tu to opisać. No cóż chyba nawet autorzy tego rozporządzenia nie mają o tym zielonego pojęcia. Jedyne co pozostaje to jak Pan napisał "Stosując prawo nie zapominajmy o zdrowym rozsądku".
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: poczta elektroniczna

Ja myślę, że baza danych osobowych bardzo często (może nawet zbyt często) utożsamiana jest ze zbiorem danych osobowych. A to nie to samo. Zbiór danych osobowych jest swojego rodzaju "systemem" przetwarzania danych osobowych i może obejmować (m.in) wiele rozmaitych baz danych osobowych.

Posłużę się tutaj może definicja systemu -

System (stgr. σύστημα systema – rzecz złożona) – obiekt fizyczny lub abstrakcyjny, w którym można wyodrębnić zespół lub zespoły elementów wzajemnie powiązanych w układy, realizujących jako całość nadrzędną funkcjonalność lub funkcjonalności.

Jak na zbiór danych osobowych będziemy patrzeć jako na system, będzie łatwiej to wszystko rozpatrywać.Leszek K. edytował(a) ten post dnia 12.10.11 o godzinie 02:53
Link do wypowiedziLink
Piotr Kirpsza

Piotr Kirpsza Informatyk w
urzędzie miejskim
czyli człowiek -
orkiestra.

Temat: poczta elektroniczna

Ta dyskusja sprawiła, że z szacunkiem zacząłem spoglądać na swój służbowy telefon komórkowy. Przecież jeden rekord w bazie zawiera co najmniej imię, nazwisko, numer telefonu, adres mail. Czy zawiera on zbiór danych czy jest częścią rozproszonego zbioru danych? Z innego wątku wnioskuję, że to część zbioru kontrahentów firmy.
Smartfon jawi mi się teraz jako nośnik danych, środek techniczny zabezpieczający dane... Czy powinienem szyfrować dane? Zmieniać hasło co 30 dni (bo na bieżąco do internetu włączony jest)? A może wnioskować do pracodawcy o pozwolenie wyniesienia zbioru danych poza teren zakładu pracy?
Nie śmiem nawet pomyśleć o konsekwencjach spojrzenia na smartfony służbowe przez pryzmat ODO.Piotr Kirpsza edytował(a) ten post dnia 23.10.11 o godzinie 23:26
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: poczta elektroniczna

Może to jest śmieszne ale tak jest i to nie tylko w teorii.

Smartfon z technicznego punktu widzenia jest a z innych staje się tym samym co laptop.

Puki co do Unijnych urzędników ta informacja jeszcze nie dotarła, a może dotarła ale nie chcąc sobie komplikować życia nic z nią nie robią, więc urządzenie to nie jest jeszcze zaliczane do systemu informatycznego w rozumieniu uodo. Ale poważnie, przynajmniej moim zdaniem, ze względów bezpieczeństwa i ilości danych wszelakich jakie gromadzimy w telefonach mobilnych, smartfonach i terminalach Blackberry powiniśmy przynajmniej częściowo stosować zasady obowiązujące dla laptopów. Komunikacja głosowa powoli staje się jedynie jedną (i to czasami nie najważniejszą) z funkcji tych urządzeń.

Z hasłem zmienianym co 30 dni to bym nie przesadzał wystarczy co 90 dni. Za bardzo nie rozumiemiem skąd się te 30 dni wzieły ponieważ ważniejsza jest siła hasła niż duża częstotliwość jego zmiany. Przy częstych zmianach zwykle kończy to się na haśle zmienianym z 1234 na 2345. Ale jak mówią Panu Bogu świecę a diabłu ogarek.

Proszę jednak na poważnie wziąść sobie do serca uwagę pana Pawła "Stosując prawo nie zapominajmy o zdrowym rozsądku". To jest bardzo dobra zasada nie tylko w przypadku ochrony danych. Chociażby dlatego że zawsze trzeba stotoswać zasadę złotego środka. Inaczej dostaniemy / stworzymy bezpieczny system, który będzie nie funkcjonalny.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: poczta elektroniczna

Roman Janas:
Z hasłem zmienianym co 30 dni to bym nie przesadzał wystarczy co 90 dni. Za bardzo nie rozumiemiem skąd się te 30 dni wzieły ponieważ ważniejsza jest siła hasła niż duża częstotliwość jego zmiany.

Skoro akt wykonawczy do ustawy mowi 30 dni, to nie ma tutaj co rozumiec, nalezy haslo zmieniać co 30 dni. Zgadzam sie, ze o sile zabezpieczenia jakim jest haslo nie decyduje czestotliwosc jego zmiany - wszak moznaby blokowac konto po np. 5 nieudanych probach zalogowania na np. 5 minut, i to już "drastycznie" podnosi bezpieczenstwo hasła. Ale jesli mamy coś zapisane w prawie, to albo się jest z tym zapisem w zgodzie albo nie.

Zreszta zmiana hasla do telefonu (prawie że) nic nie wnosi - przeciez dane są zapisywane najczęściej na karcie pamięci, która można wyjąć i bez hasła odczytać. Tu bardziej przydałoby się szyfrowanie tych danych.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: poczta elektroniczna

Panie Leszku,

Dane mogą być zapisane w karcie pamięci lub pamięci telefonu. Ma Pan rację, że w przypadku karty powinny być szyfrowane.

A co do 30 dni i prawa. W Polskm prawie i nie tylko jest wiele bezsensownych przepisów i ten nie jest ani pierwszy ani jedyny. Przykładami mógłbym sypnąć jak z rękawa ale nie jest to chyba dobre miejsce. Choć dla przykładu jeden. Nakaz jazdy z prędkościa 50 km/h w obrębie Warszawy. Proszę spróbować go przestrzegać. Nawet Policja twierdzi (oczywiście nie oficjalnie) że nie zawsze i wszędzie ten przepis ma sens.

Skupiając się wyłącznie na uodo proszę prześledzić tylko jak zmieniała sie interpretacja przepisów w samym GIODO. Ile mamy wyroków SN w tym temacie i to nie zawsze zgodnych z wcześniejszymi.

A tak swoją drogą bardzo jestem ciekawy skąd sie wzieło akurat 30 dni. We wcześniejszej wersji tego rozporządzenia był miesiąc.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj