GoldenLine
Zaloguj się
Sławomir Ossowski

Sławomir Ossowski Think01, head of
strategy

Temat: bank / poczta - umowa o powierzeniu?

Witajcie,
mamy system, którego częścią jest zarejestrowany w GIODO zbiór danych. Dane są przetwarzane przez iq.pl na podstawie umowy o powierzeniu przetwarzania danych. System m.in. realizuje:

1. call center
2. przelewy bankowe
3. wysyłki pocztowe
4. rejestrację i utrzymanie kont użytkowników w systemie

z uwagi na chęć zminimalizowania ryzyka związanego z zaniedbaniem jakichś wymagań ustawowych i maksymalnego uproszczenia dokumentacji naszym celem jest aby takie skonstruowanie organizacje aby dane osobowe nie wychodziły poza serwer iq.pl do naszych pracowników dlatego nasi pracownicy pracując z systemem posługują się tylko i wyłącznie wewnętrznym, numerycznym identyfikatorem użytkownika i tak:

1. call center - pracownik ma do dyspozycji tylko nr telefonu na który dzwoni, ew. dane weryfikuje wpisując podane w trakcie rozmowy nazwisko w system i to system sprawdza zgodność odpowiadając tak/nie, nasz pracownik nie jest w stanie ustalić do kogo należy nr na który dzwoni bez udziału rozmówcy

2. przelewy bankowe - nasz pracownik wpisuje jedynie kwotę przelewu i id użytkownika, a system bezpośrednio komunikując się z systemem bankowym wykonuje przelew na właściwe konto w/g danych z bazy - nasz pracownik nie zna danych osoby której wysyła pieniądze

3. wysyłki pocztowe - nasz pracownik wpisuje jedynie id użytkownika, system przekazuje dane ze swojej bazy bezpośrednio do systemu poczty polskiej, który na tej podstawie generuje etykietę adresową, nasz pracownik drukuje etykietę, nakleja na paczkę i wysyła w urzędzie pocztowym na podstawie umowy z pocztą polską - nasz pracownik ma kontakt doraźny z danymi adresata na etykiecie adresowej i na tym koniec

4. rejestrację i utrzymanie kont użytkowników w systemie - użytkownik loguje się adresem email i hasłem, hasło jest przechowywane na serwerze w postaci zaszyfrowanej - nasi pracownicy nie mają dostepu do adresów email użytkowników, wszelkich operacji na kontach ( np. wysłanie email do użytkownika ) dokonują posługując się odpowiednimi formularzami i id użytkownika, danymi zawiaduje serwer nie ujawniając ich pracownikom

oczywiście jeden z naszych pracowników ( administrator ) ma pełen dostęp do bazy w tym do korelacji id <-> reszta danych, jednak jest on realizowany z jednego, wyznaczonego i dobrze zabezpieczonego terminala służącego tylko i wyłącznie do tego celu poprzez zaszyfrowane połączenie ssh

wobec powyższego mam trzy pytania:

1. czy powinniśmy mieć jakiś rodzaj dodatkowej umowy odo z bankiem lub pocztą?

2. czy musimy specjalnie szkolić i/lub upoważniać pracowników ( oczywiście poza adminem )

3. czy jest wśród Was ktoś kto pomógłby nam w "polityce bezpieczeństwa" i "instrukcji zarządzania" ( ew. w perspektywie kwartału przejął funkcję ABI ) nie puszczając nas przy tym z torbami? ;)

Z góry wielkie dzięki za poświęcenie chwili zastanowienia :)
Link do wypowiedziLink
Krzysztof W.

Krzysztof W. adiunkt, Uniwersytet
Wrocławski

Temat: bank / poczta - umowa o powierzeniu?

ad.1. nie/nie
ad. 2. tak
ad. 3. pewnie się ktoś znajdzie ;)
Link do wypowiedziLink
Sławomir Ossowski

Sławomir Ossowski Think01, head of
strategy

Temat: bank / poczta - umowa o powierzeniu?

Krzysztof W.:
ad. 2. tak

Dziękuje za odp, czy to oznacza, że mimo tego ze de'facto kasjerka w Tesco wie więcej to wciąż pracują oni na danych osobowych?

Chodzi mi o to, że:

1. call center - dla pracownika nr telefonu nie stanowi ( chyba ) danej osobowej bo jeśli nie jest on publicznie dostępny ( jeśli jest nie podlega ochronie? ) to przy pomocy naszego systemu pracownik nie może ustalić abonenta, a przez to zidentyfikować jednoznacznie osoby ( co jest konieczną przesłanką do uznania czegoś za daną osobową )

2/4. przelewy bankowe oraz rejestrację i utrzymanie kont użytkowników w systemie - dla pracownika id nie stanowi ( chyba ) danej osobowej bo przy pomocy naszego systemu pracownik nie może ustalić do kogo id należy, a przez to zidentyfikować jednoznacznie osoby ( co jest konieczną przesłanką do uznania czegoś za daną osobową )

3. wysyłki pocztowe - nasz pracownik ma jedynie doraźny kontakt z danymi dla celów technicznych - adresowanie paczek ( Art. 2 ust.. 3 ustawy? )

proszę o słowo komentarzaTen post został edytowany przez Autora dnia 19.05.13 o godzinie 08:56
Link do wypowiedziLink
Krzysztof W.

Krzysztof W. adiunkt, Uniwersytet
Wrocławski

Temat: bank / poczta - umowa o powierzeniu?

Panie Sławomirze pracownik rozmawiając z klientem przez telefon dostaje informacje zwrotne i choć nie powinien to jednak może wejść w posiadanie informacji, o osobie z którą rozmawia, innych niż przewidywane w typowym przypadku - ludzie różne rzeczy opowiadają nawet nie pytani ... Poza tym jeśli zapisze sobie nr telefonu to w większości przypadków bez większego problemu będzie w stanie ustalić z kim rozmawiał (co w świetle definicji danych z u.o.d.o. de facto oznacza, że podajecie mu dane osobowe) - no chyba że wszystkie takie numery są zastrzeżone. To że nie zrobi tego z waszego sytemu nie oznacza, iż nie jest w stanie tego ustalić np. ze swojego prywatnego telefony, itp... To czy tożsamość rozmówcy uda się mu ustalić samodzielnie czy przy współudziale tegoż nie wpływa znacząco na fakt dysponowania danymi osobowymi należało by go więc przeszkolić.
To że pracownicy mają jedynie doraźny kontakt z etykietami zawierającymi dane osobowe nie zmienia faktu, iż jednak ten kontakt występuje - dane takie pochodzą ze zbioru i nacisk kładzie się na przetwarzanie w zbiorze ale ochronie podlegają również podczas przetwarzania poza zbiorem.
Link do wypowiedziLink
Sławomir Ossowski

Sławomir Ossowski Think01, head of
strategy

Temat: bank / poczta - umowa o powierzeniu?

Krzysztof W.:

OK, dziękuję za informacje, nie zamierzam polemizować po się nie znam, a świat jest dziwny - wytłumaczę tylko skąd moje wątpliwości.

Jeżeli pracownik wyniesie numer i/lub pozyska dane odpytując rozmówcę to może to przecież równie dobrze zrobić losując numer telefonu "z powietrza" i dzwoniąc pod niego niezależnie od naszego systemu - nie ma zatem możliwości dowodowych wskazujących jednoznacznie na to że dane zostały pozyskane ze zbioru którym firma administruje. Co więcej nie zmieniłby tego nawet fakt, że nie prezentujemy pracownikom numerów na które dzwonią ( korzystają z automatycznego dialera - nie wiedzą gdzie dzwonią, wiedzą tylko po co ).

Podobnie sytuacja ma się w przypadku etykiet adresowych, z których dane może przecież wykraść dowolna osoba na odcinku nasza_drukarka -> ręce_adresata w tym pani na poczcie, listonosz, sąsiadka adresata.

Wydawało mi się po prostu, że to czy coś jest daną osobową czy też nie zależy od kontekstu i zakresu w jakim jest przetwarzane - bez tego założenia daną osobową jest wszystko, nawet stwierdzenie "murzyn z Poznania" bo przecież jest możliwe, że w Poznaniu mieszka tylko jeden czarnoskóry osobnik czyli potencjalnie można osobę tak wskazaną jednoznacznie zidentyfikować.

Oznacza to, że w praktyce każda firma powinna przeszkolić dokładnie wszystkich swoich pracowników :)Ten post został edytowany przez Autora dnia 20.05.13 o godzinie 09:06
Link do wypowiedziLink
Krzysztof W.

Krzysztof W. adiunkt, Uniwersytet
Wrocławski

Temat: bank / poczta - umowa o powierzeniu?

Niekoniecznie wszystkich ale z wielkim prawdopodobieństwem tych mających kontakt z klientami.
To kto i co wykradnie jest trudne do ustalenia ale nie niemożliwe, więc jeśli chcecie ryzykować zarzuty naruszenia u.o.d.o. to wasza sprawa. Ciekawe co powiecie w sytuacji gdy wasz pracownik sam wskaże skąd wziął dane kierując uwagę organów na firmę tłumacząc się, że nie wiedział iż mu nie wolno i że nie sądził by to były dane osobowe bo przecież nie był szkolony. Dla was (firmy) bez wątpienia to są dane osobowe a fakt, że pracownik tego nie wie lub dostaje dane zanonimizowane nie zwalnia was z obowiązku ochrony tych danych ;))
Link do wypowiedziLink
Sławomir Ossowski

Sławomir Ossowski Think01, head of
strategy

Temat: bank / poczta - umowa o powierzeniu?

Krzysztof W.:
Niekoniecznie wszystkich ale z wielkim prawdopodobieństwem tych mających kontakt z klientami.

oraz osobę od naklejania naklejek adresowych i magazyniera i kierowcę dowożącego przesyłki na pocztę... kłopot tylko z tym gdy składujemy przesyłki w zewnętrznym magazynie bo już widzę minę "pana Zbyszka" gdy poproszę jego firmę o umowę o powierzeniu przetwarzania danych osobowych :)))

w firmie korzystamy z operatora voip, który ewidencjonuje rozmowy wychodzące, a więc i numery telefonów zatem z nim również powinniśmy mieć umowę o powierzeniu danych osobowych? co gdy ktoś nie daj Boże do nas zadzwoni i ujawni swój numer na wyświetlaczu aparatu? ( clip ) - zakleić wyświetlacz? xD
Krzysztof W.:
Ciekawe co powiecie

ignorantia iuris nocet? ;))

Nie zamierzamy ryzykować... Po to właśnie podejmujemy wszystkie opisane wysiłki anonimizacyjne aby skutecznie chronić prywatność naszych klientów - zaczynam się tylko teraz zastanawiać co my powiemy gdy na rozprawie o alimenty magazynier powie, że zrobił dziecko sekretarce, gdyż nie wiedział o antykoncepcji bo nie był szkolony xD

Nie neguję Pańskich twierdzeń, a jedynie komentuję że jeśli tak jest ( co jest prawdopodobne ) to sprawa nosi znamiona lekkiej paranoi.Ten post został edytowany przez Autora dnia 21.05.13 o godzinie 09:03
Link do wypowiedziLink
Krzysztof W.

Krzysztof W. adiunkt, Uniwersytet
Wrocławski

Temat: bank / poczta - umowa o powierzeniu?

Panie Sławomirze czy to paranoja ? Cóż sam czasem mam takie wrażenie, niemniej przepisy są jakie są...
Definicja przetwarzania danych jest otwarta więc ma Pan słuszną intuicję co do magazyniera, kierowcy przewożącego przesyłki itd. W zasadzie nie przewidujemy by zapoznawali się z danymi ale w procesie przetwarzania biorą udział bez wątpienia. I to dość istotny - podobnie jak osoby odpowiedzialne za wywóz i niszczenie dokumentacji etc. Powinny być szkolone adekwatnie do zakresu swych obowiązków. Taki wniosek jest dodatkowo wzmacniany tym, że dość często są to osoby samodzielnie przebywające w tzw. "obszarze przetwarzania" gdzie nie powinny przebywać osoby bez upoważnienia (lub ew. przebywać pod nadzorem osoby upoważnionej) a jeśli nadajemy jej upoważnienie to wypadałoby je też przeszkolić (zakres szkolenia może nie będzie zbyt wielki ale jakiś tam będzie).
Ma Pan też rację, iż dość trudno to wytłumaczyć podmiotom zewnętrznym niemniej firmy serwisujące, składujące, sprzątające itd. odgrywają jakąś rolę w procesach przetwarzania danych więc umowa powierzenia dość często jest konieczna (nie znaczy to że zawsze - np. nie zawieramy jej z pocztą jeśli działania tej ostatniej mieszczą się w zakresie ustawy - czyli oddając przesyłkę w okienku przestajemy za nią odpowiadać z mocy prawa i nie ma powodu by podejmować jakieś dodatkowe działania).
A co do dzieci ;)) to na szczęście pracodawca nie został obciążony obowiązkami "zachowania szczególnej staranności" w zakresie ochrony ich praw ;)
Link do wypowiedziLink
Sławomir Ossowski

Sławomir Ossowski Think01, head of
strategy

Temat: bank / poczta - umowa o powierzeniu?

Krzysztof W.:

Panie Krzysztofie - a jak ma się sprawa z operatorem telefonicznym który kolekcjonuje sobie billingi rozmów wychodzących? ( a więc i dane os ) czy z nim również trzeba się "umawiać na powierzenie"?
Link do wypowiedziLink
Krzysztof W.

Krzysztof W. adiunkt, Uniwersytet
Wrocławski

Temat: bank / poczta - umowa o powierzeniu?

Z nimi nie - robią to bo muszą co więcej wszystko wynika z ustawy.
Link do wypowiedziLink
Sławomir Ossowski

Sławomir Ossowski Think01, head of
strategy

Temat: bank / poczta - umowa o powierzeniu?

Krzysztof W.:
Z nimi nie - robią to bo muszą co więcej wszystko wynika z ustawy.

z tej ustawy wynika mnóstwo dziwnych rzeczy więc wolę zapytać - dziękuję :)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Umowa o powierzenie przetwa...




Wyślij zaproszenie do
Anuluj