GoldenLine
Zaloguj się
Paulina S.

Paulina S. Inspektor ochrony
danych

Temat: Ewidencja udostępnień

Zostałam zasypana pismami wychodzącymi, w których udostępniamy dane osobowe i zaczęłam się zastanawiać, które z nich powinny w ewidencji się znaleźć, a które niekoniecznie.
O ile oczywista jest dla mnie sytuacja, w której np. policja zwraca się do nas z wnioskiem o udostępnienie danych, o tyle nie do końca wiem co z pismami, w których "z własnej woli" udostępniamy dane żeby uzyskać informacje o osobie (np. sądom celem wszczęcia postępowania).
Albo jeśli komornik wysyła zapytanie czy pan Kowalski jest u nas zatrudniony a my odpowiadamy, że nie.

Jakieś sugestie?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ewidencja udostępnień

Paulina S.:
Zostałam zasypana pismami wychodzącymi, w których udostępniamy dane osobowe
Kurna, wreszcie!!!
Wreszcie się ludzie w tej Polsce ogarnęli i włączają IOD, a nie bezmyślnie walą pisma z danymi na zewnątrz. Wiedziałem, że groźba kar finansowych i odpowiedzialności karnej spowoduje ten skutek.
udostępniamy dane żeby uzyskać informacje o osobie (np. sądom celem wszczęcia postępowania).
Podaj cel i podstawę prawną.
Albo jeśli komornik wysyła zapytanie czy pan Kowalski jest u nas zatrudniony
Podaj cel i podstawę prawną.
a my odpowiadamy, że nie.
Jakieś sugestie?
Nie odpowiadać bez analizy legalności i celowości ;)
Link do wypowiedziLink
Rafał G.

Rafał G. Edukacja,
Zarządzanie
Bezpieczeństwem
Informacji

Temat: Ewidencja udostępnień

Może bardziej merytorycznie.
W uodo mieliśmy definicję odbiorcy danych art.7 pkt 6 oraz wyłączenia i było poukładane. Teraz mamy RODO i motyw 31 który wyjaśnia kto jest odbiorcą danych a kto nie. Proszę sobie przeczytać powinno pomóc. Natomiast podstawy udostępnienia danych wynikają wprost z przepisów prawa. np. ustaw o policji, abw, sądach, prokuraturze, ordynacja podatkowa, upea a w przypadku komorników kpc. W tych i innych przepisach należy weryfikować podstawę udostępnienia informacji bo jest to udostępnienie, natomiast co do tego kto jest odbiorcą danych a kto nie jest należy tak jak pisałem wcześniej zaglądnąć do RODO bo jest pewna analogia do poprzednich przepisów w tym zakresie. Co do reszty zgoda z Pawłem.Ten post został edytowany przez Autora dnia 04.06.18 o godzinie 22:28
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ewidencja udostępnień

Rafał G.:
podstawy udostępnienia danych wynikają wprost z przepisów prawa. np. ustaw o policji, abw, sądach, prokuraturze, ordynacja podatkowa, upea a w przypadku komorników kpc. W tych i innych przepisach należy weryfikować podstawę udostępnienia informacji
Jeżeli jednak odbiorca wnioskuje w ramach sprawowania władzy publicznej (art. 6.1.e lub 9.2.g), nie będzie to niestety automat, bo należy wtedy ocenić, czy przepis spełnia pewne normy konstytucyjne i stanowi podstawę nie tylko do przetwarzania danych przez wnioskodawcę, ale do ich pozyskiwania od innych administratorów. Tu już odsyłam do komentarzy.
Link do wypowiedziLink
Paulina S.

Paulina S. Inspektor ochrony
danych

Temat: Ewidencja udostępnień

Cel i podstawa jest zawsze, bo od tego w ogóle zaczynamy.
Muszę przyznać, że na tej płaszczyźnie nie było problemów, bo mamy naprawdę wyjątkowo świadomych kierowników, którzy kontrolowali co ich pracownicy wysyłają i gdzie.
Bardziej chodzi mi o poszczególne sytuacje, które nie do końca wiem czy rejestrować jako udostępnienie czy nie. Np. z ustawy wynika, że co pół roku musimy wysyłać do sądu opinię o rodzinie. Czasem sąd o to wnioskuje czasem nie, ale obowiązek jest. Czy każde takie udostępnienie będące wymogiem ustawowym rejestrować czy nie?
Druga sprawa ta, o której wspomniałam wcześniej. Jeśli wysyłamy do sądu dokumenty w celu wszczęcia postępowania to traktujemy to jako udostępnienie czy nie?
I jeszcze jedno, chyba najistotniejsze. Jeśli to my wysyłamy do innego urzędu wniosek o udostępnienie danych, to tym samym my musimy im udostępnić dane konieczne do identyfikacji tej osoby. Rejestrować w ewidencji czy nie? 6 osób mnie wczoraj o to pytało i przy każdej kolejnej miałam coraz większe wątpliwości.
Ech, im bardziej skomplikowana sprawa tym mniejsze mam z nią problemy...

Co do motywu 31 to nie jest on dla mnie jasny. My udostępniamy dane wyłącznie podmiotom, które są do ich otrzymania uprawnione na podstawie przepisów prawa i którym te dane są niezbędne do przeprowadzenia określonego postępowania.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ewidencja udostępnień

Paulina S.:
Cel i podstawa jest zawsze, bo od tego w ogóle zaczynamy.
Ja nie mam wątpliwości, tylko je podaj, bo inaczej ocenić sytuacji nie sposób :)
musimy im udostępnić dane konieczne do identyfikacji tej osoby. Rejestrować w ewidencji czy nie?
Dla porządku, o jakiej ewidencji piszesz i jaki jest cel jej prowadzenia?
Link do wypowiedziLink
Paulina S.

Paulina S. Inspektor ochrony
danych

Temat: Ewidencja udostępnień

Paweł G.:
Dla porządku, o jakiej ewidencji piszesz i jaki jest cel jej prowadzenia?
O ewidencji udostępnień na wypadek gdyby pan Kowalski pojawił się z pytaniem kiedy i komu udostępniliśmy dane.
Cały czas chodzi mi tylko o to co traktujemy jako udostępnienie a co nie.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ewidencja udostępnień

Paulina S.:
na wypadek gdyby pan Kowalski pojawił się z pytaniem kiedy i komu udostępniliśmy dane.
To ja bym wszystko.
Link do wypowiedziLink
Paulina S.

Paulina S. Inspektor ochrony
danych

Temat: Ewidencja udostępnień

Ja też na początku powiedziałam wszystko. A później okazało się, że tego dziennie jest setka przynajmniej.
Próbuję to jakoś uporządkować, znakomita większość jest załatwiona, ale zostało te kilka rzeczy, o których pisałam, z którymi nie wiem co zrobić.
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: Ewidencja udostępnień

W sprawie sądów i komorników może 2.2.d. będzie pomocne ?
Link do wypowiedziLink
Mariusz Ng

Mariusz Ng

Temat: Ewidencja udostępnień

i jakie wnioski?
Link do wypowiedziLink

konto usunięte

Temat: Ewidencja udostępnień

Paulina S.:
Paweł G.:
Dla porządku, o jakiej ewidencji piszesz i jaki jest cel jej prowadzenia?
O ewidencji udostępnień na wypadek gdyby pan Kowalski pojawił się z pytaniem kiedy i komu udostępniliśmy dane.
Cały czas chodzi mi tylko o to co traktujemy jako udostępnienie a co nie.
Przepraszam, z jakiego przepisu wynika obowiązek udzielenia Kowalskiemu informacji dot. daty i nazwy podmiotu któremu udostępniliśmy dane?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ewidencja udostępnień

Jacek Z.:
Przepraszam, z jakiego przepisu wynika obowiązek udzielenia Kowalskiemu informacji dot. daty i nazwy podmiotu któremu udostępniliśmy dane?
Co do samej nazwy odbiorcy - art. 15.
Co do nazwy i daty łącznie - wprost żaden przepis, ale administrator i tak ma to wiedzieć. Prościej przekazać te informacje Kowalskiemu do razu, niż zmuszać go, żeby swoje podejrzenia weryfikował za pomocą organu nadzorczego.

Jeżeli Kowalski o to pyta, to znaczy, że podejrzewa nas o jakieś wałki. Łatwiej chyba bezkonfliktowo wykazać mu, że jego podejrzenia są nieuzasadnione, prawda?

Komentarz Lubasza, teza 1 do art. 15:
"Przyznane na gruncie komentowanego przepisu prawo dostępu do danych, uzyskania ich kopii, a także uprawnienia informacyjne są jednymi z najważniejszych praw podmiotu danych. Mają one charakter gwarancyjny i kontrolny, pozwalając np. na zweryfikowanie zgodności przetwarzania z prawem, oraz pozostają w związku funkcjonalnym zarówno z naczelnymi zasadami przetwarzania danych, jak i z innymi obowiązkami informacyjnymi administratora."Ten post został edytowany przez Autora dnia 27.06.18 o godzinie 23:45
Link do wypowiedziLink

konto usunięte

Temat: Ewidencja udostępnień

Paweł G.:
Jacek Z.:
Przepraszam, z jakiego przepisu wynika obowiązek udzielenia Kowalskiemu informacji dot. daty i nazwy podmiotu któremu udostępniliśmy dane?
Co do samej nazwy odbiorcy - art. 15.
Co do nazwy i daty łącznie - wprost żaden przepis, ale administrator i tak ma to wiedzieć. Prościej przekazać te informacje Kowalskiemu do razu, niż zmuszać go, żeby swoje podejrzenia weryfikował za pomocą organu nadzorczego.

Jeżeli Kowalski o to pyta, to znaczy, że podejrzewa nas o jakieś wałki. Łatwiej chyba bezkonfliktowo wykazać mu, że jego podejrzenia są nieuzasadnione, prawda?

Pawle, jeśli masz na myśli 15/1/c , to musisz podać "informacje o odbiorcach lub kategoriach odbiorców", czyli np. odbiorcą jest biuro rachunkowe i nie musisz musisz podawać nazwy tego biura.

Kwestionuję tak czy owak wymóg prowadzenia takiego rejestru, chyba że uznam zasadność jego prowadzenia zgodnie z zasadą rozliczalności, ale to nie będzie powszechne.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ewidencja udostępnień

Jacek Z.:
Pawle, jeśli masz na myśli 15/1/c , to musisz podać "informacje o odbiorcach lub kategoriach odbiorców", czyli np. odbiorcą jest biuro rachunkowe i nie musisz musisz podawać nazwy tego biura.
Ja uważam, że muszę. Podmiot danych powinien mieć możliwość realizacji swoich praw u administratora, któremu dane udostępniłem. Info o kategoriach odbiorców podaję wyjątkowo, kiedy nie mam wiedzy na temat konkretnych odbiorców, np. dane dopiero planuję udostępniać.

Nie wolno mi uniemożliwić podmiotowi danych realizacji jego praw podstawowych (art. 24.1 w zw. z art. 1.2).

Zrobiłeś analizę ryzyka, o której mowa w art. 24.1? Oszacowałeś następstwa dla podmiotu danych, jeśli administrator odmówi mu informacji, komu jego dane zostały udostępnione? Oszacowałeś następstwa dla podmiotu danych, jeśli administrator danych nie ma wiedzy na ten temat? Jakie wprowadziłeś zabezpieczenia, aby skutek się nie zmaterializował?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Ewidencja udostępnień

Paweł, ja nie podaję. Podaję kategorię, bo w przeciwnym razie mogę wprowadzić w błąd. Oszacowałem i u klientów są zapisy, że podajemy tylko kategorię.

Wynikło nam z naszej analizy, że podanie firmy XXX, w momencie gdy w kolejnych latach zmienię na YYY a potem na ZZZ utrudni osobie wykonania swoich praw. Tym bardziej, że w powierzeniu to do mnie się kierują nie do procesora, a nad procesorem mam pieczę.

Wolę tak, bo np. przy zapomnieniu to ja wykonuję.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ewidencja udostępnień

Grzegorz K.:
Paweł, ja nie podaję. Podaję kategorię, bo w przeciwnym razie mogę wprowadzić w błąd.
Nie wprowadzisz w błąd, bo mówimy o zdarzeniu które już zaistniało.
Wynikło nam z naszej analizy, że podanie firmy XXX, w momencie gdy w kolejnych latach zmienię na YYY a potem na ZZZ utrudni osobie wykonania swoich praw.
Moim zdaniem trzeba podać obie informacje. Dane udostępniliśmy XXX, ale w przyszłości możemy udostępniać innym odbiorcom należącym do tej samej kategorii.
Link do wypowiedziLink

konto usunięte

Temat: Ewidencja udostępnień

Paweł G.:
Jacek Z.:
Pawle, jeśli masz na myśli 15/1/c , to musisz podać "informacje o odbiorcach lub kategoriach odbiorców", czyli np. odbiorcą jest biuro rachunkowe i nie musisz musisz podawać nazwy tego biura.
Ja uważam, że muszę.

Miałbyś rację, gdyby RODO definiowało, że " informacja o odbiorcy" = "nazwa odbiorcy"
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ewidencja udostępnień

Jacek Z.:
Miałbyś rację, gdyby RODO definiowało
Szczerze, to w tym przypadku nie rozbieram przepisu na czynniki pierwsze, lecz analizuję ryzyko dla praw osoby, której dane dotyczą. Wobec tej osoby mam być w porządku i ułatwiać jej wykonywanie praw, a nie rzucać kody pod nogi pod byle pretekstem.Ten post został edytowany przez Autora dnia 29.06.18 o godzinie 18:41
Link do wypowiedziLink

konto usunięte

Temat: Ewidencja udostępnień

Szanowni Państwo
Ten wątek może wprowadzać przekonanie, że prowadzenie dokumentu: Ewidencji udostępnień jest obowiązkowe.

W świetle przepisów RODO obowiązkowe jest prowadzenie w pewnych przypadkach rejestru czynności przetwarzania lub rejestru kategorii przetwarzań oraz wymagana jest rejestracja incydentów.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj