GoldenLine
Zaloguj się
Bronisław Kowalski

Bronisław Kowalski Niezależny
konsultant biznesu

Temat: Google Aps dl firm - czy starczy Safe harbour?

Witam.
Czy to że google uczestniczy w safe harbour wystarczy, abym mógł w ramach google aps dla firm przetwarzać dane osobowe?
Czy oprócz tego trzeba jeszcze podpisywać z google umowę powierzenia = zrezygnować z usługi bo takiej umowy google nie podpisze.

Pozdrawiam
BK
Link do wypowiedziLink
Paweł Lech

Paweł Lech =

Temat: Google Aps dl firm - czy starczy Safe harbour?

Witam
W poniższym linku jest kilka słów o tym temacie:
http://www.giodo.gov.pl/317/id_art/1500/j/pl/
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Google Aps dl firm - czy starczy Safe harbour?

Fragment 1 - warunki korzystania z usług Google określają, że przesyłając, wgrywając, dostarczając, zapisując, przechowując, wysyłając lub odbierając materiały do lub za pośrednictwem Usług, użytkownik udziela firmie Google (i jej współpracownikom) ważnej na całym świecie licencji na wykorzystywanie, udostępnianie, przechowywanie, reprodukowanie, modyfikowanie, przesyłanie, publikowanie, publiczne prezentowanie i wyświetlanie oraz rozpowszechnianie tych materiałów, a także na tworzenie na ich podstawie opracowań (dzieł pochodnych, na przykład przez wykonanie tłumaczenia, adaptacji lub innych zmian w celu zapewnienia lepszego działania z Usługami). W niektórych Usługach mogą istnieć sposoby uzyskania dostępu do umieszczonych w nich treści oraz usunięcia ich.

Fragment 2 - Dane osobowe przekazujemy podmiotom stowarzyszonym i innym zaufanym firmom lub osobom, które przetwarzają je na potrzeby Google zgodnie z naszymi instrukcjami i Polityką prywatności oraz przy zastosowaniu wszelkich odpowiednich środków ochrony poufności i bezpieczeństwa informacji.

Niewątpliwe dochodzi w takiej sytuacji do powierzenia przetwarzania danych osobowych w myśl art. 31 UoOOD, niewątpliwe należy zawrzeć umowę powierzenia, wątpliwe aby udało się Panu ją podpisać (mniejsza już o formę) :)
Link do wypowiedziLink
Bronisław Kowalski

Bronisław Kowalski Niezależny
konsultant biznesu

Temat: Google Aps dl firm - czy starczy Safe harbour?

Piotr K.:
Fragment 1 - warunki korzystania z usług Google określają, że przesyłając, wgrywając, dostarczając, zapisując, przechowując, wysyłając lub odbierając materiały do lub za pośrednictwem Usług, użytkownik udziela firmie Google (i jej współpracownikom) ważnej na całym świecie licencji na wykorzystywanie, udostępnianie, przechowywanie, reprodukowanie, modyfikowanie, przesyłanie, publikowanie, publiczne prezentowanie i wyświetlanie oraz rozpowszechnianie tych materiałów, a także na tworzenie na ich podstawie opracowań (dzieł pochodnych, na przykład przez wykonanie tłumaczenia, adaptacji lub innych zmian w celu zapewnienia lepszego działania z Usługami). W niektórych Usługach mogą istnieć sposoby uzyskania dostępu do umieszczonych w nich treści oraz usunięcia ich.

Fragment 2 - Dane osobowe przekazujemy podmiotom stowarzyszonym i innym zaufanym firmom lub osobom, które przetwarzają je na potrzeby Google zgodnie z naszymi instrukcjami i Polityką prywatności oraz przy zastosowaniu wszelkich odpowiednich środków ochrony poufności i bezpieczeństwa informacji.

Czy te dwa fragmenty dotyczą również Google Aps dla Firm?
Mnie się wydaje, że to dotyczy tylko zwykłego konta google. Mylę się?

Niewątpliwe dochodzi w takiej sytuacji do powierzenia przetwarzania danych osobowych w myśl art. 31 UoOOD, niewątpliwe należy zawrzeć umowę powierzenia, wątpliwe aby udało się Panu ją podpisać (mniejsza już o formę) :)

Wątpliwości słuszne. Na podpisanie umowy powierzenia nie ma szans.
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Google Aps dl firm - czy starczy Safe harbour?

https://support.google.com/a/answer/60762?hl=pl

Po szybkiej analizie tych zapisów już widać, że Google nie określa, gdzie dokładanie dane są składowane. W różnych lokalizacjach geograficznych może oznaczać "poza EOG" "poza safe harbour". Proszę pamiętać, że każda umowa zawierana przez administratora danych z dostawcą usługi chmury musi wskazywać lokalizację serwerów, na których są lub mogą być przechowywane dane. Dokument roboczy w sprawie przetwarzania danych w chmurze obliczeniowej – kwestia ochrony danych i prywatności – „Memorandum z Sopotu” z dnia 24 kwietnia 2012 r., Dodatkowe wytyczne w sprawie dobrych praktyk, pkt. 10 – dokument określa tzw. „zasadę przejrzystości lokalizacji”.
Link do wypowiedziLink
Tomasz P.

Tomasz P. Kierownik IT

Temat: Google Aps dl firm - czy starczy Safe harbour?

Dzień dobry,

Od kilku dni również zgłębiam ten interesujący temat.

Znalazłem stronę Q&A dotyczącą Google Apps: https://support.google.com/a/answer/60762?hl=pl

Z powyższego wynika, że w przypadku Google Apps:
- my pozostajemy właścicielem danych przetwarzanych w aplikacjach Google,
- określone są lokalizacje serwerów na których przetwarzane są dane w Google Apps: https://www.google.com/about/datacenters/inside/locatio... ,
- Google spełnia wymagania Harbor Safe, a co za tym idzie Dyrektywy 95/46/WE
- Google jest audytowane i certyfikowane przez niezależne ośrodki. Posiada certyfikaty bezpieczeństwa: SSAE 16 i ISAE 3402 typu II, SAS70 typu II
- (zgodnie z powyższymi certyfikatami) "dane są chronione wirtualnie w taki sposób, jak gdyby znajdowały się na oddzielnych serwerach. Nieautoryzowane podmioty nie mogą uzyskać dostępu do Twoich danych"

Niemniej zauważam kilka problemów związanych z przetwarzaniem danych w chmurze Google:
- polityka prywatności dotyczy wszystkich usług Google nie tylko Google Apps - zawarte są w niej zapisy, które przeczą zapisom w ww. dokumencie Q&A dot. Google Apps, w szczególności niebezpieczne dla firm zapisy (Fragment 1 i 2) cytowane już przez Pana Piotra Kawczyńskiego.
- mimo podania lokalizacji centrów przetwarzania danych (serwerów), część z nich jest w "krajach niezapewniających odpowiedni poziom zabezpieczeń danych osobowych"
- brak możliwości podpisania umowy powierzenia przetwarzania danych osobowych z Google - przy czy możliwe że w przypadku płatnej biznesowej wersji jest coś takiego możliwe w formularzu zamówienia (jednak w formie szczątkowej) - brakuje wtedy na pewno kar za wycieki danych,
- brak możliwości realizacji samodzielnego audytu bezpieczeństwa infrastruktury Google np. raz w roku - tutaj możemy polegać na wymienionych powyżej audytach (certyfikatach) bezpieczeństwa realizowanych przez akredytowane firmy zewnętrzne.

Czy znając powyższe za i przeciw jesteśmy w stanie obronić się przed zarzutem niewystarczającej ochrony zbioru danych osobowych w przypadku kontroli GIODO? Ciekaw jestem Państwa odpowiedzi.
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Google Aps dl firm - czy starczy Safe harbour?

Odpowiedź praktyczna, bez analizy prawnej. GIODO wielokrotnie kontrolowało różne przedsiębiorstwa i instytucje, w których dane przechowywane są na dyskach Googla czy OneDrive. Nie widziałem jeszcze wniosków pokontrolnych albo decyzji nakazujących zaniechanie takiej praktyki.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Google Aps dl firm - czy starczy Safe harbour?

Czyli GIODO nie spełnia swojego zadania?
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Google Aps dl firm - czy starczy Safe harbour?

W tym momencie sytuacja się zmieniła. USA nie jest już 'safe harbour'.

Co za tym idzie firma Google nie może się powoływać na zapisy związane z sh. Według mojej opinii na tą chwilę powinno się zawiesić korzystanie z google apps, do czasu podpisania umowy powierzenia najlepiej z zapisem, że dane mają być przechowywane na którymś z serwerów umieszczonych w państwie EU, bez transferu do innych państw w tym wglądu na serw z siedziby Google w USA. Jeżeli ktoś wywalczy podobne obwarowania to gratuluje. Podejrzewam jednak, że Google sam zmieni w najbliższym czasie treść umowy standardowej.

Temat 'safe harbour' został poruszony w innym wątku, ale może warto rozwinąć tą dyskusję, ponieważ chciałbym poznać opinie i doświadczenia związane z tym tematem szczególnie, że sam bronię się przed wprowadzeniem pracy na narzędziach w chmurze choćby ze względu na bezpieczeństwo czy brak kontroli nad centrami danych.
Link do wypowiedziLink
Bronisław Kowalski

Bronisław Kowalski Niezależny
konsultant biznesu

Temat: Google Aps dl firm - czy starczy Safe harbour?

Paweł L.:
W tym momencie sytuacja się zmieniła. USA nie jest już 'safe harbour'.

Co za tym idzie firma Google nie może się powoływać na zapisy związane z sh. Według mojej opinii na tą chwilę powinno się zawiesić korzystanie z google apps, do czasu podpisania umowy powierzenia najlepiej z zapisem, że dane mają być przechowywane na którymś z serwerów umieszczonych w państwie EU, bez transferu do innych państw w tym wglądu na serw z siedziby Google w USA. Jeżeli ktoś wywalczy podobne obwarowania to gratuluje. Podejrzewam jednak, że Google sam zmieni w najbliższym czasie treść umowy standardowej.
Tyle, że umowa standardowa nie spełniała i pewnie nie spełni wymagań umowy powierzenia jakie nakładanej przez naszą ustawę.
Do przepisów europejskich się dostosują pewnie. A do krajowych wątpie.
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Google Aps dl firm - czy starczy Safe harbour?

Nie spełnia - to wiem. Ale czy nie spełni, to się okaże. Łatwiej im będzie zmienić umowę standardową niż podpisywać z każdym dodatkowo umowę powierzenia. Czas pokaże.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Google Aps dl firm - czy starczy Safe harbour?

Trzeba przyznać, że to ciekawa sprawa z Safe Harbour - https://www.schneier.com/blog/archives/2015/10/european....

Jeśli chodzi o umowy, to wiele amerykańskich podmiotów świadczących usługi dla europejczyków powoli "przełącza się" na tzw. standardowe klazule umowne - w Polsce dzięki nowelizacji ustawy zostały już "zalegalizowane" i jeśli umowa je zawiera, to zgoda GIODO już nie jest potrzebna, aby dane przetwarzać na terenie kraju trzeciego (np. w USA).

* http://www.giodo.gov.pl/163/id_art/1519/j/pl/
* http://www.giodo.gov.pl/1520223/id_art/8353/j/pl/
Link do wypowiedziLink
Bronisław Kowalski

Bronisław Kowalski Niezależny
konsultant biznesu

Temat: Google Aps dl firm - czy starczy Safe harbour?

Odkopię po czasie własny temat.
Jaka jest aktualna sytuacja z Google Aps?

Wiadomo, że zamiast Przystanie mamy Tarczę.
Ale czy dla polskiego przedsiębiorcy to coś zmienia?

Leszek K.:
[...]
Jeśli chodzi o umowy, to wiele amerykańskich podmiotów świadczących usługi dla europejczyków powoli "przełącza się" na tzw. standardowe klazule umowne - w Polsce dzięki nowelizacji ustawy zostały już "zalegalizowane" i jeśli umowa je zawiera, to zgoda GIODO już nie jest potrzebna, aby dane przetwarzać na terenie kraju trzeciego (np. w USA).
Cały czas mam wątpliwość odnośnie Google Aps.
Usługa spełnia wymagania Tarczy Prywatności - OK
Załóżmy, że w umowie są zawarte standardowe klauzule umowne - tego jeszcze nie wiem.

Czy w takiej sytuacji potrzeba jeszcze podpisywać umowę powierzenia, czy może standardowe klauzule umowne można zastosować wymiennie z umową powierzenia?

Pozdrawiam,
Bron
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: Google Aps dl firm - czy starczy Safe harbour?

Podbijam temat.

Standardowe klauzule korporacyjne nie uwalniają nas od potrzeby zawarcia umowy powierzenia.

Natomiast też trochę poszperałem i widzę praktykę dwóch polityk i zasad korzystania z usług Google, zupełnie odrębnie dla wykorzystania prywatnego i zupełnie osobno dla usług biznesowych (G Suite) .

Do tego Google jest certyfikowany jako uczestnik Privacy Shield.

Teraz tylko jak zawrzeć umowę powierzenia - czy komuś się to udało ?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Google Aps dl firm - czy starczy Safe harbour?

Jan S.:
Teraz tylko jak zawrzeć umowę powierzenia - czy komuś się to udało ?
Ostatnio na kongresie ABI-ch w styczniu w Warszawie był mec. Kaczorowski z Google Poland. Moim zdaniem poległ na całej linii.

Z sali zgłaszano, że mimo obietnic i wielokrotnych ponagleń ludziom nie udało się zawrzeć umowy powierzenia.
Daniel W.:
GIODO wielokrotnie kontrolowało różne przedsiębiorstwa i instytucje, w których dane przechowywane są na dyskach Googla czy OneDrive. Nie widziałem jeszcze wniosków pokontrolnych albo decyzji nakazujących zaniechanie takiej praktyki.
Sytuacja się zmieniła:
"Kontrolerzy GIODO ustalili ponadto, że urząd wysyła odpowiedzi na interpelacje radnych na ich prywatne adresy poczty elektronicznej, której serwery mogą znajdować się w państwie nienależącym do Europejskiego Obszaru Gospodarczego (dotyczy to zwłaszcza adresów z domeną gmail.com)."
http://www.giodo.gov.pl/259/id_art/9763/j/pl
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: Google Aps dl firm - czy starczy Safe harbour?

Zastanawiam się tylko, czy w kontekście RODO, gdzie powierzenie może być zawarte bez wymogu pisemności, istniejąca dokumentacja dla kont biznesowych Google nie będzie wystarczająca.

Ciekawe jaki kształt powierzenia zaproponuje nam nowa ustawa ODO.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Google Aps dl firm - czy starczy Safe harbour?

Nie patrz w "dokumentację", patrz, czy Twoje dane są chronione.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj