GoldenLine
Zaloguj się
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

A zgodę IP na zawarcie umowy powierzenia?

Co do turnusów i innego działania każdy przypadek pewnie jest inny i ma inną podstawę z 23 lub 27 UODO, więc nie wypowiem się, bo nie znam tej branży. Trzeba by się było wczytać w przepisy regulujące te działania.
Link do wypowiedziLink
Adam Buciński

Adam Buciński samodzielny
specjalista ds.
programów PUP,
konsultant itp.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Panie Grzegorzu
Zgodę trzeba mieć w trybie wskazanym w umowie o dofinansowanie projektu.
Ale tak w ogóle to zgłębiamy się w kwestie, które nie rozwiązują mojego problemu (który wynika z dokumentów, które Panu przesłałem).

Wracając do początku, to czy same imię i nazwisko są danymi osobowymi, bo wszędzie w internecie spotykam się z twierdzeniem, że nie np.:
http://www.trudnyklient.pl/2011/10/12/prawo-do-anonimo...
Bo jeżeli nie, to wtedy udostępniając je firmie szkoleniowej nie dochodzi do przetwarzania danych osobowych?
Ktoś pisał, że to przecież służy identyfikacji. Hmm, tak ale firma szkoleniowa i tak musi zweryfikować, bo same imię i nazwisko nie pozwoli im się upewnić czy to właściwa osoba.
Jeżeli taka opcja jest możliwa (mi by pasowała, ale mogę to zrobić również bez przekazywania imienia i nazwiska), to czy wskazane są zapisy w umowie z firmą szkoleniową zobowiązujące do przestrzegania przy realizacji zamówienia ustawy o ochronie danych osobowych.?
Pozdrawiam
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Panie Adamie, po pierwsze definicja danych osobowych określa dwa rodzaje danych, które traktowane są jako osobowe:
1. Dane za pomocą których można osobę zidentyfikować.
2. Dane dotyczące ZIDENTYFIKOWANEJ osoby (wszystkie)

W pana pytaniu imię i nazwisko dotyczą zidentyfikowanej osoby, więc danymi są.

Co do identyfikacji przykład - czy imię i nazwisko - Grzegorz Krzemiński oraz informacja że ów Grzegorz Krzemiński pracuje w Instytucie Bezpieczeństwa i Informacji identyfikują mnie? Ilu jeszcze Grzegorzów Krzemińskich pracuje w Instytucie?

Tak samo na szkoleniu. Jan Kowalski (przykład) korzystający ze szkolenia w WORD Warszawa dla kandydatów na kierowców kat c ze skierowania PCPR - ilu Janów Kowalskich zostało skierowanych w ramach POKL, przez PCPR do WORD-u Warszawa na "C"?

Co do firmy szkoleniowej, wróćmy znowu do początku. Jan Kowalski przychodzi do was, wy go kierujecie. Więc szkolenie może być wykonane tylko dla konkretnej, zidentyfikowanej osoby. Jeśli identyfikacje pozostawicie firmie szkoleniowej to i tak w jakiś sposób musicie podać formę identyfikacji, tak aby wasza pomoc trafiła do konkretnej osoby. Wszak z tego co zrozumiałem, osoby zgłaszają się do was (albo je wyszukujecie) i te już konkretne kierujecie na szkolenie. W związku z tym dane zostają przekazane lub powierzone do przetwarzania (nie znam umów szkoleniowych).

Co do materiałów jakie mi pan nadesłał, nie wypowiadam się w temacie odpowiedzi zanim nie zobaczę treści pytania. Moje doświadczenie podpowiada mi, ze nie zawsze w treści pytania jest zawarte to co tak naprawdę autor miał na myśli i to o co chciał zapytać ;-))
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Fizycznie jest to tak - MRR - powierza dane uczestników projektu dla Beneficjenta w tym przypadku PCPR ( mimo tego że powierzenie danych następuje przed fizycznym zebraniem tych danych) w celu i zakresie określony we wniosku rejestracyjnym na podstawie ustawa z dnia 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju - więc nie jest potrzebna zgoda uczestników projektu do przetwarzania danych osobowych w PEFS. Pojawia się problem jeżeli dane są zbierane w większym zakresie i w celu szerszym niż zbiór danych MRR - wtedy ADO tych danych również staje się Beneficjent.
Co do powierzania danych w UMOWIE O DOFINANSOWANIE PROJEKTU
W RAMACH PROGRAMU OPERACYJNEGO KAPITAŁ LUDZKI w par 21.9 Instytucja Zarządzająca (MRR) umocowuje Beneficjenta (w tym przypadku PCPR) do powierzania przetwarzania danych osobowych podmiotom wykonującym zadania związane z udzieleniem wsparcia i realizacji projektu, pod warunkiem nie wyrażenie sprzeciwu przez Instytucję Wdrażającą (IPII) - więc spokojnie beneficjent może zawrzeć taka umowę powierzenia zgodnie z zapisami umowy o dofinansowaniu projektu w ramach POKL, po zgłoszeniu takiej chęci do Instytucji Wdrażającej (IPII) i przy braku sprzeciwu przez 7 dni roboczych można zawrzeć taka umowę. W wielkim skrócie :):)
PS Panie Adami czy ja tez mogę prosić o opinę - przemyslaw.chojnowski@gmail.com za co z góry dziękuje :)
Link do wypowiedziLink
Adam Buciński

Adam Buciński samodzielny
specjalista ds.
programów PUP,
konsultant itp.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Panie Grzegorzu
W umowie szkoleniowej nie ma nic na temat powierzenia danych osobowych (jeszcze).
Z tą identyfikacją to nie do końca rozumiem. Jeżeli firma zadzwoni do mnie i zapyta się mnie czy Pan taki i taki zam. w X (same imie i nazwisko by nie wystarczyło ponieważ mieszkam w rejonie gdzie często się powtarzają i mam w projekcie osoby o tym samym imieniu i nazwisku - taka lokalna specyfika) został przez nas faktycznie skierowany na szkolenie to czy to nie ona przetwarza dane tego uczestnika? Jeżeli tak to już w momencie kontaktu ze mną czy nie musi mieć zgody uczestnika na przetwarzanie danych? W takim razie dlaczego to ja mam zawierać umowę o powierzeniu danych z firmą szkoleniową jak i tak ona dysponuje zgodą uczestnika?
Pozdrawiam
P.S. Przesłałem treść pytania do GIODO
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Czytałem, niestety nieco pobieżnie. Ale obie odpowiedzi są prawidłowe ;-)))

Niestety, czy stety.

Zacznijmy dla porządku. Oczywiście jest to moje zdanie, nie jestem specem od funduszy, ale tak mi się układa.

Po pierwsze na podstawie tego co napisał Przemysław plus materiałów nadesłanych, wynika mi, że nie mówimy o jednym zbiorze. Co zostało napisane w stanowisku MRR. Administratorem zbioru PEFS2007 jest MRR, który jasno określił w swoim stanowisku że zezwala na podpowierzenie instytucji szkolącej. W tym zakresie dane uzyskane z tego zbioru mogą być tylko do tego celu przetwarzane. Podstawą do przetwarzania danych w tym zbiorze jest zgoda wydana na rzecz MRR. A ten łańcuszek powierzeń domyślam się, że wynika z ogólnej organizacji programu i jak się domyślam jest prawidłowym procesem udzielenia pomocy, a MRR dorzucił zasady przepływu danych osobowych między kolejnymi procesorami dopełniając ciążącego na nim obowiązku zabezpieczenia danych osobowych odbiorców programu.

Drugi zbiór to wasi klienci. I ten jest opisany w piśmie pani kierownik. W tym zakresie to wy jesteście ADO, co wynika z informacji w piśmie do GIODO, w którym wprost napisano, że umowa jest między PCPR a uczestnikiem. I w tym zbiorze to wasze decyzje co i jak robicie sobie ze zbiorem, realizując własne cele ustawowe.

Wiem, że to może nieco zakręcenie wyglądać, ale proszę mi wierzyć, te same dane (no prawie) mogą występować w różnych zbiorach, jeśli ich cel jest inny.

Rozwiązując mam nadzieję pański problem:
Zbiór PEFS 2007, z celem udzielenie pomocy, w którym MRR jest instytucją zarządzającą a co za tym idzie - ADO, cel i zasady ochrony, przetwarzania określa MRR. I musicie się do tego stosować. To, że wymaga umowy powierzenia jest wyjściem krok do przodu, który być może ma zagwarantować prawidłowość zabezpieczenia danych (warunek powierzenia). A stosuje to jako zabezpieczenie organizacyjne, co jako ADO ma prawo. A wy jak chcecie przetwarzać te dane (w domyśle korzystać z dofinansowania przez MRR) - musicie wypełnić to co chce MRR.

Drugi zbiór, w którym wy jesteście ADO, to wasi klienci, co wynika z umowy między PCPR a uczestnikiem. Tu sobie możecie robić co chcecie. Możecie powierzać lub nie, ważne jest jedno - wasz zbiór, dane przekazane przez uczestników wam i wy odpowiadacie za ich prawidłowe zabezpieczenie. Moja drobna uwaga - uważałbym na zmuszanie uczestników do wyrażenia zgody na przetwarzanie danych przez firmę szkolącą, bo to się robi trzeci zbiór a szkoląca w tym czasie robi sie ADO i może robić nawet marketing usług własnych. A tu wasi klienci was za to nie polubią. Zastanawiam się również, czy to nie jest pewne swoiste wymuszenie zgody. Z tym, że w przypadku tego zbioru to już nie MRR decyduje, a szef PCPR.

A co do przetwarzania - w takiej rozmowie telefonicznej obie strony przetwarzają. Tylko jest pewien problem, bo skąd jest pan pewien, że rozmawia z osobą właściwą do uzyskania informacji?
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

nie jest zasadą że beneficjenci przetwarzają dwa zbiory swój i MRR - nowy zbiór może się pojawić z nowym ABO jeżeli dane osobowe beneficjentów końcowych będą przetwarzane w szerszym zakresie niż PEFS na to zezwala ( a pojawiają sietakie projekty) lub w innym celu ( np. beneficjent biorący udział w projekcie jest również np odbiorcą pomocy z innego źródła a dysponowanym przez ten sam podmiot który podpisał umowę o dofinansowanie w ramach POKL - taka sytuacja ma często miejsce w przypadku MOPS- ów - osoba będąca biorcą świadczeń w MOPSie przystępuję do projektu POKL i jego dane przetwarzane są w dwóch rożnych celach, PUP-ów np zarejestrowany bezrobotny bierze udział w jakimś projekcie organizowanym przez PUP itp)
W tym konkretnym przypadku jeżeli osoby były rekrutowane do projektu z "zewnątrz" to mamy jeden zbiór którym ADO jest MRR - ponieważ dane osobowe są zbierane tylko do celów realizacji projektu ( i wszystko co się kryje pod pojęciem relegalizacji) i to ADO (MRR) umocował beneficjenta do powierzenia danych po akceptacji przez IP.
No i druga sytuacja - beneficjenci końcowy są podopiecznymi PCPR więc mamy dwa zbiory - jeden gdzie administratorem jest PCPR drugi gdzie administratorem jest MRR i teraz tylko decyzja - zgodnie z którym celem odbywa się szkolenie i dla zrealizowania którego celu musimy powierzyć lub udostępnić dane firmie szkoleniowej. W tym przypadku domniemam że w celu realizacji projektu - a więc zebrane dane osobowe muszą być przetwarzane zgodnie z umową powierzenia danych osobowych przez MRR czyli musi być umowa powierzenia. Nie wiem czy nie zagmatwałem - podsumowując jeżeli dane są przetwarzane na potrzeby projektu POKL - należy się stosować do warunków na jakich MRR powierzyło dane osobowe - czyli należało by zawrzeć umowę powierzenia danych osobowych - na warunkach określonych w umowie o dofinansowaniu.
A tak swoją drogą beneficjenci mają naprawdę wielkie problemy z prawidłowym przetwarzaniem danych osobowych w projektach, działają na szablonie polityki bezpieczeństwa i instrukcji - które praktycznie stały się bezużyteczne od 1 stycznia

ps. Tak na dobra sprawę jak przeczytałem jeszcze raz to co napisał Grzegorz to stwierdzam że się tylko powtórzyłem :):)Przemysław C. edytował(a) ten post dnia 28.06.12 o godzinie 20:13
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Grzegorz K.:
Podstawą do przetwarzania danych w tym zbiorze jest zgoda wydana na rzecz MRR.

Od pierwszego stycznia MRR już w końcu nie żąda zgody - podstawą jest art 23 2 i art 27 2 2
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Tak patrząc na program od razu wydawało mi się, że zgoda jest tutaj średnio potrzebna.
Link do wypowiedziLink
Adam Buciński

Adam Buciński samodzielny
specjalista ds.
programów PUP,
konsultant itp.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Chwila, chwila
Może wyjaśniająca.Ten projekt to jest projekt systemowy. Z założenia to jest dofinansowania zadań ustawowych pcpr (czy innej jednostki). Czyli działaniami są objęte osoby korzystające z pomocy społecznej
Panie Przemysławie to czemu w takim razie GIODO uznał, że w przypadku powiatowych urzędów pracy żadna umowa o powierzenie danych nie jest potrzebna - w tej interpretacji, której Panu przesłałem. Pan o tym pisze przecież. Tam jest prosto. Nie ma żadnego powierzenia danych, a tylko udostępnienie jak było zawsze przy realizacji działań PUP (akurat pracuje również w pup)
Jak dla mnie to jest identyczna sytuacja.
Czyli mamy tak:
1. PUPy nie muszą zawierać umowy o powierzenie danych z instytucją szkoleniową- tak jest w interpretacji GIODO i MRR.
2. PCPR musi zawierać umowę o powierzenie danych z instytucją szkoleniową.
Dlaczego?
1. W obu przypadkach mamy do czynienia z klientami tych jednostek (zachodzi tożsamość uczestnik projektu=klient jednostki)
2. W obu przypadkach mamy legitymizację prawną do przetwarzania danych (pup - ustawa i rozporządzenie, pcpr - ustawa). Na dodatek w pcpr bierzemy zgodę osób, bo w ustawie ogólnie jest dopuszczenie do przetwarzania danych w celu udzielenia wsparcia.
3. W obu przypadkach mamy do czynienia ze wsparciem, które mogłoby zostać udzielone poza projektem (projekt zmienia nam jedynie źródło finansowania).
Co z faktem tym, że we wzorze MRR jest tylko informacja, a GIODO mi pisze o zgodzie osoby?
Oczywiście zbiór PEFS jest zbiorem "mniejszym" od posiadanych przez nas o tych samych osobach.
Ja po prostu nie rozumieniem takiego zróżnicowania.
Panie Przemysławie przecież Pan otrzymał ode mnie interpretacje w przypadku PUP. Dlaczego Pan uważa, że w przypadku PCPR powinno być inaczej (a tak naprawdę i w przypadku MOPS).
Ja cały czas nawiązuje do tego cytatu z GIODO:
"Nie, ponieważ urząd pracy ma prawo przetwarzać dane bezrobotnych jedynie w celu realizacji swoich ustawowych zadań, m.in. takich, jak pomoc w poszukiwaniu zatrudnienia. Do zadań tych nie należy zatrudnianie ani szkolenie bezrobotnych. Dlatego urząd pracy nie może powierzać tym podmiotom przetwarzania danych bezrobotnych w celach innych niż te, dla których on sam je przetwarza."
Proszę zmienić pup na pcpr, pomoc w poszukiwaniu zatrudnienia na aktywizacją zawodową. I co wtedy?
A co z tym faktem - cytat GIODO:
"Ponadto należy wskazać, że przekazywanie przez powiatowy urząd pracy danych osobowych bezrobotnych pracodawcom czy instytucjom szkoleniowym, z którymi urząd współpracuje, nie może być utożsamiane z powierzeniem przetwarzania tych danych."
Pozdrawiam
P.S. Rozwiązując wątpliwości, owszem pcpr także powinien działać na rzecz aktywizacji zawodowej, czy pomocy w poszukiwaniu zatrudnienia, bo jedną z przyczyn objęcia osoby pomocą społeczną jest bezrobocie. Ale to inny temat.
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

moim zdaniem opinie GIODO i MRR się nie wykluczają a problem bierze się z jednego powodu - w tym przypadku mamy dwa zbiory - jeden MRR (PEFS) drugi PUP-u i PCPR i problem pojawia się z chwilą który zbiór powierzamy ( udostępniamy). I MRR opisuje swój zbiór ( co jest zrozumiałe) a GIODO przepisy ogólne funkcjonowania PUP-uPrzemysław C. edytował(a) ten post dnia 29.06.12 o godzinie 05:02
Link do wypowiedziLink
Adam Buciński

Adam Buciński samodzielny
specjalista ds.
programów PUP,
konsultant itp.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Ja to rozumiem.
Tylko dlaczego GIODO, a zanim MRR uznało, że PUP w ramach projektu nie musi zawierać umów o powierzanie danych (nie tyle nie musi co nawet nie może). Jeżeli to 2 zbiory.
Przepraszam a jednak udostępnienie o powierzenie danych to jednak 2 różne rzeczy.
Ja bym nie miał wątpliwości, jakby MRR życzyłoby sobie umowy w przypadku udostępnienia danych.
A tak w ogóle ja nie wiem, który zbiór udostępniam. Przecież ja nie biorę danych z PEFS i wysyłam do firmy szkoleniowej, tylko dane własne. I na podstawie danych własnych uzupełniam PEFS (w PUP w systemie informatycznym jest taki fajny przycisk - eksport do PEFS).
Pojawia się pytanie, kiedy dana osobowa jest zbiorem własnym PCPR, PUP, a od kiedy jest już daną PEFS?
Coś mi się wydaje, że to nie tędy droga.
Także dalej nie rozumiem i nie dociera do mnie dlaczego w jednym przypadku ma być tak a w drugim (wg mnie analogicznym) inaczej.
A opinia GIODO w przypadku PCPR jest bardzo podobna do opinii w przypadku PUP.
I przepraszam ale w określonym systemie prawnym nie można tworzyć takich różnić, jak to że wg GIODO taką umowę o powierzenie danych może zawrzeć tylko administrator danych i
"Podmiot, któremu powierzono przetwarzanie danych osobowych nie staje się zatem ich administratorem." (za GIODO bodajże z wyroku SN).
No to jak to jest? Tak w ogóle to się zastanawiam jakim cudem to przeszło właśnie taka konstrukcja dalszego powierzenia danych w umowach o dofinansowanie projektu przez podmiot nie będący administratorem danych (pewnie jakieś tam uzasadnienie znaleźli).
Pozdrawiam
P.S. Może tak w ogóle, to ja uważam, iż w zakresie ochrony danych osobowych MRR po prostu przesadza. Chcą aż za "dobrze" co nie zawsze jest słuszne. Ostatnio właśnie na szkoleniach GIODO jest podnoszone, że za dużo w Polsce się bierze zgód na przetawrzanie danych itp. Podobno przez to Polacy to w Europie najlepiej uświadomiony naród w zakresie ochrony danych osobowych.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Adam Buciński:
A tak w ogóle ja nie wiem, który zbiór udostępniam. Przecież ja nie biorę danych z PEFS i wysyłam do firmy szkoleniowej, tylko dane własne. I na podstawie danych własnych uzupełniam PEFS (w PUP w systemie informatycznym jest taki fajny przycisk - eksport do PEFS).
Bo tak naprawdę, to nie mówimy o powierzeniu danych, tylko o powierzeniu ich przetwarzania. Dlatego zbieramy dane PEFS niejako w imieniu Ministerstwa. A że będą to fizycznie takie same dane, jak te przetwarzane w celu realizacji projektu, to już inna sprawa.
Pojawia się pytanie, kiedy dana osobowa jest zbiorem własnym PCPR, PUP, a od kiedy jest już daną PEFS?
To zależy od celu przetwarzania.

Nie jest to aż takie niezwykłe. MRR powierza dane PEFS, bo z ustawy jest ich ADO (i jedyne co zmienili od tego roku, to oparcie się o ustawę a nie o zgodę) i nie chce ich podpowierzania, żeby mieć kontrolę nad ich przetwarzaniem - to wydaje się zrozumiałe.
My potrzebujemy zwykle innych danych, więc mamy inny zbiór i nikt nie zabrania nam go powierzyć.

Ja bym jeszcze tylko zastanowił się, czy rzeczywiście mamy tu nowy zbiór, czy też nie można uznać, że jest to któryś ze zbiorów już przez pcpr posiadany - ale to już zależy od projektu.
Link do wypowiedziLink
Adam Buciński

Adam Buciński samodzielny
specjalista ds.
programów PUP,
konsultant itp.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

To też rozumiem. Powierzenie danych użyłem skrótowo.
Dalej chciałbym wyjaśnienie dlaczego w analogicznych sytuacjach:
1. PUP nie zawiera umów o powierzenie przetwarzania danych
2. PCPR ma zawierać takie umowy.
Cele zwykłej działalności PCPR, a cele projektu są takie same (inaczej cel projekt to jest cel jednego z celów działalności ustawowej pcpr - inaczej nie moglibyśmy go realizować urząd działa w granicach prawa)
Pozdrawiam
P.S. Dla mnie to nie jest takie logiczne. Jeżeli mi GIODO pisze, że mogę udostępniać, ale nie powierzać przetwarzanie danych (bo tak to rozumiem). Natomiast odniesienie do warunków realizacji projektu to nie jest jakaś wytyczna, bo projekt ma być realizowany zgodnie z prawem krajowym. I to jest główna przesłanka.
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Jarosław Żabówka:
Nie jest to aż takie niezwykłe. MRR powierza dane PEFS, bo z ustawy jest ich ADO (i jedyne co zmienili od tego roku, to oparcie się o ustawę a nie o zgodę)

zmian od 1.01.2012 jest więcej - a najważniejsza że w PEFS przetwarza się także dane wrażliwePrzemysław C. edytował(a) ten post dnia 29.06.12 o godzinie 11:29
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Adam Buciński:
To też rozumiem. Powierzenie danych użyłem skrótowo.
Dalej chciałbym wyjaśnienie dlaczego w analogicznych sytuacjach:
1. PUP nie zawiera umów o powierzenie przetwarzania danych
2. PCPR ma zawierać takie umowy.
Cele zwykłej działalności PCPR, a cele projektu są takie same (inaczej cel projekt to jest cel jednego z celów działalności ustawowej pcpr - inaczej nie moglibyśmy go realizować urząd działa w granicach prawa)
Pozdrawiam
P.S. Dla mnie to nie jest takie logiczne. Jeżeli mi GIODO pisze, że mogę udostępniać, ale nie powierzać przetwarzanie danych (bo tak to rozumiem). Natomiast odniesienie do warunków realizacji projektu to nie jest jakaś wytyczna, bo projekt ma być realizowany zgodnie z prawem krajowym. I to jest główna przesłanka.

Panie Adamie, to, co robicie i to jak robi inna instytucja jest w tym przypadku moim zdaniem mało istotne. ADO jest MRR i jeśli chcecie przetwarzać dane (a co za tym idzie - realizować projekty, gdzie MRR jest IZ) to nie zostaje wam nic innego jak stosować się do ich wytycznych.

Bo to oni są ADO i oni odpowiadają za bezpieczeństwo DO w ich zbiorach. Więc albo stosujecie się albo nie realizujecie projektu.

Przepraszam, brutalne, ale tak to wygląda w świetle UODO - oni sa ADO i oni tworzą system bezpieczeństwa. I albo przetwarzacie na ich zasadach, albo odrzucacie te zasady i nie macie prawa przetwarzać.
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Grzegorz K.:

Panie Adamie, to, co robicie i to jak robi inna instytucja jest w tym przypadku moim zdaniem mało istotne. ADO jest MRR i jeśli chcecie przetwarzać dane (a co za tym idzie - realizować projekty, gdzie MRR jest IZ) to nie zostaje wam nic innego jak stosować się do ich wytycznych.

Bo to oni są ADO i oni odpowiadają za bezpieczeństwo DO w ich zbiorach. Więc albo stosujecie się albo nie realizujecie projektu.

Przepraszam, brutalne, ale tak to wygląda w świetle UODO - oni sa ADO i oni tworzą system bezpieczeństwa. I albo przetwarzacie na ich zasadach, albo odrzucacie te zasady i nie macie prawa przetwarzać.

W pełni popieram
Link do wypowiedziLink
Adam Buciński

Adam Buciński samodzielny
specjalista ds.
programów PUP,
konsultant itp.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Nie jest mało istotne. Przepraszam, ale z wykształcenia jestem prawnikiem i dla mnie nie może być, iż w świetle tej samej ustawy, w analogicznej sytuacji dwie instytucje są traktowane odmiennie. To co w jednym przypadku interpretacja przepisów jest inna niż w drugim? Nie, tak nie może być. Czy mi się też wydaje, że głównym organem uprawnionym w zakresie ochrony danych osobowych jest GIODO, a nie MRR? Nie chce mi się tu punktować, ale GIODO w swojej opinii dla mnie dość powtórzyło to co zostało wymienione również w przypadku PUP. Dla mnie w tym wszystkim to tylko zagadkowa jest postawa MRR, że w tych 2 przypadkach postępuje odmiennie opierając się tylko na przesłance (tak mi się wydaje), że w przypadku ustawy o pomocy społecznej brak jest aktów wykonawczych dotyczących szkoleń. No przepraszam dla mnie to słaba podstawa, jeżeli istnieje takie umocowanie w ustawie, które wskazałem w swoim zapytaniu. W przypadku pup również nie trzeba było się powoływać aż na rozporządzenie - ogólne upoważnienie do przetwarzania danych w celu udzielenia wsparcia również istnieje w ustawie o promocji (najnowszy przykład mamy teraz w Polsce w urzędach pracy bony szkoleniowe wprowadzone pilotażowo - nikt się nie zająknął na temat danych osobowych, a nie ma ich w rozp.)
To żeby było ciekawiej:
Duża część uczestników (do 80%) są to osoby zarejestrowane w pup, na dodatek pup jest partnerem naszego projektu i realizuje część działań samodzielnie i może zlecać na zewnątrz. I co wychodzi na to , że dla np. 80% nie trzeba zawierać umów o powierzenie danych dla pozostałych 20% trzeba?
Owszem MRR jest ADO - ale to nie oznacza, że w przypadku tych konkretnych projektów ich działalność w tym zakresie opiera się wyłącznie o ich system bezpieczeństwa. Otóż musi być on zgodny (powtarzam bo to ważna kwesta to są projekty systemowe) z ustawami o pomocy społecznej, rehabilitacji zawodowej i społecznej, o pieczy zastępczej itp.
I to co jest ważne dla mnie, a też chyba obu Panom umyka:
1. Realizując szkolenie dla klienta pomocy społecznej na podstawie ustawy o pomocy społecznej finansowane ze środków własnych - nie będę firmie szkoleniowej powierzał przetwarzania danych tylko je udostępniał.
2. Realizując szkolenie dla klienta pomocy społecznej na podstawie ustawy o pomocy społecznej finansowane ze środków UE - będę firmie szkoleniowej powierzał przetwarzanie danych dając jej tym samym większe uprawnienia!!! (jak rozumiem).
Przepraszam, ale tak nie może być bo pierwszy lepszy NIKowiec się do mnie przyczepi. Przecież dla kwestii ochrony danych osobowych nie ma znaczenia źródło finansowania. Akurat MRR ma tylko zadbać, żeby ochrona danych osobowych przebiegała zgodnie z przepisami krajowymi. I PEFS to też nie ma do znaczenia w tym przypadku, bo np. w trakcie realizacji szkolenia, ja się posługuje własnym zbiorem danych. PEFS służy wyłącznie do przekazania danych osób do MRR.
Prezentowany przez Panów pogląd owszem jest słuszny, ale na tle projektów konkursowych.

I tak reasumując, bo chyba do nikąd zdążamy to nie jest tylko mój punkt widzenia, ale również osób z kontroli środków UE, które o wiele lepiej ode mnie znają się na ochronie danych osobowych. Ja to mały żuczek jestem, który stara się znaleźć jakieś wyjście z sytuacji.
Pozdrawiam
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Panie Adamie, myślę, że mimo wszystko już wszystko zostało wyjaśnione. UODO daje ADO prawo do takiego organizowania ochrony danych osobowych, jakie uzna za właściwe, aby były zgodne z przepisami prawa i adekwatne do zagrożeń. MRR jest ADO i to jego prawo. Proszę nie sprowadzać ochrony danych osobowych tylko do zadań określonych w przepisach prawnych, bo reagują one tylko na tzw bezpośrednie ryzyka prawne.

Analogia - przedsiębiorca na magazynie stwierdza, że chce mieć 12 kg środka gaśniczego na 300 m2, mimo że wymaganie z przepisów prawa to jest tylko 2 kg środka gaśniczego. I jeśli chce pan być realizatorem tej konkretnej usługi magazynowania - stosuję się pan do tych wymagań. Mimo, że przepis mówi inaczej.

Dla mnie tez koniec dyskusji, bo pytania, dlaczego MRR stawia takie wymagania są do MRR, nie do nas. W świetle obowiązujących przepisów o bezpieczeństwie (jakimkolwiek) ustawodawca określa MINIMALNE środki ochrony.

Dobrze że pan zaznaczył, że jest prawnikiem, bo wskażę panu jeden zapis z UODO, który zapewne pan zna, ale dla pełni dyskusji przytoczenie jest niezbędne:
Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Pozwoliłem sobie pogrubić najistotniejsze.

Nie znam wyników szacowania ryzyka (analizy zagrożeń) dla danych osobowych przetwarzanych w PEFS 2007, do celów realizacji POKL. Dlatego jak pisałem wyżej - nie jestem w stanie udzielić panu informacji, dlaczego ADO (MRR) zastosował tego typu środek ochrony. Po prostu nie wiem.

Natomiast co do zapytań jakie pan wystosował i jakie odpowiedzi pan uzyskał. Mam zapytanie do GIODO i odpowiedź, oraz odpowiedź z MRR. Jak mogę jeszcze zapytanie do MRR.Grzegorz K. edytował(a) ten post dnia 02.07.12 o godzinie 08:04
Link do wypowiedziLink
Adam Buciński

Adam Buciński samodzielny
specjalista ds.
programów PUP,
konsultant itp.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Niestety nie mam zapytania do MRR. Wysyłał to Urząd Marszałkowski, a ja podejrzewam, że nie do końca one było ok. Bo w odpowiedzi mamy o zwolnieniu z zawierania umów o powierzenie danych osobowych - tak ogólnie. Natomiast wcale nie o to w tym chodzi i też nie uważam, że słuszne byłoby zwolnienie pcpr w ogóle od zawieranie takich umów - mamy przecież kwestię takie jak np. ewaluacja czy audyt, gdzie na pewno trzeba taką umowę zawrzeć.
Właśnie to pan podkreślił "odpowiednio do zagrożeń". Ja w tym konkretnym przypadku szkoleń uważam, że jest ona nadmierna.
MRR to jest w ogóle ciekawe instytucja - ja ich nie podejrzewam o analizę konkretnych przypadków. Znając życie to wszystko do jednego wora wrzucili. Dlaczego - bo tak im wygodniej i to niech beneficjenci się martwią. A jak tak sobie coraz więcej dowiaduje (za co dziękuje) to, powinna być analiza co do konkretnych grup beneficjentów, konkretnej grupy docelowej w ramach sprecyzowanego Poddziałania PO KL. I to najlepiej w konsultacjach z GIODO (jako MRR to mogą coś takiego zrobić). Teraz to już na to jest nawet za późno, bo realizacja projektów jako taka się kończy.
Pozdrawiam
P.S. A nawet nie jestem ABI u siebie w urzędzie. A jeszcze trochę (jak nie już) a będę się lepiej orientował w temacie od obecnego.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj