Paweł G. IOD, podmiot danych
Jakub B.:Tylko czemu odrębne upoważnienie lub powierzenie, skoro dostęp IODa do danych i procesów następuje z mocy samego prawa?
Mam tu sytuację członka personelu podmiotu przetw. na umowie o pracę oraz na umowę o współpracy, także upo dla członka a umowa powierzenia dla współpracownika
Jakub B. IOD (DPO)
Paweł G.:O! To jest właśnie pytanie, które miałem nadzieję że w końcu padnie
Jakub B.:Tylko czemu odrębne upoważnienie lub powierzenie, skoro dostęp IODa do danych i procesów następuje z mocy samego prawa?
Mam tu sytuację członka personelu podmiotu przetw. na umowie o pracę oraz na umowę o współpracy, także upo dla członka a umowa powierzenia dla współpracownika
Paweł G. IOD, podmiot danych
Jakub B. IOD (DPO)
Paweł G.:W przypadku zewnętrznego IOD zrzuca to problem zabezpieczeń na firmę właśnie.
Dla mnie jednak to zależy mocno od okoliczności. Jeśli IOD wykonuje wszystkie zadania tylko w siedzibie administratora i tylko z wykorzystaniem jego systemów IT, to bym umowy powierzenia nie zawierał. Jeśli jednak jest inaczej, np. kontaktuje się z osobami, których dane dotyczą, za pomocą systemów, nad którymi administrator nie ma kontroli, tobym się jednak zastanowił.
Jakub B.:Przecież z RODO nie wynika bynajmniej, że IOD-a ma mieć dostęp do wszelkich danych. Upoważnienie skonkretyzuje do jakiego zakresu danych dostęp jest IOD-zie niezbędny :)
Paweł G.:O! To jest właśnie pytanie, które miałem nadzieję że w końcu padnie
Jakub B.:Tylko czemu odrębne upoważnienie lub powierzenie, skoro dostęp IODa do danych i procesów następuje z mocy samego prawa?
Mam tu sytuację członka personelu podmiotu przetw. na umowie o pracę oraz na umowę o współpracy, także upo dla członka a umowa powierzenia dla współpracownika
Jak to jest, że w dużej ilości miejsc pokutuje stwierdzenie, że jak zewnętrzny IOD to z automatu powierzenie?Bo tak jakoś wynika z art. 28 RODO - jeżeli administrator powierza dane procesorowi to powinna być umowa, nie ma przecież wyjątku dla powierzenia związanego z przetwarzaniem jako IOD-a. ;)
dlaczego upowazniac do przetwarzania IOD na umowie o pracę, skoro zgodnie z aktem powołania oraz zapisami Rodo administrator ma zapewnić dostęp do danych?
Jakub B.:Nie sadzę żeby było to zasadne - zdecydowanie bardziej sensowne wydaje się po prostu upoważnienie IOD-y przez procesora. Konstruowanie jakiegoś "podpowierzenia" jest jakąś fikcją i dodatkowym komplikowaniem, generowaniem zbędnej biurokracji i ewentualnych problemów. Przykładowo - czy zarówno procesor jak i ten że tak nazwę "fikcyjny podprocesor" będą jakby równolegle prowadzili "rejestr kategorii czynności przetwarzania" z art. 30 ust. 2 RODO? ;)
Jacek P.:Ale dokładnie tak jest w przypadku pracownika CUS
Placówki powierzyły do CUS przetwarzanie danych, łącznie z funkcją IOD.
Sorry, ale jeśli jest taka umowa - to jakie uzasadnienie ma kolejna umowa powierzenia? Czy to ma być jakieś "podpowierzanie" ? Trochę robi się to nieczytelne i lekko "ekstrawagancko" ...
Czy nie będzie prościej - i do tego zgodnie z RODO - żeby procesor któremu powierzono m.in. wykonywanie zadań IOD-y - właśnie tego konkretnego IOD-ę po prostu upoważnił ?
W przypadku współpracownika CUS (outsourcing IOD) zasadne jest (pod)powierzenie
No chyba że jestem w błędzie...
Paweł G. IOD, podmiot danych
Jakub B. IOD (DPO)
Jacek P.:Pisząc o podpowierzeniu, patrzę na dane z perspektywy ich administratora.
Jakub B.:Nie sadzę żeby było to zasadne - zdecydowanie bardziej sensowne wydaje się po prostu upoważnienie IOD-y przez procesora. Konstruowanie jakiegoś "podpowierzenia" jest jakąś fikcją i dodatkowym komplikowaniem, generowaniem zbędnej biurokracji i ewentualnych problemów. Przykładowo - czy zarówno procesor jak i ten że tak nazwę "fikcyjny podprocesor" będą jakby równolegle prowadzili "rejestr kategorii czynności przetwarzania" z art. 30 ust. 2 RODO? ;)
[
Paweł G.:
IOD jest niezależny, więc nie można zadekretować upoważnieniem, do jakich danych i kiedy dostęp będzie mu niezbędny. Ograniczanie niezależności IOD przez ograniczanie mu dostępu do danych naruszałoby RODO. Mam nadzieję, Jacek, że nie jesteś IOD, bo uprawiasz złe doradztwo.
Jakub B.:
Jacek P.:Pisząc o podpowierzeniu, patrzę na dane z perspektywy ich administratora.
Jakub B.:Nie sadzę żeby było to zasadne - zdecydowanie bardziej sensowne wydaje się po prostu upoważnienie IOD-y przez procesora. Konstruowanie jakiegoś "podpowierzenia" jest jakąś fikcją i dodatkowym komplikowaniem, generowaniem zbędnej biurokracji i ewentualnych problemów. Przykładowo - czy zarówno procesor jak i ten że tak nazwę "fikcyjny podprocesor" będą jakby równolegle prowadzili "rejestr kategorii czynności przetwarzania" z art. 30 ust. 2 RODO? ;)
[
Skoro CUW jest procesorem, to takiemu iodzie z outsourcingu, podpowierza przetwarzanie danych.
Zasadniczo jest to umowa powierzenia oczywiście.
Jakub B. IOD (DPO)
Jacek P.:Poruszamy się w zakresie art. 28 pkt. 2 i 3 RODO
[
Ale dlaczego podpowierza a nie upoważnia?
O ile zrozumiałem to administrator powierzył procesorowi dane, m.in. z związku z wykonywaniem zadań IOD-y. W tej sytuacji będąc konsekwentnym powinien podpowierzać dane innym poza IOD-ą pracownikom czy współpracownikom, którzy też będą przetwarzali dane, ale wykonywali inne zadania :)
Paweł G. IOD, podmiot danych
Jacek P.:Na pewno będą sytuacje, kiedy IOD zażąda dostępu do tego rodzaju danych. I nie może wtedy biegać i upraszać o łaskawą zmianę zakresu upoważnienia. IOD jest niezależny, więc sam decyduje, dostęp do jakich danych jest mu w tym momencie niezbędny.
Rozumiem, ze IOD-a do realizacji swoich zadań koniecznie musi np. wiedzieć ile zarabiają wszyscy pracownicy w jego firmie?
Paweł G.:
Jacek P.:Na pewno będą sytuacje, kiedy IOD zażąda dostępu do tego rodzaju danych. I nie może wtedy biegać i upraszać o łaskawą zmianę zakresu upoważnienia. IOD jest niezależny, więc sam decyduje, dostęp do jakich danych jest mu w tym momencie niezbędny.
Rozumiem, ze IOD-a do realizacji swoich zadań koniecznie musi np. wiedzieć ile zarabiają wszyscy pracownicy w jego firmie?
Paweł G. IOD, podmiot danych
Jacek P.:Nie ma sensu rozmawiać z manipulantem, który udaje, że nie ma różnicy tam, gdzie merytorycznie jest przepaść. Wymyśliłeś sobie jakąś aberracji, jakoby IOD należało upoważnieniem ograniczać dostęp do danych. Nie masz żadnego potwierdzenia tej aberracji w literaturze przedmiotu, komentarzach, wytycznych dotyczących inspektorów ochrony danych, w dotychczasowym orzecznictwie wreszcie. Ale przy tej aberracji trwasz i bronisz jej jak niepodległości. Przynajmniej tyle mogę, by w każdym wątku, gdzie tę aberrację wciskasz, wyraźnie zaznaczyć, że to głupota jakaś totalna.
Taaak, i do np. informacji niejawnych też
Mariusz
Stasiak Vel
Stasek
IOD/DPO, Auditor ISO
27001:2017, Audytor
wewnętrzny, Proj...
Paweł G.:
Jacek P.:Nie ma sensu rozmawiać z manipulantem, który udaje, że nie ma różnicy tam, gdzie merytorycznie jest przepaść. Wymyśliłeś sobie jakąś aberracji, jakoby IOD należało upoważnieniem ograniczać dostęp do danych. Nie masz żadnego potwierdzenia tej aberracji w literaturze przedmiotu, komentarzach, wytycznych dotyczących inspektorów ochrony danych, w dotychczasowym orzecznictwie wreszcie. Ale przy tej aberracji trwasz i bronisz jej jak niepodległości. Przynajmniej tyle mogę, by w każdym wątku, gdzie tę aberrację wciskasz, wyraźnie zaznaczyć, że to głupota jakaś totalna.
Taaak, i do np. informacji niejawnych też
Mariusz S.:Nie przesądzałbym, ze nie sposób :)
Nie sposób tu się nie zgodzić z Panem Pawłem Graczyk.
samej swojej funkcji z rozporządzenia posiada upoważnienie do przetwarzania danych. ADO jest zobowiązany zapewnić mu dostęp, przy czym IOD jako z definicji profesjonalista, wie o tym do jakich danych dostęp jest mu niezbędny kierując się zasadą minimalizmu.Można do tego podejść zupełnie inaczej
Ponadto pragnę zauważyć, że zgodnie z art. 29 nie istnieje coś takiego jak pisemne upoważnienie, a jedynie polecenie przetwarzania, przy czym z definicji IODa nie może on otrzymywać poleceń w związku z wykonywaniem swoich zadań.
Formę pisemną upoważnienia wprowadzają przepisy wprowadzające odo, jednak nie widziałem w nich upoważnienia pisemnego dla IODa.
Paweł G. IOD, podmiot danych
Paweł G.:
Wyraz aberracja pochodzi z łaciny od eratio – błądzić i od aberratio – zbłąkanie się, zbłądzenie. Aberracja oznacza odstępstwo od przyjętych norm myślenia.
Paweł G. IOD, podmiot danych
Następna dyskusja:
пропозиції роботи
