GoldenLine
Zaloguj się
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Jak najszybciej rozpocząć przetwarzanie danych -...

Art 46 ust 2. Administrator danych, o których mowa w art. 27 ust. 1, może rozpocząć ich
przetwarzanie w zbiorze danych po zarejestrowaniu zbioru, chyba że ustawa
zwalnia go z obowiązku zgłoszenia zbioru do rejestracji.

Czy to w istocie oznacza, że po wysłaniu zgłoszenia dane zwykłe można przetwarzać, a dane wrażliwe dopiero po rejestracji, czy też taki zapis wskazuje na wstrzymanie do czasu rejestracji "całego" zbioru? Analiza treści ust. 1 i 2 tego artykulu skłania mnie do wniosku, że dane zwykłe można przetwarzać i nie trzeba kombinować tak, ze ze wysyła się zgłoszenie w trybie art. 1 (można przetwarzać dane zwykłe) a następnie aktualizuje zbiór o dane wrażliwe (które można przetwarzać po zarejestrowaniu).

Przed nowelizacją podobny trick służył przyspieszeniu przetwarzania danych wrażliwych, teraz już nie jest to możliwe. Mi chodzi jednak o to, czy po zgłoszeniu zbioru z danymi wrażliwymi dane zwykłe można przetwarzać tuż po wysłaniu zgłoszenia, czy trzeba czekać na całość?
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Jak najszybciej rozpocząć przetwarzanie danych -...

Hmm - jeżeli zakładamy że w zbiorze danych będziemy przetwarzamy dane wrażliwe ( aby zrealizować cel przetwarzania danych osobowych) i taki zbiór zgłaszamy to moim zdaniem powinniśmy poczekać na rejestracje "całego" zbioru
A dlaczego tak uważam - z definicji przetwarzania danych osobowych - czyli pierwszego elementu - zbierania danych osobowych - od razu padnie pytanie - czy dane będziemy zbierać dwa razy - raz dane zwykłe - które nie realizują naszego zakładanego celu przetwarzania danych osobowych ( więc po co je zbieramy) a drugi raz już po rejestracji zbioru dodatkowo zbieramy dane wrażliwe?
Następny problem jaki się pojawi to obowiązek odnotowania przez system informatyczny daty pierwszego wprowadzenia danych do systemu - pierwsze wprowadzenie do systemu będzie przed rejestracja zbioru przez GIODO
I najważniejsze pytanie jeżeli tylko część danych realizuje nasz cel i zaczynamy je wcześniej przetwarzać - to po co nam dane wrażliwe?
Myślę że innym rozwiązaniem było by zgłoszenie zbioru danych zwykłym, zbieramy te dane i a po pewnym czasie wysyłamy do GIODO informację o rozszerzeniu zakresu zbioru o przetwarzanie nowych danych - danych wrażliwych - takie rozwiązanie chyba było by bardziej zgodne z ustawą ale wątpię aby takie rozwiązanie było szybsze od "normalnej" procedury
Link do wypowiedziLink
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Jak najszybciej rozpocząć przetwarzanie danych -...

Są tu według mnie dwie istotne rzeczy.

1. Proponowany trick polegający na dosłaniu aktualizacji, która poszerzy już zarejestrowany i przetwarzany zbiór o dane wrażliwe, stawia ADO w sytuacji nielegalnego przetwarzania zbioru danych osobowych. Ten "trick" o którym Pan mówi był od samego początku nielegalny

2. "Czy po zgłoszeniu zbioru z danymi wrażliwymi dane zwykłe można przetwarzać tuż po wysłaniu zgłoszenia, czy trzeba czekać na całość?"

Moim zdaniem nie da się przetwarzać "części zbioru". Ta opinia wynika z definicji zbioru danych. Albo przetwarzamy cały zbiór (przyjmując różne kryteria), albo nie przetwarzamy go w ogóle, czekając na rejestrację.
Uważam więc, że wysłanie do rejestracji zbioru zawierającego pola dla danych wrażliwych nie upoważnia do jakichkolwiek operacji na tym zbiorze.
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Jak najszybciej rozpocząć przetwarzanie danych -...

Jacek G.:
Są tu według mnie dwie istotne rzeczy.

1. Proponowany trick polegający na dosłaniu aktualizacji, która poszerzy już zarejestrowany i przetwarzany zbiór o dane wrażliwe, stawia ADO w sytuacji nielegalnego przetwarzania zbioru danych osobowych. Ten "trick" o którym Pan mówi był od samego początku nielegalny

sama aktualizacja moim zdaniem nie jest trickiem ?
ustawodawca dopuszcza rozszerzenia zakresu przetwarzanych danych w tym również o dane wrażliwe. Art 41. ust 2 i 3.
Co innego że trickiem będzie sposób korzystania z tych przepisów, choć nie do końca jestem pewny niezgodności z prawem przetwarzanie danych zwykłych i tylko takich po zgłoszeniu zbioru a następnie po zgłoszeniu aktualizacji zakresu zbieranych danych i rozszerzenia ich o dane wrażliwe oraz zaktualizowaniu zakresu danych przez GIODO zbieranie już w tym zbiorze danych wrażliwych.
Oczywiście tak jak powiedziałem wcześniej jeżeli do zrealizowania celu jest koniczne przetwarzanie danych wrażliwych - to uważam że należy taki zbiór zgłosić i przetwarzać go zgodnie z prawem jako całość
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Jak najszybciej rozpocząć przetwarzanie danych -...

zarejestrowanie albo zgloszenie zbioru w moim przekonaniu w tym przypadku nie ma istotnego związku ze zbieraniem danych, można zbierać dane ale nie włączać ich do zbioru, do czasu rejestracji zbioru.

Mogę wyobrazić sobie sytuację, w której z formularzy przepisuje się do systemów informatycznych dane zwykłe, a dane wrażliwe (które nie musza w każdym przypadku występować) uzupełnia. Stąd np. zarejestrowanie zbioru z danymi zwykłymi, a następnie jego aktualizacja.

Należy zauważyć, że jeśli zgłasza się jeden zbiór z danymi wrażliwymi, to nie oznacza to, że dane każdej osoby muszą zawierać dane wrażliwe. Wystarczy aby były w zbiorze dane conajmniej jednej osoby, które spełniają warunki do bycia sensytywnymi.Leszek K. edytował(a) ten post dnia 04.05.11 o godzinie 13:09
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Jak najszybciej rozpocząć przetwarzanie danych -...

a czy same te formularze nie stanowią zbioru ?????
Lub inaczej czy z chwilą wpisania części danych z formularza nie powstaje nam zbiór danych w formie elektronicznej i papierowej ???Przemysław C. edytował(a) ten post dnia 04.05.11 o godzinie 13:13
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Jak najszybciej rozpocząć przetwarzanie danych -...

no właśnie, czy tak zebrane dane będą spełniać kryteria zbioru? I czy ono, to kryterium, może być jedno, czy musi być kilka? Czy stosik formularzy z danymi stanowi zbiór danych osobowych?
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Jak najszybciej rozpocząć przetwarzanie danych -...

ale jak cześć tych danych wprowadzimy do systemu to mamy moim zdaniem zbiór danych osobowych który jest przetwarzany w sposób informatyczny i papierowy
Link do wypowiedziLink
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Jak najszybciej rozpocząć przetwarzanie danych -...

Leszek K.:
zarejestrowanie albo zgloszenie zbioru w moim przekonaniu w tym przypadku nie ma istotnego związku ze zbieraniem danych, można zbierać dane ale nie włączać ich do zbioru, do czasu rejestracji zbioru.


W rozumieniu uodo zbieranie danych jest już ich przetwarzaniem.
Nie istnieje więc pojęcie "włączenia zebranych danych do zbioru", które oznaczałoby początek przetwarzania.
Zbiór może być przechowywany w formie papierowej, elektronicznej, jakiejkolwiek.
Leszek K.:
Czy stosik formularzy z danymi stanowi zbiór danych osobowych?

Taki stosik formularzy spełnia definicję zbioru z uodo.Jacek G. edytował(a) ten post dnia 05.05.11 o godzinie 09:52
Link do wypowiedziLink
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Jak najszybciej rozpocząć przetwarzanie danych -...

Przemysław C.:
ale jak cześć tych danych wprowadzimy do systemu
to mamy moim zdaniem zbiór danych osobowych
który jest przetwarzany w sposób informatyczny i papierowy


Zbiór mamy nawet przed wprowadzeniem danych do systemu - wtedy jest przetwarzany w sposób papierowy.Jacek G. edytował(a) ten post dnia 05.05.11 o godzinie 09:54
Link do wypowiedziLink

konto usunięte

Temat: Jak najszybciej rozpocząć przetwarzanie danych -...

W uzupełnieniu tylko - stosik ułożony chronologicznie to zbiór. Stosik ułożony przypadkowo to nie zbiór, ale dane podlegają uodo, bo "mogą być przetwarzane w zbiorze".
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Jak najszybciej rozpocząć przetwarzanie danych -...

Jacek G.:

W rozumieniu uodo zbieranie danych jest już ich przetwarzaniem.
Nie istnieje więc pojęcie "włączenia zebranych danych do zbioru", które oznaczałoby początek przetwarzania.
Zbiór może być przechowywany w formie papierowej, elektronicznej, jakiejkolwiek.

Ok, chodzi mi o to, że dane można przetwarzać pojedynczo, w zestawach i zbiorach. Jeśli dane mają być przetwarzane w zbiorze, to wtedy należy go zgłosić/zarejestrować, w zależności od kategorii danych.

Zatem brak zgłoszonego/zarejestrowanego zbioru nie stanowi zakazu do zbierania danych, ale stanowi zakaza przetwarzania danych w formie/strukturze, która odpowiada definicji zbioru (w zbiorze).

Zatem - gdy nie ma zgłoszenia/rejestracji zbioru - dane w formularzach w formie nieuporządkowanej można zbierać, ale zbierać danych do arkusza excel już raczej nie.
Link do wypowiedziLink
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Jak najszybciej rozpocząć przetwarzanie danych -...

Leszek K.:

Ok, chodzi mi o to, że dane można przetwarzać pojedynczo, w zestawach i zbiorach.

Jednak za każdym razem trzeba przetwarzać legalnie.
Twórcze jest rozróżnienie przetwarzania "pojedynczej danej" i "w zestawie".
Niestety, zbiory mają to do siebie, że mogą być puste, mieć jeden rekord lub kilka milionów rekordów...
Pojedynczy zestaw danych jest już zbiorem z jednym rekordem.

Nawet stosik danych ułożonych przypadkowo (sprzeczność wewnętrzna - jeśli ułożony, to nie przypadkowo) można przeglądać względem jakiegoś kryterium - kolejność ułożenia, alfabetycznie uporządkować itp... natychmiast mamy zbiór.
Poza tym już samo istnienie stosiku (czegoś już uporządkowanego) sugeruje choćby nazwę zbioru ("dane zebrane w dniu 1 maja 2011 roku na ulicy 3 sierpnia w Warszawie").

W przypadku danych osobowych zapisanych na kartkach moim zdaniem nie mielibyśmy do czynienia ze zbiorem, gdybyśmy do ciemnego pokoju weszli, w którym porozrzucane są przypadkowo różne dane z przypadkowych różnych badań wykonanych w przypadkowym czasie przez przypadkowe różne firmy, dodatkowo pod warunkiem, że nie włączymy światła i nie zabierzemy się do pracy z tymi danymi... :-)

Zatem brak zgłoszonego/zarejestrowanego zbioru nie stanowi zakazu do zbierania danych, ale stanowi zakaza przetwarzania danych w formie/strukturze, która odpowiada definicji zbioru (w zbiorze).

Danych sensytywnych z zasady nie wolno przetwarzać. Ustawa wskazuje jedynie przypadki, gdy to jest dopuszczalne i określa pod jakimi warunkami.
Brak zarejestrowanego zbioru danych z danymi wrażliwymi stanowi więc zakaz ich przetwarzania, czyli również zbierania.Jacek G. edytował(a) ten post dnia 11.05.11 o godzinie 13:54
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Jak najszybciej rozpocząć przetwarzanie danych -...

Czy ja dobrze rozumiem, że jeśli zostanie zgłoszony zbiór z danymi sensytywnym to można przetwarzać w takim zbiorze (do czasu rejestracji) dane tylko zwykłe (bez tej części wrażliwej), a wrażliwe dopiero po rejestracji?
Link do wypowiedziLink
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Jak najszybciej rozpocząć przetwarzanie danych -...

Leszek K.:
Czy ja dobrze rozumiem, że jeśli zostanie zgłoszony zbiór z danymi sensytywnym to można przetwarzać w takim zbiorze (do czasu rejestracji) dane tylko zwykłe (bez tej części wrażliwej), a wrażliwe dopiero po rejestracji?

Nie to miałem na myśli.
Zbiór pozbawiony danych sensytywnych (zbiór A) należy zgłosić i można go od razu przetwarzać (rozpoczynając choćby od zbierania danych).
Natomiast jeśli zgłosimy zbiór zawierający dane wrażliwe (zbiór B), to TAKIEGO ZBIORU PRZETWARZAĆ NIE MOŻNA, póki nie zostanie zarejestrowany. W związku z tym zbieranie danych (nawet tych niesensytywnych) w celu właczenia ich do takiego zbioru jest nielegalne.

Wynika to na przykład stąd, iż cel zbierania danych w zbiorze B określa m.in. jakie dane są zbierane. O tym celu i zakresie informujemy osoby od których dane zbieramy.

Przy rozwiązaniu wspomnianym przez Pana co należy powiedzieć osobie, której dane dotyczą?
"Drogi nasz użytkowniku! W celu xyz będziemy przetwarzać Twoje dane osobowe (w tym wrażliwe), ale na razie poprosimy tylko część danych, która wprawdzie nie pozwala nam przetwarzać w tym celu, ale cel zostanie zrealizowany w przyszłości, gdy poprosimy Cię o ten szczególny rodzaj danych - te wrażliwe."

Może łatwiej będzie wyjaśnić temat po podaniu jakiegoś przykładu?
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj