GoldenLine
Zaloguj się
Dominika Bem

Dominika Bem specjalista ds
personalnych,
Jednostka Budżetowa

Temat: opis struktury danych osobowych systemów do zgłaszania...

Witam
Moja firma ma obowiązek zgłaszania dłużników do 4 różnych biur informacji gospodarczych.
"Dodawanie" dłużników odbywa się poprzez logowanie do platformy, a następnie uzupełnianie kolejnych okienek .
Czy w związku z tym należy w PB opisać struktury danych osobowych każdej platformy?
Będę wdzięczna za pomoc.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: opis struktury danych osobowych systemów do zgłaszania...

Jesteście administratorem tych zbiorów danych?
Ja bym to potraktował jako udostępnienie danych innemu administratorowi i nie opisywał w PB.
Link do wypowiedziLink
Dominika Bem

Dominika Bem specjalista ds
personalnych,
Jednostka Budżetowa

Temat: opis struktury danych osobowych systemów do zgłaszania...

Marek P.:
Jesteście administratorem tych zbiorów danych?
Ja bym to potraktował jako udostępnienie danych innemu administratorowi i nie opisywał w PB.


Tak, jesteśmy administratorem.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: opis struktury danych osobowych systemów do zgłaszania...

Przepraszam, ale muszę jeszcze raz spytać - czy na pewno jesteście administratorem tych zbiorów, tzn. że jesteście administratorem tych danych w rozumieniu art 7 u.o.d.o?

Z tego co przyjrzałem się 2 wybranym BIGom to zachowują się jakby oni byli administratorem, tzn. zarejestrowali zbiory danych w GIODO i opracowali dokumentację dotyczącą zabezpieczenia tych danych.

Być może sprawę dałoby się wyjaśnić zaglądając w umowę pomiędzy Wami a BIGiem. Jeżeli jesteście administratorem to prawdopodobnie powinno tam być coś na temat zasad powierzenia przetwarzania danych osobowych.

Jeżeli w dalszym ciągu odpowiedź brzmi "tak, jesteśmy administratorem" to opis struktury powinien być w Waszej PB.Ten post został edytowany przez Autora dnia 17.11.15 o godzinie 20:38
Link do wypowiedziLink
Dominika Bem

Dominika Bem specjalista ds
personalnych,
Jednostka Budżetowa

Temat: opis struktury danych osobowych systemów do zgłaszania...

Marek P.:
Przepraszam, ale muszę jeszcze raz spytać - czy na pewno jesteście administratorem tych zbiorów, tzn. że jesteście administratorem tych danych w rozumieniu art 7 u.o.d.o?

Z tego co przyjrzałem się 2 wybranym BIGom to zachowują się jakby oni byli administratorem, tzn. zarejestrowali zbiory danych w GIODO i opracowali dokumentację dotyczącą zabezpieczenia tych danych.

Być może sprawę dałoby się wyjaśnić zaglądając w umowę pomiędzy Wami a BIGiem. Jeżeli jesteście administratorem to prawdopodobnie powinno tam być coś na temat zasad powierzenia przetwarzania danych osobowych.

Jeżeli w dalszym ciągu odpowiedź brzmi "tak, jesteśmy administratorem" to opis struktury powinien być w Waszej PB.

Dziękuję za podpowiedź. Faktycznie muszę przyjrzeć się umowie.
Natomiast jeżeli chodzi o art, 7 u.o.d.o. to dane, które przekazujemy do BIG-ów pochodzą z naszego zbioru zgłoszonego do GIODO, a wynikają z ustawy o wspieraniu rodziny, na podstawie której działa nasza jednostka.
Mam nadzieję, że dobrze to rozumiem.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: opis struktury danych osobowych systemów do zgłaszania...

Dominika B.:
Natomiast jeżeli chodzi o art, 7 u.o.d.o. to dane, które przekazujemy do BIG-ów pochodzą z naszego zbioru zgłoszonego do GIODO, a wynikają z ustawy o wspieraniu rodziny, na podstawie której działa nasza jednostka.

No przecież tu jest odpowiedź na wątpliwości.

Dane które PRZEKAZUJEMY.
W wywiadzie dodałbym pytanie - czy decydujecie o celu i zakresie przetwarzanych danych? Innymi słowy:
1. Czy macie wpływ na to, gdzie i jak są publikowane?
2. Czy to do Was wpływa żądanie zaprzestania przetwarzania po tym, jak ustaną przesłanki (dłużnik spłaci zadłużenie)?

Dla kolegów - to jest właśnie powód, dla którego mówię - DO LUDZI! ;-)
Link do wypowiedziLink
Dominika Bem

Dominika Bem specjalista ds
personalnych,
Jednostka Budżetowa

Temat: opis struktury danych osobowych systemów do zgłaszania...

No przecież tu jest odpowiedź na wątpliwości.

Dane które PRZEKAZUJEMY.
W wywiadzie dodałbym pytanie - czy decydujecie o celu i zakresie przetwarzanych danych? Innymi słowy:
1. Czy macie wpływ na to, gdzie i jak są publikowane?
2. Czy to do Was wpływa żądanie zaprzestania przetwarzania po tym, jak ustaną przesłanki (dłużnik spłaci zadłużenie)?

Dla kolegów - to jest właśnie powód, dla którego mówię - DO LUDZI! ;-)

My nie decydujemy o celu i zakresie przetwarzanych danych, to gdzie i jak te dane są publikowane wynika z ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych.
My jesteśmy wierzycielem i my przekazujemy do BIG-ów informacje gospodarcze w celu ich ujawnienia przez BIG-i.
Może ja tu czegoś nie rozumiem. Może ktoś mi to wytłumaczyć "jak krowie na rowie"?
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: opis struktury danych osobowych systemów do zgłaszania...

Spokojnie :-)

Odpowiadając krótko:
Na podstawie przekazanych w tej dyskusji informacji wygląda na to, że nie jesteście administratorem (w rozumieniu przepisów o ochronie danych osobowych) zbioru danych w BIG,
a więc nie musicie opisywać tego zbioru w Waszej PB.

Wyjaśnienie kilku aspektów tej sprawy:

Administratorem danych - w rozumieniu Ustawy o ochronie danych osobowych – jest organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. Skoro w tym przypadku nie Wy o tym decydujecie - to nie jesteście administratorem zbioru danych prowadzonego przez BIG.

To, że w serwisie BIG macie coś w rodzaju konta do administrowania to nie znaczy, że jesteście administratorem tego zbioru danych w rozumieniu u.o.d.o.. Administrujecie jedynie pewnymi aspektami użytkowymi tego serwisu (zarządzanie użytkownikami itp.).

Fakt, że dane pochodzą z Waszego zbioru zgłoszonego do GIODO nie oznacza, że po przekazaniu danych do BIG jesteście również administratorem zbioru w BIG. Wy przekazujecie te dane innemu administratorowi. To on odpowiada za właściwą dokumentację i zabezpieczenie zbioru, który tworzy na podstawie uzyskiwanych od Was informacji.
Link do wypowiedziLink
Dominika Bem

Dominika Bem specjalista ds
personalnych,
Jednostka Budżetowa

Temat: opis struktury danych osobowych systemów do zgłaszania...

Marek P.:
Spokojnie :-)

Odpowiadając krótko:
Na podstawie przekazanych w tej dyskusji informacji wygląda na to, że nie jesteście administratorem (w rozumieniu przepisów o ochronie danych osobowych) zbioru danych w BIG,
a więc nie musicie opisywać tego zbioru w Waszej PB.

Wyjaśnienie kilku aspektów tej sprawy:

Administratorem danych - w rozumieniu Ustawy o ochronie danych osobowych – jest organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. Skoro w tym przypadku nie Wy o tym decydujecie - to nie jesteście administratorem zbioru danych prowadzonego przez BIG.

To, że w serwisie BIG macie coś w rodzaju konta do administrowania to nie znaczy, że jesteście administratorem tego zbioru danych w rozumieniu u.o.d.o.. Administrujecie jedynie pewnymi aspektami użytkowymi tego serwisu (zarządzanie użytkownikami itp.).

Fakt, że dane pochodzą z Waszego zbioru zgłoszonego do GIODO nie oznacza, że po przekazaniu danych do BIG jesteście również administratorem zbioru w BIG. Wy przekazujecie te dane innemu administratorowi. To on odpowiada za właściwą dokumentację i zabezpieczenie zbioru, który tworzy na podstawie uzyskiwanych od Was informacji.

Dziękuję za pomoc. Ta odpowiedź wiele mi wyjaśniła.
Nadal mam jednak wątpliwości, czy w związku z tym informacja o BIG-ach w ogóle powinna pojawić się w naszej PB wraz z opisem struktury danych osobowych.
Ja wnioskuję, że nie. Ale czy w takim wypadku powinniśmy stworzyć odrębny zbiór danych np. o nazwie Dłużnicy i opisać w nim dane, które będą przekazywane do BIG-ów?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: opis struktury danych osobowych systemów do zgłaszania...

Jak wyżej, plus mała informacja. Ustawę o ochronie danych osobowych trzeba czytać po kolei ;-)

Najpierw rozdział 1 - żeby wiedzieć, czy nas dotyczy (a jeśli tak - to czy na pewno w całości). I czy nas obowiązuje. tam są definicje i ADO i danych osobowych i przetwarzania.

Potem rozdział 2 - tu mniej bym się wczytywał (ot tak)

Potem rozdział 3 - zasady przetwarzania danych osobowych. Czyli jak już wiemy, że mamy dane osobowe i wiemy jakie (bo uważnie studiowaliśmy definicje rozdziału 1) i wiemy tez, że jesteśmy ADO, to szukamy przesłanek (art 23 i 27) i zasad przetwarzania danych osobowych. Plus kilku jeszcze innych.

Potem rozdział 4 - prawa osoby, której dane dotyczą. To tak informacyjnie (z niego wynikają pewne procedury),.

Potem rozdział 5 - jak już wiemy wszystko, czyli z rozdziału 1 - że mamy dane, że jesteśmy ADO, z rozdziału 3 - zestawiamy przesłanki do tych danych, z rozdziału 4 - wiemy co może obywatel - projektujemy system zarządzania bezpieczeństwem w ujęciu prawnym (czyli politykę), w tym spisujemy już formalnie jak te dane są pogrupowane (zbiory), jak to jest w IT ( i prostujemy jak trzeba) identyfikujemy zabezpieczenia organizacyjne (ochrona przed zniszczeniem, zaborem, ujawnieniem - czyli ochrona fizyczna i zabezpieczenie techniczne, ochrona ppoż, ochrona w sieciach i systemach IT), plus po drodze identyfikujemy jak te dane nam przepływają przez firmę. Mamy jeszcze instrukcję zarządzania systemem IT służącym do przetwarzania danych, ale te procedury wychodzą niejako po drodze.

Potem rozdział 6 - na podstawie tego z rozdziału 5 i wcześniejszych działań - identyfikujemy jakie mamy zbiory i które z nich podlegają rejestracji. I sobie rejestrujemy. Jak w działaniu wyżej powołaliśmy ABI - to jego też rejestrujemy.

Na podstawie działań z R - 5 - jeszcze po identyfikacji wiemy, czy mamy dane przekazywane poza EOG. Jak tak - to kolejna dłubaninka.

No i byłoby na tyle.

Tak pokrótce, gdyby to działanie było zrobione, nie byłoby pytań, bo jak kolega wyżej napisał, nie jesteście ADO dla tych konkret zbiorów. Robiąc swoje według schematu, wyjdzie Wam w opisie do rozdziału 3, 4 i 5 - jak przetwarzacie, jaka jest przesłanka legalizująca przekazanie danych i co dalej z tego wynika. Bo po drodze jeszcze obowiązek informacyjny.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: opis struktury danych osobowych systemów do zgłaszania...

Dominika B.:
czy w takim wypadku powinniśmy stworzyć odrębny zbiór danych np. o nazwie Dłużnicy

Przecież chyba macie już taki zbiór, i to z tego zbioru właśnie będziecie udostępniać dane BIG-om.

Na Twoim miejscu zastanowiłbym się jeszcze nad zakresem danych pracownika wymaganym przez jeden z BIG-ów do założenia konta w systemie. Wg mnie jest to naruszenie zasad: legalności oraz adekwatności.
Link do wypowiedziLink
Dominika Bem

Dominika Bem specjalista ds
personalnych,
Jednostka Budżetowa

Temat: opis struktury danych osobowych systemów do zgłaszania...

Dziękuję wszystkim, którzy udzielili mi odpowiedzi za pomoc.
Zdaję sobie sprawę z tego, że zadaję pytania, które świadczą o braku podstawowej wiedzy w tym temacie,
Temat danych osobowych jest dla mnie tematem nowym, którego się uczę i nie mam pojęcia od czego zacząć. Dlatego zaczęłam szukać pomocy na forum.
Pozdrawiam wszystkich serdecznie.
Link do wypowiedziLink
Tomasz Fibingier

Tomasz Fibingier Inspektor Ochrony
Danych + IT

Temat: opis struktury danych osobowych systemów do zgłaszania...

Paweł G.:
Przecież chyba macie już taki zbiór, i to z tego zbioru właśnie będziecie udostępniać dane BIG-om.

jak to widzimy - czy wszyscy tak samo? -> udostępniać czy powierzać /powierzenie w rozumieniu uodo/
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: opis struktury danych osobowych systemów do zgłaszania...

Ja tu nie widzę powierzenia.Czy BIG odda nam te dane lub je zniszczy na nasze żądanie? Oczywiście nie. BIG staje się administratorem.
Link do wypowiedziLink
Tomasz Fibingier

Tomasz Fibingier Inspektor Ochrony
Danych + IT

Temat: opis struktury danych osobowych systemów do zgłaszania...

Ja nie mam takiej pewności.
Jak na razie nie wiem co to jest w rozumieniu ustawy, zastanawiam się czy nie powinno to być zakwalifikowane jako powierzenie.

w przepisach nie znalazłem uregulowania że big jest administratorem d.o.
w regulaminie /zerknąłem na kilka/ też nie- za to często jest zapis że oni pośredniczą, udostępniają platformę itp.

do tego wygląda to tak, że podpisujemy z danym BIG-iem umowę współpracy, oni dają nam dostęp do swojej platformy gdzie wpisujemy naszych dłużników dane o ich zobowiązaniach pieniężnych, a po ustaniu/zapłaceniu tego zobowiązania jesteśmy zobowiązani do przekazania informacji do BIG, np usunięcia dłużnika z naszego panelu
to tak z punktu widzenia klienta który prześledziłem,

jak dla mnie to nie jest taka jednoznaczna sytuacja
co do postu Pawła i pytania -> czy zniszczy na nasza żądanie dane, to moim zdaniem wg regulaminu tak /zniszczy dane lub nie będzie ich dalej upubliczniał, przynajmniej w odniesieniu do danych długu zgłoszonego przez nas i powiązanego z nim dłużnika tzn. zdejmie jego zobowiązanie ze strony (w uproszczeniu)

to że big staje się administratorem swojego zbioru to chyba tak
ale mam poważne wątpliwości czy my przekazując dane do big przestajemy być ado, uważam że nie i powinniśmy to rozpatrywać w kategorii powierzenia, w pewnym zakresie my decydujemy za pomocą panelu i konta w big, czy dłużnik wisi na stronie czy spłacił i nie, a to co big robi oprócz tego z tymi danymi to może być kolejna kwestia
Link do wypowiedziLink
Przemysław Siembida

Przemysław Siembida Pełnomocnik Zarządu
ds. Telekomunikacji,
Administrator B...

Temat: opis struktury danych osobowych systemów do zgłaszania...

Polecam ustawę o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych - może i przesłanka się znajdzie.
Poza tym sprawdzenie czym różni się procesor od odbiorcy danych i gdzie wykazujemy jednych, a gdzie drugich.
Link do wypowiedziLink
Wojciech Kulaszewicz

Wojciech Kulaszewicz ABI

Temat: opis struktury danych osobowych systemów do zgłaszania...

Paweł G.:
Dominika B.:
czy w takim wypadku powinniśmy stworzyć odrębny zbiór danych np. o nazwie Dłużnicy

Przecież chyba macie już taki zbiór, i to z tego zbioru właśnie będziecie udostępniać dane BIG-om.

Na Twoim miejscu zastanowiłbym się jeszcze nad zakresem danych pracownika wymaganym przez jeden z BIG-ów do założenia konta w systemie. Wg mnie jest to naruszenie zasad: legalności oraz adekwatności.
Big o którym mowa właśnie zmienił treść formularza
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: opis struktury danych osobowych systemów do zgłaszania...

Wojciech K.:
Big o którym mowa właśnie zmienił treść formularza

Mam jeszcze kilka wątpliwości - w ramach dyskusji akademickiej. Jest sobie oto taka klauzula:

"Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w formularzu rejestracyjnym oraz dołączonych do niego dokumentach przez Biuro Informacji Gospodarczej InfoMonitor S.A. z siedzibą w Warszawie przy ul. Zygmunta Modzelewskiego 77 dla potrzeb niezbędnych do rejestracji i korzystania z usług w ramach Serwisu BIG.pl, zgodnie z ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Jednocześnie oświadczam, iż przyjmuję do wiadomości, że: (a) administratorem tak zebranych danych osobowych jest Biuro Informacji Gospodarczej InfoMonitor S.A. z siedzibą w Warszawie przy ul. Zygmunta Modzelewskiego 77 (b) moje dane osobowe będą przetwarzane w celu obsługi Serwisu BIG.pl oraz korzystania z funkcji Serwisu BIG.pl, w tym w celu zamawiania Produktów i usług oferowanych przez Biuro Informacji Gospodarczej InfoMonitor S.A. i realizacji tych usług, a także w celach marketingowych w celu promocji własnych produktów lub usług (c) podanie danych osobowych jest dobrowolne, jednak odmowa ich podania jest równoznaczna z brakiem możliwości Rejestracji w Serwisie BIG.pl, (d) mam prawo dostępu do treści swoich danych i ich poprawiania."

1. Po co zgoda podmiotu danych?
2. Gdzie informacja o odbiorcach danych (lub ich braku)?
3. Jak realizowane jest prawo złożenia sprzeciwu, jeśli chodzi o cel marketingowy? Formularz nie daje możliwości złożenia sprzeciwu od razu w momencie zbierania danych.
4. Czy oferty będą przesyłane elektronicznie? Jeśli tak, gdzie zgoda z uśude i zgoda z art. 172 Prawa telekomunikacyjnego?
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Problemy praktyczne z opise...




Wyślij zaproszenie do
Anuluj