GoldenLine
Zaloguj się

konto usunięte

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Witam
Mam taki prosty temat na tapecie:
Prowadze jednoosobową działalność gospodarczą związaną z serwisem IT. Co powinienem zrobić w momencie przyjazdu do klienta, który jest w świetle RODO ADO aby móc legalnie naprawić mu komputer w którym przetwarzane są dane osobowe. Prosty przykład - dzwoni np. sekretarka ze szkoły i mówi że padł jej komputer - jadę i co - zanim usiądę przed tym komputerem i zacznę go diagnozować powinienem spisać z nimi umowę użyczenia czy też wystarczy (jednoosobowa działalność) aby szkoła wydała mi pisemne upoważnienie do przetwarzania danych osobowych na czas naprawy - oczywiście zakłądam że komputer naprawiam na miejscu i zajmuje to powiedzmy 30 minut czyli że dane osobowe nie opuszczają miejsca przetwarzania ani nie wykonuję ich kopii na swoje nośniki. Biorąc na logikę podpisywanie umów powierzenia przy każdym jednym zleceniu to jakiś horror ;-(

pozdr.
zzz
Link do wypowiedziLink
Monika Goik

Monika Goik Informatyk / ABI,
ING USŁUGI FINANSOWE
S.A

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Witam,

Moim zdaniem, jeśli naprawa odbywa się na miejscu, pod nadzorem osoby uprawnionej przez ADO- nie ma konieczności sporządzania umowy ani też uzyskiwania upoważnienia.Ten post został edytowany przez Autora dnia 07.06.18 o godzinie 12:23
Link do wypowiedziLink

konto usunięte

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Ludzie bez przesady ,przyjechałeś naprawić kompa co ty tam chcesz przetwarzać.
Link do wypowiedziLink
Zbigniew Biernacki

Zbigniew Biernacki ADO Stowarzyszenie R
Dz Troski Specjalnej

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Monika G.:
Witam,

Moim zdaniem, jeśli naprawa odbywa się na miejscu, pod nadzorem osoby uprawnionej przez ADO- nie ma konieczności sporządzania umowy ani też uzyskiwania upoważnienia.
Jestem tego samego zdania pod warunkiem, że naprawiasz pod nadzorem
Link do wypowiedziLink
Zbigniew Biernacki

Zbigniew Biernacki ADO Stowarzyszenie R
Dz Troski Specjalnej

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Robert T.:
Ludzie bez przesady ,przyjechałeś naprawić kompa co ty tam chcesz przetwarzać.
Można np. zgrać dane na pena
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Robert T.:
Ludzie bez przesady ,przyjechałeś naprawić kompa co ty tam chcesz przetwarzać.
Wgląd do systemu przetwarzającego dane osobowe jest przetwarzaniem tych danych. I to jeszcze z uprawnieniami admina.
Link do wypowiedziLink
Monika K.

Monika K. Radca prawny, xx

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Paweł G.:
Robert T.:
Ludzie bez przesady ,przyjechałeś naprawić kompa co ty tam chcesz przetwarzać.
Wgląd do systemu przetwarzającego dane osobowe jest przetwarzaniem tych danych. I to jeszcze z uprawnieniami admina.

Zgadzam się Pawle, ale jeśli Pan naprawia usterki techniczne to jeśli nawet ma dostęp do danych - przy okazji wykonywania umowy głównej - ale umowa nie dotyczy naprawy systemu elektronicznego - a więc ma naprawić usterkę techniczną a nie przetwarzać dane - to nie powinnam mu powierzać przetwarzania danych - a raczej napisać w umowie że w ramach serwisu że nie ma prawa dostępu do danych i nie ma prawa ich przetwarzania - a jeśli "przy okazji" zapozna się z danymi to za ich wykorzystanie, w jakikolwiek sposób, będzie odpowiadał jako za nieuprawniony dostęp. Podpisywanie umowy o powierzenie sugeruje że w imieniu administratora w ramach prawidłowego wykonania umowy - polecam mu przetwarzanie danych - a tak nie jest - bo celem umowy jest tylko serwis sprzętu. Reszta jest nieuprawniona.
Dobrze to pokazuje przykład sprzątaczek , które w firmie w której wdrożona jest zasada tzw. czystego biurka, wchodzą do pomieszczenia w którym pracownik nie zastosował się do tej zasady i zostawił dokumenty na wierzchu - czy w takim razie mają prawo się z nimi zapoznać ? nie - wręcz odwrotnie . One mają sprzątać a nie zapoznawać się z dokumentami.
Albo oddajesz twarde dyski do zniszczenia firmie profesjonalnie zajmującej się ich zniszczeniem. Będziesz powierzał przetwarzanie ? Moim zdaniem, nie, w umowie powinien być zapis, że jej przedmiotem jest zniszczenie dysków i usługodawca nie ma prawa podejmowania prób odzyskiwania z nich danych. Fakt istnienia ewentualnej takiej możliwości nie powoduje konieczności powierzania przetwarzania - wręcz odwrotnie.
Tak więc o ile Pan ma naprawić sprzęt - to nie jest uprawniony do dostępu do danych i nie ma co powierzać . Oczywiście każda umowa wymaga analizy bo przedmiot każdej jest inny i i to jest najważniejsze że nie można generalizować. Jednak powszechne podpisywanie teraz umów powierzenia "na wszystko" i "na wszelki wypadek" też jest bez sensu - a wręcz niebezpieczne.
Link do wypowiedziLink

konto usunięte

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Paweł G.:
Robert T.:
Ludzie bez przesady ,przyjechałeś naprawić kompa co ty tam chcesz przetwarzać.
Wgląd do systemu przetwarzającego dane osobowe jest przetwarzaniem tych danych. I to jeszcze z uprawnieniami admina.

Produkowanie papierologii i tyle .
Wgląd do systemu nie jest równoznaczne z dostępem do danych.
Naprawiasz komputer czy bazę danych ?
Komputer nie przetwarza danych tylko program zainstalowany na tym sprzęcie i jeśli serwis polega na naprawie tego programu to wtedy można zakładać ze masz jakikolwiek dostęp do bazy danych. Baza danych powinna być zaszyfrowana to teraz podstawa z dostępem na hasło.
Link do wypowiedziLink

konto usunięte

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Witam ponownie
Na wstepie dla przypomnienie sama operacja kopiowania danych jest już w świetle RODO przetwarzaniem. Dla osób niezorientowanych - dzwoni klient:
- komputer się zepsuł
- ale co konkretnie, nie startuje, system się nie włącza itp (serwis)
- no nic nie działa (standardowa odpowiedź klienta),
- czyli się nie włącza ?? - nic się nie świeci ? (serwis)
- no nie działa - przyjedź Pan bo mi firma leży

Po przyjeździe na miejsce - komputer startuje, wywala się np. system operacyjny bo są badsektory na dysku - diagnoza - zalecana wymiana dysku z przeniesieniem danych - normalnie brałbym kompa pod pachę i na drugi dzień przywiózł gotowy, teraz mam dylemat - samo kopiowanie danych o ile jest moźliwe może trwać kilka(naście) godzin u klienta.

Sytuacja prozaiczna - NIE CHCĘ PRZETWARZAĆ DANYCH KLIENTA BO MI TO NIE POTRZEBNE, nie w tym celu świadczę usługę - ale nie ja wpisałem jakiekolwiek kopiowanie bazy OPERACJĄ PRZETWARZANIA w ustawie RODO.

Popatrzmy teraz od strony KLIENTA - ściąga serwis - widzi gościa pierwszy raz w życiu, ma na dysku w kompie dane osobowe - w zasadzie to ON powinien dać mi umowę do podpisania bo to JEGO odpowiedzialność.

Podsumowując - RODO sobie, życie sobie - ja widzę tu w zasadzie jedną sensowną odpowiedź
- RODO nie daje gotowych wzorów więc :
- w przypadku grzebania na dysku "klienta" podpisuję z klientem krótką umowę o zachowaniu poufności w przypadku przypadkowego (nie intencyjnego) dostępu do danych osobowych, ich nie rozpowszechnianiu oraz usunięciu wszelkich kopii "roboczych" po skończeniu naprawy.
- w przypadku usług na systemach bazodanowych w przypadku firmy jednosobowej upoważnienie do przetwarzania na czas wykonywania usługi dla tej konkretnej osoby + umowę o zachowaniu poufności
- przy stałej współpracy standardowo umowa powierzenia tak jak w przykładach podaje UODO

Praca "pod nadzorem" ado nie ma sensu bo jakby klient miał taką wiedzę jak ja to by sobie sam naprawił a w innym przypadku to zazwyczaj nie ma pojęcia co ja robię z jego sprzętem ;-) - więc to taki "kwiatek do kożucha"

pozdr.
zzz
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Monika K.:
Zgadzam się Pawle, ale jeśli Pan naprawia usterki techniczne to jeśli nawet ma dostęp do danych - przy okazji wykonywania umowy głównej - ale umowa nie dotyczy naprawy systemu elektronicznego - a więc ma naprawić usterkę techniczną a nie przetwarzać dane - to nie powinnam mu powierzać przetwarzania danych - a raczej napisać w umowie że w ramach serwisu że nie ma prawa dostępu do danych i nie ma prawa ich przetwarzania
Pełna zgoda, ale to mocno zależy, co ma rzeczywiście zrobić. Jeśli wykonuje usługę polegającą na zmianach konfiguracji sprzętu lub oprogramowania, to skutkiem jego działań może być przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie danych osobowych, ich niezgodne z prawem ujawnienie lub niezgodny z prawem dostęp.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Robert T.:
Baza danych powinna być zaszyfrowana to teraz podstawa z dostępem na hasło.
Ochrona danych osobowych to nie tylko ochrona bazy danych.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Sławomir T.:
Podsumowując - RODO sobie, życie sobie - ja widzę tu w zasadzie jedną sensowną odpowiedź
- RODO nie daje gotowych wzorów więc :
- w przypadku grzebania na dysku "klienta" podpisuję z klientem krótką umowę o zachowaniu poufności w przypadku przypadkowego (nie intencyjnego) dostępu do danych osobowych, ich nie rozpowszechnianiu oraz usunięciu wszelkich kopii "roboczych" po skończeniu naprawy.
- w przypadku usług na systemach bazodanowych w przypadku firmy jednosobowej upoważnienie do przetwarzania na czas wykonywania usługi dla tej konkretnej osoby + umowę o zachowaniu poufności
- przy stałej współpracy standardowo umowa powierzenia tak jak w przykładach podaje UODO
Zamiast spieszyć się z rozwiązaniami, pomyśl dłuższą chwilę. Zacznij od analizy ryzyka dla osoby, której dane dotyczą. Czy Twoje działania mogą spowodować utratę poufności danych tej osoby? Jakie będą skutki? Czy Twoje działania mogą spowodować utratę integralności danych tej osoby? Jakie będą skutki? Czy Twoje działania mogą spowodować utratę dostępności danych tej osoby? Jakie będą skutki?

Czy zakres Twojej odpowiedzialności za ew. naruszenia ochrony danych (art. 4 pkt 12) powinien być jakoś sprecyzowany? Dlaczego? Czy nie chciałbyś wiedzieć, co Ci wolno, czego nie - i jak masz działać, żeby nie ponosić odpowiedzialności?

Potem idź do dobrego prawnika, przedstaw powyższy problem, zapłać mu raz te 600 zł za świetny wzorzec umowy, który będziesz podsuwać klientom. I będziesz odbierany jako profesjonalista.

PS. Co do zakresu koniecznych prac, bierz przykład z dobrych warsztatów samochodowych. Najpierw określ, co jest do zrobienia, podsuń klientowi do zatwierdzenia. Jak w trakcie okaże się, że trzeba więcej - ponownie konsultuj z klientem. Najważniejsze, żeby Twoje działania i wykonywane czynności były dla klienta przejrzyste, czytelne, uzasadnione.
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Sławomir T.:
Witam
Mam taki prosty temat na tapecie:
Prowadze jednoosobową działalność gospodarczą związaną z serwisem IT. Co powinienem zrobić w momencie przyjazdu do klienta, który jest w świetle RODO ADO aby móc legalnie naprawić mu komputer w którym przetwarzane są dane osobowe.
Skąd wiesz, że są tam dane osobowe? Warto pamiętać, że na ADO ciąży obowiązek wykazania, że przetwarza d.o. zgodnie z rodo. ADO, a nie usługobiorca.
Ty, jako firma działaś na wyraźne polecenie ADO (ustne, bo ustne ale wiążące). Nie masz obowiązku wiedzieć co znajduje się na dysku kompa. To zmartwienie ADO.

Praktyczna wskazówka - jeśli możliwe, naprawiać kompa z wymontowanym HDD/SSD.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Materusz P.:
z serwisem IT. Co powinienem zrobić w momencie przyjazdu do klienta, który jest w świetle RODO ADO aby móc legalnie naprawić mu komputer w którym przetwarzane są dane osobowe.
Skąd wiesz, że są tam dane osobowe?
Radzisz mu palić głupa?
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Paweł G.:
Skąd wiesz, że są tam dane osobowe?
Radzisz mu palić głupa?
jaki przepis rodo nakazuje komukolwiek zastępowanie ADO w jego obowiązkach?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

A jaki przepis RODO zezwala na przetwarzanie danych bez polecenia ich administratora?
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Za dane osobowe u ADO odpowiada on sam. Jeśli dopuścił zewnętrznego serwisanta do naprawy sprzętu, to oznacza, że serwisant działa na polecenie ADO.
Link do wypowiedziLink
Paulina S.

Paulina S. Inspektor ochrony
danych

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

W rzeczy samej - dopuścił serwisanta do naprawy sprzętu a nie do przetwarzania danych.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Materusz P.:
Jeśli dopuścił zewnętrznego serwisanta do naprawy sprzętu, to oznacza, że serwisant działa na polecenie ADO.
Serwisant jest profesjonalistą, trzeba uwzględnić zawodowy charakter jego działalności. Skoro wie, że w systemie przetwarzane są dane osobowe, to konfigurując ten system, przetwarza dane osobowe, np. utrwalając je, kopiując, porządkując itp. Zapewne podejmuje też działania nakierowane na zapewnienie dostępności danych w systemie, być może zapewnienie ich bezpieczeństwa (poprzez np. szyfrowanie lub projektowanie zasad kontroli dostępu do danych), działania ukierunkowane na zaprojektowanie algorytmów wykonywania operacji na danych...

Serwisant planuje, inicjuje, przeprojektowuje rodzaje operacji na danych wykonywanych potem automatycznie przez systemy teleinformatyczne czy algorytmy. Jeśli nie mieści się to w definicji przetwarzania, to ja jestem gitara. Serwisant bezsprzecznie uzyskuje władztwo nad danymi.

Wg komentarza Lubasza do art. 4 pkt. 2 RODO "nie jest istotne, czy zgodnie z wolą człowieka decydującego o operacji lub zestawie operacji miała ona być wykonywana na danych osobowych lub ich zestawach. [...]nie ma także znaczenia świadomość osoby przeprowadzającej daną operację lub decydującej o jej wykonaniu co do tego, czy operacje przeprowadzane są na danych osobowych lub ich zestawach. Ważna jest tylko i wyłącznie konsekwencja w postaci wykonania operacji lub ich zestawu na danych osobowych, choćby osoba realizująca określoną czynność nie zdawała sobie sprawy, że dotyczy ona danych stanowiących dane osobowe".

Panowie informatycy, najwyższy czas nauczyć się czytać komentarze do RODO i nie kompromitować się mało profesjonalnymi analizami. Niechże one będą na czymś oparte, nie tylko na latami ugruntowywanym bezkarnością i nieporadnością organu nadzorczego myśleniu życzeniowym.
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: Powierzenie danych czy upoważnienie - naprawa komputera.

Paweł G.:
Niektórzy rozróżniają serwisanta sprzętu od serwisanta oprogramowania.

Zgodnie z dobrymi praktykami, sprzęt oddany do naprawy winien być pozbawiony danych osobowych.

Serwisant sprzętu nie musi mieć dostępu do danych osobowych by naprawiać jednostkę. Ma prawo oczekiwać, że ADO zobligowany przestrzeganiem rodo, wykonał to co niezbędne w przypadku konieczności naprawy sprzętu.
Wg komentarza Lubasza do art. 4 pkt. 2 RODO "nie jest istotne, czy ....
Cytowany komentarz dotyczy innej materii.

Panowie informatycy, najwyższy czas nauczyć się czytać ...
Strzeliste odezwy ad personam nic nie wnoszą do dyskusji, a tylko niepotrzebnie ją zaostrzają.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj