GoldenLine
Zaloguj się
Filip Śmieiński

Filip Śmieiński Inspektor, Bank
Spółdzielczy

Temat: Powierznie przy konwojowaniu?

Czy przedsiębiorstwo A które zawiera umowę z przedsiębiorstwem B - konwojentem na konwojowanie pewnych przedmiotów musi zawrzeć z firmą konwojującą - B umową o powierzenie przetwarzania danych? Jedyne dane jakie otrzymują konwojenci to podpisy pracowników którzy odbierają zawartość konwoju. Na moje oko nie jest wymagana umowa powierzenia ale chcialbym mieć pewność bo jestem w temacie od niedawna ;)
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierznie przy konwojowaniu?

Gdyby chodziło o konwojowanie danych osobowych, to byłoby powierzenie.
Link do wypowiedziLink

konto usunięte

Temat: Powierznie przy konwojowaniu?

Paweł G.:
Gdyby chodziło o konwojowanie danych osobowych, to byłoby powierzenie.
Nie przekonuje mnie to. Czy możesz rozwinąć, dlaczego według Ciebie byłoby powierzenie?
Link do wypowiedziLink
Filip Śmieiński

Filip Śmieiński Inspektor, Bank
Spółdzielczy

Temat: Powierznie przy konwojowaniu?

nie odbiegajmy od tematu.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierznie przy konwojowaniu?

Nie przekonuje mnie to. Czy możesz rozwinąć, dlaczego według Ciebie byłoby powierzenie?
Analogicznie do kuriera czy gońca. Uzyskuje władztwo nad danymi, przejmuje odpowiedzialność za ich ochronę (poufność, integralność) w tej części procesu przetwarzania.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powierznie przy konwojowaniu?

Przy konwojowaniu wartości zachodzi wiele przepływów danych osobowych. Może warto zacząć od pełnego opisu? A dopiero potem spróbować rozstrzygnąć czy jest to przekazanie danych, powierzenie danych, etc.

Wyprowadzę z błędu. Nie jest to tylko podpis. I władztwo nad danymi, jak to Paweł nazwał jest po stronie agencji ochrony (bo zakładam, że chodzi albo o koncesjonowany podmiot i jego SUFO albo o WSO).

Odpowiedzi dlaczego tak należy szukać w przepisach o ochronie osób i mienia, w tym w szczególności w zakresie dokumentacji wymaganej przepisami prawa w przypadku świadczenia usług ochronnych. Dla przypomnienia konwoje to forma ochrony osób i mienia, art 3 ustawy o ochronie osób i mienia. Minimalna dokumentacja - cały rozdział Ustawy w okolicach art 20 (wcześniej czy dalej) a dokumetnacja dodatkowo ma wymagania w rozporządzeniu w sprawie dokumentacji.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierznie przy konwojowaniu?

Grzegorz K.:
Przy konwojowaniu wartości zachodzi wiele przepływów danych osobowych.
No ale nie są to dane powierzone przecież.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powierznie przy konwojowaniu?

Nie zawsze są. Z ochrona ogólnie jest cały czas jazda. Bo to jest taka sama ochrona jak ta na obiektach.
Link do wypowiedziLink
Filip Śmieiński

Filip Śmieiński Inspektor, Bank
Spółdzielczy

Temat: Powierznie przy konwojowaniu?

Tylko ze w czasie ochrony na obiektach, prowadzony jest zwykle monitroing do tego księgi wejśc i wyjśc ewentualnie jakas ewidnecja pracowników mogących przebywać na obiektach. W przypadku ochrony obiektu nie mam wątpliwości ze powierzenie przetwarzania zachodzi, mam wątpliwości co do samego konwojowania tylko i wyłącznie, bo ta usługę wykonuje inny podmiot. Wydaje mi sie że nie można traktować pobrania podpisu osoby odbierającej konwój jako wystarczająca przesłankę do uznania że są powierzane do przetwarzania dane.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierznie przy konwojowaniu?

Filip Ś.:
przypadku ochrony obiektu nie mam wątpliwości ze powierzenie przetwarzania zachodzi
I niesłusznie nie masz wątpliwości :)
Link do wypowiedziLink
Przemysław Dorszewski

Przemysław Dorszewski

Temat: Powierznie przy konwojowaniu?

Filip Ś.:
Czy przedsiębiorstwo A które zawiera umowę z przedsiębiorstwem B - konwojentem na konwojowanie pewnych przedmiotów musi zawrzeć z firmą konwojującą - B umową o powierzenie przetwarzania danych?

Sprawdziłbym, czy w umowie nie ma zapisów o wymianie jakiś danych między A a B (jakieś listy, rozliczenia?)
W jaki sposób pracownicy firmy A weryfikują, że konwojent jest akurat z firmy B i działa z polecenia firmy B?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powierznie przy konwojowaniu?

Standardem jest lista konwojentów z numerami legitymacji służbowych. Formalnie wygląda to tak, że wstępna weryfikacja powinna obejmować:
1. Pojazd, którym podjechał konwój
2. Konwojenta (lub inkasenta, bo inną forma jest inkaso)
Dopiero przy zgodności obu obszarów powinno przejść się do pomieszczenia kasowego i przekazać wartości.
Link do wypowiedziLink
Filip Śmieiński

Filip Śmieiński Inspektor, Bank
Spółdzielczy

Temat: Powierznie przy konwojowaniu?

Tylko że wymina danych przy wykonywaniu umów pomiędzy przedsiębiorcami nie będzie równoznaczna z powierzeniem danych os. do przetwarzania ponieważ każda ze stron ntej umowy będzie je przetwarzać we własnym celu i obie strony będą Administratorami tych danych bo każda będzie je przetwarzać we własnym zakresie i w celu wykonania swoich zadan. Poza tym logicznie rzecz biorąc przedsiębiorstwo które zawiera umowę z na konwojowanie z przedsiębiorstwem ochroniarskim nie ma wpływu na to w jaki sposób te dane są wykorzystywane---> dobrze mysle? >
jesli chodzi o wymianę danych to z umowy wynika że są imię i nazwisko pracownika oraz stanowisko służbowe i tyle.
Przemysław D.:
Filip Ś.:
Czy przedsiębiorstwo A które zawiera umowę z przedsiębiorstwem B - konwojentem na konwojowanie pewnych przedmiotów musi zawrzeć z firmą konwojującą - B umową o powierzenie przetwarzania danych?

Sprawdziłbym, czy w umowie nie ma zapisów o wymianie jakiś danych między A a B (jakieś listy, rozliczenia?)
W jaki sposób pracownicy firmy A weryfikują, że konwojent jest akurat z firmy B i działa z polecenia firmy B?
Link do wypowiedziLink
Przemysław Dorszewski

Przemysław Dorszewski

Temat: Powierznie przy konwojowaniu?

Czyli sytuacja bez umowy powierzenia. Jeden ADO udostępnia dane innemu ADO w celu realizacji umowy na usługi konwojowania.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powierznie przy konwojowaniu?

Przemysław D.:
Czyli sytuacja bez umowy powierzenia. Jeden ADO udostępnia dane innemu ADO w celu realizacji umowy na usługi konwojowania.
Mnie to zawsze zastanawia w takich sytuacjach, czy to, że mam swój cel w przetwarzaniu danych osobowych, to już czyjś nie istnieje? A może nie jest ważny? Bo czy dane osobowe przetwarzane sa przez różne podmioty tylko w jednym celu? I celu tylko jednej organizacji?
Link do wypowiedziLink
Jacek Perkowski

Jacek Perkowski

Temat: Powierznie przy konwojowaniu?

Grzegorz K.:
Przemysław D.:
Czyli sytuacja bez umowy powierzenia. Jeden ADO udostępnia dane innemu ADO w celu realizacji umowy na usługi konwojowania.
Mnie to zawsze zastanawia w takich sytuacjach, czy to, że mam swój cel w przetwarzaniu danych osobowych, to już czyjś nie istnieje?
Azaliż któż ośmieliłby się wyrazić taką "RODO-wą herezję"?;)
Owszem, istnieje, jeżeli wspólnie ustalamy cele to jesteśmy współadministratorami a jeżeli odrębnie - to jesteśmy odrębnymi administratorami :)

A może nie jest ważny?
Jeżeli istnieje obiektywnie i jest dopuszczalny na gruncie RODO to jest "ważny" :)

Bo czy dane osobowe przetwarzane sa przez różne podmioty tylko w jednym celu?
Taka sytuacja może mieć miejsce raczej tylko wtedy gdy jest powierzenie w rozumieniu art. 28 RODO. Jeżeli różne podmioty przetwarzają w różnych celach - to -nawet jeżeli współpracują (przekazują sobie dane) - to nie mamy do czynienia z powierzeniem.
I celu tylko jednej organizacji?
Różne cele to i administratorzy są różni :)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powierznie przy konwojowaniu?

Za azaliż wisisz mi browara, za czyszczenie monitora z kawy. Wyjaśnię wtedy z czym mi się kojarzy ;-) Wbrew pozorom z RODO.

Idąc dalej. Nie herytyzujemy, ale. Jeśli w takim razie każdy z adminów realizuje swoje cele, to czy idąc dalej, wykluczone jest już to, że może część danych swoich pracowników powierzyć innemu podmiotowi? Nawet temu, który będzie przetwarzał je do swojego celu?

Trzymając się przykładu, żeby nie było zbyt mitycznie. A że akurat pracuję często z agencjami ochrony i konwojami (to już w tym roku 24 lata), to znów kawałek praktyki. Już opisany. Użyję słowa "daję" żeby nie przesądzać czy to przekazanie, powierzenie, udostępnienie.

Jestem firma konwojująca "Twoja bezpieczna kasa"
1. Wysyłam listę 30 konwojentów realizujących konwoje liniowe (stałe, po określonych trasach).
2. Lista zawiera imię i nazwisko konwojenta oraz numer legitymacji służbowej.
3. Lista zmieniła się wczoraj. Wysłałem nową. 35 konwojentów, 10 nowych. Czyli 5 z poprzedniej wycofanych.

Jak wygląda konwój (przepływy danych)
1. Daję dane konwojentów firmie X
2. Firma X wykorzystuje dane moich konwojentów wpisując imię i nazwisko oraz numer służbowy do swojej dokumentacji przy okazji KONKRETNEGO konwoju
3. Ja pobieram dane osobowe kierownika jednostki, imię i nazwisko, czasem numer identyfikujący (zależy od umowy o konwojowanie) i wpisuję je do książki realizacji.

Reasumując przepływy danych:
1. Dane osobowe CAŁEJ grupy konwojowej operującej na tej trasie. Dane są mi ZWRACANE w postaci zwrotu listy, bądź niszczone z potwierdzeniem. Ale przez cały czas trwania umowy o konwojowanie są PRZECHOWYWANE u klienta.
2. Z tej listy zleceniodawca do swojej dokumentacji wprowadza TYLKO dane konkretnych konwojentów
3. Danych od klienta nie dostaję w formie żadnej listy. Dostaję tylko na konkretnych potwierdzeniach przekazania kasy.

Zawsze zachęcam do rozkminki na początku procesu biznesowego. Mniej więcej tak jak to jest wyżej.
Czy teraz jesteście w stanie nadal podtrzymać swoje stanowisko o tym, że tu nie ma na pewno powierzenia?
Link do wypowiedziLink
Filip Śmieiński

Filip Śmieiński Inspektor, Bank
Spółdzielczy

Temat: Powierznie przy konwojowaniu?

Niedługo bedzie szkolenie prowadzone przez UODO wiec może po zapoznaniu sie z tym materiałem sprawa bedzie nieco jasniejsza :)
Zgodnie z 28 RODO jedna z przesłanek która decyduje o tym że mamy do czynienia z powierzeniem przetwarzania danych jest obowiązek ich usunięcia przez Procesora - na żądanie Administratora który te dane przekazał, czy w przypadku firmy ochroniarskiej będzie ona miała możliwość usunięcia wszelkich danych przekazanych przez Administratora danych?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powierznie przy konwojowaniu?

Jeszcze raz. Bo to tylko jeden z elementów. Usunięcie danych ma także administrator, któremu inny przekazał dane, o ile ma taką możliwość.

Istotą powierzenia jest to, że dane osobowe są niejako "przekazane" do realizacji celu konkretnego administratora. I dane te są przetwarzane wtedy przez procesora na zasadach i w trybie określonym przez administratora i tylko w takich formach jak administrator to sobie wymyślił (zgodność z art 29 się kłania).
EDIT: bo się zapędziłem. W takich formach jak admin określił lub na jakie się zgadza kupując konkretną usługę.
W momencie kiedy kończy się już proces, dane osobowe wracają do admina bądź są u procesora niszczone/usuwane (opcja mniej bezpieczna, ale czasem jedyna).

Dlatego podstawą identyfikacji czy dochodzi do powierzenia jest ocena, czy dany proces biznesowy jest w jakiejś cześć realizowany przez kogoś innego (osobę, firmę, spółkę). Jeśli tak to wtedy jest powierzenie.

Przestrzegam przed błędnym rozumieniem powierzenie=outosurcing Nie jest to jedyny sposób i jedyne występowanie powierzenia danych.Ten post został edytowany przez Autora dnia 05.03.19 o godzinie 08:48
Link do wypowiedziLink
Przemysław Dorszewski

Przemysław Dorszewski

Temat: Powierznie przy konwojowaniu?

Oczywiście analiza/mapa procesu czy przepływu danych jest istotna, ale decydująca jest tu chyba wykładnia art. 28 RODO, czyli "przetwarzanie dokonywane w imieniu Administratora". Przekładając to na sytuację powyżej, "Twoja bezpieczna kasa" nie daje firmie X listę konwojentów w celu wykonania usługi konwojowania przez firmę X w imieniu czy w zastępstwie za Twoją bezpieczną kasę. Byłoby to trochę dziwne, gdyby firma X, czyli ten który zamawia usługę konwojowania miałby realizować cel czy podstawową działalność Twojej bezpiecznej kasy jaką jest prowadzenie usług konwojowania. Pamiętajmy, że przy powierzaniu podmiot przetwarzający nie określa celu przetwarzania, nie może przetwarzać sobie powierzonych danych do innych celów i wykonuje tylko to co "zleci"/powierzy mu do wykonania Administrator.
Firma X otrzymując listę konwojentów od Twojej bezpiecznej kasy staje się ADO tych danych., bo jak Panie Grzegorzu wspomniał Pan - "Firma X wykorzystuje dane moich konwojentów wpisując imię i nazwisko oraz numer służbowy do swojej dokumentacji przy okazji KONKRETNEGO konwoju". Czyli w swojej dokumentacji przetwarza firma X dane konwojentów i w swoim celu, a nie wydaje mi się, żeby celem Twojej bezpiecznej kasy było powierzenie danych konwojentów w celu wpisania ich do dokumentacji firmy X.
Tak samo dane kierownika firmy X wpisywane przez konwojentów do książki realizacji. Jeden ADO udostępnia dane innemu ADO, czyli Twojej bezpiecznej kasie i kasa staje się ich ADO, bo ma w swojej książce realizacji dane. Jeśli byśmy rozpatrywali to pod kątem powierzenia, doszlibyśmy do absurdu trochę, bo tu powinna być (kolejna?) umowa powierzenia tym razem Firma X jako ADO powierza dane kierownika i innych osób Twojej bezpiecznej kasie jako podmiotowi przetwarzającemu?? Pójście w powierzenie byłoby zagmatwaniem sytuacji, a przy okazji powstałyby dwie umowy powierzenia.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj