GoldenLine
Zaloguj się
Marek Rajszczak

Marek Rajszczak Inspektor Ochrony
Danych

Temat: Prawo do przenoszenia danych

Witam

W nowym rozporządzeniu jest informacja o prawie do przenoszenia danych. Mam pytanie odnośnie samego zakresu tych danych.

Przykład:
Mam klienta, który kupił poprzez portal internetowy majtki lub inne bajera.
W przypadku jego ruchów, danych, transakcji itp. nie mam wątpliwości ale czy w zakres danych jakie muszę przekazać klientowi jest jaka była cena towaru, data zakupu i dokładnie np. rozmiar? Czy też wystarczy napisać majtki szt. 5
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Prawo do przenoszenia danych

Przenoszenie danych osobowych to nowość. Z czasem utrwali się orzecznictwo.

Rozumiem, że jednak nie masz tego czasu i musisz podjąć decyzję. Proponowałbym od dokładnego wczytania się w art. 20.1. rodo:
Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe...

Upraszczając: Osoba, (... )ma prawo otrzymać (...) dane osobowe jej dotyczące, które dostarczyła administratorowi (...).
ADO winień mieć wiedzę jakie dane klient mu dostarczył i czy są to dane osobowe. np. Jeśli osoba dostarczyła dane w postaci własnego rozmiaru, to obawiam się, że należy to uwzględnić. Jeśli natomiast podała kilka rozmiarów to już raczej nie. Podobnie gdy osoba dorosła zamawia rzeczone majtki w rozmiarze dziecięcym.

Czytając literalnie ów przepis, to można się zastanowić czy ruchy i transakcje 'podchodzą' pod ten przepis. np. sprawa zapłaty za towar to rozliczenie pomiędzy klientem a jego bankiem; bankiem klienta, a bankiem dostawcy; bankiem dostawcy, a dostawcą.
Link do wypowiedziLink
Marek Rajszczak

Marek Rajszczak Inspektor Ochrony
Danych

Temat: Prawo do przenoszenia danych

Radosław Z.:
Przenoszenie danych osobowych to nowość. Z czasem utrwali się orzecznictwo.

Rozumiem, że jednak nie masz tego czasu i musisz podjąć decyzję.
Bardziej chodzi o przygotowanie moich systemów informatycznych do tego obowiązku. Staram się teraz to już uwzględniać a nie obudzić się w kwietniu, że o czymś zapomniałem.
Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe...

Upraszczając: Osoba, (... )ma prawo otrzymać (...) dane osobowe jej dotyczące, które dostarczyła administratorowi (...).
Wiem jakie dane dostarczył klient, wiem jakie sam system pobrał bez jego wiedzy ale nie o to chodzi. Bardziej chodzi o interpretacje samego zakresu danych.
ADO winień mieć wiedzę jakie dane klient mu dostarczył i czy są to dane osobowe. np. Jeśli osoba dostarczyła dane w postaci własnego rozmiaru, to obawiam się, że należy to uwzględnić. Jeśli natomiast podała kilka rozmiarów to już raczej nie. Podobnie gdy osoba dorosła zamawia rzeczone majtki w rozmiarze dziecięcym.
To jest tylko przykład.
Zamówienie w sklepie wg. rozmiarów sklepowych nic indywidualnego. Klient zamawia np. średnio co tydzień 1 sztukę w różnych rozmiarach. Po roku są to 54 sztuki w kilku rozmiarach.
Czytając literalnie ów przepis, to można się zastanowić czy ruchy i transakcje 'podchodzą' pod ten przepis. np. sprawa zapłaty za towar to rozliczenie pomiędzy klientem a jego bankiem; bankiem klienta, a bankiem dostawcy; bankiem dostawcy, a dostawcą.
I tu jest zagwozdka, w przypadku przelewów bankowych - nie martwił bym się. Ale chodzi mi o cenę.

Czy będę musiał mu przedstawić, że w dniu ... zakupił majty rozmiar ... w cenie ... czy tylko zakupił w okresie ... do .... majt sztuk 54.

Zgodnie z Wytycznymi dotyczącymi prawa do przenoszenia danych WP 242 Grupy Roboczej 29
"Na przykład osoba, której dane dotyczą, może być zainteresowana uzyskaniem swojej obecnej listy odtwarzania (lub historii słuchanych utworów) z serwisu strumieniowej transmisji muzyki, aby dowiedzieć się, ile razy słuchała określonych utworów w celu sprawdzenia, jaki utwór muzyczny chce nabyć lub jakiego utworu chce posłuchać na innej platformie. "

Gdy czyta się wyjaśnienia/interpretacje różnych osób posiłkujących się wyjaśnieniami Grupy Roboczej 29 wszyscy dają jako przykład playlistę - ale co w przypadku drobnych zakupów?
Czytając literalnie ów przepis, to można się zastanowić czy
Czyli podchodząc w ten sposób - trzeba będzie mu dać listę wszystkich transakcji wraz z ich szczegółami. To nie jest takie optymistyczne.
Link do wypowiedziLink

konto usunięte

Temat: Prawo do przenoszenia danych

Obecnie jest wiele wątpliwości przy interpretacji RODO. Odnośnie prawa do przenoszenia danych (jak słusznie wskazał Radosław) w RODO użyto sformułowania „dane DOSTARCZONE administratorowi”. Przedstawiciele niektórych branż podnoszą, że celowo zastosowano zwrot dane „dostarczone” administratorowi, a nie „przetwarzane” przez administratora, a takie wydzielenie ma na celu ograniczenie zakresu danych podlegających przeniesieniu tylko i wyłącznie do danych przekazanych przez osobę, której dane dotyczą. Z drugiej strony, w wytycznych Grupy Roboczej Art. 29 podano nieszczęsny przykład playlist. Przy czym playlisty są szczególnym przypadkiem, ponieważ stanowią one sedno świadczonej usługi. Podobnie można by uznać wiadomości zawarte w skrzynce mailowej. Natomiast przy sprzedaży produktów konsumentom pełna historia zakupów może nie mieć takiego charakteru.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Prawo do przenoszenia danych

Marek R.:
Bardziej chodzi o interpretacje samego zakresu danych.
Użyj takiej interpretacji jaką na dzień dzisiejszy uznasz za właściwą. W przyszłości owa interpretacja może ulec zmianie ;)
W przypadku rzeczonych majtochów, różne rozmiary świadczą, że będą użytkowane przez różne osoby - czyli w tym przypadku zakup tych majtochów nie będzie daną osobowa i nie powinien podlegać rodo. To będzie nastręczać trudności rozróżnienia dla ADO co jest, a co nie d.o.

Ostateczną wykładnie zrobi organ nadzoru -> prokurator -> sąd ;))))
ps.
Zastanowiłbym się czy proces zakupu przebiega w sposób zautoamtyzowany (20.1.b). Jeśli nie, to skłaniałbym się w kierunku braku podstaw prawnych do żądania przeniesienia danych osobowych.
Link do wypowiedziLink
Marek Rajszczak

Marek Rajszczak Inspektor Ochrony
Danych

Temat: Prawo do przenoszenia danych

Radosław Z.:

Zastanowiłbym się czy proces zakupu przebiega w sposób zautoamtyzowany (20.1.b). Jeśli nie, to skłaniałbym się w kierunku braku podstaw prawnych do żądania przeniesienia danych osobowych.

Tak po przemyśleniu - coś w tym jest.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Prawo do przenoszenia danych

Radosław Z.:
W przypadku rzeczonych majtochów, różne rozmiary świadczą, że będą użytkowane przez różne osoby - czyli w tym przypadku zakup tych majtochów nie będzie daną osobowa
Zdecydowany sprzeciw.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Prawo do przenoszenia danych

Mikołaj C.:
w RODO użyto sformułowania „dane DOSTARCZONE administratorowi”.
Natomiast przy sprzedaży produktów konsumentom pełna historia zakupów może nie mieć takiego charakteru.
Nie wiem, czy "pełna", bo nie znam zakresu rzeczywiście przetwarzanych przez was danych, ale co do zasady listę zakupów uznałbym za dane dostarczone administratorowi przez osobę, której dotyczą. Podmiot danych dostarcza te dane poprzez swoje zachowanie.
Link do wypowiedziLink

konto usunięte

Temat: Prawo do przenoszenia danych

Z tego co zrozumiałem, wytyczne grupy roboczej mówią o przenoszeniu danych transakcyjnych.Ten post został edytowany przez Autora dnia 13.08.17 o godzinie 20:09
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Prawo do przenoszenia danych

Marek R.:
Radosław Z.:

Zastanowiłbym się czy proces zakupu przebiega w sposób zautoamtyzowany (20.1.b). Jeśli nie, to skłaniałbym się w kierunku braku podstaw prawnych do żądania przeniesienia danych osobowych.

Tak po przemyśleniu - coś w tym jest.

Czyli system generuje zamówienie, które jest drukowane i przekazywane do magazynu, a z systemu dane kupującego są usuwane i nie trafiają już żadnego systemu?
Teoretycznie możliwe, ale raczej mało prawdopodobne.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Prawo do przenoszenia danych

Paweł G.:
Radosław Z.:
W przypadku rzeczonych majtochów, różne rozmiary świadczą, że będą użytkowane przez różne osoby - czyli w tym przypadku zakup tych majtochów nie będzie daną osobowa
Zdecydowany sprzeciw.

Zdecydowanie będą to dane osoby, która kupiła towar. Liczba kupionych majtek danego rozmiaru dotyczy osoby, która je kupiła. Nikt nie mówi, że dane te dotyczą obwodu pasa kupującego :)
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Prawo do przenoszenia danych

Przede wszystkim rozróżnijmy dwa prawa. Prawo do otrzymania danych i prawo do przesłania danych do innego administratora.

Prawa te są oczywiście powiązane, ale przesłanie danych musi być technicznie możliwe, a w mojej ocenie wymagać będzie współpracy administratorów (jeżeli nie bezpośredniej, w ramach wspierania tych samych mechanizmów dedykowanych przesyłaniu danych).

W wypadku obydwóch praw, kontrowersje budzi pojęcie zebranych danych. Grupa Robocza rozumie to bardzo szeroko i uwzględnia nie tylko dane aktywnie i świadomie przekazane przez osobę, ale również dane zaobserwowane (np. „zakupu majtek dokonał w sobotę o 19:20”). Przekazaniu nie będą jednak podlegać dane wywnioskowane (np. „co miesiąc kupuje większy rozmiar – > ma problemy z nadwagą”).

Czy klient powinien mieć możliwość przeniesienia listy zakupów? Jeżeli lista zakupów jest przetwarzana w celu realizacji umowy – tak. Jeżeli lista zakupów jest przetwarzana w związku z realizacją obowiązku wynikającego z przepisu prawa (np. wystawienie faktury), albo jest to prawnie usprawiedliwiony cel administratora – nie.
Oczywiście, z interpretacjami w konkretnych przypadkach będziemy mieli problem. Bo jak napisał wyżej @Mikołaj Chomirski, Grupa Robocza podaje przykłady które są o wiele bardziej jednoznaczne, niż te, które spotykamy w życiu.

Wracając do pytania rozpoczynającego wątek, odpowiedź będzie zapewne w odpowiedzi na pytanie w jakim celu przetwarzamy dane o cenie zakupu, rozmiarze itd. Czy przetwarzamy je w celu realizacji umowy albo na podstawie zgody? (bo może się okazać, że w ogóle takiego celu nie mamy i powinniśmy je usunąć :)
Link do wypowiedziLink
Marek Rajszczak

Marek Rajszczak Inspektor Ochrony
Danych

Temat: Prawo do przenoszenia danych

Z uwagi, iż rozpocząłem temat. Pytanie było nie czy dać mu listę transakcji ale o zakres tej informacji. Oczywiście zakładam, że mam zgodę klienta na przechowywanie danych itp.

W przepisach jest o danych, które nam przekazał - czyli to co kupił i rozmiar tak traktuję. Zgadzam się z przedmówcami - dostanie z podziałem na sztuki w gratisie podam mu informację kiedy kupił i z jakiego IP. To klient mi to przekazał i to dostanie.

Ale pytanie bardziej jest o cenę.
Cena jest już moją informacją klient jej nie podał a tylko ją dostał i nie chciałbym bym aby moja konkurencja dostała historię moich cen z ostatnich np. 12 miesięcy.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Prawo do przenoszenia danych




Wyślij zaproszenie do
Anuluj