GoldenLine
Zaloguj się
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Projekt ustawy

Ministerstwo Cyfryzacji opublikowało projekt nowej ustawy o ochronie danych osobowych
https://mc.gov.pl/aktualnosci/projekt-ustawy-o-ochronie...

Z dyskutowanych ostatnio tematów:
-nie będzie GIODO, będzie Prezes Urzędu Ochrony Danych Osobowych
-ABI pełnią swoją funkcję do 1 września 2018 i w tym terminie ADO albo podmiot przetwarzający zawiadamia o powołaniu inspektora albo, że ABI nie pełni już swojej funkcji.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Projekt ustawy

Dzięki.
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Projekt ustawy

Dobrze zrozumiałem, że Inspektora powołać należy w instytucjach państwowych i firmach, które masowo przetwarzają dane osobowe? Co rozumieć poprzez masowe przetwarzanie?
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Projekt ustawy

Szczuplutki ten projekt :)
Z powołaniem IODo ciekawa konstrukcja - z mocy prawa ABI stają się IODo ale na czas określony. Czegoś takiego RODO nie przewiduje. Czy proponowany przepis w obecnym kształcie nie ogranicza ADO do powołania IODo zgodnie z art. 37.1. ?
Link do wypowiedziLink
Sebastian F.

Sebastian F. Information Security
Manager, IKEA Retail
sp. z o.o.

Temat: Projekt ustawy

Szymon S.:
Dobrze zrozumiałem, że Inspektora powołać należy w instytucjach państwowych i firmach, które masowo przetwarzają dane osobowe? Co rozumieć poprzez masowe przetwarzanie?

Mamy tyle, ile "grupa robocza art.29" wskazała w wytycznych. Pewnie życie pokaże :)

http://giodo.gov.pl/plik/id_p/11716/j/pl/
Link do wypowiedziLink
Arkadiusz H.

Arkadiusz H. IOD

Temat: Projekt ustawy

Szczuplutki bo to projekt części przepisów ustawy :)

Resort planuje w czerwcu br. przedstawić gotowy projekt nowej ustawy ochronie danych osobowych wraz z przepisami zmieniającym dziesiątki ustaw szczegółowych.
źródło:
http://www.rp.pl/Dane-osobowe/303289965-Nowa-ustawa-o-...
Link do wypowiedziLink
Sebastian F.

Sebastian F. Information Security
Manager, IKEA Retail
sp. z o.o.

Temat: Projekt ustawy

Arkadiusz H.:
Szczuplutki bo to projekt części przepisów ustawy :)

Resort planuje w czerwcu br. przedstawić gotowy projekt nowej ustawy ochronie danych osobowych wraz z przepisami zmieniającym dziesiątki ustaw szczegółowych.
źródło:
http://www.rp.pl/Dane-osobowe/303289965-Nowa-ustawa-o-...

Dokładnie tak. Z tego co mi wiadomo, to projekt tych przepisów, które MC było w stanie opracować we własnym zakresie (lub z niewielkim udziałem innych resortów). Pozostałe oczekują na wkład innych Ministerstw. Może nie wprost, ale gdzieś tam między wierszami, można było ze słów przedstawiciela MC wyczytać, że dla niektórych Ministerstw nie jest to zadanie priorytetowe (a może to tylko moja interpretacja) :)Ten post został edytowany przez Autora dnia 28.03.17 o godzinie 13:53
Link do wypowiedziLink
Arkadiusz H.

Arkadiusz H. IOD

Temat: Projekt ustawy

W wprowadzeniu do projektu ustawy też jest o tym mowa:
Udostępniony projekt części przepisów ustawy, otwiera rozdział „Przepisy ogólne”.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Projekt ustawy

Ale oczywiście pamietamy, że rozporządzenie UE stosuje się wprost? ;-)

Więc do czego te regulacje szczegółowe? Tak konkretnie, poza tym, że konsultanci będą mieli się nad czym doktoryzować.

Sorry za sarkazm, ale tak mi się wyrwało..
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Projekt ustawy

Grzegorz K.:
Ale oczywiście pamietamy, że rozporządzenie UE stosuje się wprost? ;-)
Więc do czego te regulacje szczegółowe?
Do tego, co RODO nakazuje lub pozostawia do rozstrzygnięcia prawodawcy krajowemu.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Projekt ustawy

Arkadiusz H.:
Resort planuje w czerwcu br. przedstawić gotowy projekt nowej ustawy ochronie danych osobowych wraz z przepisami zmieniającym dziesiątki ustaw szczegółowych.
źródło:
http://www.rp.pl/Dane-osobowe/303289965-Nowa-ustawa-o-...

Przeczytałem. Większej beletrystyki fantastycznej nie znajdziesz. (np."Projekt nowej ustawy o ochronie danych osobowych wdraża rozporządzenie unijne"-art.99, "wprowadza instytucję inspektora ochrony danych jako pracownika administratora danych"-art.37.4) Rozumieć można, że artykuł w gazecie ma być na dużym poziomie ogólności ale ma opierać się na faktach.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Projekt ustawy

I czego te regulacje mają dotyczyć - te dopuszczone?
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Projekt ustawy

Swoją drogą ABI jakoś tak dźwięcznie i przeuroczo brzmiało. Teraz mamy zostać IDO?
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Projekt ustawy

Szymon S.:
Swoją drogą ABI jakoś tak dźwięcznie i przeuroczo brzmiało. Teraz mamy zostać IDO?
Inspektor Ochrony Danych (sekcja 4 art.37) możesz nazywać siebie IODo (Inspektor Ochrony Danych osobowych - ktoś dowcipnie wymówił 'Jodo')
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: Projekt ustawy

Zapewne ustawa będzie regulować jedynie to co zostało do uregulowania.

Jeśli chodzi o przetwarzanie na dużą skalę, to jak dobrze doczytałem wytyczne grupy roboczej, to jednym z przykładów jest prowadzenie monitoringu - w tym monitoringu wizyjnego. Więc idąc dalej, każdy administrator, która zabezpiecza się poprzez monitoring wizyjny (nagrywanie rozmów zresztą pewnie też) będzie musiał powołać ABI / JODO.

PS : JODO zdecydowanie lepsze od ABI. :)
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Projekt ustawy

Jan S.:
Jeśli chodzi o przetwarzanie na dużą skalę, to jak dobrze doczytałem wytyczne grupy roboczej, to jednym z przykładów jest prowadzenie monitoringu - w tym monitoringu wizyjnego.
Nie o każdym monitoringu mowa w wytycznych.
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: Projekt ustawy

Paweł G.:

Nie o każdym monitoringu mowa w wytycznych.
>

Ma Pan na myśli „R e g u l a r n e ___ i ___ s y s t e m a t y c z n e monitorowanie” ?Ten post został edytowany przez Autora dnia 04.04.17 o godzinie 15:50
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Projekt ustawy

Jan S.:
Paweł G.:

Nie o każdym monitoringu mowa w wytycznych.
>

Ma Pan na myśli „R e g u l a r n e ___ i ___ s y s t e m a t y c z n e monitorowanie” ?
To nie wystarczy. Monitorowanie ma być na dużą skalę. Przepis odnosi się do każdej formy monitoringu. Zarówno wizyjnego (monitorowanie posesji nie jest na dużą skalę, ale monitorowanie całego miasta już tak), jak i monitorowanie urządzeń pomiarowych (liczniki prądu, gazu, ciepła, wodomierze) oraz monitorowanie zachowań w Internecie.
ps.
Decydujące są zapisy UODO, a nie tezy grupy roboczej.
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Projekt ustawy

Kluczowa będzie interpretacja, co to ta "duża skala" Jak zajrzymy do historycznych projektów RODO, to mamy np. 5000 rekordów rocznie. A to już nie jest tak dużo. Nawet jeśli przyjąć dwa razy więcej niż było w projekcie, to wciąż całkiem mało jak na "dużą" skalę...

Istotne przy obowiązkowym wyznaczaniu DPO. Dane wrażliwe plus duża skala i mamy obowiązek. RODO mówi np. , że przetwarzanie danych przez jednego lekarza to nie jest duża skala. Ale przez 4 lekarzy rodzinnych w małej przychodni? Będą mieli z 10.000 pacjentów, licząc według maksymalnych limitów NFZtu.
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: Projekt ustawy

Daniel W.:
Kluczowa będzie interpretacja, co to ta "duża skala" Jak zajrzymy do historycznych projektów RODO, to mamy np. 5000 rekordów rocznie. A to już nie jest tak dużo. Nawet jeśli przyjąć dwa razy więcej niż było w projekcie, to wciąż całkiem mało jak na "dużą" skalę...
>
Istotne przy obowiązkowym wyznaczaniu DPO. Dane wrażliwe plus duża skala i mamy obowiązek. RODO mówi np. , że przetwarzanie danych przez jednego lekarza to nie jest duża skala. Ale przez 4 lekarzy rodzinnych w małej przychodni? Będą mieli z 10.000 pacjentów, licząc według maksymalnych limitów NFZtu.

Jak widać w rozporządzeniu i interpretacjach grupy roboczej zrezygnowano z twardych miar (i słusznie). Ja rozumiem, to tak, że w oparciu o wytyczne grupy ADO musi sam określić, czy jego przetwarzanie danych dla któregokolwiek celu wypełnia przesłanki i pozwala na określenie tego przetwarzania jako działania na dużą skalę.

Radosław Z.:
To nie wystarczy. Monitorowanie ma być na dużą skalę. Przepis odnosi się do każdej formy monitoringu. Zarówno wizyjnego (monitorowanie posesji nie jest na dużą skalę, ale monitorowanie całego miasta już tak), jak i monitorowanie urządzeń pomiarowych (liczniki prądu, gazu, ciepła, wodomierze) oraz monitorowanie zachowań w Internecie.
ps.
Decydujące są zapisy UODO, a nie tezy grupy roboczej.

Chyba, że ustawodawca ureguluje w ustawie tylko zakres działania Urzędu ODO oraz pozostałe delegowane obszary z RODO. Pozostaną nam do tego jeszcze dobre praktyki urzędu, które "kiedyś" powstaną zapewne na bazie aktualnych decyzji, wystąpień itp GIODO.

Natomiast ja odczytuję intencje dokumentu Grupy Roboczej inaczej - jako uszczegółowienie, co należy rozumieć jako monitoring. W tym zakresie nie chodzi tylko o monitoring behawioralny, a także właśnie wizyjny. Zgadzam się, że monitoring pojedynczej posesji prywatnej moglibyśmy potraktować jako małą skalę. Ale każdy inny monitoring szkoły, urzędu, małej / śedniej firmy już czuję, że właśnie nie. Stąd wnioskuję, że obowiązek powołania JODO będzie dotyczył bardzo dużej ilości podmiotów.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Projekt ustawy o ochronie d...




Wyślij zaproszenie do
Anuluj