GoldenLine
Zaloguj się
Michał Sajdak

Michał Sajdak Securitum.

Temat: Przetwarzanie danych osobowych w krajach EU

Witam

Uruchamiam portal, gdzie umożliwiam użytkownikom zakładanie kont (i przy okazji wypełnienie danymi osobowymi swojego profilu).

Serwer na którym składowane / przetwarzane są dane znajduje się w innym kraju EU - nie w Polsce. Domena jest polska.

W takim przypadku rozumiem, że podlegam pod odpowiednie przepisy o ochronie danych osobowych w kraju fizycznej lokalizacji serwera?
Link do wypowiedziLink

konto usunięte

Temat: Przetwarzanie danych osobowych w krajach EU

Nie. Pod polską ustawę o ochronie danych osobowych (o ile dobrze rozumiem, że jest Pan podmiotem polskim - siedziba lub miejsce zamieszkania w Polsce).
Link do wypowiedziLink
Adam Danieluk

Adam Danieluk Prezes
stowarzyszenia ISSA
Polska. Zarządzanie
ryzykiem, ...

Temat: Przetwarzanie danych osobowych w krajach EU

Witam,
Na pewno pod Polską o ile podmiot będący administratorem danych ma siedzibę w Polsce. Z rzeczy bardziej skomplikowanych w grę może wchodzić umowa powierzenia przetwarzania danych osobowych. Przypuszczam również, że w grę może wchodzić prawo kraju w którym dane są fizycznie przechowywane.
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: Przetwarzanie danych osobowych w krajach EU

Adam Danieluk:
Witam,
Na pewno pod Polską o ile podmiot będący administratorem danych ma siedzibę w Polsce. Z rzeczy bardziej skomplikowanych w grę może wchodzić umowa powierzenia przetwarzania danych osobowych. Przypuszczam również, że w grę może wchodzić prawo kraju w którym dane są fizycznie przechowywane.

Dzięki za odpowiedzi.

Ten ostatni wątek - wydaje się to być logiczne. Bo choćby hostingodawca powinien zapewne spełnić odpowiednie wymogi prawne odnośnie ochrony danych osobowych. A precyzyjniej - wymogi swojego kraju...

Czyli prawdopodobnie trzeba spełnić wymogi UoDO Polskie + kraju gdzie fizycznie znajdują się dane?

No i ogólnie w taki przypadku temat robi się trochę skomplikowany - bo trzeba zapewne podpisać stosowną umowę (być może powierzenia przetwarzania) z hostingodawcą - pod określone wymogi UoDO (polskie? zagraniczne? obu krajów?)
Link do wypowiedziLink

konto usunięte

Temat: Przetwarzanie danych osobowych w krajach EU

Michał Sajdak:

No i ogólnie w taki przypadku temat robi się trochę skomplikowany - bo trzeba zapewne podpisać stosowną umowę (być może powierzenia przetwarzania) z hostingodawcą - pod określone wymogi UoDO (polskie? zagraniczne? obu krajów?)

Temat jest raczej prosty. Pan spełnia wymogi polskie. Hostingodawca zagraniczny - to Pana nie obchodzi, bo wg polskiej ustawy, czyli Pana właściwych przepisów, to on odpowiada za zabezpieczenie danych (abstrahując od tego, jak polski GIODO miałby to wyegzekwować). Na pewno trzeba zawrzeć umowę powierzenia (31 uodo) - wg polskich przepisów, bo te nas interesują. To nie prawo cywilne, tu nie ma wyboru prawa. Więc zawiera Pan umowę, a jeżeli hostingodawca przedstawi Panu swój wzór, dopisuje Pan to, czego wymaga polska ustawa. Jak się hostingodawca nie zgodzi dopisać, to problem ma Pan, nie on.

Jak dla mnie - prosta sprawa ;-)
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: Przetwarzanie danych osobowych w krajach EU

Paweł Litwiński:
Michał Sajdak:

No i ogólnie w taki przypadku temat robi się trochę skomplikowany - bo trzeba zapewne podpisać stosowną umowę (być może powierzenia przetwarzania) z hostingodawcą - pod określone wymogi UoDO (polskie? zagraniczne? obu krajów?)

Temat jest raczej prosty. Pan spełnia wymogi polskie. Hostingodawca zagraniczny - to Pana nie obchodzi, bo wg polskiej ustawy, czyli Pana właściwych przepisów, to on odpowiada za zabezpieczenie danych (abstrahując od tego, jak polski GIODO miałby to wyegzekwować).

Bez dodatkowych założeń, dlaczego to on ma odpowiadać za ochronę danych? To ja jestem administratorem danych i decyduję/odpowiadam za odpowiednie środki ochrony :-)
Link do wypowiedziLink

konto usunięte

Temat: Przetwarzanie danych osobowych w krajach EU

Michał Sajdak:
Bez dodatkowych założeń, dlaczego to on ma odpowiadać za ochronę danych? To ja jestem administratorem danych i decyduję/odpowiadam za odpowiednie środki ochrony :-)

art. 31 uodo

W przypadku powierzenia przetwarzania danych osobowych, podmiot
któremu powierzono przetwarzanie danych odpowiada jak ADO w zakresie rozdziału 5 uodo, czyli zabezpieczenia danych osobowych. Jednocześnie nie wyłącza to odpowiedzialności samego ADO.

Dodatkowo podmiot któremu powierzono przetwarzanie danych odpowiada za przetwarzanie ich niezgodnie z umową powierzenia przetwarzania danych.Wojciech Kogut edytował(a) ten post dnia 07.08.09 o godzinie 09:44
Link do wypowiedziLink

konto usunięte

Temat: Przetwarzanie danych osobowych w krajach EU

Wojciech Kogut:

art. 31 uodo[/b]

Otóż to ;-) Tak już jest ta ustawa skonstruowana.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Przetwarzanie danych osobowych w krajach EU

Tak, chociaż spotkałem się z opinią, że jeżeli zostanie podpisana umowa powierzenia, to w rzeczywistości odpowiadać będzie powiernik.
Rozmawiałam kilka dni temu na ten temat z panem pod numerem informacyjnym GIODO i usłyszałem z kolei, że w pierwszej kolejności będzie ścigany ADO…
Ktoś ma tu jakieś praktyczne doświadczenia?

Pozostaje jeszcze wątpliwość, czy w wypadku przetwarzania danych niezgodnie z umową, ADO dołożył należytych starań, bo być może był w stanie wykryć nieprawidłowości.
Link do wypowiedziLink

konto usunięte

Temat: Przetwarzanie danych osobowych w krajach EU

Praktycznych doświadczeń nie mam, no ale przepisy stanowią tak jak stanowią, to ADO jest na szczycie hierarchii odpowiedzialności.

Co do dołożenia przez ADO szczególnych starań w przypadku powierzenia przetwarzania danych - jeżeli tylko istnieje "fizyczna" możliwość to w umowie p.p.d.o. powinny zostać zawarte zapisy dotyczące przeprowadzenia audytu wewnętrznego u powiernika przed rozpoczęciem przetwarzania danych, przez "zespół" wyznaczony przez ADO, oraz możliwości przeprowadzania kontroli już w trakcie realizacji umowy p.p.d.o.
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: Przetwarzanie danych osobowych w krajach EU

To chyba też zależy jak zostanie skonstruowana Umowa Powierzenia.

Bo np. przy założeniu administracji aplikacją / tworzenia aplikacji przez ADO za część obowiązków obowiązków będzie odpowiadał hostingodawca (np. historie związane z backupem) a za cześć ADO (np. dostosowanie samej aplikacji).
Link do wypowiedziLink

konto usunięte

Temat: Przetwarzanie danych osobowych w krajach EU

Przy okazji tematu, a co z sytuacją odwrotną?
Tzn firma i portal w Polsce, a użytkownicy spoza PL? Czy w tym przypadku tylko UoDO?
Link do wypowiedziLink

konto usunięte

Temat: Przetwarzanie danych osobowych w krajach EU

Joanna Bernadetta Kowalska:
Przy okazji tematu, a co z sytuacją odwrotną?
Tzn firma i portal w Polsce, a użytkownicy spoza PL? Czy w tym przypadku tylko UoDO?

Co do zasady tak, tylko uodo. Nie spotkałem się nigdzie z rozwiązaniem zakładającym, że prawo podąża za obywatelem. Zresztą, w świetle dyrektywy 95/46 byłoby to co najmniej wątpliwe.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Przetwarzanie danych osobow...




Wyślij zaproszenie do
Anuluj