GoldenLine
Zaloguj się
Andrzej Błaszczyk

Andrzej Błaszczyk Programowanie,
e-marketing,
e-commerce

Temat: Pytanie zaczepne

Witam Szanownych Państwa.

Przyszedł mi do głowy pewien scenariusz i ciekaw jestem opinii ekspertów.
Załózmy, ze rozmawiamy o sklepie internetowym.

Jak dobrze rozumiem, dane osobowe to takie, które pozwalają zidentyfikować jednostkę.

Jeżeli podam w danych zamówienia następujący adres:

Adam Mickiewicz (lub dowolną inna kombincję imienia i nazwiska)
(mój domowy adres)
oraz zapłacę zamówienie to na 99% otrzymam zamówione produkty.

GIODO twierdzi, że email to dana osobowa, bo może tam być imię i nazwisko.

widze 2 scenariusze:

Pierwszy (rozsądkowy):
powinniśmy rejestrować tylko zbiory danych od osób, które wylegitymowaliśmy z dowodu, bo wtedy to są prawdziwe dane (albo raczej z wysokim prawdopodobieństwem)
Drugi:
Do GIODO należy rejestrować każdy zapis danych od użytkownika.
Przez każdy mam na myśli dosłownie każdy bo nigdy nie wiemy, czy dane przesyłane przez użytkownika to nie dane osobowe.
Żeby rozbudzić wyobraźnię podam szalony przykład:

Przyglądarka przy każdym odwiedzeniu strony "przedstawia się" serwerowi a ten zazwyczaj zapamiętuje to w logach. Lub zwyczajnie przetwarza tą informację.
Użytkownik może sobie bez większej wiedzy technicznej podmienić informację przesyłaną przez przeglądarkę na dowolną. Np swoje dane osobowe:)

Wiem, że to bardzo niepraktyczny przykład, ale skoro email trzeba chronić bo być może jest on daną osobową, to nie widze, dużej różnicy pomiędzy moim wymysłem a wymysłem z mailem.

W bardzo dużym uproszczeniu. Powinniśmy rejestrować wszystko co być może daną osobową czy tylko coś o czym wiemy, że jest daną osobową?

Pozdrawiam
Link do wypowiedziLink
Filip Turyk

Filip Turyk właściciel, Idcon
ochrona danych
osobowych

Temat: Pytanie zaczepne

Po pierwsze rejestracji podlegają zbiory, a nie pojedyńcze dane osobowe. Jesli jest prawdopodobieństwo, że np, w zbiorze adresów mailowych dwa z nich to dane osobowe - trzeba to potraktować jako taki zbiór i w razie konieczności zarejestrować.
Po drugie jaki jest sens podawania nieprawdziwych danych? Poza oczywiście adrenaliną związaną z potencjalną odpowiedzialnością karną za podanie takich danych :-) Ostatecznie dane podaje się właśnie w celu identyfikacji nabywcy tak aby zamówiony towar trafił do niego.
Link do wypowiedziLink
Andrzej Błaszczyk

Andrzej Błaszczyk Programowanie,
e-marketing,
e-commerce

Temat: Pytanie zaczepne

Po stronie skonsumenta podawanie nieprawdziwych danyych raczej nie ma sensu. Mój przykład miał na celu poakzanie problemu braku kontroli nad tym, czy jakakolwiek informacja podawana przez klienta (ręcznie lub automatycznie) jest daną osobową.
Kluczowym elementem jest mocno przerysowane założenie, że dowolny użytkownik może mi podsyłać swoje dane osobowe w różne sposoby, co teoretycznie zmusza mnie do rejestrowania każdego "potencjalnego" zbioru.

dążę do tego, że dane z fromualrzy rejestracyjnych mogą być ale nie muszą być danymi osobowymi. Problem w tym, że logi serwera też moga być danymi osobowymi. Oczywiście pradwopodobieństwo jednego i dugiego przypadku jest nieporównanie różne. Ale ustawa mówi, że jak coś może być zbiorem danych osobowych to wymaga rejestracji.

wystarczy odwiedzić dowolną stronę, i po / wpisać swoje dane osobowe( np goldenline.pl/ImięiNazwiskoPESELAdres etc) i nagle wg ustawy właściciel witryny ma zbiór, w którym choć jeden wpis jest daną osobową?

czy tak właśnie jest?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pytanie zaczepne

Proszę uważnie przeczytać definicje danych osobowych. Jak będzie problem - proszę wkleić. Bo oparł się pan na zupełnie błędnym przekonaniu i tylko jednej z dwóch definicji.
Link do wypowiedziLink
Filip Turyk

Filip Turyk właściciel, Idcon
ochrona danych
osobowych

Temat: Pytanie zaczepne

Swoimi danymi osobowymi każdy ma prawo posługiwać się w dowolny sposób. Przez analogię można na pzykład wywiesić swój PESEL na domu handlowym w centrum miasta. Czy własciel centrum handlowego utworzył w związku z tym niechciany zbiór, który teraz musi przetwarzać?
Link do wypowiedziLink
Andrzej Błaszczyk

Andrzej Błaszczyk Programowanie,
e-marketing,
e-commerce

Temat: Pytanie zaczepne

Grzegorz K.:
Proszę uważnie przeczytać definicje danych osobowych. Jak będzie problem - proszę wkleić. Bo oparł się pan na zupełnie błędnym przekonaniu i tylko jednej z dwóch definicji.
Panie Grzegorzu, ma Pan na myśli te definicje:

1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić
bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej
cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości

?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pytanie zaczepne

Tak

Definicja nr 1:
Andrzej B.:
1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące
zidentyfikowanej (...) osoby fizycznej.

Definicja nr 2:
1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące
(...) możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić
bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej
cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Drugi cytat dłuższy, bo zakres definicji wymaga nieco więcej.Ten post został edytowany przez Autora dnia 30.07.13 o godzinie 21:31
Link do wypowiedziLink
Andrzej Błaszczyk

Andrzej Błaszczyk Programowanie,
e-marketing,
e-commerce

Temat: Pytanie zaczepne

Ok, czyli jak rozumiem kluczowym elementem jest zidentyfikowanie osoby podającej dane?

Jeżeli tak to dana osoba musi być zidentyfikowana przez podmiot, który przetwarza dane?
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Pytanie zaczepne

Andrzej B.:
dowolny użytkownik może mi podsyłać swoje dane osobowe w różne sposoby, co teoretycznie zmusza mnie do rejestrowania każdego "potencjalnego" zbioru.
Wystarczy wykasować przesłane dane i przekazać informację o ich skasowaniu właścicielowi danych i nie trzeba rejestrować
Ale ustawa mówi, że jak coś może być zbiorem danych osobowych to wymaga rejestracji.
Ustawa tego nie mówi.
Ustawa wskazuje wyjątki, których nie trzeba rejestrować i jest tego naprawdę dużo (UODO Art. 43).
Posługując się przykładem ze sklepem internetowym: dane osobowe są przekazane (za zgodą) w celu wystawienia faktury czy rachunku... i już nie trzeba rejestrować.
wystarczy odwiedzić dowolną stronę, i po / wpisać swoje dane osobowe( np goldenline.pl/ImięiNazwiskoPESELAdres etc) i nagle wg ustawy właściciel witryny ma zbiór, w którym choć jeden wpis jest daną osobową?
Wpisując takie dane osobowe robi się to z własnej nieprzymuszonej woli, wręcz wyrażając zgodę na przetwarzanie (przechowywanie to też przetwarzanie). Powyżej jeden z Kolegów już napisał przykład z peselem na domu handlowym... właściciel nie musi rejestrować tego jako jakiś zbiór
czy tak właśnie jest?
Tak... jest daną osobową, ale nie jest od razu zbiorem, ktory należy rejestrować.
Link do wypowiedziLink
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Pytanie zaczepne

Andrzej B.:
Ok, czyli jak rozumiem kluczowym elementem jest zidentyfikowanie osoby podającej dane?

Jeżeli tak to dana osoba musi być zidentyfikowana przez podmiot, który przetwarza dane?

Niekoniecznie przez podmiot, który te dane przetwarza, a raczej przez jakąkolwiek osobę, która posiada odpowiednie środki czy wiedzę, aby z tak uzyskanych informacji, mogła ustalić tożsamość danej osoby. Bez zbytnich nakładów czasu czy kosztów.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pytanie zaczepne

Andrzej B.:
Ok, czyli jak rozumiem kluczowym elementem jest zidentyfikowanie osoby podającej dane?

Jeżeli tak to dana osoba musi być zidentyfikowana przez podmiot, który przetwarza dane?

Kluczowe jest zrozumienie, że DO to dane:
1. IDENTYFIKUJĄCE OSOBĘ - może nie wprost to wynika z definicji, ale juz Pan raz to napisał.
2. WSZYSTKIE DOTYCZACE ZIDENTYFIKOWANEJ. Czyli w momencie nawet jak ma maila kociaczek@buziaczki.pl i to teoretycznie nie identyfikuje tej osoby, to już w momencie zawarcia transakcji handlowej, mail kociaczek... będzie dotyczył osoby ZIDENTYFIKOWANEJ w związku z operacja gospodarczą. Ponieważ w tej operacji pojawią się dane dotyczące dostawy, płatności (często nr konta) oraz... informacja - jak zidentyfikować odbiorcę.
Link do wypowiedziLink
Andrzej Błaszczyk

Andrzej Błaszczyk Programowanie,
e-marketing,
e-commerce

Temat: Pytanie zaczepne

Wojciech C.:
Ale ustawa mówi, że jak coś może być zbiorem danych osobowych to wymaga rejestracji.
Ustawa tego nie mówi.
Ustawa wskazuje wyjątki, których nie trzeba rejestrować i jest tego naprawdę dużo (UODO Art. 43).
Ma Pan rację, zagalopowałem się. GIODO tak mówi np
http://www.giodo.gov.pl/330/id_art/3529/j/pl/
Przykład z newsletterem pokazuje, że jeżeli użytkownik dobrowolnie przekazuje mi wyłącznie swój email to powinienem zarejestrować bazę takich emaili.
Stąd przestałem w ogóle myśleć w kontekście identyfikacji osoby a wyłącznie o możliwości jej identyfikacji.
Podobno także baza użytkowników forum wymaga rejestracji, bo ktoś z nich mógł w loginie podać imię i nazwisko:)

Z wpisów zwolnione są dane powszechnie dostępne.
Gdy wpisuję do wyszukiwarki Facebook adres buziaczek@interia.pl wyskakuje mi konkretny profil (raczej nie uzywany). Ale dla wielu maili, z którymi się spotykam Facebook zwraca mi pełnowymiarowe profile czasem włącznie z adresem zamieszkania.

Czy to znaczy, że te dane osobowe są powszechnie dostępne i nie muszę ich rejestrować?
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Pytanie zaczepne

Jak dla mnie tak... są ogólnodostępne i nie trzeba rejestrować... ale mogę się mylić :)
Link do wypowiedziLink
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Pytanie zaczepne

Wszystkie adresy e-mail, które Pan przetwarza w konkretnym zbiorze, mają swoje odzwierciedlenie w "wyszukiwarce fejsbukowej" i każdy e-mail z Pana zbioru można powiązać z profilem na FB?Ten post został edytowany przez Autora dnia 31.07.13 o godzinie 13:55
Link do wypowiedziLink
Andrzej Błaszczyk

Andrzej Błaszczyk Programowanie,
e-marketing,
e-commerce

Temat: Pytanie zaczepne

Karol F.:
Wszystkie adresy e-mail, które Pan przetwarza w konkretnym zbiorze, mają swoje odzwierciedlenie w "wyszukiwarce fejsbukowej" i każdy e-mail z Pana zbioru można powiązać z profilem na FB?
Rozsądek każe odpowiedzieć, że pewnie nie. I tutaj dochodzimy do najbardziej zaczepnego pytania: czy każdy zbiór, w którym prawdopodobieństwo wystąpienia danych osobowych jest większe od 0% musi zostać zarejestrowany?

+ powtórzone pytanie, skąd mam wiedzieć, że jakiekolwiek dane w moim systemie to dane osobowy (każda z nich może być zmyślona, włącznie z buziaczek@wp.pl, który kieruje na facebook).

Mając sklep internetowy nie mam pewności, że którykolwiek rekord zawiera prawdziwe dane bo jak dostaję wpłatę na konto to mogę wysyłkę wysłać nawet do Jack Sparrow, ul Sienna 10 Kraków:) I o ile osoba, która się tak podpisałal ją odbierze, to nie ma przestępstwa podania nieprawdziwych danych bo nie wystąpiło szkodliwe zarządzenie mieniem z mojej strony.
Link do wypowiedziLink
Andrzej Błaszczyk

Andrzej Błaszczyk Programowanie,
e-marketing,
e-commerce

Temat: Pytanie zaczepne

Inna sprawa, weżmy przedsiębiorcę, który ma smartphone.

Jeżeli jego klienci to osoby fizyczne. I ten przedsiębiorca ma w telefonie ich kontakty. I te kontakty są synchronizowane z chmurą (Google/Apple) to nasz przedsiębiorca będzie miał duży problem z GIODO?

Albo ten przedsiębiorca (np mobilna kosmetyczka) wpisuje sobie w kalendarzu (chmura) wpisy w stylu "Pani Kasia Kowalska osiedle kolorowe 10/4 pedicure, tel: 000.000.000" i Pani kosmetyczka jest pogrążona, tak?
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Pytanie zaczepne

Andrzej B.:

I tutaj dochodzimy do najbardziej zaczepnego pytania: czy każdy zbiór, w którym prawdopodobieństwo wystąpienia danych osobowych jest większe od 0% musi zostać zarejestrowany?
Jak już wspomniałem: nie musi. Art 43 UODO określa, kiedy ADO nie musi rejestrować zbiorów.
Andrzej B.:
Albo ten przedsiębiorca (np mobilna kosmetyczka) wpisuje sobie w kalendarzu (chmura) wpisy w stylu "Pani > Kasia Kowalska osiedle kolorowe 10/4 pedicure, tel: 000.000.000" i Pani kosmetyczka jest pogrążona, tak?

To jest według mnie przetwarzanie w zakresie drobnych spraw bieżących i nie podlega rejestracji. W związku z tym pani kosmetyczka nie jest pogrążona.Ten post został edytowany przez Autora dnia 01.08.13 o godzinie 07:19
Link do wypowiedziLink

konto usunięte

Temat: Pytanie zaczepne

"Małgorzata Kałużyńska-Jasak, rzecznik prasowy Generalnego Inspektora Ochrony Danych Osobowych (GIODO), zapytana przez WP uspakaja, że obowiązkowe jest tylko zgłaszanie danych osobowych, które używane są w sposób bardziej zaawansowany niż zwykłe kontaktowanie się. '"Zbioru takiego (listy firmowych kontaktów w telefonie - przyp. red.) nie trzeba rejestrować u Generalnego Inspektora Ochrony Danych Osobowych, o ile tworzony jest wyłącznie na potrzeby kontaktowania się z poszczególnymi osobami. Ponieważ taki zbiór ma charakter pomocniczy, służy usprawnieniu i przyspieszeniu działalności administratora danych, to można uznać go za zbiór danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. W konsekwencji, zgodnie z art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych, nie podlega on rejestracji"' - mówi Małgorzata Kałużyńska-Jasak."

Taa, tyle że to się tyczy samej listy kontaktów w telefonie. Ja bym się poważnie jednak zastanowił czy kalendarza z danymi klientów nie traktować jednak tak jak zbioru zamówień na usługę i wtedy jednak rejestracji by podlegał...
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Pytanie zaczepne

Skoro już zidentyfikowaliśmy taki zbiór, wpisaliśmy go do swoich rejestrów, zabezpieczamy dane – to po co zastanawiać się, czy powinien być zgłoszony? 10 minut i po sprawie...
Zawsze twierdzę, że jeżeli są jakiekolwiek wątpliwości, to najlepiej zbiór zgłosić. Dla nas mniej roboty i zastanawiania się, a dla ado mniejsze ryzyko.
Link do wypowiedziLink
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Pytanie zaczepne

Najwyżej GIODO odmówi rejestracji :)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj