Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Pytanie zaczepne

Rafał K.:
Ja
bym się poważnie jednak zastanowił czy kalendarza z danymi klientów nie traktować jednak tak jak zbioru zamówień na usługę i wtedy jednak rejestracji by podlegał...

Jak pisze Pan Jarosław - rejestracja nie jest uciążliwa więc można rejestriować.
Jednakże... skoro nr telefonu, czy nawet adres wpisany w telefonie ma służyć do "drobnych bieżących spraw" to taki sam zapis w kalendarzu również może. Fakt dodania rodzaju usługi (o ile nie będzie to zahaczało o dane wrażliwe) nie zwiększa zakresu zapisanych danych osobowych... więc (moim zdaniem) również nie ma konieczności rejestracji.

konto usunięte

Temat: Pytanie zaczepne

Wojciech C.:
.... wykasować przesłane dane i przekazać informację o ich skasowaniu właścicielowi danych i nie trzeba rejestrować

Jak przekazać skoro już zostały wykasowane ?
Wojciech C.:
....
Wystarczy wykasować przesłane dane i
...

Usuwanie to już przetwarzanie a przetwarzanie wymaga zgody.
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Pytanie zaczepne

UP: cytat 1: niepotrzebne czepianie się .. ale proszę :)
Przekazać informację że dane osobowe zostaną wykasowane zaraz po wysłaniu wiadomości.

Tak... usuwanie danych osobowych to też przetwarzanie.. ale co z tego? Skoro ktoś dobrowolnie je do nas wysłał, to wyraził tym samym zgodę na ich przetwarzanie.
Andrzej Błaszczyk

Andrzej Błaszczyk Programowanie,
e-marketing,
e-commerce

Temat: Pytanie zaczepne

Nie bardzo rozumiem argumentacji, że rejestracja nie jest uciążliwa.

Samo zarejestrowanie to drobiazg, ale potem trzeba mieć i realizować politykę bezpieczeństwa.
Trzeba mieć umowę z firmą hostingowę etc. A to mocno zmienia zasady gry. Chyba, że czegoś niedotycztałem.
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Pytanie zaczepne

Bo zwolnienie z rejestracji nie oznacza, że pozostałych obowiązków nie musimy dopełnić...Ten post został edytowany przez Autora dnia 01.08.13 o godzinie 15:12
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Pytanie zaczepne

Andrzej B.:
Nie bardzo rozumiem argumentacji, że rejestracja nie jest uciążliwa.

Samo zarejestrowanie to drobiazg, ale potem trzeba mieć i realizować politykę bezpieczeństwa.
Trzeba mieć umowę z firmą hostingowę etc. A to mocno zmienia zasady gry. Chyba, że czegoś niedotycztałem.

Żeby prowadzić e-sklep - trzeba mieć hosta... czyli trzeba podpisać umowę z firmą hostingową.
Przetwarzając dane osobowe, niezależnie od faktu rejestracji czy jej braku, należy wdrożyć politykę bezpieczeństwa.
Sam fakt rejestracji nic nie zmienia.

Największym problemem w Polsce (i chyba nie tylko) jest to, że przedsiębiorcy nie zdają sobie nawet sprawy z tego, że MUSZĄ mieć politykę bezpieczeństwa (i prowadzić związane z nią "uciążliwości") jeśli tylko mają jakieś dane osobowe... chociażby mieli jednego pracownika to muszą ...
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Pytanie zaczepne

Wojciech C.:
Największym problemem w Polsce (i chyba nie tylko) jest to, że przedsiębiorcy nie zdają sobie nawet sprawy z tego, że MUSZĄ mieć politykę bezpieczeństwa (i prowadzić związane z nią "uciążliwości") jeśli tylko mają jakieś dane osobowe... chociażby mieli jednego pracownika to muszą ...

Myślę, że w interesie przedsiębiorców jest chronić dane, w tym także dane osobowe. Z wielu powodów - przykładowo dane osobowe są ich cennym aktywem, wyciek powoduje utratę dobrej reputacji, etc. Nie uważałbym tego za "uciążliwości".

Natomiast rzeczywiście uciążliwe jest (a raczej może być) prowadzenie dokumentacji opisanej w akcie wykonawczym do ustawy. Przykładowo taką dokumentację musi prowadzić także jednosobowy przedsiębiorca (jeśli przetwarza dane osobowe) - i tu można się zastanawiać, po co mu to wszystko? Czy ta dokumentacja dla niego samego ma jakieś praktyczne znaczenie?
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Pytanie zaczepne

Ja osobiście również uważam, że DO są cennym aktywem... z tego powodu napisałem uciążliwość w cudzysłowu.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pytanie zaczepne

Jarosław Ż.:
Skoro już zidentyfikowaliśmy taki zbiór, wpisaliśmy go do swoich rejestrów, zabezpieczamy dane – to po co zastanawiać się, czy powinien być zgłoszony? 10 minut i po sprawie...
Zawsze twierdzę, że jeżeli są jakiekolwiek wątpliwości, to najlepiej zbiór zgłosić. Dla nas mniej roboty i zastanawiania się, a dla ado mniejsze ryzyko.

Jarku, jak możesz ;-))) Ja sie prawnikom narażam za zbiory, portale i wiele innych, potem jestem persona i takie tam... ;-))))

Młodemu koledze tak doradzać - no jak możesz ;-))))

A całkiem poważnie - naprawdę czasem warto posłuchac prawników. I warto też zrobić swoje - bo na ich opinii zawsze jest adnotacja, że jest to...opinia.

Minimalizujmy ryzyko, małe działanie a efekt potężny.
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Pytanie zaczepne

Przyznam, że z pewnym bólem pisałem te słowa ;)
Podejrzewałem jednak, że pytanie bierze się z założenia, że zwolnienie ze zgłoszenia zwalnia nas z innych obowiązków…
Ale w rzeczywistości, gdy jakiś przedsiębiorca zabiera się do samodzielnej walki z tą materią, to ma tyle wątpliwości do rozstrzygnięcia, że lepiej dla niego, jeżeli przerzuci coś na GIODO, albo na prawnika.
Niestety, z usług prawnika nie każdy chce lub może skorzystać, to niech się chociaż decyzją GIODO o zarejestrowaniu poratuje.

konto usunięte

Temat: Pytanie zaczepne

Wojciech C.:
UP: cytat 1: niepotrzebne czepianie się ..

Nie, nie czepianie. Stwierdzenie faktu.
Przekazać informację że dane osobowe zostaną wykasowane zaraz po wysłaniu wiadomości.

Nadal jest to przetwarzanie bez zgody "zaraz po" wysłaniu informacji.

Tak... usuwanie danych osobowych to też przetwarzanie.. ale co z tego? Skoro ktoś dobrowolnie je do nas wysłał, to wyraził tym samym zgodę na ich przetwarzanie.

Właśnie jestem po kilkudniowej debacie z prawnikiem. Podsumuję ją krótko tak: zgoda na przetwarzanie nie może być domniemana.

Ja się nie czepiam Ciebie - co jedynie mogę się czepiać niedoskonałego prawa.

Odbiegając od tego o czym ja napisałem - autor topiku założył bardzo ciekawą tezę. Też jestem ciekaw co mądrzejsi ode mnie w sprawie DO mają do powiedzenia - czyli co w przypadku gdy do nas trafią dane, które może się okazać utworzą "bazę" choć z założenia nie taki był cel. Przykładem może być oczywiście "user agent" i logi serwera ;)Ten post został edytowany przez Autora dnia 03.08.13 o godzinie 09:37
Andrzej Błaszczyk

Andrzej Błaszczyk Programowanie,
e-marketing,
e-commerce

Temat: Pytanie zaczepne

Robert B.:
Odbiegając od tego o czym ja napisałem - autor topiku założył bardzo ciekawą tezę. Też jestem ciekaw co mądrzejsi ode mnie w sprawie DO mają do powiedzenia - czyli co w przypadku gdy do nas trafią dane, które może się okazać utworzą "bazę" choć z założenia nie taki był cel. Przykładem może być oczywiście "user agent" i logi serwera ;)


Dla mnie kluczową tezą jest pytanie na jakiej podstawie mam zakładać, że jakakolwiek informacja przesłana mi przez użytkownika jest daną osobową. Pomijam sytuację, gdzie tworzę regulamin, który wymaga podania prawdziwych danych.

Z mojego punktu widzenia (który jest mocno techniczny w tym kontekście), dopóki nie zweryfikuję danych podesłanych przez użytkownika to można tylko domniemywać, że to są dane osobowe (a skoro mamy domniemywać, to musimy tak robić o każdych danych).

Bardzo jestem ciekaw czy da się obalić taką tezę.
Filip Turyk

Filip Turyk właściciel, Idcon
ochrona danych
osobowych

Temat: Pytanie zaczepne

Usuwanie to już przetwarzanie a przetwarzanie wymaga zgody.

Chciałbym tylko zwrócić uwagę, że art. 23 ust. 1 pkt. 1 mówi o tym, że przesłanka zgody nie dotyczy usunięcia danychTen post został edytowany przez Autora dnia 06.08.13 o godzinie 10:53
Filip Turyk

Filip Turyk właściciel, Idcon
ochrona danych
osobowych

Temat: Pytanie zaczepne

Andrzej B.:
Robert B.:
Odbiegając od tego o czym ja napisałem - autor topiku założył bardzo ciekawą tezę. Też jestem ciekaw co mądrzejsi ode mnie w sprawie DO mają do powiedzenia - czyli co w przypadku gdy do nas trafią dane, które może się okazać utworzą "bazę" choć z założenia nie taki był cel. Przykładem może być oczywiście "user agent" i logi serwera ;)


Dla mnie kluczową tezą jest pytanie na jakiej podstawie mam zakładać, że jakakolwiek informacja przesłana mi przez użytkownika jest daną osobową. Pomijam sytuację, gdzie tworzę regulamin, który wymaga podania prawdziwych danych.

Z mojego punktu widzenia (który jest mocno techniczny w tym kontekście), dopóki nie zweryfikuję danych podesłanych przez użytkownika to można tylko domniemywać, że to są dane osobowe (a skoro mamy domniemywać, to musimy tak robić o każdych danych).

Bardzo jestem ciekaw czy da się obalić taką tezę.

Pytanie pomocnicze jakie mi się nasunęło - to czy podawane dane mają kogoś identyfikować. Jeśli tak to są dane osobowe.
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Pytanie zaczepne

Andrzej B.:
Robert B.:
Odbiegając od tego o czym ja napisałem - autor topiku założył bardzo ciekawą tezę. Też jestem ciekaw co mądrzejsi ode mnie w sprawie DO mają do powiedzenia - czyli co w przypadku gdy do nas trafią dane, które może się okazać utworzą "bazę" choć z założenia nie taki był cel. Przykładem może być oczywiście "user agent" i logi serwera ;)


Dla mnie kluczową tezą jest pytanie na jakiej podstawie mam zakładać, że jakakolwiek informacja przesłana mi przez użytkownika jest daną osobową.

Jak już sam sobie Kolega odpowiedział.... domniemanie.
Obecnie nawet nicki na stronach www są danymi osobowymi, więc lepiej przyjmować, że wszystko, co do nas dotrze, takimi danymi jest. Bezpiecznie i zgodnie z prawem.
Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: Pytanie zaczepne

Panie Andrzeju.
Po co weryfikować przekazane dane jeżeli uznaje Pan, że nie są danymi osobowymi?
Natomiast, jeżeli je Pan weryfikuje to znaczy, że domniema Pan, że są to DO, a tu wchodzimy w reżim Ustawy o ochronie danych osobowych z wszystkimi konsekwencjami. Tzw. ostrożność procesowa.
Pozdrawiam
Andrzej Błaszczyk

Andrzej Błaszczyk Programowanie,
e-marketing,
e-commerce

Temat: Pytanie zaczepne

Wojciech C.:
Obecnie nawet nicki na stronach www są danymi osobowymi, więc lepiej przyjmować, że wszystko, co do nas dotrze, takimi danymi jest. Bezpiecznie i zgodnie z prawem.

Sugeruje Pan, że skoro nicki to są dane osobowe to gdy mam forum, na którym inni użytkownicy mogą te "nicki" odczytywać to muszę mieć z każdym użytkownikiem umowę o powierzenie, która pozwoli mu legalnie te dane osobowe (nicki) przetwarzać?
Andrzej Błaszczyk

Andrzej Błaszczyk Programowanie,
e-marketing,
e-commerce

Temat: Pytanie zaczepne

Swoją drogą rozmowa z klientem właśnie nasunęła mi kolejny kwiatek:)

Skoro email to dana osobowa, to jeżeli klient wysyła do mnie wiadomość email, to świadomie udostępnia mi swój email czyli DO.

Ale ja automatycznie udostępniam ten adres firmie, która obsługuje moją pocztę (wp/google etc). Jak rozumiem muszę mieć z nimi umowę o powierzeniu?
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Pytanie zaczepne

Szanowny Autorze
Zbieranie danych od użytkowników rejestrujących się w serwisie to nie jest powierzenie w sensie przepisów o ODO, mylisz pojęcia.
Proponuję, żebyś jednak poczytał trochę o ODO, w przeciwnym przypadku ciągle będziesz opacznie rozumiał udzielane tutaj odpowiedzi i nie dogadasz się z wypowiadającymi się tutaj prawnikami i specjalistami od ODO.

Najważniejszy wniosek z dotychczasowej dyskusji w tym wątku jest taki, że musisz mieć opracowaną Politykę Bezpieczeństwa Informacji, której będziesz przestrzegał i która będzie zgodna z przepisami, czyli... musisz się z nimi zapoznać, albo mieć kogoś kto Ci to ogarnie.

PS. Jeżeli chodzi o Twoją kolejną wypowiedź - tj. korzystanie z zewnętrznego hostingu - to tutaj jak najbardziej, powinieneś mieć umowę na powierzenie.Ten post został edytowany przez Autora dnia 07.08.13 o godzinie 11:22
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Pytanie zaczepne

Wojciech C.:
Ustawa tego nie mówi.
Ustawa wskazuje wyjątki, których nie trzeba rejestrować i jest tego naprawdę dużo (UODO Art. 43).
Posługując się przykładem ze sklepem internetowym: dane osobowe są przekazane (za zgodą) w celu wystawienia faktury czy rachunku... i już nie trzeba rejestrować.

To jest tylko wtedy, gdy nic się do klienta sklepu nie wysyła. W innych przypadkach mamy zbiór podlegający rejestracji bo dane przetwarza się w szerszym celu niż tylko wystawienie rachunku - w celu wysłania towaru.



Wyślij zaproszenie do