GoldenLine
Zaloguj się
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Założmy, że chcielibyśmy iść z duchem czasu i chcemy umożliwić naszym klientom kontaktowanie się z nami innymi kanałami niż e-mail, czy telefon.

Część klientów nawet chciałaby wysyłać poprzez aplikacje załączniki z danymi osobowymi.

Przeczytałem politykę prywatności VIBER i wpisują tam wprost, że będą przetwarzać dane na serwerach w AZJI, Rosji i gdziebądź. Oczywiście poza EOG zadbają o odpowiednie standardy bezpieczeństwa.

VIBER i WHATSAPP raelizują usługę w ten sposób, że usuwają wiadomości z serwerów po jej dostarczeniu - czyli niejako jedynymi trwałymi nośnikami informacji są telefony nadawcy i odbiorcy.

W głowie rozdzieliłem sobie taką komunikację na dwa elementy:

1. Odbieranie danych
2. Wysyłanie danych

1. Rozważam akceptowanie wiadomości spoza EOG, zakładając, że to klient wysyła mi swoje wiadomości, a ja je odbieram na swoim telefonie.
2. Przy wysyłaniu danych zaczynam mieć trudność, bo choć mój odbiorca świadomie korzysta z aplikacji i urządzenia to ja też świadomie wysyłam dane poprzez "państwo trzecie"

Czy gwarancja szyfrowania komunikacji pomiędzy rozmówcami załatwiłaby temat?

Co waszym zdaniem zrobić w pierwszej kolejności, aby korzystanie z takich aplikacji było możliwe?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Jan S.:
Przeczytałem politykę prywatności VIBER i wpisują tam wprost, że będą przetwarzać dane na serwerach w AZJI, Rosji i gdziebądź. Oczywiście poza EOG zadbają o odpowiednie standardy bezpieczeństwa.
Jak konkretnie zadbają?
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Paweł G.:
Jan S.:
Przeczytałem politykę prywatności VIBER i wpisują tam wprost, że będą przetwarzać dane na serwerach w AZJI, Rosji i gdziebądź. Oczywiście poza EOG zadbają o odpowiednie standardy bezpieczeństwa.
Jak konkretnie zadbają?

Niestety trzeba im wierzyć na słowo.

Stąd moje dalsze rozmyślanie na temat jak taką współpracę dobrze poukładać?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Jan S.:
Niestety trzeba im wierzyć na słowo.
Nie wolno. ADO musi im określić warunki przekazywania danych do państwa trzeciego i dopilnować ich przestrzegania.
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Czy ktoś z was drodzy ABI ma jakieś doświadczenia w praktycznym wykorzystaniu takich aplikacji?

W administracji to jest mniej popularne, ale w biznesie, szczególnie przy operacjach międzynarodowych lub współpracy ze Wschodem, już bardziej.

O ile ze SKYPE (Microsoft) da się podpisać całkiem sensowną umowę powierzenia, o tyle z Whatsapp czy VIBER nie ma takiej możliwości.

Konstrukcja tych usług jest także zupełnie inna. Skype przechowuje nasze dane i kontakty, a Whatsapp i Viber dokonuje tylko transmisji, bez ich stałego zachowywania.

Stąd ponawiam pytania.

Czy gwarancja szyfrowania komunikacji pomiędzy rozmówcami załatwiłaby temat?
Co waszym zdaniem zrobić w pierwszej kolejności, aby korzystanie z takich aplikacji było możliwe?

Czy zapewnienie usługodawcy, że przez jego serwery dane przechodzą w formie zaszyfrowanej (czyli nie może odczytać bezpośrednio ich treści podczas transmisji) byłoby rozwiązaniem?
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Paweł G.:
Jan S.:
Niestety trzeba im wierzyć na słowo.
Nie wolno. ADO musi im określić warunki przekazywania danych do państwa trzeciego i dopilnować ich przestrzegania.

Jak to zrobić w praktyce? Czy Pana zdaniem samo odbieranie wiadomości od nadawców też będzie wymagało takiego potwierdzenia?
Link do wypowiedziLink
Sebastian F.

Sebastian F. Information Security
Manager, IKEA Retail
sp. z o.o.

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Jan S.:
Paweł G.:
Jan S.:
Niestety trzeba im wierzyć na słowo.
Nie wolno. ADO musi im określić warunki przekazywania danych do państwa trzeciego i dopilnować ich przestrzegania.

Jak to zrobić w praktyce? Czy Pana zdaniem samo odbieranie wiadomości od nadawców też będzie wymagało takiego potwierdzenia?

Wydaje mi się, że klient, jako "abonent" usługodawcy, sam ponosi odpowiedzialność za to co za jego pośrednictwem przesyła (zakładając konto akceptuje przecież regulaminy/polityki). Równie dobrze można się zastanawiać, czy klient może bezpiecznie zadzwonić z komórki i podać nam swoje dane lub przesłać maila z domeny GMAIL.COM.
Co innego, jeśli nadawcą jest ADO.
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Wydaje mi się, że klient, jako "abonent" usługodawcy, sam ponosi odpowiedzialność za to co za jego pośrednictwem przesyła (zakładając konto akceptuje przecież regulaminy/polityki). Równie dobrze można się zastanawiać, czy klient może bezpiecznie zadzwonić z komórki i podać nam swoje dane lub przesłać maila z domeny GMAIL.COM.
Co innego, jeśli nadawcą jest ADO.

Właśnie taką logiką podążam. Dzięki za ten głos.

Kiedyś rozważaliśmy tutaj wątek w którym korzystanie z aplikacji w chmurze mogło być realizowane bez powierzenia, jeśli uploadowane dane byłyby zaszyfrowane (czyli de facto dane osobowe nie były udostępniane).

Zastanawiam się teraz czy gwarancja szyfrowania transmisji na serwerach przesyłowych wystarczałaby do korzystania do korespondencji zwrotnej z tych aplikacji bez badania przez jaki obszar dane będą przesyłane.

Lub może jakieś inne pomysły na rozwiązanie tej kwestii ?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Jan S.:
Kiedyś rozważaliśmy tutaj wątek w którym korzystanie z aplikacji w chmurze mogło być realizowane bez powierzenia, jeśli uploadowane dane byłyby zaszyfrowane (czyli de facto dane osobowe nie były udostępniane).
Nie analizuję całości problemu, bo brak czasu, ale samo szyfrowanie danych nie powoduje, że tracą przymiot danych osobowych. Cały czas do zaszyfrowanych danych trzeba by stosować adekwatne środki ochrony, szczególnie do ochrony integralności. Przekazywanie zaszyfrowanych danych do państwa trzeciego jest przekazywaniem danych osobowych do państwa trzeciego.
Link do wypowiedziLink
Sebastian F.

Sebastian F. Information Security
Manager, IKEA Retail
sp. z o.o.

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Paweł G.:
Jan S.:
Kiedyś rozważaliśmy tutaj wątek w którym korzystanie z aplikacji w chmurze mogło być realizowane bez powierzenia, jeśli uploadowane dane byłyby zaszyfrowane (czyli de facto dane osobowe nie były udostępniane).
Nie analizuję całości problemu, bo brak czasu, ale samo szyfrowanie danych nie powoduje, że tracą przymiot danych osobowych. Cały czas do zaszyfrowanych danych trzeba by stosować adekwatne środki ochrony, szczególnie do ochrony integralności. Przekazywanie zaszyfrowanych danych do państwa trzeciego jest przekazywaniem danych osobowych do państwa trzeciego.

Zgadzam się w 100%. W rozważaniach o ODO nie wolno zatrzymywać się na zapewnieniu ich poufności. Szyfrowanie to tylko jeden ze środków ochrony, ale nie wyczerpuje tematu ODO.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Warto jeszcze się zastanowić, po czyjej stronie realizowane jest szyfrowanie. Jeśli po stronie procesora, to sorry, nawet poufności nie mamy.
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Informacja prasowa

Viber o sobie -ENG

Skoro mamy wymóg poufności zapewniony (załóżmy) to co dalej. Podpisać umowę powierzenia? Zastanawiam się, czy dalej dochodzi do przetwarzania danych osobowych, skoro przetwarzane są zaszyfrowane ciągi nic nie znaczących (dla serwerów) znaków ?
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Dyskusja schodzi na boczne tory.

Warto zacząć od podstaw.
1. Co wiemy:
- chcecie dać dodatkową funkcjonalność swoim klientom;
- funkcjonalność nie jest obowiązkowa;
- funkcjonalność ma być realizowana przez firmy mające serwery w państwach trzecich w tym Rosja, Chiny;
- funkcjonalność polega na przesyłaniu d.o. w aplikacjach różnych firm, w tym mających siedzibę w państwach trzecich;
2. Co stanowi prawo:
- przetwarzanie d.o., to jakiekolwiek operacje na tych danych (7.2 uodo);
- ADO ma obowiązek dołożyć szczególnej staranności (26.1.);
- ADO ma obowiązek zapewnić by do były przetwarzane zgodnie z prawem (26.1.1.)
- przekazywanie d.o. do państwa trzeciego opisuje rozdział 7 uodo;
3. Wnioski:
- d.o. czy to w postaci szyfrowanej czy nie, są nadal d.o.;
- aplikacje będą przetwarzać d.o. nawet gdy zostaną zaszyfrowane;
- docelowo nie przekazujecie danych do państwa trzeciego, jednak za pośrednictwem takowych - na ADO spoczywa obowiązek ochrony danych osobowych na wszelkich etapach przetwarzania przez ADO;
- polityka firm z serwerami w państwach trzecich jest drugoplanowa, w pierwszej kolejności należy rozpatrzyć bezpieczeństwo ze strony państwa na terytorium którego są serwery (47.1-2);
- Chiny, Rosja, większość krajów azjatyckich nie zapewniają akceptowalnej odo;
- podstawą prawną przetwarzania do do takich państw będzie jedna z przesłanek art.47.3., w tym przypadku tylko 47.3.1.;
- zgoda winna być dobrowolna, świadoma, fakultatywna - klient winien być poinformowany przez ADO, że jego d.o. będą przesyłane przez państwa nie zapewniające im należytej ochrony;
- do przetwarzania d.o. za pośrednictwem takich aplikacji ma zastosowanie art.31.

Podsumowanie:
Nawet jeśli klient wyrazi zgodę, będziecie mieli podpisane umowy powierzenia, to w dalszym ciągu odpowiadacie za wyciek danych (31.4.) choć wpływ na to macie żaden.

Zgodne z zasadą: chcącemu krzywda się nie dzieje, to jeśli się zdecydujecie na taki krok, to z pełną świadomością konsekwencji.

ps.
Powyższe oparto na obecnie istniejących przepisach - uodo; w ujęciu rodo, sprawa będzie o wiele bardziej "ciekawa" (choćby art.35.1.).
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Dziękuję za wszystkie sugestie.

Dodam, że użytkowanie aplikacji IM dla mojego klienta nie jest fanaberią, a raczej kwestią być albo nie być w jego rynku. Klienci to nasi wschodni sąsiedzi, nie zainstalują dla niego nowej aplikacji, tylko pójdą do knkurencji.

Właśnie zbieram stanowiska dotyczące tego czy szyfrowanie pozbawia dane atrybutu osobowości.
Niestety GDPR wprowadza szyfrowanie jako jedną z metod ochrony danych, stąd ochrona przez nie bycie danymi chyba odpada. Chodź wg mnie warto to przeanalizować:

Stanowisko niemieckiej komercyjnej firmy : https://www.boxcryptor.com/en/blog/post/encryption-to-p...

Oraz opinia - Rozdział: 2.2.1. Encryption in the GDPR
: https://www.jipitec.eu/issues/jipitec-7-2-2016/4440

Ale jednocześnie zacząłem szukać analogii do sytuacji wykorzystania VIBER / WHATSapp czy innego oprogramowania.

Czy nie widzicie podobieństwa w prowadzeniu korespondencji z adresami mailowymi na serwerach znajdujących się poza. Czy sprawdzacie, gdzie znajdują się serwery odbiorcy waszych wiadomości ?

Co więcej, wystarczy, że ktoś się przemieści i będzie chciał skorzystać ze swojej skrzynki w ramach EOG przebywając poza EOG. Wtedy też będzie korzystał z serwerów i urządzeń w krajach nie spełniających wymogów.

A idąc dalej za wciąż jeszcze aktualną ustawą, czyli Art 47.3

Administrator danych może jednak przekazać dane osobowe do państwa
trzeciego, jeżeli:

2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem
danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie;

3) przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby,
której dane dotyczą, pomiędzy administratorem danych a innym podmiotem;


Nie jestem pewien niezbędności - w sensie dowodu na brak istnienia bardziej racjonalnego rozwiązania - ale zgoda w moim wypadku odpada, natomiast wyrażone życzenie kontaktu poprzez IM już byłoby czymś.

Co myślicie o takiej przesłance?
Jakieś sugestie dotyczące realizacji tych przesłanek w GDPR?
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Warto szukać rozwiązań z poszanowaniem, niż szukać obejść prawa.

W poszukiwaniach rozwiązań warto rozpisywać, do najprostszej postaci, znane dane, zamierzenie docelowe, regulacje prawne. Czyli w skrócie: co jest na początku, a co ma być na końcu. Środek, to przyjęte rozwiązania biznesowe.

To co piszesz teraz, a co napisałeś na początku, to dwie różne sytuacje:
Założmy, że chcielibyśmy iść z duchem czasu i chcemy umożliwić naszym klientom
kontaktowanie się z nami innymi kanałami niż e-mail, czy telefon.
Część klientów nawet chciałaby wysyłać poprzez aplikacje załączniki z danymi osobowymi.
Dodam, że użytkowanie aplikacji IM dla mojego klienta nie jest fanaberią, a raczej kwestią
być albo nie być w jego rynku.

W związku z tym, że obecnie mamy październik, a wdrożenie nowego rozwiązania zajmie jakiś czas, to zamiast poszukiwać rozwiązań zgodnych z uodo, zalecałbym szukanie rozwiązania zgodnego z rodo (bardziej restrykcyjne). Dlatego warto czytać, czytać i raz jeszcze czytać ze zrozumieniem przepisy.

Ani uodo, ani rodo nic nie wspomina o obowiązkach klienta, nie ogranicza go w formach i sposobach. To znaczy, że osoba której dane będą przetwarzane ma dowolność w tym zakresie (por. 27.2.8. uodo). DAO takiej dowolności nie posiada, wręcz musi spełniać rygory prawa. Koniec, kropka. Dlatego nie do przyjęcia jest sugerowanie się rozwiązaniami jakiejkolwiek firmy komercyjnej jako wykładni sposobu przestrzegania prawa. Wszelkie opinie, o ile nie pochodzą od grupy roboczej art.29, GIODO nie mogą być wiążące. Co najwyżej linią (wątpliwej) obrony.

Rodo w art. 24.1. ("i aby móc to wykazać") literalnie przypomina, że to na ADO spoczywa obowiązek udowodnienia przestrzegania prawa.

W rzeczonym przypadku będą mieć, w szczególności, zastosowanie art. 32, 35, 36.1., 44, 45.1., 46, 49 rodo. A także, z założenia, art. 33, 34, a w konsekwencji możliwość art.83.4a.Ten post został edytowany przez Autora dnia 12.10.17 o godzinie 07:48
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Dzięki za sugestie.

Zdecydowanie jestem podobnego zdania dlatego szukam rozwiązań zgodnych z wymaganiami prawa. Analizuję ten przypadek z wielu różnych perspektyw, żeby mieć pełny obraz.

Fakt, że istnieje spór (nie tylko komercyjny) co do interpretacji, czy przetwarzania skutecznie zaszyfrowanych danych nie anuluje ich przymiotu osobowości, jest wg mnie merytorycznym problemem interpretacji przepisów.

Obserwuję też, że z dużą rezerwą ABI - także na tej grupie - traktują temat przetwarzania danych osobowych w kwestii korespondencji, przesyłania maili i korzystania z nowych technologii. Mogę się założyć, że kwestia przetwarzania danych poza EOG dotyczy wielu z nas. I wielu pewnie zastanawiało się co zrobić z firmowym SKYPEM.

Czy nie widzicie podobieństwa w prowadzeniu korespondencji z adresami mailowymi na serwerach znajdujących się poza EOG? Czy sprawdzacie, gdzie znajdują się serwery odbiorcy waszych wiadomości ?

Co więcej, wystarczy, że ktoś się przemieści i będzie chciał skorzystać ze swojej skrzynki w ramach EOG przebywając poza EOG. Wtedy też będzie korzystał z serwerów i urządzeń w krajach nie spełniających wymogów.

Jak te kwestie regulujecie u siebie?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: VIBER, WHATSAPP, Aplikacje Instant messaging i...

Jan S.:
Czy sprawdzacie, gdzie znajdują się serwery odbiorcy waszych wiadomości ?
Zależy, kim jest odbiorca. Jak procesorem - tak. Podmiotem danych - nie.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj