- 1
- 2
- Następna »
Jarosław
Żabówka
Administrator
Bezpieczeństwa
Informacji (ABI).
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Po raz kolejny trafił do mnie problem przetwarzania danych wrażliwych przez serwisy internetowe. Rozmawiałem dzisiaj z infolinią GIODO i odpowiedź, była zgodna z oczekiwaniami – potrzebna jest pisemna zgoda osoby na przetwarzanie jej danych. To jest oczywiście nierealne.Oprę się raczej na przesłance, że osoba samodzielnie podała dane do publicznej wiadomości. Trochę to naciągane, ale informacje rzeczywiście będą widoczne dla wszystkich osób posiadających konto w serwisie…
Jak jednak postąpić, jeżeli serwis przetwarza dane wrażliwe i nie są one dostępne dla wszystkich użytkowników Internetu? Macie tu jakieś doświadczenia?
Przyszedł mi do głowy jeden przewrotny pomysł. Ustawa o świadczeniu usług drogą elektroniczną nic nie mówi o danych wrażliwych. Zgodnie z informacją, którą kiedyś uzyskałem w GIODO, w odniesieniu do tych danych należy stosować uodo, również w związku ze świadczeniem usług drogą elektroniczną. Gdyby jednak założyć, że skoro uśude określa zasady ochrony danych osób korzystających z usług świadczonych drogą elektroniczną, to może jednak przetwarzanie danych wrażliwych w tym wypadku jest możliwe bez uzyskania zgody na piśmie?
Jakub
Bryl
IT Governance & IT
Security (CISM,
CISA, ISO 27000 LA)
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Witam,Też kiedyś miałem podobny problem, i zasugerowałem klientowi, aby właśnie „upublicznić” te dane przed ich wprowadzeniem do serwisu. Idea by ła taka, że podczas rejestracji, wyświetlało się okienko zwierające wszystkie dane i zapis „Użytkownik podaje te dane do wiadomości publicznej wszystkim użytkownikom serwisu” etc. i przycisk do wyrażenia zgody / anulowania procesu rejestracji w serwisie. Techniczne ważne jest aby te dane nie zostały utrwalone w systemie zanim użytkownik nie wyrazi zgody (wtedy są one przetwarzane tylko na jego komputerze). Co do samej „zgody” etc. sugerowałem się właśnie zapisami uośude.
Zdaje sobie sprawę, że powyższe rozwiązanie nie jest idalne, ale tka jka piszesz – żądanie „papierowej” zgody przesyłanej tradycyjna poczta zabiłoby 99,9% serwisów społecznościowych w Internecie.
Ciekaw jestem Waszych doświadczeń w tym zakresie.
Pozdrawiam,
Jakub
Paweł
Litwiński
adwokat, doktor nauk
prawnych, Barta
Litwiński
Kancelaria...
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Problem jest moim zdaniem nierozwiązywalny na gruncie obecnych przepisów.Najbardziej kuszącą wydaje się możliwość powołania się na przesłankę przetwarzania danych wrażliwych podanych do publicznej wiadomości - ale to oznacza mylenie skutku z przyczyną. Bo dane są jawne dlatego, że zostały opublikowane w serwisie, a nie dlatego zostały opublikowane, bo są jawne.
Z drugiej strony, możliwość powołania się na przepisy rozdziału 4 ustawy o świadczeniu usług drogą elektroniczną upada po zastosowaniu art. 5 ustawy o ochronie danych osobowych. Bo raczej nie budzi wątpliwości, że przepisy uśude formułują samodzielne podstawy przetwarzania danych osobowych w związku ze świadczeniem usług drogą elektroniczną. Ale to są podstawy odnoszące się do "danych osobowych", czyli pojęcia z art. 23 ust. 1. uodo. W uśude nie ma mowy o tych danych osobowych, o których mowa w art. 27 ust. 1 uodo - a to znaczy, że uśude nie wyłącza w tym zakresie uodo. Bo art. 5 uodo wyłącza przepisy uodo tylko w takich sytuacjach, gdy przepisy szczególne przewidują dalej idącą ochronę dla danych osobowych. A tu po prostu jest cisza - uśude milczy o danych wrażliwych, a to znaczy, że do ich przetwarzania w sieci stosuje się ogólne zasady z art. 27 uodo.
Niezależnie od tego, co napisałem wyżej, moim zdaniem mamy duży problem, który pośrednio wynika z wykroczenia przez polskiego ustawodawcę ponad poziom ochrony przewidziany w dyrektywie 95/46 - w dyrektywie mowa o zgodzie "wyraźnej", nie "na piśmie".Paweł Litwiński edytował(a) ten post dnia 06.08.09 o godzinie 09:30
Andrzej
J.
Prototypowanie,
wprowadzanie na
rynek nowych
produktów
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Potwierdzam - nie da się tego ominąć. Potwierdzam również, że skrajnie utrudnia to prowadzenie działalności.Pozdr,
AJ
Wojciech
Kogut
Specjalista ds.
importu
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Paweł Litwiński:
A tu po prostu jest cisza - uodo milczy o danych wrażliwych, a to znaczy, że do ich przetwarzania w sieci stosuje się ogólne zasady z art. 27 uodo.
Pawle błąd Ci się wkradł, chyba powinno tam być "uśude" ;)
Paweł
Litwiński
adwokat, doktor nauk
prawnych, Barta
Litwiński
Kancelaria...
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Uśude, jasne, dzięki ;-)Już poprawiłem ;-))Paweł Litwiński edytował(a) ten post dnia 06.08.09 o godzinie 09:30
Katarzyna
Dyl
Aplikant adwokacki,
Prawnik PIN
Consulting Sp. z
o.o.
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Jakub Bryl:
Witam,
Też kiedyś miałem podobny problem, i zasugerowałem klientowi, aby właśnie „upublicznić” te dane przed ich wprowadzeniem do serwisu. Idea by ła taka, że podczas rejestracji, wyświetlało się okienko zwierające wszystkie dane i zapis „Użytkownik podaje te dane do wiadomości publicznej wszystkim użytkownikom serwisu” etc. i przycisk do wyrażenia zgody / anulowania procesu rejestracji w serwisie. Techniczne ważne jest aby te dane nie zostały utrwalone w systemie zanim użytkownik nie wyrazi zgody (wtedy są one przetwarzane tylko na jego komputerze). Co do samej „zgody” etc. sugerowałem się właśnie zapisami uośude.
Zdaje sobie sprawę, że powyższe rozwiązanie nie jest idalne, ale tka jka piszesz – żądanie „papierowej” zgody przesyłanej tradycyjna poczta zabiłoby 99,9% serwisów społecznościowych w Internecie.
Ciekaw jestem Waszych doświadczeń w tym zakresie.
Pozdrawiam,
Jakub
Ja mam w takim razie pytanie: czy samo wyrażenie zgody jest wystarczające? Moim zdanie musi występować przesłanka faktycznego upublicznienia? Można sobie wyobrazić sytuację, w której na każdej stronie www zbierającej dane wrażliwe pojawia się chceck box z klauzulą "Podaję powyższe dane do wiadomości publicznej" i de facto sprawa mogła by być rozwiązana. Budzi to mój duży niepokój, gdyż po pierwsze: stanowiłoby to obejście przepisu art. 27 ust. 1 uodo i mogliby się nim posiłkować w zasadzie wszyscy. Po drugie, co w sytuacji gdy dane wrażliwe zbiera administrator ale nie są one upubliczniane innym podmiotom, ale zgoda na upublicznienie jest wyrażona. Hm?
Jacek
G.
Compliance Officer,
Data Protection
Officer
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Ja mam w takim razie pytanie: czy samo wyrażenie zgody jest wystarczające? Moim zdanie musi występować przesłanka faktycznego upublicznienia? Można sobie wyobrazić sytuację, w której na każdej stronie www zbierającej dane wrażliwe pojawia się chceck box z klauzulą "Podaję powyższe dane do wiadomości publicznej" i de facto sprawa mogła by być rozwiązana. Budzi to mój duży niepokój, gdyż po pierwsze: stanowiłoby to obejście przepisu art. 27 ust. 1 uodo i mogliby się nim posiłkować w zasadzie wszyscy. Po drugie, co w sytuacji gdy dane wrażliwe zbiera administrator ale nie są one upubliczniane innym podmiotom, ale zgoda na upublicznienie jest wyrażona. Hm?
Sądzę, że dokładne wmyślenie się w sposób rozumowania mec. Litwińskiego na temat mylenia skutku z przyczyną (z którym nota bene się zgadzam) pomoże Pani rozwiać wątpliwości.
Jest dostępny powyżej.
Paweł
Litwiński
adwokat, doktor nauk
prawnych, Barta
Litwiński
Kancelaria...
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Katarzyna Dyl:
Ja mam w takim razie pytanie: czy samo wyrażenie zgody jest wystarczające? Moim zdanie musi występować przesłanka faktycznego upublicznienia?
To są dwie odrębne podstawy prawne przetwarzania danych wrażliwych: zgoda albo przetwarzanie danych podanych do publicznej wiadomości przez osobę, której dane dotyczą. Czyli jeżeli mamy zgodę, to dane wcale nie muszą być jawne; jeżeli są jawne to nie musimy mieć zgody.
A w pozostałym zakresie podtrzymuję nadal swoją wypowiedź z 2009 r.
Katarzyna
Dyl
Aplikant adwokacki,
Prawnik PIN
Consulting Sp. z
o.o.
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Jacek G.:Zapoznałam się z całym wątkiem wcześniej i śmiem twierdzić, że check box dotyczący upublicznienia w zasadzie nie załatwia sprawy...
Ja mam w takim razie pytanie: czy samo wyrażenie zgody jest wystarczające? Moim zdanie musi występować przesłanka faktycznego upublicznienia? Można sobie wyobrazić sytuację, w której na każdej stronie www zbierającej dane wrażliwe pojawia się chceck box z klauzulą "Podaję powyższe dane do wiadomości publicznej" i de facto sprawa mogła by być rozwiązana. Budzi to mój duży niepokój, gdyż po pierwsze: stanowiłoby to obejście przepisu art. 27 ust. 1 uodo i mogliby się nim posiłkować w zasadzie wszyscy. Po drugie, co w sytuacji gdy dane wrażliwe zbiera administrator ale nie są one upubliczniane innym podmiotom, ale zgoda na upublicznienie jest wyrażona. Hm?
Sądzę, że dokładne wmyślenie się w sposób rozumowania mec. Litwińskiego na temat mylenia skutku z przyczyną (z którym nota bene się zgadzam) pomoże Pani rozwiać wątpliwości.
Jest dostępny powyżej.
Paweł
Litwiński
adwokat, doktor nauk
prawnych, Barta
Litwiński
Kancelaria...
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Katarzyna Dyl:
Zapoznałam się z całym wątkiem wcześniej i śmiem twierdzić, że check box dotyczący upublicznienia w zasadzie nie załatwia sprawy...
Ja tak twierdzę od kilku lat ;-)
Jacek
Zontek
CEO, Aims Management
Consultants
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Czyli, jeśli rejestrujemy się np. w portalu, gdzie podajemy nasz stan zdrowia (na co chorujemy) i chcemy poprzez tenże portal dokonywać zakupów preparatów "medycznych" - portal musiałby od nas uzyskać zgodę na piśmie :)!Praktyka jest jednak inna. Jest mnóstwo (dziesiątki tysięcy?) takich e-sklepów i portali, które naruszają art 27 (checkbox). Co Waszym zdaniem zrobi z tym GIODO, jeśli zaczną się skargi użytkowników? Bo pewnie planowo GIODO się tym nie zajmie...
Daniel
Wieszczycki
prawnik i
konsultant,
właścicel DataSec
Consulting
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
To jest szerszy problem.Dotyczy też np. hoteli, w których gość może zarezerwowac pokój dla palących albo dla niepełnosprawnych. Taka rezerwacja nie może zostać dokonana zgodnie z prawem ani przez internet, ani telefonicznie.
Filip
Turyk
właściciel, Idcon
ochrona danych
osobowych
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
No to chyba trochę robi się absurdalne. A czy nie mogę też zarezerwowoać wycieczki dajmy na to na Jasną Górę albo do Jerozolimy? Przecież takie działalnie nie wymaga ode mnie zadeklarowania czy jestem nałogowcem albo muzułmaninem. Rezerwacja pokoju dla palących może się wiązać z na przykład planem zaproszenia kogoś palącego.
Dawid
Zakrzewski
Administrator
Bezpieczeństwa
Informacji,
Informatyk, Tren...
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Jeżeli ktoś na stronie podaje swoje dane i pisze że jest niepełnosprawny to chyba jasne jest to że wyraża na to zgodę. Nikt go nie zmusza do rezerwowania miejsca akurat w tym hotelu. I to że jest niepełnosprawny to nie oznacza że podaje na co konkretnie jest chory.
Daniel
Wieszczycki
prawnik i
konsultant,
właścicel DataSec
Consulting
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Dawid Zakrzewski:
Jeżeli ktoś na stronie podaje swoje dane i pisze że jest niepełnosprawny to chyba jasne jest to że wyraża na to zgodę. Nikt go nie zmusza do rezerwowania miejsca akurat w tym hotelu. I to że jest niepełnosprawny to nie oznacza że podaje na co konkretnie jest chory.
Po pierwsze - zgoda nie może być dorozumiana z oświadczenia woli o innej treści (chociaż tu ostatnio widać zmiany w podejściu, ale nie GIODO a Grupy art. 29). Czyli z oświadczenia woli o chęci zarezerwowania pokoju i samego udostępnienia danych nie można domniemywać zgody na przetwarzanie danych.
Po drugie, nawet jeżeli uznamy, że to jest zgoda dorozumiana (co z godnie z UODO nie może mieć miejsca), to nie mamy zachowanej formy pisemnej, niezbędnej do przetwarzania danych wrażliwych.
I jeżeli ktoś sądzi, że fakt zarezerwowania pokoju dla palących nie ujawnia danych o nałogach, czy też fakt zarezerwowania pokoju dla ON, nie ujawnia informacji o stanie zdrowia, to jest w "mylnym błędzie" :)
Słyszałem już teorie, którym jestem przeciwny, ale słyszałem i są one u nas też forsowane, że:
- wiedza o fakcie zawarcia małżeństwa ujawnia informacje o życiu seksualnym,
- wiedza o posiadaniu dzieci ujawnia informacje o życiu seksualnym,
- wiedza o fakcie bycia w ciąży ujawnia informacje o stanie zdrowia.
Takie podejście funkcjonuje w Niemczech.
Dawid
Zakrzewski
Administrator
Bezpieczeństwa
Informacji,
Informatyk, Tren...
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Daniel Wieszczycki:
Ochrona Danych Osobowych jest w Polsce paranoją !!! Najlepiej aby wszyscy nazywali się XXX i mieszkali w Nibylandii.
Słyszałem już teorie, którym jestem przeciwny, ale słyszałem i są one u nas też forsowane, że:
- wiedza o fakcie zawarcia małżeństwa ujawnia informacje o życiu seksualnym,
- wiedza o posiadaniu dzieci ujawnia informacje o życiu seksualnym,
- wiedza o fakcie bycia w ciąży ujawnia informacje o stanie zdrowia.
Takie podejście funkcjonuje w Niemczech.
P.S. Ciąża nie jest stanem zdrowia. Tylko okresem od zapłodnienia do porodu, co najwyżej stan zdrowia może się pogorszyć np. zatrucie ciążowe itp. To że kobieta jest w ciąży to może być sztuczne zapłodnienie.
Ilu prawników tyle interpretacji.
Dawid
Zakrzewski
Administrator
Bezpieczeństwa
Informacji,
Informatyk, Tren...
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Daniel Wieszczycki:
I jeżeli ktoś sądzi, że fakt zarezerwowania pokoju dla palących nie ujawnia danych o nałogach, czy też fakt zarezerwowania pokoju dla ON, nie ujawnia informacji o stanie zdrowia, to jest w "mylnym błędzie" :)
Może być tak że nie ma innego wolnego pokoju. A jak się uprzeć to można zakwalifikować te dane jako "życia codziennego" lub do wystawienia faktury.
Jeżeli osoba niepełnosprawna wynajmuje pokój dla niepełnosprawnych i zgłasza do GIODO takie coś to jest to zwyczajne świństwo.
Druga sprawa Hotel przetwarza te dane w celu wykonania usługi czyli przesłanka jest spełniona. Można wprowadzić checkboxa (Wyrażam zgodę na przetwarzanie .....itd)Dawid Zakrzewski edytował(a) ten post dnia 23.01.12 o godzinie 09:04
Dawid
Zakrzewski
Administrator
Bezpieczeństwa
Informacji,
Informatyk, Tren...
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Jacek Zontek:Witam Panie Jacku,
Czyli, jeśli rejestrujemy się np. w portalu, gdzie podajemy nasz stan zdrowia (na co chorujemy) i chcemy poprzez tenże portal dokonywać zakupów preparatów "medycznych" - portal musiałby od nas uzyskać zgodę na piśmie :)!
Praktyka jest jednak inna. Jest mnóstwo (dziesiątki tysięcy?) takich e-sklepów i portali, które naruszają art 27 (checkbox). Co Waszym zdaniem zrobi z tym GIODO, jeśli zaczną się skargi użytkowników? Bo pewnie planowo GIODO się tym nie zajmie...
Nasze Urzędy niech się zajmą w końcu czymś pożytecznym a nie walką z wiatrakami. Z naszych podatków kręcimy sobie bat na tyłek. Tak nie powinno być. W sejmie nie ma teraz ważniejszych spraw niż palenie marihuany :) A tak naprawdę brakuje dróg, mieszkań i przyzwoitej pracy dla ludzi. A w ministerstwach siedzi kupa ludzi i kupa doradców z kosmicznymi pensjami z naszych podatków. I co do lekarza stoimy w kolejce (6 miesięcy do specjalisty) KPINA !!!!
Przepraszam że pisze mało na temat ale mnie to już wszystko wnerwia.
Jacek
Zontek
CEO, Aims Management
Consultants
Temat: Przetwarzanie danych wrażliwych w serwisach internetowych.
Panie Dawidzie,Porusza Pan kwestię bizantyjskości państwa. A to już temat - rzeka. Jak chce Pan pomarzyć o lepszym państwie, polecam prace Feliksa Konecznego.
Oferty pracy
-
Specjalista ds. Płac Activ Investment Sp. z o.o.
-
Group Account Manager Ostryga Sp. z o.o.
-
Graphic Designer Ostryga Sp. zo.o.
Podobne tematy
-
konieczność podania danych wrażliwych
11 odpowiedzi -
Umowa o powierzenie przetwarzanie danych osobowych
3 odpowiedzi -
Zgoda pracownika na przetwarzanie danych
80 odpowiedzi -
przetwarzanie danych osobowych przez firmę?
2 odpowiedzi -
zgoda na przetwarzanie danych osobowych przy podpisaniu...
2 odpowiedzi -
Odwołanie zgody na przetwarzanie danych osobowych
15 odpowiedzi -
przetwarzanie danych - wyrazanie zgody- jak bardzo...
-
Jak najszybciej rozpocząć przetwarzanie danych -...
14 odpowiedzi -
Domyślne zaznaczenie zgody na przetwarzanie danych osobowych
36 odpowiedzi -
Przetwarzanie danych osobowych w krajach EU
12 odpowiedzi
Następna dyskusja:
