GoldenLine
Zaloguj się
Tomasz Pawłowski

Tomasz Pawłowski prawnik

Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny

Witam,
Niebawem zacznę prowadzić portal Internetowy stworzyłem już prawie politykę bezpieczeństwa i instrukcję zarządzania syst. informatycznym, ale mam jeszcze drobne wątpliwości. Napisałem nawet do GIODO z prośbą o interpretację, ale dostałem dość lakoniczną i ogólną odpowiedź, że nadal nie wiem jak do tego podejść. A zapewne jak ktoś miał do czynienia z Infolinią GIODO to wie, że nie działa. :/
W każdym razie byłby bardzo wdzięczny gdyby ktoś mi podpowiedział te 3 sprawy:
1. Portal prowadzony jest z komputera/komputerów w domu (jak na razie) a serwer znajduje się gdzieś w Szczecinie podejrzewam. Mam umowę powierzenia przetwarzania danych osobowych. Czy w takim przypadku rejestruję zbiór danych prowadzony centralnie czy rozproszony? Gromadzone dane są na serwerze firmy hostingowej, ale na chociażby na pocztę będę otrzymywał maile z informacjami o osobach rejestrujących się na portalu. A więc czy jest to zbiór prowadzony w architekturze rozproszonej czy może za daleko sięgam, i ważne jest to gdzie jest głównie przechowywany i przetwarzany czyli serwer firmy hostingowej.

2. Druga sprawa to ile zbiorów powinienem zarejestrować. Na portalu rejestrować się będą osoby korzystające z forum, wystawiające komentarze (tutaj w zasadzie tylko e-mail, opcjonalnie miejscowość, wiek), osoby zamieszczające drobne ogłoszenia (e-mail, nr tel, miejscowość, opcjonalnie wiek, imie i nazwisko), osoby korzystające z formularza kontaktowego do firm (tutaj pracuję nad tym aby otrzymywać tylko info, że ktoś się odezwał do firmy, bez danych tel, e-mail, imie i nazwisko, ale niewykluczone, że otrzymam te informacje też). GIODO odpowiedziało mi, że "niewykluczone, że będzie Pan rejestrował nie jeden zbiór":/. Może wystarczy zarejestrowanie jednego zbioru, jako grupa osób korzystająca z usług portalu?

3. W rozporządzeniu MSWiA w spawie warunków technicznych ... itd, określone są wymagania jakie należy spełnić to przy laptopie należy: ""administrator stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych" a przy poziomie wysokim "Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej". Czy to oznacza, że powinienem zaszyfrować wszystkie dyski komputera programem szyfrującym typu TrueCrypt, czy w tym drugim przypadku chodzi o szyfrowanie logowań certyfikatem SSL, też TrueCrypt? Czy w ogóle o coś innego, a bez wiedzy informatycznej tego nie rozumiem?

Zastanawiam się, czy nie podszedłem do tego zbyt poważnie. Obejrzałem jak mają zarejestrowane zbiory podobne portale, a nawet można obejrzeć niekiedy ich politykę bezpieczeństwa to .... ho ho. Zwykle jest to baza pn. Osoby korzystające z usług portalu, cel to: Zapewnienie funkcjonowania osób na portalu xxxx. A również mają różne kategorie osób rejestrujących się.

Dzięki wielkie za jakąś podpowiedź.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny

1. Rozproszony. Zbiór danych osobowych to nie baza, ale jakby cały "system przetwarzania danych osobowych". W zasadzie można by uznać, że w większości przypadków, gdy jest powierzenie, to zbiór jest rozproszony.
2. Trudno na to pytanie jednoznacznie odpowiedzieć. Jeśli cel przetwarzania jest jeden - to jeden zbiór. Jeśli sa dwa - np. prowadzenie portalu i marketing np. cudzych towarów / usług - to dwa (jeden dla portalu, drugi dla celów marketingowych)
3. Jeśli na laptopie jest tylko dostęp do serwera (a zarządzanie danymi jest przez np. przeglądarkę) - to wystarczy szyfrowanie połączenia. Ale jeśli będzie na nim przechowywana np. kopia bazy z serwera, inne dane osobowe, to wtedy także dysk laptopa należy zabezpieczyć (a właściwie dane na nim). Jeśli jest to Windows w wersji "Professional" - wystarczy tzw. EFS (zaszyfrowanie katalogu albo katalogów z danymi).
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny

Leszek K.:
2. Trudno na to pytanie jednoznacznie odpowiedzieć. Jeśli cel przetwarzania jest jeden - to jeden zbiór. Jeśli sa dwa - np. prowadzenie portalu i marketing np. cudzych towarów / usług - to dwa (jeden dla portalu, drugi dla celów marketingowych)

A ja się złośliwie zapytam, dlaczego, jeżeli mamy dwa cele przetwarzania, to mamy rejestrować dwa zbiory? :)

Przecież ustawa mówi, że zbiór to: [i]„każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,”[i]
– i nic o celu nie jest napisane... Czyli, jeżeli te same dane przetwarzam w dwóch celach, mogą się znajdować w jednym zbiorze?
Chyba, że art. 41 ust. 1 pkt 3 jest wystarczającym powodem, żeby zbiór mógł mieć tylko jeden cel przetwarzania?
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny

Dobre pytanie - wg samej definicji zbiorem będzie w zasadzie (prawie że) każda pojedyncza baza danych. A tak przecież nie jest w praktyce - bo zgłasza się do rejestracji twór, który jest jakby systemem przetwarzania danych.

Ja długi czas się zastanawiałem, co miał na myśli ustawodawca, bo zbiór (d.o.) ani to baza, ani to system przetwarzania danych osobowych (taki jak np. system zarządzania bezpieczeństwem, system zarządzania jakością), raczej jakiś twór pośrodku. A dlaczego mówię o celach? Zbiór w matematyce to (bardzo upraszczając) zestaw elementów, które "coś łączy" (ustawodawca uznał, że łączy ich to, że są osobami, ale to tak jak z liczbami, jest zbiór liczb, ale one się czymś charakteryzyją - całkowite, nieparzyste, etc).

Jeśli potraktować zbiór danych osobowych jako system przetwarzania danych osobowych w którym elementy tego zbioru łączy coś wspólnego (cel przetwarzania), to łatwiej sobie wyobrazić, czym jest ten zbiór.Leszek K. edytował(a) ten post dnia 12.03.12 o godzinie 07:49
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny

Jarosław Żabówka:
Leszek K.:
2. Trudno na to pytanie jednoznacznie odpowiedzieć. Jeśli cel przetwarzania jest jeden - to jeden zbiór. Jeśli sa dwa - np. prowadzenie portalu i marketing np. cudzych towarów / usług - to dwa (jeden dla portalu, drugi dla celów marketingowych)

A ja się złośliwie zapytam, dlaczego, jeżeli mamy dwa cele przetwarzania, to mamy rejestrować dwa zbiory? :)

Przecież ustawa mówi, że zbiór to: [i]„każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,”[i]
– i nic o celu nie jest napisane... Czyli, jeżeli te same dane przetwarzam w dwóch celach, mogą się znajdować w jednym zbiorze?
Chyba, że art. 41 ust. 1 pkt 3 jest wystarczającym powodem, żeby zbiór mógł mieć tylko jeden cel przetwarzania?

Z półtora roku temu miałem odmowę rejestracji, mimo, że zbiór zawierał te same dane. Ale cel był inny, więc powstały dwa zbiory. Oba zarejestrowane ;-)))
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny

Zgadza się, żeby zarejestrować zbiór, musimy podać jeden cel...
Też zawsze twierdzę, że zbiór powinien mieć jeden cel przetwarzania i tak przygotowuję zgłoszenia zbioru. Wydaje się, że w praktyce jest dobre podejście. Ale z samej definicji zbioru, to dla mnie nie wynika.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny

Nie do końca się zgodzę z tezą, że jeden zbiór powinien mieć jeden cel.

Bardzo często w różnych celach firma korzysta z tego samego zbioru. Po pierwsze dlatego, że dysponuje danymi i jedynie musi lub nie (zależnie od celu) uzyskać jedynie zgodę na wykorzystanie danych w innym celu niz były zbierane. Po drugie dlatego, że rejestrowanie kolejnego zbioru tylko dlatego, że chce się je przetwarzać w dodatkowym celu oznacza duplikację danych. Jeżeli nawet zrezygnyjemy z duplikacji samych danych to konieczna jest budowa oddzielnego mechanizmu kontroli dostępu do danych.

Oczywiście mówie tu o przypadku gdy uzyskanie dodatkowego celu nie wymaga zbierania dodatkowych danych a jedynie wykorzystanie posiadanego już zbioru lub podzbior danych i zbiór jest przetwarzany przez tego samego Administratora.

Ponadto stosując podejście jeden zbiór jeden cel czasami musimy powielić przynajmniej część dokumentacji. Cyzli suma sumarum wychodzi nam sztuka dla sztuki.

Podejście jeden do jednego jest oczywiście wygodne z punktu widzenia urzędników GIODO. Jedno zgłoszenie, jeden zbiór, jeden cel. "Cyrk" może się zacząć gdy potrzebna będzie kontrola firmy w związku ze zgłoszeniem naruszenia danych. I to zrówno dla kontrolerów GIODO (jeżeli będą wyszukiwali informacji po firmie a nie celu przetwarzania) jak dla kontrolowanego (jak udowodnić, że informacje, dokumentacja itp. dotyczą przetwarzania danego zbioru danych dla jednego celu a nie dla drugiego w końcu jest to jeden i ten sam zbiór i system).

O tym ostatnim pisze nie bez kozery ponieważ z autopsji wiem jak trudno czsami komuś wytłumaczyć, że różne zbiory logiczne opierają się na danych z jednego zbioru fizycznego. W praktyce w tym przypadku mamy ten przypadek. Jedna fizyczna baza danych i jeden system ich przetwarzania ale logicznie dwa odrębne systemy.

A tak już z praktyki kontaktóe z GIODO. Ponieważ nie znalazłem nigdzie takiej opcji. Czy jest możlia z punktu widzenie uodo zmiana w sensie rozszerzenia celu przetwarzania danych jeżeli baza jest zarejestrowana w GIOGO ?
Link do wypowiedziLink

konto usunięte

Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny

Zapoznaj się z tekstem Sklep internetowy a GIODO znajdziesz tam odpowiedź na wszystkie swoje pytania.
Link do wypowiedziLink

konto usunięte

Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny

Tak sobie kombinuję że przez dwa lata to pewnie już coś z tym fantem zrobił ;)
Link do wypowiedziLink
Tomasz Setman

Tomasz Setman Kierownik
Koordynator ds.
Projektów / Auditor
Wewnetrzny ...

Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny

Dodam następne zagadnienie do tematu rejestracji zbioru.

Firma matka znajdująca się w Niemczech wdrożyła system CRM zawierające dane kontrahentów, także spółki Polskiej. Serwery znajdują się na terenie UE ale nie w Polsce. Czy taki zbiór należy zgłosić do Polskiego GIODO czy do GIODO Niemieckiego. Może do jednego i drugiego?
Link do wypowiedziLink
Mikołaj Popławski

Mikołaj Popławski Head of External
Distribution
Channels & Business
Develop...

Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny

Tomasz S.:
Dodam następne zagadnienie do tematu rejestracji zbioru.

Firma matka znajdująca się w Niemczech wdrożyła system CRM zawierające dane kontrahentów, także spółki Polskiej. Serwery znajdują się na terenie UE ale nie w Polsce. Czy taki zbiór należy zgłosić do Polskiego GIODO czy do GIODO Niemieckiego. Może do jednego i drugiego?

Rozumiem, że mianem "spółki z polski" pojmujemy oddział/przedstawicielstwo spółki matki?
Jeżeli tak to mamy zarejestrowaną działalność w Polsce i zbiór podlega jurysdykcji GIODO PL, przynajmniej ta część, która dotyczy Klientów z Polski.
Link do wypowiedziLink

konto usunięte

Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny

Tomasz S.:
Dodam następne zagadnienie do tematu rejestracji zbioru.

Firma matka znajdująca się w Niemczech wdrożyła system CRM zawierające dane kontrahentów, także spółki Polskiej. Serwery znajdują się na terenie UE ale nie w Polsce. Czy taki zbiór należy zgłosić do Polskiego GIODO czy do GIODO Niemieckiego. Może do jednego i drugiego?

Każda spółka córka jest odrębnym administratorem danych osobowych. Jeśli spółka córka ma siedzibę w PL to prawo właściwe stosujemy ze względu na jej siedzibę. Nie zmienia to faktu, że może udostępniać dane innym spółkom z grupy (patrz spółki córki, spółka matka - te podmioty muszą spełnić swoje wymagania prawne).
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny

Beata M.:

Każda spółka córka jest odrębnym administratorem danych osobowych. Jeśli spółka córka ma siedzibę w PL to prawo właściwe stosujemy ze względu na jej siedzibę. Nie zmienia to faktu, że może udostępniać dane innym spółkom z grupy (patrz spółki córki, spółka matka - te podmioty muszą spełnić swoje wymagania prawne).

Dokładnie tak. Wtedy polska spółka przykładowo rejestruje zbiór w Polsce, zaś "spółce-matce" powierza przetwarzanie danych osobowych w systemie CRM. I to jest bardzo często spotykany model.
Link do wypowiedziLink
Jan Bolączka

Jan Bolączka urzędnik,
informatyk, PDG

Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny

Beata M.:
Nie zmienia to faktu, że może udostępniać dane innym spółkom z grupy (patrz spółki córki, spółka matka - te podmioty muszą spełnić swoje wymagania prawne).
Leszek K.:
Dokładnie tak. Wtedy polska spółka przykładowo rejestruje zbiór w Polsce, zaś "spółce-matce" powierza przetwarzanie danych osobowych w systemie CRM. I to jest bardzo często spotykany model.

Udostępnia czy powierza? Moim zdaniem powierza.
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny

Wg. mnie sytuacja nie jest taka oczywista z kilku powodów. Jeżeli do systemu CRM wprowadzane są dane kontrahentów, które pozyskuje spółka córka to faktycznie jest tak jak pisze Beata - spółka córka rejestruje zbiór w Polsce, z tym że dochodzi do powierzenia a nie udostępnienia.
Natomiast w sytuacji gdy spółka matka zbiera dane kontrahentów (np. klientów sklepu internetowego, który prowadzi w Niemczech i jest on powiązany z CRM) i daje dostęp innym spółkom dostęp do bazy to zbiór rejestruje matka a każda ze spółek córek jest procesorem.
Link do wypowiedziLink

konto usunięte

Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny

Oczywiście to czy udostępnia czy powierza zależy od celu jaki chcemy osiągnąć i podejścia danej grupy. Ja akurat pisałam o udostępnianiu nie powierzaniu. Zdarza się, że dane są udostępniane po to by jak X cofnie zgodę jednemu z podmiotów z grupy to reszta mogła i tak je przetwarzać. Przeważnie osoba cofa zgodę administratorowi, a nie zwraca uwagi na odbiorców danych *oczywiście w momencie wyrażania zgody muszą być wskazani. Przy udostępnianiu wtedy tak administrator jak i odbiorcy danych mają swoje odrębne zbiory. To jest celowy zabieg. W praktyce takie rozwiązanie jest często stosowane w bankowości, instytucjach finansowych i przez ubezpieczycieli.

Jeśli natomiast spółka córka ma korzystać z infrastruktury spółki matki, a spółka matka nie ma być odbiorcą danych (jedynie zarządzać chmurą) to jest to klasyczna umowa powierzenia.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj