GoldenLine
Zaloguj się
Bronisław Kowalski

Bronisław Kowalski Niezależny
konsultant biznesu

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

Muszę zgłosić zbiór w GIODO i stanłałm na części E16.
Zbiór przetwarzany jes w siedzibie mojej firmy, ale również powierzony dwóm innym firmom.
Wszędzie jest inny poziom i rodzaj zabezpieczeń. Nie wiem co wpisać?
Najsłabsze zabezpieczenia, najlepsze? Tylko moje?

Pozdrawiam
Bro
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

W moim przekonaniu należy wpisać zabezpieczenia jakie stosuje administrator danych osobowych
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

Bronisław K.:
Muszę zgłosić zbiór w GIODO i stanłałm na części E16.
Zbiór przetwarzany jes w siedzibie mojej firmy, ale również powierzony dwóm innym firmom.
Wszędzie jest inny poziom i rodzaj zabezpieczeń. Nie wiem co wpisać?
Najsłabsze zabezpieczenia, najlepsze? Tylko moje?

Pozdrawiam
Bro
Własne

A procesorzy winni stosować zgodne z rozporządzeniem - bo tak mówi przepis.
Link do wypowiedziLink

konto usunięte

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

witam,

nie do końca jestem do tego przekonany.
zabezpieczenia odnoszą się do tego konkretnego zbioru danych.
jeżeli ADO powierzył przetwarzanie danych "kompletnie" np. zlecił przeprowadzenie konkursu, wyłonienie zwycięzców i wydanie nagród - sam nie posiadając dostępu do danych i odpowiednich środków by przeprowadzić i zabezpieczyć w odpowiedni sposób zbiór to jaki sens ma zgłaszanie GIODO zabezpieczeń stosowanych u ADO ?
moim zdaniem w umowie procesor deklaruje zabezpieczenia jakie stosuje u siebie i właśnie te zabezpieczenia powinny być w takim wypadku wymienione podczas rejestracji zbioru u GIODO.
Link do wypowiedziLink
Bronisław Kowalski

Bronisław Kowalski Niezależny
konsultant biznesu

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

Janusz W.:
witam,

nie do końca jestem do tego przekonany.
zabezpieczenia odnoszą się do tego konkretnego zbioru danych.

Racja
jeżeli ADO powierzył przetwarzanie danych "kompletnie" np. zlecił przeprowadzenie konkursu, wyłonienie zwycięzców i wydanie nagród - sam nie posiadając dostępu do danych i odpowiednich środków by przeprowadzić i zabezpieczyć w odpowiedni sposób zbiór to jaki sens ma zgłaszanie GIODO zabezpieczeń stosowanych u ADO ?

Ale to skrajny przypadek...
moim zdaniem w umowie procesor deklaruje zabezpieczenia jakie stosuje u siebie i właśnie te zabezpieczenia powinny być w takim wypadku wymienione podczas rejestracji zbioru u GIODO.

...a w moim est mix.
Moja firma oraz obie firmy, które są procesorami mają bardzo różne zabezpieczenia. Nie można wskazać, gdzie jest lepiej, a gdzie gorze. po prostu jest inaczej.
Co wtedy?
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

System Egiodo nie przewiduje takiej sytuacji :) Nikt nie wpadł na ten pomysł, że zbiór, który jest powierzony (pomijam kwestię czy w całości czy tylko w jakimś zakresie) może być u każdego z procesorów inaczej zabezpieczony. Rozporządzenie przewiduje minimalne wymagania a część E16 określa różne, również te ponad minimum w danym poziomie. Doradzałbym zebranie informacji o zabezpieczeniach u procesorów i połączenie ich a następnie zaznaczenie właściwych podczas zgłaszania. Ew. tak jak napisał Leszek, tłumacząc później, że procesorzy mają zapisane warunki zabezpieczenia w umowach - a to trzeba dookreślić.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

W tym skrajnym przypadku konkursu - czy na pewno będzie to powierzenie? Skoro firma ma wykonać w całości od początku do końca cały konkurs, nie mając zgodnie z opisem dostępu nawet do danych, to ja naprawdę długo bym się zastanawiał, kto faktycznie jest ADO i kto faktycznie komu powierza dane.

Wydanie nagród - na to bym uważał, bo tu może być co najwyżej problem. Jeśli nagrody sponsoruje firma zlecająca konkurs, to powstanie problem - kto ma zapłacić zaliczkę na podatek. czyli czy faktycznie nie będzie tego dostępu do danych, czy raczej będzie dostęp - na poziomie samych wygranych.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

Przetwarzanie danych wyłącznie lub prawie wyłącznie przez procesora nie jest znowu taką rzadkością. Małe, często jednoosobowe przedsiębiorstwa, gdzie cały ich „system” to jeden laptop, a cała obsługa informatyczna jest realizowana przez dostawcę usług stają się codziennością. Z kolei większe organizacje, to bardzo często kilka spółek, realizujących wyspecjalizowane zadania. Jedna realizuje sprzedaż, druga obsługę kadrową, itd.

W E16 mamy też dodatkowe pole, gdzie można po prostu wpisać zabezpieczenia stosowane przez procesora.

Co nie zmienia faktu, że całość nie bardzo przystaje do rzeczywistości. ADO odpowiada za zabezpieczenie danych u procesora, czyli np. powinien mieć wgląd do jego polityki. Ale przykładowo, jeżeli zabezpieczenia opisane w tej polityce odnoszą się też danych w stosunku do których nasz procesor jest ADO, to ujawnia on informacje o sposobie zabezpieczenia swoich danych :)
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

Grzegorz K.:
W tym skrajnym przypadku konkursu - czy na pewno będzie to powierzenie? Skoro firma ma wykonać w całości od początku do końca cały konkurs, nie mając zgodnie z opisem dostępu nawet do danych, to ja naprawdę długo bym się zastanawiał, kto faktycznie jest ADO i kto faktycznie komu powierza dane.

Też się nad tym ostatnio zastanawiałem :) Mieliśmy ciekawy case, gdzie wszystkie działania były przeniesione na procesora. Jednak analiza regulaminu konkursu nie pozostawiała wątpliwości - ADO jest organizator konkursu a procesorem podmiot wykonujący wszystkie czynności (od samego początku do końca). Z tą zaliczką na podatek to ciekawa sprawa, aż tak daleko nie wchodziliśmy w temat - może podzielisz się doświadczeniami? :)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

Spoko.

Przychód w roku kalendarzowym podlega opodatkowaniu na postawie ustawy o podatku dochodowym od osób fizycznych. Jeśli jest to nagroda, świadczenie, cokolwiek - należy od tego odprowadzić zaliczkę, którą - uwaga, ciekawostka, powinien przekazać wygywający ;-)

Wysokość podatku zależy od rodzaju wygranej, rodzaju konkursu, miejsca jego organizacji. No i od tego, czy przekroczył próg. Nie chcę zamieszać, ale zdaje się w losowych liczbowych - coś w granicach 2-3 tys, w innych (w tym w sieci) od 760.

Rodzaj wygranej - zaliczka na podatek - może być zryczałtowana od wygranych, ale może być normalnym dochodowym (np jeśli pracownicy). Rodzaj konkursu ma też znaczenie - ostatnio były opinie o tych, które sa robione za pomocą środków masowo przekazu. Sa jakieś niuanse, ale nie odpowiem na kolanie, bo to finanse robią. Może będę w tygodniu to podpytam, bo robiliśmy jakiś w tym miesiącu.

Ogólnie z pkt widzenia ODO - zbiór do rejestracji a dane gromadzone na dwóch podstawach - zgoda (do udziału i ewentualnych roszczeń - czas przechowania = czas reklamacji) oraz dane gromadzone na podstawie przepisu prawa - wspomniana ustawa o podatku dochodowym. I czas przechowywania - zgodnie z ustawami. Plus w zbiorze - podstawa tez nieco inna i zakres.Ten post został edytowany przez Autora dnia 28.06.13 o godzinie 20:08
Link do wypowiedziLink

konto usunięte

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

Piotr K.:
Grzegorz K.:
W tym skrajnym przypadku konkursu - czy na pewno będzie to powierzenie? Skoro firma ma wykonać w całości od początku do końca cały konkurs, nie mając zgodnie z opisem dostępu nawet do danych, to ja naprawdę długo bym się zastanawiał, kto faktycznie jest ADO i kto faktycznie komu powierza dane.

Też się nad tym ostatnio zastanawiałem :) Mieliśmy ciekawy case, gdzie wszystkie działania były przeniesione na procesora. Jednak analiza regulaminu konkursu nie pozostawiała wątpliwości - ADO jest organizator konkursu a procesorem podmiot wykonujący wszystkie czynności (od samego początku do końca). Z tą zaliczką na podatek to ciekawa sprawa, aż tak daleko nie wchodziliśmy w temat - może podzielisz się doświadczeniami? :)m d

Moim zdaniem procesor może stać się ADO w przypadku w przypadku odprowadzania podatku i wystawiania o PIT-a od wygranej jeżeli istnieje obowiązek wystawienia takiego:-)
Link do wypowiedziLink

konto usunięte

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

Piotr K.:
System Egiodo nie przewiduje takiej sytuacji :) Nikt nie wpadł na ten pomysł, że zbiór, który jest powierzony (pomijam kwestię czy w całości czy tylko w jakimś zakresie) może być u każdego z procesorów inaczej zabezpieczony. Rozporządzenie przewiduje minimalne wymagania a część E16 określa różne, również te ponad minimum w danym poziomie. Doradzałbym zebranie informacji o zabezpieczeniach u procesorów i połączenie ich a następnie zaznaczenie właściwych podczas zgłaszania. Ew. tak jak napisał Leszek, tłumacząc później, że procesorzy mają zapisane warunki zabezpieczenia w umowach - a to trzeba dookreślić.

Proponuję od razu się umówić że informacje o zabezpieczeniach w zgłaszanych do GIODO zbiorach jak również sam obowiązek zgłaszania zbiorów nie ma większego sensu... i tylko należy mieć nadzieję że coś się w tej kwestii zmieni.
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

Przemyślałem sobie ten temat, skonsultowałem i doszedłem do wniosku, że tak naprawdę operujemy dwoma zbiorami. Pierwszy jest zbiorem doraźnym w rozumieniu UoODO, drugi natomiast tak jak pisze Grzegorz prowadzony jest na podstawie ustawy o podatku dochodowym.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

Piotrze, z doraźności zbioru wyleczył mnie GIODO - dokładnie ci od rejestracji - dzwoniłem ze dwa lata temi. Mam na kompie jeszcze starą opinię, czy informację ze strony www GIODO, że konkursy są doraźne. Jednak obecnie stoją na stanowisku, że jest to zbiór podlegający rejestracji.

http://www.giodo.gov.pl/330/id_art/3181/j/pl/
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

Dyskutowałem kwestie doraźności z jedynym z Dyrektorów GIODO, niestety praktyka zaczyna iść w kierunku zgłaszania tego typu zbiorów co dla mnie jest kompletną bzdurą. Ucieczki od tego nie będzie po zmianie przepisów bo zniknie termin doraźnego przetwarzania. Ja jednak nadal uważam taki zbiór za doraźny. Cieżko mi sobie wyobrazić zgłaszanie setek zbiorów u klientów. A zgłoszenie jednego zbioru pod nazwą "konkursy" będzie bardzo trudne biorąc pod uwagę rożne zakresy zbierania danych, kwestię powierzeń etc.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

Wydaje mi się, że jeśli jedna firma organizuje nawet i choćby dziesiątki czy setki konkursów, to dla tej jednej firmy będzie to mimo wszystko jeden zbiór danych. Natomiast jeśli organizacja co do zasady nie podejmuje działań marketingowych, a zdarzył się ten jeden raz (a drugiego się nie przewiduje) - to uważam, że sprawa jest dyskusyjna. Osobiście jestem zwolennikiem rejestracji zbioru, nawet na jeden konkurs. Na pewno niczemu to nie zaszkodzi. A może "przydać się" w przyszłości na przyszłe działania marketingowe.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

Piotrze mam takie samo zdanie. Praktycznie zgłaszam jeden, z dość szerokim zakresem danych. Ale ogólnie są to dane kontaktowe, dane o numerach kont (przelew nagrody) NIP do podatku etc. Problem się robi przy konkursach dzieci bez zdolności do czynności prawnych. Ale też da się obejść na jednym zbiorze.
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

Problemem przy zgłoszeniu jednego zbioru jest zakres przetwarzanych danych, ponieważ może on się różnić w każdym konkursie. Niemożliwe wg. mnie jest wskazanie szerokiego zakresu, bo nigdy nie wiadomo co zmieni się w przyszłości. Natomiast aktualizacja wniosku przy każdym konkursie to kuriozum.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Zgłoszenie zbioru - czyje zabezpieczenia?

W branży ubezpieczeniowej - gdyby do każdego produktu (który w tej sytuacji jest odpowiednikiem jednego konkursu) rejestrować odrębny zbiór danych osobowych, to bez wątpienia mielibyśmy zakłady rejestrujące po kilkaset zbiorów. Wydaje mi się, że w praktyce zbiory bardziej od siebie "odróżnia" cel przetwarzania danych niż zakres i tak chyba raczej podchodzą do tego administratorzy danych osobowych.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj