пропозиції роботи
Wypowiedzi
-
Jest nowa wersja zgodna z RODO: https://iodinspektor.pl/
-
Z tego co piszesz będzie miał dostęp do danych ale nie wynika z tego czy będzie je przetwarzał na zlecenie ADO. Ja bym szedł w opoważnienie + narzucił stosowane w firmie procedury bezpieczeństwa.
-
Sławomir M.:
Wypowiedzieć umowę i ewentualnie zawrzeć nową (porozumienie ado-ado)
Jeszcze przed 25 majem Dom Pomocy Społecznej zawarł umowę powierzenia danych z przychodnią lekarską o świadczenie opieki zdrowotnej finansowanej ze środków publicznych. Teraz przychodnia uznała, że takiej umowy nie powinno być, gdyż nie powierzono jej żadnych danych, skoro na co dzień świadczy opiekę w domu. -
Paweł G.:
Ciekaw jestem, czy jeżeli taki broker, będący faktycznie administratorem danych, dopuszcza do danych kontrolera ze strony rzekomego powierzającego, to jest to incydent naruszenia bezpieczeństwa danych?
Nie no chyba popłynąłeś myślami w nieznanym mi kierunku :) Broker jest ADO dla swoich danych oraz procesorem dla danych mu powierzonych (RCP/RKP), Analogicznie jak np. biuro rachunkowe prowadzące obsługę księgowo-kadrową na rzecz podmiotów trzecich. Proponuję nie ciągnąć dalej tego wątku bo odbiega on od głównego tematu. Jeśli masz jakieś dalsze pytania w tej sprawie to zapraszam na priv. Chętnie odpowiem. EOT -
Paweł G.:
I będziesz przeprowadzać kontrole u brokera?
A tak naprawdę to do czego zmierzasz? Odpowiadając na pytanie: tak, będę przeprowadzał zgodnie z warunkami zawartej umowy powierzenia. -
Paweł G.:
Brokerzy to też raczej odrębni administratorzy danych.
W swoim zakresie. W zakresie danych które zostały im powierzone działają w imieniu i na polecenie administratora. -
Karolina K.:
Przede mną Med i Ubezpieczyciel jeszcze.
W moim przypadku rozmowa z ubezpieczycielem była jak kopanie się z koniem. Odpuściłem i zawarliśmy umowę powierzenia z brokerem który wziął na siebie relacje z ubezpieczycielem. W sumie okazało się to najlepszym wyjściem :) -
Update. Ostatecznie udało mi się uzyskać zgodę od dużego podmiotu świadczącego uslugi medyczne co do tego że w relacjach Firma - Med oba podmioty występują jako niezależni administratorzy i powierzenia w ogóle nie ma. Podpisujemy porozumienie w tej sprawie i temat zamykamy :)
-
Jak widać po dyskusji prowadzonej tu przez praktyków, niestety nie sposób dojść do jednoznacznej opinii w tym temacie.
Link do artykułu podanego na początku wątku przeczytałem z radością! (https://pl.linkedin.com/pulse/dane-osobowe-medycyna-pra... Autorka, było nie było ekspert - członek Grupy Roboczej ds. Ochrony Danych Osobowych - Zespół ds. Systemu Ochrony Zdrowia (!) konkluduje, że powierzenia w ogóle nie ma, a każda ze stron pracodawca-medycyna są odrębnymi administratorami, każda w swoim zakresie, i w związku z tym zawieranie umowy powierzenia jest niewłaściwe.
Nie dyskutuję z tym poglądem i przyjmuję go za właściwy, do chwili kiedy odpowiedni organ nie powie, że jest inaczej.
Co bardziej mnie martwi, to praktyka stosowana przez firmy medyczne komercyjne, które świadczą usługi na rzecz pracowników pracodawcy, w ramach tzw. świadczeń pozapłacowych. Otóż firmy te nagminnie wymuszają na pracodawcach zawieranie umów powierzenia, gdzie same określają się jako administrator a pracodawcę jako procesora!
Moja logika uparcie się broni przed takim stawianiem sprawy. Przecież to nie działa tak, że firma medyczna zleca na zasadzie powierzenia zatrudnienie Jasia Burczymuchy - swojego pacjenta - ale to pracodawca przekazuje dane pracowników w celu objęcia ich świadczeniami medycznymi.
W tym przypadku, analogicznie to medycyny pracy, również stałbym na stanowisku, że powierzenia nie ma. Pracodawca przekazuje dane pracownika na podstawie jego deklaracji przystąpienia, czyli zgody, firmie medycznej. W drugą stronę firma medyczna tylko i wyłączenie obciąża pracodawcę za usługi na rzecz jej pracowników, nie przekazując przy tym żadnych szczegółowych danych dot. tych usług - np. wyników badań.
PYTANIE PRAKTYCZNE - podpisujecie umowy powierzenia z firmami medycznymi jako administratorami, gdzie Wasze firmy wskazane są jako procesor?
Dzięki za info. -
Czy wiedzą Państwo, że pod adresem https://ekrs.ms.gov.pl/ można sprawdzić treść sprawozdań finansowych zgłaszanych do KRS przez osoby prawne? Bardzo fajne i wygodne narzędzie z pewnym "ale".
Podanie numeru KRS pozwala każdemu na zobaczenie wszystkich złożonych dokumentów. Co więcej, możemy zapoznać się z ich treścią w postaci PDF. No to co, ktoś zapyta, skoro te dokumenty są jawne?
1. Z serwisu możemy pobrać oryginał dokumentu - skan - który zawiera podpisy i pieczęci osób reprezentujących. Idealne narzędzie dla wszystkich, którzy chcieliby je podrobić.
2. Przy wybraniu opcji pobierz dokument, nie wiem po jakiego grzyba, pojawia się informacja o osobie podpisującej - imię, nazwisko, PESEL.
Ponieważ często osoba podpisująca dokument jest także członkiem zarządu, mamy do dyspozycji wzór podpisu takiej osoby, wzór pieczęci, nr PESEL. Super! Czy to naprawdę ma tak działać???Ten post został edytowany przez Autora dnia 28.06.18 o godzinie 15:56 -
Marlena K.:
Bardzo Was proszę o pomoc. Czy akta osobowe mogą zawierać kopie aktów zgonu, ślubu, urodzenia dzieci?
Czy jest jakaś podstawa prawna, która o tym mówi? Siedzę od kilku dni w przepisach i nic nie mogę odszukać.
Nie przechowywać. Okazywać do wglądu i odnotować. -
Anna A.:
Monitoring=robienie zdjęcia?
Monitoring = rejestrowanie obrazu -
Magda T.:
Czy pracownik w sklepie może/musi mieś imię i nazwisko na identyfikatorze? Czy musi wyrazić na to odrębną zgodę?
Jakieś amerykańskie zwyczaje. Po co to imię i nazwisko? Czemu to służy? Może samo imię wystarczy? Albo jakiś pseudonim, np. Christina Aguilera, Angelina Jolie, Brad Pitt dla klienta efekt będzie ten sam ale za to jakie wrażenie! :) -
Magda T.:
...Natomiast firma Y powierza firmie X dane pracowników imię i nazwisko e-mail nr tel. np. przesyła grafik z pracownikami.
Moim zdaniem nie ma potrzeby zawierania drugiej umowy powierzenia. Informacja o dostępności osób X jest konieczna do realizacji umowy sprzedaży. Analogicznie mogę powiedzieć klientowi, że dział śrubek obsługuje Kowalski a dział nakrętek Nowak i z nimi należy się kontaktować w celu złożenia zamówienia. Tutaj jest podobnie - zamówienia 6-14 obsługuje Kowalski a 14-22 Nowak. -
Karolina K.:
Nasza kadrowa, tak samo ma podpisaną umowę - zlecenie z TU i otrzymała umowę powierzenia na osobę fizyczną, gdzie wg umowy powierzenia, miejscem przetwarzania jest jej prywatny adres i w sytuacji, gdy podpisze umowę, to TU może z 7-dniowym wyprzedzeniem wysłać do niej informację, że wykona kontrolę. Dane przetwarza w miejscu zatrudnienia.
W sytuacji, gdy nie podpisze, TU zerwie z nią współpracę.
No nie w tą stronę jednak to powinno iść.
Firma, o której pisałem odpisała TU że nie akceptuje takiej formy współpracy. Obsługę ubezpieczonych zleciła brokerowi, z którym zawarła prawidłową umowę powierzenia, więc temat się rozwiązał. Wymuszanie na zleceniobiorcach TU podpisywania umów powierzenia jest bezpodstawne IMHO. -
Katarzyna M.:
Gdzieś na innym forum wyczytałam, że jeśli danych osobowych jest nieduzo, to wystarczy 12 znakowe hasło do komputera zmieniane co 30 dni.
Jesli danych osobowych jest dużo, to warto zainwestować w serwer firewall
Na szczęście RODO nigdzie nie mówi jak często trzeba zmieniać hasła. Wymóg zmiany hasła na mocy poprzedniej ustawy co 30 dni był nieporozumieniem, bo w istocie obniżał bezpieczeństwo tych haseł. Długość hasła i złożoność wpływa na jego bezpieczeństwo, więc czym więcej tym lepiej dla zabezpieczenia przed brute-force. -
Bożena M.:
Witam! Może ktoś ma pomysł co zrobić w następującej sytuacji:
Firma X sprzedaje, firma Y robi u X zakupy. Nie maję spisanej umowy. Y zawsze robiąc zakupy bierze fakturę.
Z pewnych względów Y wolałaby płacić przelewem, a nie gotówką. Y występuje do X z prośbą o umożliwienie robienia takich zakupów wyznaczonym pracownikom i listę tych pracowników dokłada do w/w prośby..
Nawet jeśli nie ma spisanej umowy, to umowa jest i nazywa się umową sprzedaży. Podstawą prawną przetwarzania danych dla obu stron: dostawcy i odbiorcy jest art. 6.1.B. Osoby reprezentują swoje firmy (administratorów) jedni po stronie sprzedaży, drudzy po stronie zakupu. Przetwarzanie tych danych jest niezbędne do wykonania umowy. Obowiązek informacyjny jest. Zgoda nie jest wymagana.
Co do powierzenia to raczej bym w to nie wchodził. Z definicji wynika, że przetw. pow. jest wtedy gdy podmiot przetwarzający przetwarza dane osobowe administratora w imieniu administratora i na jego polecenie, z czym tutaj moim zdaniem do czynienia nie mamy. W przeciwnym razie każdy proces sprzedaży powinien opierać się na powierzeniu przetwarzania danych i to wzajemnym, co doprowadziłoby rzecz do absurdu. -
Rafal S.:
U mnie w Gminie Administratorem Danych Osobowych jeżeli chodzi o system "Źródło" (Dowody osobiste, USC) jest MSWiA, i ten system jest rozproszony w ponad 2500 jednostkach pomimo tego że jest scentralizowany pobieramy dane na lokalne komputery, a Administrator jeden... Więc chyba Robert mylisz sie w tym wypadku...
A czy przy dowodach osobistych nie macie tam przypadkiem 3 współadministratorów: MSWiA + Min. Cyfr. + Wójt gminy? -
Paweł G.:
Zauważ też, że jeśli provider część danych zbiera i dalej przetwarza jako administrator, informacja o tym powinna się znaleźć w klauzuli informacyjnej dla osoby odwiedzającej stronę.
Zdecydowanie nie! Bo provider realizuje swoje cele jako administrator a właściciel strony swoje jako odrębny admin. Idąc Twoim błędnym tokiem rozumowania musiałbyś podać odwiedzającemu cały łańcuch powiązań od komputera odwiedzającego, poprzez szereg urządzeń routujących, z uwzględnieniem różnych podmiotów obsługujących ten ruch. Technicznie jest to niewykonalne a co najważniejsze bezcelowe. Wynika to chociażby ze specyfiki protokołu TCP/IP który działa tak, że nigdy nie wiesz, którą drogą zostaną przesłane paczki danych, a co gorsza różne z nich mogą iść różnymi drogami, aby na końcu spotkać się w docelowym IP.
Aby lepiej to zrozumieć lub zobaczyć jak to skomplikowane sprawdź trasę połączenia pomiędzy Twoim komputerem a np. goldenline.pl np. w tym serwisie: https://www.monitis.com/traceroute/
Zauważ, że Twoje połączenie leci po kilku węzłach w USA (państwo trzecie). Oczywiście, żadnych danych osobowych tam nie ma.
Proponuję zamknąć tę dyskusję, bo zamiast odpowiedzi na pytanie autora rozważamy tu jakieś abstrakcyjne zagadnienia, które w dodatku z ochroną danych oso przestają mieć cokolwiek wspólnego. -
Paweł G.:
Byłbym ostrożny. Bardzo powierzchowna analiza.
Informacje o internautach odwiedzających stronę administratora (nie: stronę providera) przetwarzane są w celach administratora, nie providera. Obojętnie czy administrator jest tego świadomy, czy nie.
No i tutaj właśnie pojawia sie pierwsze nieporozumienie. Provider nie analizuje wejść na stronę tylko ruch do i z serwera. Przy popularnym hostingu współdzielonym, na jednym serwerze obsługiwanych jest bardzo wiele kont klientów, gdzie mają oni swoje zasoby. Provider musi to robić bo inaczej nie mógłby oferować usługi. Niektóre dane provider udostępnia swoim klientom, czyli filtruje ruch tylko do danego konta i te dane, w swej uprzejmości pokazuje użytkownikowi usługi, a więc to on jest "dysponentem" tych danych. Ciekawostka, nazwa.pl w ogóle nie pokazuje adresów IP odwiedzających użytkownikowi. Temat można jeszcze bardziej skomplikować gdy wejdziemy w zagadnienia wirtualizacji, specyfiki działania mechanizmu DNS itd.
Dla lepszego zrozumienia. Serwer to budnyek z wieloma mieszkaniami. Provider to właściciel budynku. Użytkownik hostingu to lokator. Właściciel monitoruje budynek (kamery, recepcja, ochrona) w celu zrealizowania swojego interesu zapewnienia bezpieczeństwa. Do jednego z mieszkań przychodzi odwiedzający, który został nagrany na korytarzu przez właściela. Kto jest administratorem jego danych? W tym zakresie będzie nim własciciel. Oczywiście lokator po wpuszczeniu go do swojego lokalu może przetwarzać jego dane w swoim celu. Np. nagrać go - czyli podsunąć mu ciasteczko z kodem śledzącym GA, na co właściciel nie ma wpływu i za co nie odpowiada.
Orzecznictwo europejskie dawno rozstrzygnęło, że adres IP jest daną osobową.
O adresach IP mowa wprost w motywie 30. RODO.
Nie można tak uogólniać. Adres IP będzie informacją osobową tylko jeśli jest związany z osobą i pozwala na jej identyfikację. Twój telewizor, drukarka, lodówka też mają adresy IP, które z osobami nic wspólnego nie mają.
Dodatkowo warto też dokonać rozróżnienia na IP zewnętrzne oraz wewnętrzne, czyli te w sieci LAN, które przydziela serwer DHCP. W tym przypadku rzeczywiście adres IP jest przypisany do komputera (!) i można po nim zidentyfikować, z pewnym prawdopodobieństwem osobę, która z niego korzysta. Ale gdy adresy te przydzielane są dynamicznie to już wcale takiej pewności nie ma. Adresy wewnętrzne są niewidoczne dla serwerów www, bo chroni je właśnie NAT. Natomiast, ruch pomiędzy serwerami w internecie odbywa się po adresach zewnętrznych, do których najczęściej przypisanych jest "n" adresów wewnętrznych, a więc identyfikacja konkretnej osoby jest praktycznie niemożliwa.
Poza tym provider może zbierać inne niż adres IP informacje o internautach odwiedzających stronę administratora, które w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.
Może i to robi. Ale robi to w swoim celu, na swojej podstawie - jest administratorem.
Dołącz do GoldenLine
Oferty pracy
Sprawdź aktualne oferty pracy
Aplikuj w łatwy sposób
Aplikuj jednym kliknięciem
