пропозиції роботи
Wypowiedzi
-
Ja pozostanę przy moim twierdzeniu jak wyżej.
Co więcej uważam, że druga z "możliwych" interpretacji, którą Pan przedstawił, mówiąca, iż przepis art. 43 ust. 1 pkt 9, odnosi się do zbiorów, z których dane zostaną dopiero upowszechnione, nosi znamiona błędu.
Swój tok wnioskowania przedstawiłem w cytowanym przez pana poście, a zatem nie będę go powtarzał. Dodam jedynie, iż logika stosowania przepisów wymaga zachowania pewnej dyscypliny przyczynowo-skutkowej. Przesłanki do zaistnienia jakiegoś faktu muszą zajść przed tym faktem a nie po nim. Przesłanki do zwolnienia z obowiązku rejestracji zbioru danych osobowych muszą zajść przed rozpoczęciem przetwarzania danych w tym zbiorze, a nie potem.
Pozdrawiam, -
Adam Danieluk:
Nie uważam tego za jakąś ułomność. Nie jest zasadne stanowienie takiego prawa, które by w sposób zbyt daleko idący w szczegóły regulowało każdą kwestie ze wszystkich sfer naszego życia.
Witam,
jak już wspomniałem, jesteśmy na gruncie dosyć delikatnym, interpretacji :).
Po pierwsze dlatego, że jest to po prostu totalitaryzm, a po drugie dlatego, że takie prawo już w chwili ogłoszenia byłoby najczęściej nieaktualne.
Poza tym interpretacja przepisów jest prowadzona zazwyczaj w ramach
ustalonych reguł i jeśli się tylko tych reguł przestrzega nie ma obawy, że nagle okaże się, że UODO reguluje sposób uprawy pomidorów. ;-)Generalnie idąc w kierunku wskazanym przez Przemka, powinniśmy uwzględnić Art. 37. "Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych"
Mnie prowadzi do wniosku, który już wcześniej przedstawiłem. ;-)
Do jakich wniosków nas to prowadzi?
Będąc osobą, której dane są przetwarzane, jestem podmiotem ochrony danych osobowych, dlatego też nikt nie ma mocy upoważnienia mnie do przetwarzania moich danych.Przemysław Osiak edytował(a) ten post dnia 01.04.11 o godzinie 19:40 -
Adam Danieluk:
Ja pozwolę sobie wyrazić inną opinię: Otóż będąc "właścicielem" swoich danych osobowych, nie mogę być upoważniony do ich przetwarzania. Mam po prostu prawo do ich przetwarzania. :-)
Pozwolę sobie dorzucić kilka wątpliwości:
1. Jako klient, jestem właścicielem swoich danych więc jestem upoważniony do dostępu do nich, ale jeśli ktoś ma inną opinię to proszę o przedstawienie opinii.
Ale żarty na bok...
Co do haseł, to należy stwierdzić, że w tym zakresie przepisy nie są dość precyzyjne (poniżej wskazywałem chociażby na niespójność pojęciową), co moim zdaniem nie pozwala na wywiedzenie z nich obowiązku zmiany haseł przez klientów.2. Jestem również użytkownikiem systemu, bo to wynika z umowy z dostawcą
Co do tego też można by zgłosić wątpliwości ;-)
usługi.
Przeprowadźmy taki oto eksperyment logiczny.
Mimo, że rozporządzenie nie definiuje wprost pojęcia "użytkownik" jednak definiuje pojęcie odwołujące się do tego pojęcia, przez co można pośrednio odczytać definicję "użytkownika". Otóż § 2 pkt 2 definiuje "identyfikator użytkownika" jako ciąg znaków identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym. A więc "użytkownikiem" będzie tutaj osoba upoważniona do przetwarzania danych osobowych. A jak już wspomniałem wyżej, będąc, jako klient, właścicielem swoich danych, nie będę osobą upoważnioną do ich przetwarzania.
A zatem skoro użytkownikiem jest osoba upoważniona do przetwarzania danych osobowych, a klient nie jest osobą upoważnioną do przetwarzania danych osobowych, to klient nie jest użytkownikiem.
QED ;-)
Czy brzmi to kuriozalnie czy nie, to już pozostawiam Państwa ocenie.
Nie mniej jednak uważam, że warto by rozważyć zmianę (przynajmniej niektórych) przepisów rozporządzenia - co nie jest, jak mniemam, poglądem odosobnionym. -
Leszek K.:
Moim zdaniem numer rejestracyjny niekoniecznie identyfikuje osobe bez nadmiernych kosztów, czasu lub działań. Jest to oczywiście kryterium ocenne - co to są nadmierne koszty, czas, działania. Podobnie jak termin osoba której tożsamość możnak określić bezpośrednio lub pośrednio. "Pośrednio" jest bardzo pojemne :)
Tak, to prawda, dlatego też nie może być automatyzmu - w niektórych przypadkach trzeba po prostu podjąć pewien wysiłek w celu stwierdzenia, czy mamy do czynienia z danymi osobowymi, czy też nie. W jednym przypadku te same informacje mogą zostać uznane za dane osobowe, a w innym nie. Sztandarowym już chyba przykładem jest adres IP, który w przypadku dostawcy internetowego najprawdopodobniej pozwoli mu na zidentyfikowanie osoby fizycznej, a zatem będzie mógł zostać uznany za dane osobowe, a w przypadku "zwykłego" użytkownika internetu, najprawdopodobniej już nie.
Np. ja u siebie na osiedlu nie byłbym w stanie zidentyfikować chyba żadnego z sąsiadów po numerze rejestracyjnym.
A ja podam przykład, który pokazuje jak w dość prosty sposób można spróbować ustalić tożsamości właściciela (użytkownika) samochodu przy wykorzystaniu nr rejestracyjnego.
Wystarczy wgląd do księgi wieczystej garażu, w którym parkuje dany samochód. W księdze znajduje się informacja o miejscach parkingowych i przypisanych do nich osobach. Następnie wystarczy sprawdzić, na którym miejscu parkuje dany samochód... i gotowe. W taki oto sposób, bez nadmiernych kosztów, czasu lub działań można zidentyfikować osobę fizyczną po numerze rejestracyjnym pojazdu.
A zatem, jak napisałem wyżej, nie powinno być automatyzmu w podejmowaniu decyzji, czy mamy do czynienia z danymi osobowymi, czy też nie. Zawsze należy zastanowić się, czy mając jakąś informację jesteśmy w stanie ustalić tożsamość osoby, której te informacje dotyczą. Ale warto też pamiętać, że jeśli ja nie potrafię czegoś zrobić, to nie oznacza wcale, że ktoś inny tego nie będzie potrafił. -
Jak każdy, kto ma dostęp do Internetu ;-)
http://www.google.pl/search?q=pdf+to+doc -
Rozmawialiśmy już o tym w innych wątkach. ;-)
-
Grzegorz Kukawski:
A dlaczego chcą Panowie ograniczać zawody informatyczne jedynie do projektów i to w dodatku projektów związanych z wytwarzaniem oprogramowania?
Przede wszystkim nie pisałbym o profesjach. To są raczej role projektowe i jedna osoba może występować w kilku rolach nawet w jednym projekcie.
Może faktycznie podejść do tematu jak napisał Mateusz i oprzeć się na konkretnej metodzie wytwórczej i rolach w niej zdefiniowanych. -
Kwestia jest bardzo ciekawa.
Tym bardziej, że w samy rozporządzeniu MSWiA pojawiają się pewne niekonsekwencje.
Definiując pojęcie "hasła", rozporządzenie odwołuje się do osoby uprawnionej do pracy w systemie informatycznym podczas, gdy w definicji "identyfikatora użytkownika" mamy już jednoznaczne odwołanie do osoby upoważnionej do przetwarzania danych osobowych w systemie informatycznym.Przemysław Osiak edytował(a) ten post dnia 20.02.11 o godzinie 23:34 -
Kamil Przeorski:
Czy przykładowy powyższy zbiór numerów komórki to dane osobowe?
Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych (UODO) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Kolejne ustępy tego artykułu definiują, co to znaczy "osoba możliwa do zidentyfikowania".
A zatem o tym czy zbiór, o którym Pan pisze, jest, czy też nie jest zbiorem danych osobowych, będzie decydowało to, czy na podstawie tych numerów telefonów możliwe jest zidentyfikowanie konkretnej osoby fizycznej, bez konieczności ponoszenia nadmiernych kosztów, czasu lub działań.
Jestem sobie w stanie wyobrazić, że w większości przypadków ustalenie tożsamości osób, których numery telefonów są przetwarzane, nie powinno być specjalnie trudne. A zatem można zaryzykować twierdzenie, że z dużym prawdopodobieństwem będzie Pan miał do czynienia z danymi osobowymi.
Drugim istotnym elementem jest ustalenie, czy zestaw danych (zakładając, że ustaliliśmy, iż są to dane osobowe) będzie zbiorem danych osobowych w rozumieniu UODO.
Ustawa definiuje (ar. 7 pkt. 1) zbiór danych osobowych jako "każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie".
A zatem należałoby tutaj ustalić, czy zestaw ten posiada strukturę oraz czy dane, które się w nim znajdują, dostępne są według określonych kryteriów? To już pozostawiam Panu. -
Radosław G.:
Cóż, widzę, że ponownie postanowił Pan wprowadzić forumowiczów w błąd.
hmmm to w takim razie trzeba też poruszyć przy sklepie internetowym również fakt że z ustawy o ochronie danych osobowych wynika, iż jedno zgłoszenie zbioru danych powinno obejmować tylko jeden zbiór danych osobowych (art. 41 ustawy). Administrator danych, dokonując zgłoszenia zbioru danych do rejestracji, powinien mieć na uwadze, iż poszczególne zbiory danych osobowych różnią się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą prawną prowadzenia zbioru. Dlatego, wypełnienie jednego zgłoszenia dla kilku zbiorów danych osobowych nie pozwala w sposób właściwy scharakteryzować poszczególnych zbiorów objętych tym zgłoszeniem. Tym samym nie można dla każdego z nich wskazać elementów decydujących o jego tożsamości, tj. np. podstawy prawnej przetwarzania danych, zakresu przetwarzanych danych, celu przetwarzania danych w zbiorze, a co za tym idzie nie jest możliwe stwierdzenie, jaki zakres informacji, o którym mowa w art. 41 ust. 1 ustawy, dotyczy każdego ze zbiorów.
Tym razem sugerując, iż powyższa wypowiedź jest Pana autorstwa.
Jeżeli cytuje Pan nieswoje teksty, to wypadałoby to ujawnić. Dodatkowo wypadałoby wskazać źródło. Moim zdaniem nieelegancko.
Widząc, że odbiegamy od głównego tematu tego wątku, pozwolę sobie nie kontynuować tej dyskusji.
Dziękuję.Przemysław Osiak edytował(a) ten post dnia 17.02.11 o godzinie 21:28 -
Radosław G.:
ja napisałem o wystawieniu faktury a nie mówiłem o innej działalności
I tutaj właśnie leży problem.idąc pana tropem to jeszcze można dopisać marketing czyż nie tak który też może być stosowany przez sklepy internetowe ????
Proszę nie podążać moim tropem, proszę po prostu przeczytać ze zrozumieniem treść art. 43 ust. 1 pkt 8. -
Radosław G.:
hmmm a mam pytanie czy przesłanie towaru do klienta to jest przetwarzanie danych ????
mam towar wystawiam na niego fakturę i wysyłam pocztą i gdzie tu dane które są przetwarzane poza fakturą????
chyba że ma pan na myśli list przewozowy ale to już sprawa firmy kurierskiej czyż nie tak ?
Czy Pan na prawdę pisze to poważnie? Czy po prostu Pan się droczy?
A w jaki sposób chciałby Pan wysłać pocztą lub poprzez firmę kurierską przesyłkę nie przetwarzając danych osobowych [b]adresata[b]?
Czyż nie sądzi Pan, że należałoby taką przesyłkę zaadresować? A czy Pana zdaniem, adresując przesyłkę z produktem nie należałoby przypadkiem wpisać chociażby podstawowych danych adresata? Takich jak, np. imię, nazwisko i adres? A czy Pana zdaniem dane te są, czy też nie są danymi osobowymi? I na koniec ostatnie pytanie: czy zaadresowanie przesyłki będzie przetwarzaniem danych osobowych czy też nie?
Gdyby pojawiły się jakiekolwiek wątpliwości w udzielaniu odpowiedzi na powyższe pytania, podpowiem: odpowiedzi znajdują się w art. 6 UODO, który definiuje, co to są dane osobowe oraz art. 7 pkt 2, który definiuje, co to jest przetwarzanie danych osobowych. -
Radosław G.:
moim zdaniem nie ma potrzeby rejestrowania powyższego zbioru gdy dane te są przetwarzane w calu realizacji umowy i co za tym idzie wystawieniem faktury art 43 ust 1 pkt 8 oraz art 23 ust 1 pkt 3.
Z przykrością stwierdzam, że Pana wypowiedź może wprowadzać w błąd.
Po pierwsze: z obowiązku rejestracji zbiorów danych osobowych zwolnieni są administratorzy danych spełniających kryteria określone w art. 43 ust. 1.
Wśród wymienionych tam przesłanek nie znajduje się przetwarzanie danych w celu realizacji umowy - jak to sugeruje Pana wypowiedź.
Po drugie: art. 23 ust. 1, na który się Pan powołuje, określa sytuacje, w których przetwarzanie danych jest dozwolone. I tutaj faktycznie jako jedną z przesłanek legalności przetwarzania wskazano przetwarzanie w związku z realizacją umowy, gdy osoba, której dane dotyczą jest lub ma być stroną takiej umowy. Nie ma to jednak żadnego związku z kwestią zwolnienia z obowiązku rejestracji zbioru danych osobowych - jak to sugeruje Pana wypowiedź.
Po trzecie: biorąc pod uwagę treść art. 43 ust. 1 pkt 8 zbiór podlegałby zwolnieniu z obowiązku rejestracji jedynie wtedy, gdy dane osobowe byłyby przetwarzane "wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej" - tak niestety raczej nie jest w przypadku sklepów internetowych, których konstytutywną działalnością jest prowadzenie sprzedaży wysyłkowej. Oznacza to, że dane osobowe będą w takich przypadkach przetwarzane także (a może nawet przede wszystkim) w celu wysłania produktu do klienta. Wystawienie faktury będzie tutaj tylko jednym z celów przetwarzania danych osobowych, a zatem nie wyłącznym.
PeOx ConsultingPrzemysław Osiak edytował(a) ten post dnia 15.02.11 o godzinie 21:56 -
Łukasz Skowroński:
Zastanawiam się tylko czy takie portale jak ocen.pl wykorzystujące informacje dotyczące wykładowców, przestrzegają przepisów i zgłaszają takie zbiory do GIODO.
Może Pan sprawdzić: http://egiodo.giodo.gov.pl/search_basic.dhtml -
Anna Krakowiak:
Spotkałem się z taką praktyką i uważam, że jest ok.
Czy przy przyjmowaniu do pracy nowego pracownika odbierają Państwo od niego oświadczenie na piśmie, że został poinformowany, iż ma prawo dostępu do swoich danych oraz ich poprawiania? Jak praktycznie realizują Państwo art. 24 ustawy?
Poza przykładem podanym przez Michała spotkałem się również z praktyką umieszczania klauzuli informacyjnej w umowie o pracę. -
Robert S.:
Czym innym jest przepis, który daje podstawę do przetwarzania danych osobowych, a czym innym przepis, który zezwala na przetwarzanie danych osobowych bez ujawniania faktycznego celu ich zbierania ;-)
Ewentualnie mozna się zastanowic czy nie ma tu zastosowania ust. 2 wspomnianego art. wyłączający obowiązek informacyjny w stosunku do pracowników
ADO.
"2. Przepisu ust. 1 nie stosuje się, jeżeli:
1)przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania,"
W stosunku do pracowników Kodeks Pracy wprost zezwala na zbieranie danych osobowych i okresla jakiego typu dane mozna od pracownika pozyskać.
W tym przypadku należałoby się raczej zastanowić nad tym, czy nie zachodzi przesłanka z art. 24 ust. 2 pkt 2, a więc osoba, której dane dotyczą posiada informacje, których obowiązek przekazania spoczywa na administratorze danych. -
Piotr Miler:
To dosyć ciekawe pytanie.
Czyli, dajmy na to, jeżeli kupię w sklepie RTV-AGD, telewizor i podam swoje dane do wystawienia faktury. To sklep będzie mógł przysłać mi informacje, o swoich promocjach, ofercie handlowej itd ?
Moim zdaniem nie będzie mógł, chyba, że realizując obowiązek wynikający z art. 24 poinformował Pana, że celem przetwarzania danych jest, poza wystawieniem faktury, również marketing produktów własnych. Oczywiście zakładając w ogóle, że obowiązek informacyjny został spełniony ;-)
W takim przypadku nie musi pytać Pana o zgodę na przetwarzanie danych, bo takie prawo daje mu art. 23 ust. 1 pkt. 5. Jednakże, gdy nie chce Pan być adresatem takiego marketingu przysługuje Panu zgodnie z art. 32 ust. 1 pkt 8 prawo wniesienia sprzeciwu wobec przetwarzania Pana danych osobowych. -
-
Piotr Miler:
Czy mając zgodę na przetwarzanie danych, nadal należy pytać osobę o zgodę na przesłanie informacji handlowej, w myśl ustawy o świadczeniu usług drogą elektroniczną ? Wysyłka newslettera, zaproszenie na konferencję, spotkanie, dotyczące oferty handlowej firmy?
Sprawa ta wielokrotnie była już omawiana w niniejszym wątku, dlatego pozwolę sobie odpowiedzieć pytaniem na pytanie: czy zgoda na przetwarzanie danych osobowych jest zgodą, o której mowa w art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną? -
Leszek K.:
Ja to rozumiem tak, że zbioru danych osób - kandydatów do pracy - nie należy rejestrować.
Taka rozszerzająca interpretacja mi nie przeszkadza... jeżeli tylko GIODO odmawia rejestracji takich zbiorów.
Ale wystarczy przejrzeć rejestr żeby znaleźć zarejestrowane zbiory kandydatów do pracy i to dokonanych po 2004 roku ;-)
Dołącz do GoldenLine
Oferty pracy
Sprawdź aktualne oferty pracy
Aplikuj w łatwy sposób
Aplikuj jednym kliknięciem
Zaloguj się za pomocą
