пропозиції роботи
Rafał Tochman
Specjalista ds. ochrony danych osobowych. Wspólnik Safelog S.C. Wydawca centrum.Jakosci.pl
Wypowiedzi
-
Karol F.:
Ale gdzie to łączenie? Przesłanki dotyczą też konkretnych sytuacji, celów przetwarzania ale też kategorii osób. I tak jak Pan napisał, przesłanki są niezależne, więc nie trzeba do realizacji umowy pozyskiwać zgód itd.
Panie Karolu.
Wcześniej napisał Pan "Reasumując, zgodę należy pozyskiwać, jeśli będziemy dane przetwarzać w celach marketingowych po wygaśnięciu umowy z klientem".
Pozostaje nam przecież art. 23 ust. 1 pkt 5 UODO.
Być może źle zinterpretowałem Pana wypowiedź, ale dla mnie zabrzmiało to tak, jakby ta przesłanka wygasała wraz z wygaśnięciem umowy. -
Karol F.:
Reasumując, zgodę należy pozyskiwać, jeśli będziemy dane przetwarzać w celach marketingowych po wygaśnięciu umowy z klientem,
Czy na pewno trzeba wiązać "prawnie usprawiedliwione cele" z "realizacją umowy"?
Przecież przesłanki wnikające z art. 23 ust. 1 UODO są równoprawne. -
Katarzyna M.:
Co ma odpowiedzieć Administrator, jeśli wpłynęło do niego takie pismo:
Zwracam się z żadaniem (na podst art. 32 ust. 1 p 5 ustawy) o informację na temat udostepniania moich danych osobowych pracownikom Państwa firmy, współpracownikom, zleceniobiorcom w zakresie:
- kto ma dostęp do moich danych imię, nazwisko, PESEL, miejsce zamieszkania pracownika Państwa firmy.
ADO powinien udzielić informacji, do których udzielenia zobowiązuje UODO.
Pracownicy zapewne są upoważnieni i nie są odbiorcami danych w rozumieniu UODO.
Współpracownicy, zleceniobiorcy - rozumiałbym to bardziej jako podmioty/osoby, którym dane powierzamy / które mają upoważnienie do ich przetwarzania.
Art. 32 ust. 1 pkt 5) mówi o udzielaniu informacji o "odbiorcach lub kategoriach odbiorców" danych osobowych i tego należy się trzymać. -
Dzień dobry.
Jak interpretujecie zacytowany fragment art. 23 ust. 1 pkt 5) UODO?
Osobiście przychylam się do tego, że spełnienie obowiązku informacyjnego i poszanowanie praw, wynikających z rozdziału 4 UODO można uznać za wystarczające do stwierdzenia, że nie naruszamy "praw i wolności osoby..."
Pozdrawiam,
Rafał Tochman -
Dziękuję.
-
Dzień dobry.
Mam kilka pytań dotyczących kopii bezpieczeństwa wykonywanych przez WF-mag.
Czy kopie tworzone przez archiwizator (stanowiący jak zakładam funkcjonalność oprogramowania) zawierają WSZYSTKIE dane (np. dane dostępowe użytkowników aplikacji)?
Czy kopie są zabezpieczane kryptograficznie? Jeśli tak, jaki algorytm szyfrujący jest stosowany?
Z góry dziękuję za odpowiedź. -
Najbardziej dziwi to, jak wiele podmiotów stosuje takie rozwiązania.
Na szczęście jest coś takiego jako konkurencja na rynku i kontrahenci, którzy nie unikają spełnienia ustawowych wymogów.
Grzegorz K.:
[...]
Jako wisienka na torcie - jakby nie zatrybiła druga strona. UOKIK i zaraz znajdą się w klauzuli niedozwolonej. A jak prawnik strony drugiej będzie się upierał, zapytać czy położy głowę (lub polisę na odszkodowanie), czy jest to tylko jego stanowisko?
Jasne, że można. Ale chyba szkoda energii, zważywszy na to, co pisałem powyżej.
Jeszcze całkiem niedawno ze świecą trzeba było szukać usługi hostingowej, gdzie możliwe było podpisanie umowy powierzenia.
Teraz nie stanowi to już takiego wyzwania,a niektóre firmy wręcz o tym trąbią, traktując jako przewagę rynkową.
Bardzo dziękuję wszystkim Panom za udział w dyskusji. -
Wojciech C.:
Nie wydaje mi się.
Umowa powierzenia a regulamin to dwie zupełnie różne rzeczy.
Niby tak, ale:
UODO nie narzuca tego, aby umowa powierzenia była osobnym dokumentem. Równie dobrze można przecież zapisy dotyczące powierzenia umieścić w umowie na świadczenia usługi.
Skoro regulamin jest wg. usługodawcy "integralna część umowy", to ja bym nie kwestionował możliwości zwarcia tam zapisów odnośnie powierzenia.
Wątpliwości mam raczej co do tego, czy umowa w tym wypadku została zawarta na piśmie.
No i doszły kwestie, które poruszyli tu Panowie Grzegorz i Jacek.
Jacek G.:
Jak umowa reguluje zmianę regulaminu? Jest to jednostronna zmiana/zakomunikowana/co może po takiej zmianie zrobić klient/czy ma na tę zmianę jakikolwiek wpływ itd itp.Grzegorz K.:
Jaki jest tryb zmiany regulaminu? Standardowy? Znaczy - zmieniam i
informuję?
Tryb zmiany regulaminu - Zmieniam i informuję.
Umowa tylko wspomina o możliwości zmiany regulaminu.
Sam tryb zmiany regulaminu reguluje ... regulamin.
Użytkownik może w przypadku zmiany regulaminu wypowiedzieć umowę (obowiązuje go standardowy okres wypowiedzenia określony w regulaminie). W trakcie trwania okresu wypowiedzenia, klienta obowiązuje ten regulamin, na który wyraził zgodę.
Jeśli tak - to nie jest to prawidłowy zapis, bo regulamin
zmienia postanowienia umowy, a te wymagają zgody obu stron.
Chyba, ze coś nie tak podpisaliście. Inną sprawą jest, jeśli
zapis dotyczy regulaminu na dzień podpisania umowy - jako
integralnej części.
Ale to dywagowanie.
Na szczęście nikt niczego jeszcze nie podpisał. Klientowi bardzo spodobały się funkcjonalności jednego ze sklepów internetowych, a mnie nie spodobało się tam podejście do ochrony danych osobowych ;).
Kontakt z firmą oferującą dostęp do oprogramowania skończył się mniej więcej na tym:
"Regulamin jest integralną częścią umowy więc, tym samym kwestie powierzenia zostały uregulowane na piśmie." -
Dzień dobry.
Mamy następującą sytuację.
Firma X świadczy usługę - sklepy internetowe w modelu SaaS. Klienci firmy X (sprzedawcy internetowi korzystający z w/w oprogramowania sklepów) powierzają firmie X przetwarzania danych osobowych.
Firma X zawiera ze swoimi klientami umowę na świadczenie tej usługi NA PIŚMIE. W umowie nie ma słowa o powierzeniu, ale odwołuje się ona do regulaminu, który wedle zapisów stanowi jej "integralną część".
Regulamin natomiast kwestię powierzenia reguluje, z tym że fizycznie nie jest podpisywany.
Czy Waszym zdaniem możemy uznać, że w przypadku podpisania takiej umowy zawarliśmy umowę powierzenia na piśmie? -
Panie Leszku.
Ja wychodzę z założenia, że kwestia wypełnienia obowiązku informacyjnego przez podmiot, któremu udostępniamy dane, to już problem tego podmiotu.
Z moich obserwacji wynika, że w takiej czy innej formie pośrednicy płatności ten obowiązek wypełniają.
Pośrednik będzie osobnym administratorem, bo tak jak Pan wskazał, płacący zawiera z pośrednikiem umowę.
Jednak to czy mamy do czynienia z udostępnieniem, czy nie, zależy też od kwestii technicznych.
Konkretnie od działania (czy też sposobu wykorzystania?) API danego pośrednika.
Przykład. W DotPay bardzo często muszę wpisywać swoje dane osobowe na ich stronie przy okazji korzystania z płatności, mimo że jestem zarejestrowanym klientem sklepu w którym korzysta z tego systemu.
W tym konkretnym przypadku sprzedawca nie udostępnia moich danych osobowych pośrednikowi. Podaję je sam.
Przykład 2 . Kolejny sklep internetowy w którym mam zarejestrowane konto. Sklep korzysta z Transferuj.pl. Gdy w procesie zakupu przechodzę ze sklepu na stronę Transferuj.pl, to znajduję już tam swoje dane.
Dane te są pobierane z bazy danych sklepu i przesyłane do pośrednika. -
Robert B.:
Rafał T.:
... Danymi osobowymi jest on dla nas (po odszyfrowaniu), a nie dla świadczącego usługę.
Uważam, że jest to Twoja nadinterpretacja. Szyfrowanie jest tylko środkiem ochrony, który nie zwalania z ustawy. Dziękuję, że pozwoliłeś mnie się w tym utwierdzić ;)
Cieszę się, że mogłem pomóc ;).
p.s.
Może edytowane we wcześniejszym poście dodatkowe informacje doprowadzą Ciebie do zmiany poglądu a jeśli nie to co stoi na przeszkodzie abyś zapytał GIODO ?
Nie przekonało mnie to.
Po prostu patrzymy na tę problematykę inaczej. Ty mówisz o metodzie, ja o wyniku jej zastosowanie, więc chyba żaden z nas drugiego nie przekona.
Niemniej dzięki, że poświęciłeś czas. Więcej opinii - czytelnicy mogą sobie coś wybrać :).
Pozdrawiam. -
Robert B.:
Czy ten zapis wystarczy ?
Art. 52.
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia
ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub
zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku.p
Jak chronić się "przed zabraniem przez osobę nieuprawnioną, uszkodzeniem" proszę poszukać interpretacji.
[edyta]
Proszę poszukać hasła "środki ochrony fizycznej danych osobowych".
Nie chcę, aby wyszło że się czepiam, ale słowa tu nie ma o "sposobie dostępu do serwerów", o którym wcześniej wspominałeś.
Trzymam się natomiast tego, że powierzamy co najwyżej zaszyfrowany plik. Danymi osobowymi jest on dla nas (po odszyfrowaniu), a nie dla świadczącego usługę. -
Robert B.:
A jakie konkretnie zapisy Ustawy masz na myśli?
Znaczy - mam zacytować całą UODO aby pokazać, że nigdzie nie ma wzmianki o tym, że zaszyfrowane dane mogą leżeć gdziekolwiek ? Bo nie bardzo rozumiem o jakie konkretne zapisy ustawy pytasz.
Pytam o konkretne zapisy w których "Ustawa określa sposób dostępu do serwerów". -
Piotr S.:
odświeżam temat...
To zadaj konkretne pytanie, bo wątek się trochę rozbudował.
Całkiem niedawno przebijałem się przez temat Allegro / iStore - może będę mógł co nieco pomóc. -
Robert B.:
Nie jestem tego taki pewien. Ustawa określa sposób dostępu do serwerów, którego to sposobu nie jesteś w stanie zagwarantować trzymając pliki "w google". Ustawa nie zwalania Ciebie z tego sposobu dostępu po zaszyfrowaniu plików.
A jakie konkretnie zapisy Ustawy masz na myśli? -
Beata M.:
[...]
Dane osobowe, które są zaszyfrowane to tak jak pisze Rafał dane osobowe - informacje tylko dla podmiotu, który będzie miał klucz by je odczytać, dla pozostałych podmiotów będą to tylko dane. Szyfrowanie jednak musi być skuteczne.
Dokładanie .
Dlatego jak już ktoś chce trzymać dane w Dropboxach i innych Drive'ach, gdzie nie wiadomo co się z tymi danymi dzieje, to sugeruję zaszyfrować plik mocnym algorytmem i mocnym hasłem.
I mimo wszystko myśleć, czy chcemy rzeczywiście trzymać to w chmurze... Jak Google będzie chciało naszych danych, to i tak sobie poradzi ;). -
Rafał K.:
A jeśli te dane zaszyfruję ;)?
1)
a) nie wiadomo gdzie serwery - pewnie poza UE jednak
b) regulamin: "„Przesyłając materiały w jakikolwiek sposób do Usług, użytkownik udziela firmie Google (…) licencji na wykorzystywanie, udostępnianie (…) tych materiałów (…). (…) Licencja pozostanie w mocy nawet wówczas, gdy użytkownik przestanie korzystać z Usług (…)” - czyli Ty te dane faktycznie im oddajesz.
Więc moim zdaniem nie da się tego zrobić w zgodzie z GIODO
Dla mnie to nadal będą dane osobowe, bo mam dane dostępowe do zaszyfrowanego pliku.
Dla Googla, czy innego Dropboxa będzie to tylko ciąg znaków. -
Skoro infolinia cytuje komunikat z popupu na stronie, to pozostaje czekać.
-
Czy jest jakieś alternatywne do egiodo narzędzie ułatwiające wypełnianie wniosku (pomijając Worda oczywiście)?
Wspomaganie w egiodo coś nam od kilku dni nie działa, a Pani na infolinii wie tyle, że będzie działało "wkrótce". -
Wygląda na to, że konsultanci w home.pl korzystają z szablonu.
Odpowiedź jaką podesłał mi Klient, różni się jednym zdaniem.
Dołącz do GoldenLine
Oferty pracy
Sprawdź aktualne oferty pracy
Aplikuj w łatwy sposób
Aplikuj jednym kliknięciem
