Data: 2018-06-20 20:03:44 | |
Autor: Kviat | |
RODO umowa powierzenia przetwarzania | |
W dniu 2018-06-19 o 21:47, suchy pisze:
Ale masz zamiar przetwarzać ten zbiór niezgodnie z przepisami prawa i dlatego obawiasz się podpisania tej umowy? Na czym polega kuriozum tych zapisów? Przecież ten zapis brzmi bardziej jak zobowiązanie do przestrzegania prawa, a nie umowa na przetwarzanie/obrabianie danych. To tak jakby klient dał Ci do naprawy czy tuningu samochód i w umowie zawarł zapis, że w czasie gdy go będziesz naprawiał (zmieniał, przetwarzał) nie użyjesz go do napadu na bank. Skoro nie zamierzasz napadać na bank, to co przeszkadza podpisać taką umowę? Obawiasz się, że nieświadomie przetworzysz dane niezgodnie z przepisami? Że przez przypadek, albo nieświadomie wykorzystasz dane do celów marketingowych, albo nieświadomie sprzedasz komuś bazę? Próbuję zrozumieć na czym polega Twój problem... Przecież jeżeli wykonasz wszystko ze "sztuką" zawodową/informatyczną, dochowasz należytej staranności itp. itd., to w razie złego wykonania roboty mogą Ci co najwyżej zarzucić niewykonanie umowy (oddasz popsuty czy niestuningowany samochód...), ale nie złamanie prawa z tytułu niezgodnego z prawem przetwarzania danych, skoro nie będziesz przetwarzał tych danych niezgodnie z prawem. Pozdrawiam Piotr |
|
Data: 2018-06-20 22:54:55 | |
Autor: Kviat | |
RODO umowa powierzenia przetwarzania | |
W dniu 2018-06-20 o 20:03, Kviat pisze:
W dniu 2018-06-19 o 21:47, suchy pisze: Dodam jeszcze, skoro dają Ci dane do przetwarzania, to oni powinni mieć zgodę osób, których dane będą przetwarzane na przetwarzanie. Ale to ich problem, a nie Twój i nie powinno Ciebie interesować czy taką zgodę mają czy nie, bo w razie czego nie Ty łamiesz prawo. Na marginesie, już wcześniejsze przepisy, przed RODO, regulowały to, że zgoda na przetwarzanie nie podlegała "dziedziczeniu". Ale ci co łamali prawo i tak się tym nie przejmowali i bazy sprzedawali/sprzedają razem ze zgodą. To nabywcy takich baz łamali prawo, wykorzystując dane bez zgody (bo zgoda była dla tego co sprzedawał bazę albo dla firmy z której jakiś pracownik bazę ukradł i sprzedał..., a nie dla kupującego - w dużym skrócie), bo naiwniacy myśleli (albo dali sobie wmówić), że kupują bazę "zweryfikowaną", ze "zgodą na przetwarzanie". A że naiwniaków na kupno baz nie brakowało, a i świadomość prawna jest wprost proporcjonalna do chęci zysku u Januszów biznesnu i konsekwencje były żadne, więc ludzie nadal byli zasypywani śmieciami i "atrakcyjnymi ofertami", to wpadli na pomysł RODO... Do rzeczy. Zgodnie z RODO przetwarzanie danych to również przeglądanie, czyli niewątpliwie będziesz dane przetwarzał. Kluczem jest cel tego przetwarzania, czyli np. rozpowszechnianie, udostępnianie czy profilowanie. Nie będziesz rozpowszechniał, udostępniał, ani profilował _dla_siebie_ (czy co tam będziesz z tymi danymi robił... :)) Jeżeli oni mają zgodę na przetwarzanie tych danych, to mogą zlecić ich przetworzenie osobie/firmie/podmiotowi zewnętrznemu. Bo mogą się na tym nie znać, nie mieć narzędzi itp. Zgoda na przetwarzanie nie "przechodzi" na podmiot trzeci, dlatego Tobie nie wolno dalej tych danych rozpowszechniać albo przetwarzać do _własnych_celów_. Czyli bez zgody osób zawartych w bazie _dla_ciebie_, czyli niezgodnie z prawem. Ty masz tylko zadbać, żeby te powierzone Tobie dane były bezpieczne, zrobić wszystko co możliwe żeby nie wyciekły i nie łamać prawa np. rozpowszechniając te dane dalej czy przetwarzać je do _własnych_celów_, bo nie nie Ty dostałeś zgodę na przetwarzanie i ich wykorzystywanie. RODO w tej kwestii nic nie zmieniło, ale przynajmniej efekt jest taki, że wzrosła świadomość ochrony danych osobowych i konsekwencje dla handlarzy bazami danych. Ci co łamali prawo do tej pory i tak będą to robić (albo założą jakiś związek wyznaniowy, bo takich prawo nie dotyczy, to co będą się RODO przejmować...), a ci co panikują będą w umowach dodatkowo robić zapisy, że należy przestrzegać prawa, tak jakby bez tych dodatkowych zapisów nie trzeba było prawa przestrzegać... Pozdrawiam Piotr |
|
Data: 2018-06-20 22:59:44 | |
Autor: suchy | |
RODO umowa powierzenia przetwarzania | |
W dniu 20.06.2018 o 20:03, Kviat pisze:
W dniu 2018-06-19 o 21:47, suchy pisze:Nie, obawiam się bycia 'procesorem' i bycia w stosunku do podmiotu któremu przekazuję dane, że będzie w stosunku do mnie 'podprocesorem' oraz wszystkich powikłań stosunku procesor-podprocesor. Tego że mam wdrożyć X rzeczy z faktu tego że zobaczę na ekranie dane osobowe z bazy klienta lub zrobię kopię pliku na dysku klienta nawet bez zaglądania. Z samego faktu "Umowy o powierzenie przetwarzania" na stronach GDPR opisany jest cały szereg środków które muszę wykazać/zastosować w stosunku do siebie, pomimo że "dane" "nie wychodzą" poza obszar Administratora. A także że odpowiadam za przetwarzanie/wycieki danych przez podprocesora. Mój przypadek nie jest wyjaśniony (jasno) na tych stronach. Sa tylko przypadki powierzenia na zasadzie przekazania danych innemu podmiotowi - jakby dostawał dane/pliki np. e-mailem na własne dyski. https://gdpr.pl/powierzenie-przetwarzania-danych-osobowych Zastanawiam się czy jako procesor przekazujący dane podmiotowi trzeciemu (nie we własnym interesie) nie powinienem dochować obowiązku informacyjnego w stosunku do danych osób zawartych w tych plikach. Czyli np. wysłać 4 tys listów że to ja przetwarzam dane tj. przekazuję podmiotowi X (jako podmiot przetwarzający), pomimo że umowy na przekazywanie danych będzie miał mój klient. Kuriozum polega na wynagrodzeniu vs. wymagania; do bycia ASI i podmiotem przetwarzającym vs zobowiązaniami z tego tytułu. 2k za wystko "po grób" ;) Pewnie niejeden spadnie z krzesła, no chyba że z nie pracuje w DC. Gdybym nie miał zapisów że mogę odpowiedzieć (pośrednio) pierdlem za to że na bank napadł mój klient swoim samochodem ... Obawiasz się, że nieświadomie przetworzysz dane niezgodnie z przepisami? Że przez przypadek, albo nieświadomie wykorzystasz dane do celów marketingowych, albo nieświadomie sprzedasz komuś bazę? Nie wiem, czytałeś te zapisy? Są tam takie łagodne stwierdzenia? |
|
Data: 2018-06-20 23:12:46 | |
Autor: Kviat | |
RODO umowa powierzenia przetwarzania | |
W dniu 2018-06-20 o 22:59, suchy pisze:
W dniu 20.06.2018 o 20:03, Kviat pisze: Hmmm... możliwe, że coś źle zrozumiałem... 1) Podmiot zlecający i dający Ci dane osobowe do przetworzenia 2) Ty "procesor" 3) Podmiot odbierający wyniki z danymi osobowymi Czy podmiot zlecający 1) to ten sam, co odbiera wyniki, czyli 3)? Czy może 3) to jeszcze inny podmiot? Jeżeli 3) to inny podmiot niż 1) to uciekaj :), za 2k nie warto kopać się z koniem. Albo wyniki przekaż do 1) i niech sami przekazują do 3) :) Pozdrawiam Piotr |
|
Data: 2018-06-21 01:19:58 | |
Autor: suchy | |
RODO umowa powierzenia przetwarzania | |
W dniu 20.06.2018 o 23:12, Kviat pisze:
W dniu 2018-06-20 o 22:59, suchy pisze: [1] przekaże wyniki do [3], który naliczy premie dla [1] za wyniki realizacji promocji oraz (i/nadal)[3] wykorzystujący te dane do własnych celów marketingowych. "fizycznej" i literalnej wysyłki (w dokumentach) do [3] ma dokonać [2], tylko wysyłki, bez wykorzystania do swoich interesów. Tak, wycofałem się dzisiaj z decyzji bycia ASI oraz zażyczyłem sobie w umowie max. paragrafów stwierdzających że przetwarzam dane na kompach i w siedzibie klienta - "obszarze przetwarzania" i nie mam prawa pobierania i przekazania danych - klient "sam" wysyła ze swoich kont, i w żaden sposób nie wynoszę danych poza urządzenia administratora - co nie chroni mnie i tak przed 1/2 przepisów o RODO (z tytułu "przetwarzającego dane") i wdrożeniem X rzeczy w celu literalnego udowodnienia że mogę taką usługę wykonać - coś w stylu: "gwarantuję zabezpieczenie danych osobowych zgodnie z przepisami obowiązującego prawa, pomimo że widziałem je tylko wzrokowo na monitorze komputera, gwarantuję szyfrowanie i ochronę hasłem etc. ...". Wychodzi na to, ze taka umowa musi być na max. skonstruowana jako usługa chwilowa - tak jakbym wpadł na chwile w wyniku wezwania klienta dzwoniącego do firmy informatycznej w celu rozwiązania chwilowego problemu. I to nadal nie chroni [OIW] przed "nalotem" na siedzibę/dom usługodawcy w celu stwierdzenia czy na dyskach usługodawcy nie stwierdzi się obecności kopii bazy klienta z danymi osobowymi naruszającymi ustawę o RODO. A same przepisy dają możliwość kontrolowania "podmiotu przetwarzającego' - która to umowa musi być spisana przed pierwszym zobaczeniem danych osobowych na monitorze klienta a ta umowa daje możliwość kontrolowania przetwarzającego .. Może wpadam w paranoję, ale "nie wpadanie" wydaje mi się zwyczajnym nadstawianiem karku. |
|