@robryk
jeszcze raz spróbuję napisać, bo nie wiem, czy umiem to dobrze i przystępnie wytłumaczyć :D administrator może przetwarzać dane osobowe na podstawie umowy (np. przechowuje dane niezbędne do wykonania umowy w chmurze), ale może też przetwarzać dane na podstawie prawnie uzasadnionego interesu (i wtedy musi zrobić LIA) - np. ma bazę byłych klientów, do których chce kierować korespondencję drogą tradycyjną. Chmura w tym przypadku jest narzędziem.
@kuba @kukrak @arek @icd
@agnieszka @kuba @kukrak @arek @icd
Jak się rozstrzyga czy coś jest odrębnym procesem przetwarzania?
@robryk
Po pierwsze mamy definicję przetwarzania w RODO:
operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie,(...) przechowywanie (...)
Dalej musimy określić cel przetwarzania i na tej podstawie wyodrębniamy czynność (proces).Czy przechowywanie danych osobowych w chmurze jest celem samym w sobie? Nie.
@kuba @kukrak @arek @icd
@agnieszka @kuba @kukrak @arek @icd
Hm~ mówisz, że definicja mówi <coś>, i następnie że poza tą definicją "musimy coś jeszcze zrobić". Nie rozumiem tego.
Czy chodzi Ci o to, że uzasadniony interes nie da się aplikować do przetwarzania bez widocznego celu, więc naturalnie musimy wszystkie te operacje tak pogrupować, żeby każda grupa była przypisana do jakiegoś celu?
@agnieszka @kuba @kukrak @arek @icd
No ok, ale to nie wyjaśnia, czemu test niezbędności nie wyklucza przechowywania np. takiej bazy stałych klientów w chmurze: mamy alternatywne rozwiązanie, które jest wykonalne, więc drugi z testów z https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/#ib4 powinien dać wynik negatywny.
@agnieszka @kuba @kukrak @arek @icd
Dziękuje bardzo.
@robryk
niczego wystarczająco dobrego nie znalazłam :( ale spróbuję jeszcze coś od siebie napisać. Problem polega na tym, że ta cała ocena, czy zachodzi prawnie uzasadniony interes, to nie jest działanie matematyczne, gdzie 1+1=2. ICO też zresztą o tym pisze. Oczywiście, trzeba starać się być obiektywnym i wybrać możliwie najmniej inwazyjny sposób przetwarzania. Weźmy Twój przykład: przechowywanie danych papierowo w biurze i elektronicznie, w chmurze.
@kuba @kukrak @arek @icd
@robryk
teoretycznie papierowe przechowywanie jest mniej inwazyjne, bo nie ujawniamy danych podmiotowi trzeciemu. Ale weźmy pod uwagę wszystkie okoliczności. Jeśli dane papierowe się spalą/zniszczą w inny sposób - nie mamy kopii, mamy naruszenie dostępności danych. W chmurze jest pewniej (?) - mamy kopie zapasowe. Jest to też dla nas wygodniejsze, bo nie musimy kupować szaf na papiery. Wobec tego wdrażamy określone zabezpieczenia, aby zmniejszyć ryzyka.
@robryk
i to już nas zbliża do równowagi - dbamy o prawa osób, których dane dotyczą, bo wdrażamy różne zabezpieczenia danych przechowywanych w chmurze. Widzisz, chciałam nawet znaleźć jakieś konkretne uzasadnienie, ale niestety tutaj nie działamy zero-jedynkowo, tylko jest to jednak ocenne. Teraz weźmy sobie dwóch dostawców - X ma serwery w Chinach, a Y na terenie EOG. Tu już moim zdaniem nie uzasadnimy wyboru X, powinniśmy wybrać Y jako bezpieczniejszego.
@kuba @kukrak @arek @icd
@agnieszka
Im dłużej czytam, "o czym do mnie rozmawiacie", tym bardziej cieszę się, że nie jestem prawnikiem 😁
@robryk @kuba @arek @icd
@kukrak @agnieszka @kuba @arek @icd
Ja też w tym świecie nie chciałbym być prawnikiem, ale podejrzewam, że ta niechęć nie jest specyficzna dla prawa, ale moją ogólną niechęcią w kierunku tematów, gdzie zachęcamy wszystkich do erystyki :/
Niestety nie widziałem metod organizacji więcej niż kilkudziesięciu tysięcy ludzi, które nie zaczynają mieć takich problemów (w szczególności jest ta NNk-osobowa organizacja ma interakcje z resztą świata).
