@robryk
jeszcze raz spróbuję napisać, bo nie wiem, czy umiem to dobrze i przystępnie wytłumaczyć :D administrator może przetwarzać dane osobowe na podstawie umowy (np. przechowuje dane niezbędne do wykonania umowy w chmurze), ale może też przetwarzać dane na podstawie prawnie uzasadnionego interesu (i wtedy musi zrobić LIA) - np. ma bazę byłych klientów, do których chce kierować korespondencję drogą tradycyjną. Chmura w tym przypadku jest narzędziem.
@kuba @kukrak @arek @icd
@agnieszka @kuba @kukrak @arek @icd
Jak się rozstrzyga czy coś jest odrębnym procesem przetwarzania?
@robryk
Po pierwsze mamy definicję przetwarzania w RODO:
operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie,(...) przechowywanie (...)
Dalej musimy określić cel przetwarzania i na tej podstawie wyodrębniamy czynność (proces).Czy przechowywanie danych osobowych w chmurze jest celem samym w sobie? Nie.
@kuba @kukrak @arek @icd
@agnieszka @kuba @kukrak @arek @icd
Hm~ mówisz, że definicja mówi <coś>, i następnie że poza tą definicją "musimy coś jeszcze zrobić". Nie rozumiem tego.
Czy chodzi Ci o to, że uzasadniony interes nie da się aplikować do przetwarzania bez widocznego celu, więc naturalnie musimy wszystkie te operacje tak pogrupować, żeby każda grupa była przypisana do jakiegoś celu?
@agnieszka @kuba @kukrak @arek @icd
No ok, ale to nie wyjaśnia, czemu test niezbędności nie wyklucza przechowywania np. takiej bazy stałych klientów w chmurze: mamy alternatywne rozwiązanie, które jest wykonalne, więc drugi z testów z https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/#ib4 powinien dać wynik negatywny.
@agnieszka @kuba @kukrak @arek @icd
Dziękuje bardzo.
@robryk
niczego wystarczająco dobrego nie znalazłam :( ale spróbuję jeszcze coś od siebie napisać. Problem polega na tym, że ta cała ocena, czy zachodzi prawnie uzasadniony interes, to nie jest działanie matematyczne, gdzie 1+1=2. ICO też zresztą o tym pisze. Oczywiście, trzeba starać się być obiektywnym i wybrać możliwie najmniej inwazyjny sposób przetwarzania. Weźmy Twój przykład: przechowywanie danych papierowo w biurze i elektronicznie, w chmurze.
@kuba @kukrak @arek @icd
@robryk
teoretycznie papierowe przechowywanie jest mniej inwazyjne, bo nie ujawniamy danych podmiotowi trzeciemu. Ale weźmy pod uwagę wszystkie okoliczności. Jeśli dane papierowe się spalą/zniszczą w inny sposób - nie mamy kopii, mamy naruszenie dostępności danych. W chmurze jest pewniej (?) - mamy kopie zapasowe. Jest to też dla nas wygodniejsze, bo nie musimy kupować szaf na papiery. Wobec tego wdrażamy określone zabezpieczenia, aby zmniejszyć ryzyka.
@agnieszka @kuba @kukrak @arek @icd
Hmm~~~ a może ten brytyjski opis ma jednak sens, jeśli w naszym przypadku testowym za cel weźmiemy "przechowywać listę stałych klientów w sposób niezagrożony pożarem".
Jeśli tak, to w teście pierwszym pojawia się dużo ciekawych pytań na temat dopuszczalności takich dodatkowych wymagań. Poza tym nigdy nie widziałem tak sformułowanych celów.
Czy to jest potencjalnie poprawny sposób myślenia?