@robryk
jeszcze raz spróbuję napisać, bo nie wiem, czy umiem to dobrze i przystępnie wytłumaczyć :D administrator może przetwarzać dane osobowe na podstawie umowy (np. przechowuje dane niezbędne do wykonania umowy w chmurze), ale może też przetwarzać dane na podstawie prawnie uzasadnionego interesu (i wtedy musi zrobić LIA) - np. ma bazę byłych klientów, do których chce kierować korespondencję drogą tradycyjną. Chmura w tym przypadku jest narzędziem.
@kuba @kukrak @arek @icd
@agnieszka @kuba @kukrak @arek @icd
Jak się rozstrzyga czy coś jest odrębnym procesem przetwarzania?
@robryk
Po pierwsze mamy definicję przetwarzania w RODO:
operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie,(...) przechowywanie (...)
Dalej musimy określić cel przetwarzania i na tej podstawie wyodrębniamy czynność (proces).Czy przechowywanie danych osobowych w chmurze jest celem samym w sobie? Nie.
@kuba @kukrak @arek @icd
@agnieszka @kuba @kukrak @arek @icd
Hm~ mówisz, że definicja mówi <coś>, i następnie że poza tą definicją "musimy coś jeszcze zrobić". Nie rozumiem tego.
Czy chodzi Ci o to, że uzasadniony interes nie da się aplikować do przetwarzania bez widocznego celu, więc naturalnie musimy wszystkie te operacje tak pogrupować, żeby każda grupa była przypisana do jakiegoś celu?
@agnieszka @kuba @kukrak @arek @icd
No ok, ale to nie wyjaśnia, czemu test niezbędności nie wyklucza przechowywania np. takiej bazy stałych klientów w chmurze: mamy alternatywne rozwiązanie, które jest wykonalne, więc drugi z testów z https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/#ib4 powinien dać wynik negatywny.
@agnieszka @kuba @kukrak @arek @icd
Dziękuje bardzo.
@robryk
niczego wystarczająco dobrego nie znalazłam :( ale spróbuję jeszcze coś od siebie napisać. Problem polega na tym, że ta cała ocena, czy zachodzi prawnie uzasadniony interes, to nie jest działanie matematyczne, gdzie 1+1=2. ICO też zresztą o tym pisze. Oczywiście, trzeba starać się być obiektywnym i wybrać możliwie najmniej inwazyjny sposób przetwarzania. Weźmy Twój przykład: przechowywanie danych papierowo w biurze i elektronicznie, w chmurze.
@kuba @kukrak @arek @icd
@agnieszka @kuba @kukrak @arek @icd
Z tego co mówisz wynika, że ten brytyjski opis jest po prostu wadliwy, bo w miejscach, w których należy patrzeć na kompromisy mówi, że należy patrzeć tylko na jedną stronę (co jest tym bardziej podkreślone przez explicite wspominanie kompromisów w teście trzecim). Smutne jest to, że w ten sposób robimy życie ludzi bardziej sumiennych trudniejszym, ale co na to poradzić~~ \shruggie{}
Zwykle w sytuacjach gdy prawo opisuje jakąś ocenę, która wpływa na sytuację prawną, opisuje jak można takiej oceny dokonać w wyidealizowanej sytuacji. Przykładami na to są "szkody przewidywalne dla typowego człowieka" w prawie cywilnym, "reasonable suspicion" i "probable cause" w prawie Stanów Zjednoczonych, różne standardy zaniedbania, różne standardy umyślności. One wszystkie mają opisy, które pozwoliłyby je zaaplikować wszechwiedzącej istocie mającej dostęp do np. "typowego człowieka". W tej sytuacji nie widzę podobnego opisu: nawet dla idealnie sferycznego przedsiębiorstwa nie wiem jak ważyć pomiędzy interesem dwu różnych grup. Na przykład nie wiem, czy wymagany kompromis zmienia się ze zmieniającą się liczbą użytkowników (no bo przecież ich wspólny interes powinien być silniejszy), czy pozostaje taki sam (bo firma z większą liczbą użytkowników jest większa, więc jej interes też powinien być silniejszy). Czy znasz może opis tego jak ten kompromis powinien działać w dowolnie bardzo wyidealizowanej sytuacji?
@robryk
niestety przez te kilka dni nie znalazłam dla Ciebie satysfakcjonującej odpowiedzi. Rzeczywiście, nie ma tutaj żadnych standardów i zobiektywizowanych kryteriów pozwalających na dokonanie oceny. De facto, o ile nie mamy do czynienia z jaskrawą dysproporcją między interesem administratora a prawami osoby, której dane dotyczą, to wiele procesów da się opisać tak, żeby wyszło istnienie uzasadnionego interesu. Tak, wiem jak to brzmi.
@kuba @kukrak @arek @icd
@robryk
W praktyce, jeśli dobrze pójdzie, to za parę lat może TSUE wypracuje takie standardy. Na ten moment przypadkiem przetwarzania danych opartym na prawnie uzasadnionym interesie, który nie budzi wątpliwości i pomija się jakąkolwiek analizę w praktyce, jest przetwarzanie danych osobowych w celu dochodzenia roszczeń.
@kuba @kukrak @arek @icd
@agnieszka @kuba @kukrak @arek @icd
Strzelam, że chodzi Ci o cel typu "dochodzenie roszczeń bez ryzyka utraty koniecznych do tego danych przez pożar w siedzibie, bez kosztów większych niż <coś>, etc.", nieprawdaż (wpp. np. ewidentnie trzebaby trzymać te dane w odizolowanym od Internetu systemie)? Czy istnieje już jakieś coś-typu-precedens na temat tych dodatkowych własności celu w tej sytuacji?
Szczerze mówiąc moje pesymistyczne przewidywania tego jak to wyewoluuje mówią, że będziemy nierównie skrupulatnie traktować różne zagrożenia dla danych użytkowników i będziemy mieli coraz więcej mechanizmów które nie mają żadnego praktycznego skutku (bo brzmią jakby miały taki mieć, albo taki mają ale tylko w innych sytuacjach) :(
@agnieszka @kuba @kukrak @arek @icd
Co to jest t9?
@agnieszka @kuba @kukrak @arek @icd
Hmm~~~ a może ten brytyjski opis ma jednak sens, jeśli w naszym przypadku testowym za cel weźmiemy "przechowywać listę stałych klientów w sposób niezagrożony pożarem".
Jeśli tak, to w teście pierwszym pojawia się dużo ciekawych pytań na temat dopuszczalności takich dodatkowych wymagań. Poza tym nigdy nie widziałem tak sformułowanych celów.
Czy to jest potencjalnie poprawny sposób myślenia?