@robryk
jeszcze raz spróbuję napisać, bo nie wiem, czy umiem to dobrze i przystępnie wytłumaczyć :D administrator może przetwarzać dane osobowe na podstawie umowy (np. przechowuje dane niezbędne do wykonania umowy w chmurze), ale może też przetwarzać dane na podstawie prawnie uzasadnionego interesu (i wtedy musi zrobić LIA) - np. ma bazę byłych klientów, do których chce kierować korespondencję drogą tradycyjną. Chmura w tym przypadku jest narzędziem.
@kuba @kukrak @arek @icd
@agnieszka @kuba @kukrak @arek @icd
Jak się rozstrzyga czy coś jest odrębnym procesem przetwarzania?
@robryk
Po pierwsze mamy definicję przetwarzania w RODO:
operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie,(...) przechowywanie (...)
Dalej musimy określić cel przetwarzania i na tej podstawie wyodrębniamy czynność (proces).Czy przechowywanie danych osobowych w chmurze jest celem samym w sobie? Nie.
@kuba @kukrak @arek @icd
@agnieszka @kuba @kukrak @arek @icd
Hm~ mówisz, że definicja mówi <coś>, i następnie że poza tą definicją "musimy coś jeszcze zrobić". Nie rozumiem tego.
Czy chodzi Ci o to, że uzasadniony interes nie da się aplikować do przetwarzania bez widocznego celu, więc naturalnie musimy wszystkie te operacje tak pogrupować, żeby każda grupa była przypisana do jakiegoś celu?
@agnieszka @kuba @kukrak @arek @icd
No ok, ale to nie wyjaśnia, czemu test niezbędności nie wyklucza przechowywania np. takiej bazy stałych klientów w chmurze: mamy alternatywne rozwiązanie, które jest wykonalne, więc drugi z testów z https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/#ib4 powinien dać wynik negatywny.
@agnieszka @kuba @kukrak @arek @icd
Dziękuje bardzo.
@robryk
niczego wystarczająco dobrego nie znalazłam :( ale spróbuję jeszcze coś od siebie napisać. Problem polega na tym, że ta cała ocena, czy zachodzi prawnie uzasadniony interes, to nie jest działanie matematyczne, gdzie 1+1=2. ICO też zresztą o tym pisze. Oczywiście, trzeba starać się być obiektywnym i wybrać możliwie najmniej inwazyjny sposób przetwarzania. Weźmy Twój przykład: przechowywanie danych papierowo w biurze i elektronicznie, w chmurze.
@kuba @kukrak @arek @icd
@robryk
teoretycznie papierowe przechowywanie jest mniej inwazyjne, bo nie ujawniamy danych podmiotowi trzeciemu. Ale weźmy pod uwagę wszystkie okoliczności. Jeśli dane papierowe się spalą/zniszczą w inny sposób - nie mamy kopii, mamy naruszenie dostępności danych. W chmurze jest pewniej (?) - mamy kopie zapasowe. Jest to też dla nas wygodniejsze, bo nie musimy kupować szaf na papiery. Wobec tego wdrażamy określone zabezpieczenia, aby zmniejszyć ryzyka.
@agnieszka @kuba @kukrak @arek @icd
Z tego co mówisz wynika, że ten brytyjski opis jest po prostu wadliwy, bo w miejscach, w których należy patrzeć na kompromisy mówi, że należy patrzeć tylko na jedną stronę (co jest tym bardziej podkreślone przez explicite wspominanie kompromisów w teście trzecim). Smutne jest to, że w ten sposób robimy życie ludzi bardziej sumiennych trudniejszym, ale co na to poradzić~~ \shruggie{}
Zwykle w sytuacjach gdy prawo opisuje jakąś ocenę, która wpływa na sytuację prawną, opisuje jak można takiej oceny dokonać w wyidealizowanej sytuacji. Przykładami na to są "szkody przewidywalne dla typowego człowieka" w prawie cywilnym, "reasonable suspicion" i "probable cause" w prawie Stanów Zjednoczonych, różne standardy zaniedbania, różne standardy umyślności. One wszystkie mają opisy, które pozwoliłyby je zaaplikować wszechwiedzącej istocie mającej dostęp do np. "typowego człowieka". W tej sytuacji nie widzę podobnego opisu: nawet dla idealnie sferycznego przedsiębiorstwa nie wiem jak ważyć pomiędzy interesem dwu różnych grup. Na przykład nie wiem, czy wymagany kompromis zmienia się ze zmieniającą się liczbą użytkowników (no bo przecież ich wspólny interes powinien być silniejszy), czy pozostaje taki sam (bo firma z większą liczbą użytkowników jest większa, więc jej interes też powinien być silniejszy). Czy znasz może opis tego jak ten kompromis powinien działać w dowolnie bardzo wyidealizowanej sytuacji?
@agnieszka @kuba @kukrak @arek @icd
Hmm~~~ a może ten brytyjski opis ma jednak sens, jeśli w naszym przypadku testowym za cel weźmiemy "przechowywać listę stałych klientów w sposób niezagrożony pożarem".
Jeśli tak, to w teście pierwszym pojawia się dużo ciekawych pytań na temat dopuszczalności takich dodatkowych wymagań. Poza tym nigdy nie widziałem tak sformułowanych celów.
Czy to jest potencjalnie poprawny sposób myślenia?
