Jeżeli zrobię zestawienie u klienta, na jego systemie inf, na jego
komputerze, w jego siedzibie, potem te dane wyślę pod wskazany adres
(elektroniczny) - z konta (i siedzibie) tej firmy ale przypisanego do
mnie (będzie imienne konto w domenie klienta),
to czy takie działania można (czy prawidłowo jest) podciągnąć pod "Umowa
powierzenia przetwarzania danych osobowych" między podmiotami?
Czy jest jakaś inna forma stosowana?

Chodzi o to żebym miał dostęp do danych i systemu - na podstawie bazy
trzeba wykonać zestawienie dla podmiotu trzeciego (są stosowne papiery,
ale kontrolę nad nimi ma Administrator danych osobowych). Umowa ma
opierać się o świadczenie usługi wykonywania takich raportów.

Ja to widzę od strony usługi informatycznej. Żadnych danych nie wynoszę
od klienta, gówno mnie one obchodzą (w sensie wykorzystania), wszystko
dzieje się na jego kompach i siedzibie.

Zmierzam do tego że nie następuje (no właśnie) faktyczne przekazanie
"Zbioru" a jedynie udostępnienie (dostępu do bazy danych) w celu
wykonania zadania.
Z drugiej strony następuje "powierzenie przetwarzania" - bo mam do nich
dostęp i to ja mam technicznie wykonać zestawienie (wyciagnać dane z
bazy i sformatować) i je wysłać pod wskazany adres, czyli jakaś forma
umowy "powierzenia przetwarzania" musi wystąpić.

Dostałem projekt umowy do podpisania w której są jakieś kuriozalne
zapisy z których wynika że jestem odpowiedzialny nawet za koklusz i
gradobicie i mam zapłacić (oddać) wszystkie kary (bez granicy kwoty)
Administratorowi -cytuję: "za niezgodne z przepisami prawa powszechnie
obowiązującego przetwarzanie danych osobowych zgromadzonych w
przekazanym zbiorze"
(inna sprawa że dochodzi tez administrowanie syst. informatycznym
klienta) i cięgle jest mowa o "przekazanym zbiorze" - tylko nikt mi nie
przekazuje żadnego zbioru(!) , no chyba że przekaże jakiegoś XLSa z
wykazem jakichś klientów do wybrania do zestawienia - ale to nadal
odbywa się na kompach klienta i w jego siedzibie. Niw wiem czy tak samo
można rozpatrywać dostęp do bazy danych u klienta jako "przekazanie
zbioru" - czy jak dostaję się do bazy to jest to już przekazanie?
Nie potrzebuje mieć żadnych jego danych (baz) na żadnym moim
("prywatnym/firmowym") dysku, penie itd.

Z tytułu podpisania tej (zasadniczo bezterminowej i na lata) umowy o
przetwarzaniu klient proponuje mi jednorazowo 2k.

Umowa ma tytuł "Umowa powierzenia przetwarzania danych osobowych" a
skonstruowana jest jak "Umowa powierzenia danych osobowych" - tak jakby
klient wysyłał mi dane a ja w jego imieniu przekazywał je gdzieś dalej,
a nawet tak jakbym miał wykorzystywać dane do własnych celów (a'la firma
X przekazała dane firmie Y, aby ta mogła sobie robić marketing na własny
użytek).

Ktoś to roztrząsał?
Gdybym miał obecnie ten komfort -- powiedziałbym spier... z tą umową -
jest jak cyrograf.

do góry

W dniu 19.06.2018 o 21:47, suchy pisze:
>
>bo mam do nich
> dostęp i to ja mam technicznie wykonać zestawienie (wyciagnać dane z
> bazy i sformatować) i je wysłać pod wskazany adres,

I jeszcze wyczytane na necie (niestety wszystko na necie jest w
schemacie; bazy klienta u mnie na kompie),
że _Przetwarzający_ powinien (?) uzyskać zgodę (czy też obowiązek
informacyjny) "osób" na wysłanie ich danych do firm "trzecich".

Tylko jak na to patrzeć od strony wykonania usługi wysłania; w imieniu
Administratora?

Czy Przetwarzający, już tylko z samego faktu dostępu do danych,
przetworzenia ich na sprzęcie Administratora i wysłania ze sprzętu
Administratora do podmiotu "trzeciego" musi uzyskać zgodę w _swoim_
imieniu na taką wysyłkę? - choć przetworzył dane w imieniu i na pożytek
wyłącznie zleceniodawcy? Czy wystarczy zapis, że taką zgodę musi uzyskać
Administrator. A może Administrator powinien w zgodach zawrzeć zapis kto
będzie "przetwarzał" dane (czyli np. robił tylko banalne backup-y?).

ps. zdaję sobie sprawę że część pytań może być zwyczajnie głupia,
niestety muszę psychicznie spróbować wejść w to, aby dokonać autocenzury
w duchu odrealnionego ustawodawcy.

do góry

W dniu 2018-06-19 o 23:36, suchy pisze:
> W dniu 19.06.2018 o 21:47, suchy pisze:
>>
>> bo mam do nich dostęp i to ja mam technicznie wykonać zestawienie
>> (wyciagnać dane z bazy i sformatować) i je wysłać pod wskazany adres,
>
> I jeszcze wyczytane na necie (niestety wszystko na necie jest w
> schemacie; bazy klienta u mnie na kompie),
> że _Przetwarzający_ powinien (?) uzyskać zgodę (czy też obowiązek
> informacyjny) "osób" na wysłanie ich danych do firm "trzecich".
>
> Tylko jak na to patrzeć od strony wykonania usługi wysłania; w imieniu
> Administratora?
>
> Czy Przetwarzający, już tylko z samego faktu dostępu do danych,
> przetworzenia ich na sprzęcie Administratora i wysłania ze sprzętu
> Administratora do podmiotu "trzeciego"  musi uzyskać zgodę w _swoim_
> imieniu na taką wysyłkę? - choć przetworzył dane w imieniu i na pożytek
> wyłącznie zleceniodawcy? Czy wystarczy zapis, że taką zgodę musi uzyskać
> Administrator. A może Administrator powinien w zgodach zawrzeć zapis kto
> będzie "przetwarzał" dane (czyli np. robił tylko banalne backup-y?).
>
> ps. zdaję sobie sprawę że część pytań może być zwyczajnie głupia,
> niestety muszę psychicznie spróbować wejść w to, aby dokonać autocenzury
> w duchu odrealnionego ustawodawcy.
>

Podkreślasz wielokrotnie, że dane pozostają na ich serwerach.
Ale podejrzewam, że Ty to przetwarzasz zdalnie (nie napisałeś tego na
tyle jasno, aby nie informatyk zrozumiał jak faktycznie przebiega
wykonanie tej usługi).

Moim zdaniem jeśli prawa dostępu jakie uzyskujesz pozwalają Ci zobaczyć
na swoim ekranie te dane to znaczy, że są one Tobie w jakiś sposób
przekazane.
Nie chodzi mi o to, czy Ty je oglądasz, a tylko, czy masz taką
możliwość, bo przecież oni (chyba) nie mogą kontrolować dokładnie co
robisz z tymi danymi. Może mogą, ale jakby mogli i byli w stanie to
zapewne sami by je sobie przetwarzali.

Oni mają chyba obowiązek zapewnić odpowiedni (jaki uznają) poziom
bezpieczeństwa danych. Chcą mieć dupochron więc umowa jak do Projektu
Manhattan.

Skoro kasę masz dostać tylko jednorazowo to może jesteś w stanie tak to
zorganizować, aby dostarczyć im za tę kasę skrypt, który oni sobie sami
będą odpalać. Wtedy nie będziesz miał żadnego dostępu do ich danych i
umowa będzie jedynie na opracowanie, przetestowanie, wdrożenie
odpowiedniego oprogramowania.

Jestem elektronikiem, nie prawnikiem. Uwzględnij to przyjmując poziom
ufności to tego co napisałem.
P.G.

do góry

Pewnie jesteś jednym z pierwszyh , i nie miałeś z czego skopiować umowy,
wspułczuję.

PiS straszne tłamsi prawo.
Zaczęło się od prezydenta,
a teraz wyłażą dalsze konsekwencjie: spierdolili ustawę mieszkaniową - brak
tekstu jednolitego ,
a znaczenie prawne tragiczne,
z RODO tak samo , nie ma wzoruw dokumntuw itp.
Totalne średniowiecze robi PiS z prawa.



--
(tekst bez: ó, ch, rz i -ii)
Ortografia to NAWYK, często nielogiczny, ktury ludzie ociężali umysłowo,
nażucają bezmyślnie następnym pokoleniom. ( ortografia . pev . pl )

do góry

Użytkownik "Stokrotka" napisał w wiadomości grup
dyskusyjnych:5b2a33fb$0$622$6...@n...neostrada.
pl...
>Pewnie jesteś jednym z pierwszyh , i nie miałeś z czego skopiować
>umowy, wspułczuję.
>PiS straszne tłamsi prawo.
>Zaczęło się od prezydenta,
>a teraz wyłażą dalsze konsekwencjie: spierdolili ustawę
>mieszkaniową - brak tekstu jednolitego ,
>a znaczenie prawne tragiczne,
>z RODO tak samo , nie ma wzoruw dokumntuw itp.
>Totalne średniowiecze robi PiS z prawa.

Moment - rolą PiS jest przygotowanie wzorow umow ?
Duzo im mozna zarzucic, ale sa przeciez jakies granice.


Chociaz ... no w sumie - czemu nie.
Moglo by sie Panstwo+ czym pozytecznym wykazac.

J.

do góry

W dniu 2018-06-20 o 10:16, Piotr Gałka pisze:
> Moim zdaniem jeśli prawa dostępu jakie uzyskujesz pozwalają Ci zobaczyć
> na swoim ekranie te dane to znaczy, że są one Tobie w jakiś sposób
> przekazane.

Ciach Bach. Trafiony Zatopiony. Z RODO nie wygrasz :-)

Ja pier...

z

PS. Czytanie dalej to byłby masochizm ale dzięki za przestrogę :-)

do góry

W dniu 2018-06-20 o 16:54, J.F. pisze:
> Chociaz ... no w sumie - czemu nie.
> Moglo by sie Panstwo+ czym pozytecznym wykazac.


Przy RODO mówienie o pozytywach to czysta abstrakcja

z

do góry

W dniu 2018-06-19 o 21:47, suchy pisze:
>
>
> Dostałem projekt umowy do podpisania w której są jakieś kuriozalne
> zapisy z których wynika że jestem odpowiedzialny nawet za koklusz i
> gradobicie i mam zapłacić (oddać) wszystkie kary (bez granicy kwoty)
> Administratorowi -cytuję: "za niezgodne z przepisami prawa powszechnie
> obowiązującego przetwarzanie danych osobowych zgromadzonych w
> przekazanym zbiorze"

Ale masz zamiar przetwarzać ten zbiór niezgodnie z przepisami prawa i
dlatego obawiasz się podpisania tej umowy?
Na czym polega kuriozum tych zapisów? Przecież ten zapis brzmi bardziej
jak zobowiązanie do przestrzegania prawa, a nie umowa na
przetwarzanie/obrabianie danych.

To tak jakby klient dał Ci do naprawy czy tuningu samochód i w umowie
zawarł zapis, że w czasie gdy go będziesz naprawiał (zmieniał,
przetwarzał) nie użyjesz go do napadu na bank. Skoro nie zamierzasz
napadać na bank, to co przeszkadza podpisać taką umowę?

Obawiasz się, że nieświadomie przetworzysz dane niezgodnie z przepisami?
Że przez przypadek, albo nieświadomie wykorzystasz dane do celów
marketingowych, albo nieświadomie sprzedasz komuś bazę?

Próbuję zrozumieć na czym polega Twój problem... Przecież jeżeli
wykonasz wszystko ze "sztuką" zawodową/informatyczną, dochowasz
należytej staranności itp. itd., to w razie złego wykonania roboty mogą
Ci co najwyżej zarzucić niewykonanie umowy (oddasz popsuty czy
niestuningowany samochód...), ale nie złamanie prawa z tytułu
niezgodnego z prawem przetwarzania danych, skoro nie będziesz
przetwarzał tych danych niezgodnie z prawem.

Pozdrawiam
Piotr

do góry

W dniu 2018-06-20 o 20:03, Kviat pisze:
> W dniu 2018-06-19 o 21:47, suchy pisze:
>>
>>
>> Dostałem projekt umowy do podpisania w której są jakieś kuriozalne
>> zapisy z których wynika że jestem odpowiedzialny nawet za koklusz i
>> gradobicie i mam zapłacić (oddać) wszystkie kary (bez granicy kwoty)
>> Administratorowi -cytuję: "za niezgodne z przepisami prawa powszechnie
>> obowiązującego przetwarzanie danych osobowych zgromadzonych w
>> przekazanym zbiorze"
>
> Ale masz zamiar przetwarzać ten zbiór niezgodnie z przepisami prawa i
> dlatego obawiasz się podpisania tej umowy?
> Na czym polega kuriozum tych zapisów? Przecież ten zapis brzmi bardziej
> jak zobowiązanie do przestrzegania prawa, a nie umowa na
> przetwarzanie/obrabianie danych.
>
> To tak jakby klient dał Ci do naprawy czy tuningu samochód i w umowie
> zawarł zapis, że w czasie gdy go będziesz naprawiał (zmieniał,
> przetwarzał) nie użyjesz go do napadu na bank. Skoro nie zamierzasz
> napadać na bank, to co przeszkadza podpisać taką umowę?
>
> Obawiasz się, że nieświadomie przetworzysz dane niezgodnie z przepisami?
> Że przez przypadek, albo nieświadomie wykorzystasz dane do celów
> marketingowych, albo nieświadomie sprzedasz komuś bazę?
>
> Próbuję zrozumieć na czym polega Twój problem... Przecież jeżeli
> wykonasz wszystko ze "sztuką" zawodową/informatyczną, dochowasz
> należytej staranności itp. itd., to w razie złego wykonania roboty mogą
> Ci co najwyżej zarzucić niewykonanie umowy (oddasz popsuty czy
> niestuningowany samochód...), ale nie złamanie prawa z tytułu
> niezgodnego z prawem przetwarzania danych, skoro nie będziesz
> przetwarzał tych danych niezgodnie z prawem.

Dodam jeszcze, skoro dają Ci dane do przetwarzania, to oni powinni mieć
zgodę osób, których dane będą przetwarzane na przetwarzanie.
Ale to ich problem, a nie Twój i nie powinno Ciebie interesować czy taką
zgodę mają czy nie, bo w razie czego nie Ty łamiesz prawo.

Na marginesie, już wcześniejsze przepisy, przed RODO, regulowały to, że
zgoda na przetwarzanie nie podlegała "dziedziczeniu". Ale ci co łamali
prawo i tak się tym nie przejmowali i bazy sprzedawali/sprzedają razem
ze zgodą. To nabywcy takich baz łamali prawo, wykorzystując dane bez
zgody (bo zgoda była dla tego co sprzedawał bazę albo dla firmy z której
jakiś pracownik bazę ukradł i sprzedał..., a nie dla kupującego - w
dużym skrócie), bo naiwniacy myśleli (albo dali sobie wmówić), że kupują
bazę "zweryfikowaną", ze "zgodą na przetwarzanie".
A że naiwniaków na kupno baz nie brakowało, a i świadomość prawna jest
wprost proporcjonalna do chęci zysku u Januszów biznesnu i konsekwencje
były żadne, więc ludzie nadal byli zasypywani śmieciami i "atrakcyjnymi
ofertami", to wpadli na pomysł RODO...

Do rzeczy. Zgodnie z RODO przetwarzanie danych to również przeglądanie,
czyli niewątpliwie będziesz dane przetwarzał. Kluczem jest cel tego
przetwarzania, czyli np. rozpowszechnianie, udostępnianie czy
profilowanie. Nie będziesz rozpowszechniał, udostępniał, ani profilował
_dla_siebie_ (czy co tam będziesz z tymi danymi robił... :))

Jeżeli oni mają zgodę na przetwarzanie tych danych, to mogą zlecić ich
przetworzenie osobie/firmie/podmiotowi zewnętrznemu. Bo mogą się na tym
nie znać, nie mieć narzędzi itp.
Zgoda na przetwarzanie nie "przechodzi" na podmiot trzeci, dlatego Tobie
nie wolno dalej tych danych rozpowszechniać albo przetwarzać do
_własnych_celów_. Czyli bez zgody osób zawartych w bazie _dla_ciebie_,
czyli niezgodnie z prawem.

Ty masz tylko zadbać, żeby te powierzone Tobie dane były bezpieczne,
zrobić wszystko co możliwe żeby nie wyciekły i nie łamać prawa np.
rozpowszechniając te dane dalej czy przetwarzać je do _własnych_celów_,
bo nie nie Ty dostałeś zgodę na przetwarzanie i ich wykorzystywanie.
RODO w tej kwestii nic nie zmieniło, ale przynajmniej efekt jest taki,
że wzrosła świadomość ochrony danych osobowych i konsekwencje dla
handlarzy bazami danych.

Ci co łamali prawo do tej pory i tak będą to robić (albo założą jakiś
związek wyznaniowy, bo takich prawo nie dotyczy, to co będą się RODO
przejmować...), a ci co panikują będą w umowach dodatkowo robić zapisy,
że należy przestrzegać prawa, tak jakby bez tych dodatkowych zapisów nie
trzeba było prawa przestrzegać...

Pozdrawiam
Piotr

do góry

W dniu 20.06.2018 o 20:03, Kviat pisze:
> W dniu 2018-06-19 o 21:47, suchy pisze:
>>
>>
>> Dostałem projekt umowy do podpisania w której są jakieś kuriozalne
>> zapisy z których wynika że jestem odpowiedzialny nawet za koklusz i
>> gradobicie i mam zapłacić (oddać) wszystkie kary (bez granicy kwoty)
>> Administratorowi -cytuję: "za niezgodne z przepisami prawa powszechnie
>> obowiązującego przetwarzanie danych osobowych zgromadzonych w
>> przekazanym zbiorze"
>
> Ale masz zamiar przetwarzać ten zbiór niezgodnie z przepisami prawa i
> dlatego obawiasz się podpisania tej umowy?
> Na czym polega kuriozum tych zapisów? Przecież ten zapis brzmi bardziej
> jak zobowiązanie do przestrzegania prawa, a nie umowa na
> przetwarzanie/obrabianie danych.
Nie, obawiam się bycia 'procesorem' i bycia w stosunku do podmiotu
któremu przekazuję dane, że będzie w stosunku do mnie 'podprocesorem'
oraz wszystkich powikłań stosunku procesor-podprocesor. Tego że mam
wdrożyć X rzeczy z faktu tego że zobaczę na ekranie dane osobowe z bazy
klienta lub zrobię kopię pliku na dysku klienta nawet bez zaglądania.
Z samego faktu "Umowy o powierzenie przetwarzania" na stronach GDPR
opisany jest cały szereg środków które muszę wykazać/zastosować w
stosunku do siebie, pomimo że "dane" "nie wychodzą" poza obszar
Administratora. A także że odpowiadam za przetwarzanie/wycieki danych
przez podprocesora.
Mój przypadek nie jest wyjaśniony (jasno) na tych stronach. Sa tylko
przypadki powierzenia na zasadzie przekazania danych innemu podmiotowi -
jakby dostawał dane/pliki np. e-mailem na własne dyski.

https://gdpr.pl/powierzenie-przetwarzania-danych-oso
bowych

Zastanawiam się czy jako procesor przekazujący dane podmiotowi trzeciemu
(nie we własnym interesie) nie powinienem dochować obowiązku
informacyjnego w stosunku do danych osób zawartych w tych plikach.
Czyli np. wysłać 4 tys listów że to ja przetwarzam dane tj. przekazuję
podmiotowi X (jako podmiot przetwarzający), pomimo że umowy na
przekazywanie danych będzie miał mój klient.

Kuriozum polega na wynagrodzeniu vs. wymagania; do bycia ASI i podmiotem
przetwarzającym vs zobowiązaniami z tego tytułu. 2k za wystko "po grób"
;) Pewnie niejeden spadnie z krzesła, no chyba że z nie pracuje w DC.

>
> To tak jakby klient dał Ci do naprawy czy tuningu samochód i w umowie
> zawarł zapis, że w czasie gdy go będziesz naprawiał (zmieniał,
> przetwarzał) nie użyjesz go do napadu na bank. Skoro nie zamierzasz
> napadać na bank, to co przeszkadza podpisać taką umowę?
>
Gdybym nie miał zapisów że mogę odpowiedzieć (pośrednio) pierdlem za to
że na bank napadł mój klient swoim samochodem ...


> Obawiasz się, że nieświadomie przetworzysz dane niezgodnie z przepisami?
> Że przez przypadek, albo nieświadomie wykorzystasz dane do celów
> marketingowych, albo nieświadomie sprzedasz komuś bazę?
>
> Próbuję zrozumieć na czym polega Twój problem... Przecież jeżeli
> wykonasz wszystko ze "sztuką" zawodową/informatyczną, dochowasz
> należytej staranności itp. itd., to w razie złego wykonania roboty mogą
> Ci co najwyżej zarzucić niewykonanie umowy (oddasz popsuty czy
> niestuningowany samochód...), ale nie złamanie prawa z tytułu
> niezgodnego z prawem przetwarzania danych, skoro nie będziesz
> przetwarzał tych danych niezgodnie z prawem.
>
> Pozdrawiam
> Piotr

Nie wiem, czytałeś te zapisy? Są tam takie łagodne stwierdzenia?

do góry