RODO na Astropolis. Idą zmiany.

[Adam_Jesion]

37 minut temu, szuu napisał:

prawdopodobnie może to powodować inne kłopoty ("tak, panie prokuratorze, rzeczywiście ktoś przeprowadzał u mnie na forum transmisję video z gwałtu na nieletniej ale potem zażądał usunięcia konta więc zgodnie z prawem nie mam już jego danych ani w logach ani w backupach") jednak ochrona danych osobowych nie jest jednym z nich

Ten problem nie istnieje.

"Są jednak sytuacje, o czym warto pamiętać, w których możesz odmówić spełnienia żądania usunięcia danych. Ma to miejsce m.in. jeśli przetwarzanie jest niezbędne:

do wywiązania się z prawnego obowiązku,
do ustalenia, dochodzenia lub obrony roszczeń,
do korzystania z prawa do wolności wypowiedzi i informacji."

Jest za to inna ciekawostka - prawo do przenoszenia danych. Od 25 maja jeżeli np. użytkownik forum AP przestanie je kochać, to ma prawo zażądać przeniesienia jego danych na konkurencyjne forum. Co więcej, muszę takie dane wygenerować maszynowo w formie JSON lub XML (itp.). Dzisiaj taka możliwość nie istnieje i znowu - żeby spełnić to kryterium trzeba zainwestować w modyfikację.

"Nowością, którą wprowadza RODO, jest prawo osoby, której dane dotyczą do przeniesienia jej danych osobowych do innego administratora. W przypadku przetwarzania danych na podstawie zgody, umowy lub w sposób zautomatyzowany – jako administrator danych musisz umożliwić to swojemu klientowi czy użytkownikowi prowadzonego przez Ciebie serwisu. Dane powinieneś przekazać  w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. XML czy CSV). Ponadto osoba, której dane przetwarzasz może poprosić Cię o przekazanie danych wskazanemu przez nią podmiotowi (czyli może się okazać, że będziesz musiał przekazać te dane swojej konkurencji)."

[Gość wessel]

No tak chyba nie do końca . Przeczytaj wklejony komentarz do mojego postu gdzieś na górze. Pojawia się tam pojęcie kosztów identyfikacji osoby na podstawie posiadanych informacji. I w tym sensie samo IP nie jest daną osobową, bo np. sieci komòrkowe mają dynamiczne IP i dotarcie do osobnika używającego ńicka i wchodzącego na forum z nickiem np. Wessel jest tak kosztowne że pewnie się nie łapie. Inna sprawa ze wystarczy jedno statyczne IP i mail z imieniem i nazwiskiem i klapa- to już będzie zbiór danych osobowych. Tak mówią komentarze.

[Pav1007]

8 godzin temu, Adam_Jesion napisał:

Dlatego jeżeli znacie kogoś, kto doktoryzuje się na poważnie w temacie audytów i wdrożeń ODO, i byłby w stanie nam pomóc za racjonalną kwotę, na którą nas stać, to byłbym wdzięczny.

Adam, napisałem do Ciebie PW.

[szuu]

6 hours ago, Adam_Jesion said:

Poczytaj. "Pojęcie „danych osobowych” zostaje z kolei poszerzone o adresy IP oraz zbierane przez przeglądarkę internetową pliki cookies („ciasteczka”). " [...] Daj mi jakiś nr IP a powiem Ci dokładnie, kto to jest - tylko na bazie adresów IP w bazie AP. Każdy post, każda interakcja zawiera także IP (+ sporo innych danych). Wszystkie te interakcje gromadzone są dookoła profilu (mam całą historię twoich IP od początku istnienia). Tak działa ten system i nie ma nawet opcji żeby to zmienić. Inaczej mówiąc - IP na AP podlega pod RODO.

IP w takim kontekście jest daną osobową ale IP użyte tylko do reakcji na request z przeglądarki nie jest daną osobową bo bez powiązania z innymi informacjami nikogo nie identyfikuje (przy okazji, 25 maja proszę o usunięcie historii moich adresów IP )

 

czy na przykład taki serwis generujący zabawne niusy dotyczą regulacje wynikające z RODO?

http://dziennikbulwarowy.pl/150/przebrany-za-batmana-jezdzil-na-radiowozie.html?u=1:44:0:75:SmVzaW9ua2lld2ljeg==

według mnie - nie. dane osobowe mogą się tam wyświetlać ale przechowywane są na forum astropolis (tak więc w razie gdybyś chciał je usunąć to wiesz do kogo się zwrócić ).

[Adam_Jesion]

26 minut temu, szuu napisał:

przy okazji, 25 maja proszę o usunięcie historii moich adresów IP 

Liczyłem na tę prośbę bo dobrze obrazuje problem - nie jestem w stanie tego zrobić aktualnie, także bezpośrednio w DB bo ilość powiązań i relacji tabel w bazie IPB jest kosmiczna. 

 

Po 25 maja jak zażądasz takiej procedury, albo chciaż poprosisz o wgląd, to mamy problem. Każda operacja równa się kasa na jej przeprowadzenie, a takich przypadków mam już zidentyfikowanych sporo.

 

Tak naprawdę to producent silnika powinien się dostosować do wymaganych procedur, ale na razie milczy na moje pytanie o harmonogram takich prac.

 

Wracając do samego IP, to właśnie ustawodawca użył wyobraźni (słusznie), że nawet dynamiczne IP połączone z innym źródłem danych stanowi świetny tracker gdzie bez wiedzy użytkownika można śledzić konkretne zachowania osób (pamietajmy, że w logu serwera każda odsłona strony www zostawia też info o systemie operacyjnym, przeglądarce i jej wersji, rozdzielczości ekranu, palecie kolorów, komputerze, itp. a także zostawia indetyfikator w ciastku na dysku osoby). Na AP mam ograniczone pole manewru, ale np takie google, które na kod analytics na większości serwisów na świecie + dane ze swojej wyszukiwarki i geolog z androida wie o tobie więcej niż matka/żona, a może i ty sam. 

 

Z tej perspektywy RODO wielu ludziom się spodoba, bo daje im kontrolę i władzę (prawną) nad najcenniejszymi danymi w internecie.

[Adam_Jesion]

Pozostaje jeszcze pytanie, co lata w wiadomościach prywatnych (może czasami pesel, adres, zdjęcie dowodu, etc.). To wszystko przecież siedzi w bazie danych AP. Zupełnie nie wiem, jakie obowiązki w tym zakresie nałoży na mnie ustawodawca.

 

AP jest w ogóle dosyć specyficzne. Jesteś w stanie ustalić personalia i miejsce większości z użytkowników używając do tego tylko google i wyszukiwarki. Kwestia chęci i wolnego czasu. To niestety z perspektywy rodo stanowi poważny problem.

 

W poniedziałek mam szkolenie i warsztaty z RODO. Zobaczymy jak to w praktyce wygląda.

[Hans]

Daj znać na czym stoimy. Jak będa jakieś nie-prawnicze taski do rozdania, w których można pomóc, myślę że chętnie wielu się włączy w pomoc.

 

Pozdrawiam.

[Adam_Jesion]

No i jak ja mam się nie stresować, jak znany prawnik, którego cenię wrzuca coś takiego  To jest chyba aktualnie sedno problemu. Nie samo prawo, nie kontrole, ale trole.

[Adam_Jesion]

12 minut temu, Hans napisał:

Daj znać na czym stoimy. Jak będa jakieś nie-prawnicze taski do rozdania, w których można pomóc, myślę że chętnie wielu się włączy w pomoc.

 

Pozdrawiam.

Dzięki Hans. Wiem, że można liczyć na ciebie. Teraz jednak pomoc prawników jest kluczowa. Zgody, regulaminy, procedury, tricki. Tego szukam, bo na rynkowe nas nie stać.

[szuu]

22 minutes ago, Adam_Jesion said:

Liczyłem na tę prośbę bo dobrze obrazuje problem - nie jestem w stanie tego zrobić aktualnie, także bezpośrednio w DB bo ilość powiązań i relacji tabel w bazie IPB jest kosmiczna. 

można też powiedzieć userowi, że z powodów technicznych można usunąć jego adresy IP tylko przez usunięcie całego konta. taką operację pewnie większość systemów przewiduje więc z prawnego punktu widzenia jesteś kryty.

czyli można robić to co wszystkie strony internetowe po wprowadzeniu obowiązku informowania o cookies - "nie podoba się to wyp*****!" 

 

 

22 minutes ago, Adam_Jesion said:

Z tej perspektywy RODO wielu ludziom się spodoba, bo daje im kontrolę i władzę (prawną) nad najcenniejszymi danymi w internecie.

a po wprowadzenia zakazu spamowania, spam w internecie przestał istnieć. alleluja!    

 

[Adam_Jesion]

Kolejny kwiatek, który zasadniczo uderza w misję edukacyjną tej społeczności. AP wyczerpuje definicję bycia „usługi społeczeństwa informacyjnego”, a RODO wprowadza surową ochronę nieletnich.  

 

„Zgodnie z RODO możesz przetwarzać dane dziecka, które ukończyło 16 lat. W przypadku młodszych dzieci konieczne jest wyrażenie zgody przez osobę sprawującą władzę rodzicielską lub opiekę nad dzieckiem. Na Tobie, jako administratorze, spoczywa obowiązek zweryfikowania tego czy właściwa osoba wyraziła zgodę.”

 

Jak niby mam zweryfikować, że masz więcej niż 16 lat i że zgodę wyraził ojciec??? Skan dowodu? Zdjęcie ojca z Gazetą?

 

W tym miejscu wspomnę niedawną historię z AP, gdzie społeczność rzekomo dramatycznie obraziła nieletniego usera powodując uszczerbek na jego kondycji emocjonalnej. Matka jegomościa ustaliła do mnie nr telefonu i zaczęło się. Zażądała kilku rzeczy wymagających określonych nakładów oraz dała do zrozumienia, że jest zdesperowana dochodzić praw. Udało mi się rozładować emocje, choć rozmów było wiele. 

 

Po wejściu tej ustawy sprawa będzie drastycznie bardziej skomplikowana i w zasadzie za rejestrację na AP nieletniego bez wiedzy rodziców odpowiem ja (bo mam ustawowy obowiązek sprawdzenia wieku). WTF???

[Adam_Jesion]

Masowy ban dla każdego poniżej 16 roku życia.

[szuu]

2 minutes ago, Adam_Jesion said:

Masowy ban dla każdego poniżej 16 roku życia.

taka sama fikcja jak weryfikacja zgody rodzica

[HAMAL]

Maasaakraa, tyle powiem 

[sidiouss]

40 minut temu, Adam_Jesion napisał:

Jak niby mam zweryfikować, że masz więcej niż 16 lat i że zgodę wyraził ojciec??? Skan dowodu? Zdjęcie ojca z Gazetą?

 

Nie wiem czy widzieliście co się ostatnio zadziało na Skype. U mnie w pracy używamy Skype'a do kontaktów z klientami oraz między sobą. Kilku kolegów ustawiło sobie w profilu jakąś domyślną datę urodzin. Jakoś tydzień temu próbują się zalogować do konta, a tam wyskakuje informacja, że jest się nieletnim i że aby odblokować profil należy wysłać skan dowodu do Microsoftu lub podać dane karty płatniczej... 

[Slomka]

Adam, zachowajmy spokój, to jest najważniejsze i nawet tak mówi wiceminister ds.cyfryzacji zapowiadający RODO  

Idź na to szkolenie i zadaj ważne dla Ciebie pytania i wtedy zobaczymy.

Ja jestem świeżo po szkoleniu z RODO i widzę już, że nie jest tak tragicznie. Jest jak zwykle dużo wyjątków i kruczków, które spokojnie umożliwiają funkcjonowanie.

Jestem dobrej myśli mimo wszystko    

I tego się trzymajmy.

 

[zbyszekzz]

Witam

       Adam nic nie przesadza. Jestem audytorem ISO jakościowego. Musiałem być na takim ogólnym szkoleniu RODO. Sprawy dotychczas proste stają się skomplikowane. Zbyt duża możliwość interpretacji przepisów. Kłopotem staje się zwykła portiernia na wjeździe do firmy, będzie musiała mieć procedury RODO. Przykład z życia. Często jeżdżę do petrochemii Płock. Wcześniej firma podaje moje nazwisko, numer dowodu i numer rejestracyjny samochody. Inaczej nie wpuszczą. Jak to teraz załatwić zgodnie z RODO? Trzeba będzie wprowadzić system z filmów szpiegowskich. Może przedarty na pół banknot?. No i oczywiście koszta wykonania zabezpieczeń zwykłej sieci komputerowej. Jak zagwarantuje mi drogówka bezpieczeństwo moich danych. A co z pocztą. Czasami proszą dowód do pokazania. A banki jak skanują dowód. Przecież nie wiem w ilu egzemplarzach go z kopiowali. Na Astropolis mamy giełdę, często podajemy tam nasze szczegółowe dane. Jak to zabezpieczyć. Myślę że w tej  postaci giełda nie będzie mogła funkcjonować. Całe to zamieszanie z ochroną danych na pewno będzie generować koszty. 

Kontaktowałem się z kolegą, który prowadzi firmę w branży RODO. Wygląda że jak organizacja, stowarzyszenie działa  bez dotacji to nie da rady właściwie wdrożyć RODO. Dostałem wytyczne co powinno zawierać RODO wdrożone w stowarzyszeniu. Jestem lekko załamany. Chyba prościej będzie się rozwiązać.

Może to rzeczywiście w praktyce nie okaże się takie straszne, są może jakieś wyjątki, które dla np. stowarzyszeń wprowadzą uproszczenia.

Wygląda że największy kłopot spadnie np. na szpitale, przychodnie lekarskie.

 

Adam, dam Ci na pw namiary na audytora RODO, choć i tak w tej chwili jest zawalony sprawami i dopiero w wakcje będzie miał czas, ale może przyda się później bo to równy gość.

Podrzucę też listę procedur, procesów, który każda organizacja powinna w świetle RODO posiadać. Pytanie  czy da się coś tego pominąć. Może jak szkolenie będzie prowadził dobrze zorientowany człowiek to coś podpowie.

Pozdrawiam Zbyszek

 

  

 

Edytowane 10 Maja 2018 przez zbyszekzz

[zbyszekzz]

Jeszcze jedno. Tworząc procedury RODO tworzymy, z tego co wiem, prawo wewnętrzne. Ważne by później ich przestrzegać i je doskonalić

[szuu]

55 minutes ago, sidiouss said:

aby odblokować profil należy wysłać skan dowodu do Microsoftu lub podać dane karty płatniczej... 

 

5 minutes ago, zbyszekzz said:

Czasami proszą dowód do pokazania. A banki jak skanują dowód. Przecież nie wiem w ilu egzemplarzach go z kopiowali.

im więcej kopii dowodów w obiegu tym większe bezpieczeństwo obywateli <-- logika urzędowa 

 

ale część obowiązków da się przerzucić na innych, tak jak weryfikacja tożsamości pośrednio przez numer karty bankowej.

np. zakładanie konta tylko poprzez facebooka - z pobraniem daty urodzenia, którą zakładamy że zweryfikował duży i poważny podmiot.

 

[Hans]

Szuu, jaja sobie robisz? Chcesz zmusić userów AP do posiadania konta na FB? To nie rozwiązanie.

 

Pozdrawiam

 

[szuu]

2 minutes ago, Hans said:

Szuu, jaja sobie robisz? Chcesz zmusić userów AP do posiadania konta na FB? To nie rozwiązanie.

jaja robią sobie prawodawcy, ja tylko pokazuje rozwiązania tańsze niż zatrudnienie osoby która będzie weryfikować dowody osobiste forumowiczów...

może też być konto w microsofcie.

 

co szkodziło żeby profil zaufany epuap był oficjalnym potwierdzeniem tożsamości w internecie, nie tylko dla podmiotów publicznych ale dowolnej strony, która tego wymaga? nieeeeee, lepiej kserować dowody, które po skopiowaniu przestają być dowodem czegokolwiek, niszczyć idee typu uber, wprowadzać prawo dotyczące kryptowalut działające wstecz i organizować konferencje "państwo 3.0 wspiera innowacyjność 4.0 plus"

[Adam_Jesion]

Grunt, że nasi włodarze rozumieją, że wymagania są z kosmosu i sami nie mają szans ich spełnić. Co więc w tej sprawie zrobili? Zmniejszyli sobie odpowiedzialność. Firmy i organizacje prywatne - do 20 milionów euro, administracja publiczna - promocja! Oryginalnie (wg unijnego RODO) było 20 milionów euro, zaś polski ustawodawca zmienił ten fragment rozporządzenia na... 100 tys PLN. Resztę przepisał praktycznie kropka w kropkę. I znowu mi opadła szczęka.

Polecam uwadze. To jest jakiś pieprzony zamach na "mały internet". Wielki nie tylko sobie poradzi, ale wg mnie się tylko dzięki temu umocni. Małe podmioty nie mają najmniejszych szans spełnić wymogi prawne i mogą albo od razu zawinąć biznes, albo liczyć na to, że nikt się tym nie zainteresuje. Część się prześliźnie i będzie trwać, inni pechowcy dostaną w czapę. Życie. My lubimy biurokrację.

Więcej o tej patologii urzędniczej tu: https://www.poradyodo.pl/administracja-publiczna/kary-finansowe-dla-administracji-publicznej-w-rodo-dlaczego-beda-nizsze-8299.html

[grzybu]

Duże firmy zdały sobie sprawę, że danych osobowych ludzi jest skończona ilość i lepiej się nimi nie dzielić z małymi firmami, bo jeszcze urosną. No to wprowadzili RODO i problem z głowy. Teraz tylko dużych będzie stać na gromadzenie danych. Niezależne fora będą praktycznie zmuszone przenieść na FB czy G+ jeżeli nie chcą kłopotów (choćby właśnie weryfikacja wieku użytkowników). 

Wszystko to oczywiście w imię ochrony danych użytkowników, tak jakby ktoś naprawdę wierzył, że jak poprosisz giganta o usunięcie swoich danych to one naprawdę, fizycznie znikną z ich systemów

[szuu]

14 minutes ago, Adam_Jesion said:

zaś polski ustawodawca zmienił ten fragment rozporządzenia na... 100 tys PLN.

ale jaka to w ogóle różnica skoro płacą sami sobie.

mogliby płacić karę pincet bilionów i niczego to nie zmienia

 

to tak jak ta śmieszna akcja żeby posłowie płacili normalny podatek dochodowy od swoich niby diet (w rzeczywistości pensji). przecież to podatek od pieniędzy które i tak są z budżetu. nie ma żadnego znaczenia jakiej jest wysokości (najlepiej zero dla zaoszczędzenia niepotrzebnego przekładania papierków).

[MateuszW]

Powiedzcie, czy jak sobie napiszę gdzieś w poście, że jestem Mateusz i mieszkam w Wieliczce, to czy Ty Adamie musisz mi chronić te dane i umożliwić ich usunięcie na moją prośbę? Przecież napisałem to publicznie, czyli z zasady wyrzekłem się jakiejkolwiek ochrony, bo dane już sam ujawniłem. Co innego, jeśli np przy rejestracji wymaga się podania adresu, no to wtedy takie dane powinny być chronione, bo są w założeniu tajne (do wglądu jedynie przez Admina oraz mnie samego).

 

Sprawa z zawartością PW wydaje mi się podobna do emaili. Przecież emaile są przesyłane protokołem nieszyfrowanym, czyli nie zapewniają żadnej ochrony danych osobowych, jeśli ktoś je w nich umieści. Co więcej, jeśli by mi coś strzeliło do łba i zażądałbym od Google, żeby usunęło mój email, który już wysłałem, to jak oni mają to zrobić, skoro wysłali go już do innego serwisu, np onet? Czy zatem w dniu wejścia ustawy upadną emaile całkowicie? Jeśli nie, to dlaczego by miało być inaczej z PW? Moim zdaniem to identyczna sytuacja.