19:05
27/6/2018

Właśnie minął miesiąc od wejścia w życie RODO. Okazuje się, że nowe prawo nie zawsze działa na korzyść użytkowników końcowych. Niektórzy z naszych Czytelników mieli ze względu na RODO problem z naprawieniem sprzętu. Serwisy bały się przyjmowania sprzętu z danymi na dysku. Nie chciały też “przetwarzać danych klientów”.

Orange: musisz usunąć dane bo nie chcemy być ich administratorem

Jednemu z naszych Czytelników zepsuł się smartfon kupiony od Orange. Nie ma problemu, przecież sprzęt można oddać do serwisu. Ale…

Pani przyjmując ode mnie telefon uprzejmie mnie poinformowała, ze serwis możne odmówić naprawy jeśli nie osunąłem swoich danych, bo serwis nie chce być administratorem moich danych zgodnie z nowymi przepisami RODO.  Spotkaliście się z czymś takim?

Nie. Nie spotkaliśmy się z czymś takim. Owszem, pewnym problemem jest naprawianie urządzeń np. wykorzystywanych w firmach lub urzędach do przetwarzania danych osobowych (np. klientów firmy lub petentów). Jeśli te urządzenia trzeba wysłać do serwisu, należy to poprzedzić usunięciem nośników lub danych albo podpisaniem tzw. umowy powierzenia, która określa co serwis może z tymi danymi zrobić. Nie spotkaliśmy się natomiast z przypadkiem, by serwis gwarancyjny obawiał się przetwarzania danych właściciela sprzętu, ponieważ klienci takich serwisów i tak zgadzają się na przetwarzanie swoich danych (wymaga tego nawet sama obsługa zamówienia, nie tylko naprawa).

W tym przypadku można mówić o niewiedzy lub nadwrażliwości Pani przyjmującej telefon. Postanowiliśmy trochę zaczekać i przekonać się, czy telefon zostanie naprawiony czy zwrócony. 18 czerwca Czytelnik poinformował nas, że na stronie internetowej zobaczył status “Zgłoszone usterki usunęliśmy poprzez wymianę części (lista poniżej)”. Wygląda więc na to, że sprzęt wróci do niego naprawiony. Pomimo RODO.

Rzecznik: Trzeba usunąć kartę SIM i kartę pamięci, ale nie dane

Rozmawialiśmy też o problemie z rzecznikiem Orange. Przyznał on, że standardy firmy nakazują usunięcie z przyjmowanego telefonu kart SIM oraz kart pamięci i zwrócenie ich klientowi, ale pracownik salonu nie powinien warunkować przyjęcia urządzenia w ramach gwarancji od zawartości jego pamięci wewnętrznej.

Z czego mogła wyniknąć opisana sytuacja? Producenci telefonów zdecydowali, że przed rozpoczęciem usługi serwisowej wszystkie dane zapisane w pamięci wewnętrznej urządzenia będą usuwane, a prośby klientów o zachowanie danych w naprawianym urządzeniu nie będą przez nich spełniane. Dlatego pracownicy salonów Orange Polska zostali poinstruowani o konieczności poinformowania o tym klientów przez przyjęciem urządzenia do naprawy – dodał rzecznik Orange.

TP LINK: “Nie możemy przyjąć bo RODO”

Równocześnie napisał do nas inny Czytelnik – Michał. Zgłosił on uszkodzony router do serwisu TP Link. Skorzystanie z gwarancji producenta było w tym przypadku koniecznością ponieważ sklep, w którym router został zakupiony, zakończył swoją działalność.

Serwis TP-Link odpowiedział, że nie może przyjąć urządzenia “bezpośrednio od Pana” w związku z RODO.

Oczywiście RODO nie zabrania firmom kontaktowania się z osobami fizycznymi. Nawet TP-Link ma na swojej stronie informację o przetwarzaniu danych osobowych w ramach wsparcia technicznego. Podstawą przetwarzania danych jest zgoda i na stronie znajdujemy treść takiej zgody.

Wyrażam zgodę na wszystkie czynności przetwarzania mojego adresu e-mail przez administratora danych: TP-Link Polska Sp. z o.o. z siedzibą w Duchnicach, pod adresem ul. Ożarowska 40/42, 05-850 Duchnice, wpisaną do rejestru przedsiębiorców przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000368611, NIP 5252492146, z kapitałem zakładowym w wysokości 1.300.000 zł, adres e-mail support.pl@tp-link.com, telefon 22 360 63 63 w celu zapewnienia mi wsparcia technicznego na moje żądanie oraz wysyłania informacji handlowych o produktach własnych TP-Link za pośrednictwem poczty elektronicznej i wyrażam zgodę na otrzymywanie takich informacji.

Nawet jeśli TP-Link chce dołączenia tej zgody do korespondencji to powinien o tym poinformować klienta, a nie ograniczać się do informacji w rodzaju “nie możemy przyjąć sprzętu”.

“Rzecznik”: Naprawimy po podpisaniu zgody

Spytaliśmy TP-Link o tę sprawę. Odpowiedział nam marketing manager Maciej Turski. Przyznał, że zwykle TP-Link nie odbiera sprzętu bezpośrednio od osób fizycznych, ale akurat w tym przypadku było to konieczne. Dowiedzieliśmy się, że użytkownicy zostaną obsłużeni jeśli wyrażą zgodę na przetwarzanie danych w celu rozpatrzenia roszczeń gwarancyjnych.

W przypadku przyjęcia urządzenia bezpośrednio przez nas, prosimy użytkownika o wyrażenie zgody na przetwarzanie danych w celu rozpatrzenia roszczeń gwarancyjnych. Wzór tej zgody przesyłam w załączniku (jest taki sam jak przytoczony powyżej – przyp. red.). Ciężko mi wytłumaczyć, dlaczego Michał udzielił takiej odpowiedzi Czytelnikowi. Mogę jedynie zapewnić, że wszyscy pracownicy wsparcia technicznego zostali dziś ponownie poinstruowani odnośnie obowiązujących procedur.

Wbrew pozorom RODO jest… racjonalne

W ostatnich dniach mogliście słyszeć o wielu “absurdach RODO”, które tak naprawdę nie miały nic wspólnego z RODO. Chodziło raczej o to, że ludzie albo nie rozumieją RODO, albo nawet nie chcą zrozumieć generalnej idei ochrony danych. RODO co do zasady jest dla konsumenta dobre. I wcale nie zabrania wszelkich kontaktów z danymi osobowymi. Co więcej, sporo “wymagań RODO” istniało już wcześniej, tylko wszyscy nagminnie je ignorowali z powodu słabości organów ochrony danych i braku kar. Teraz niektóre osoby zachowują się tak, jak zachowywali się Polacy w roku 1997, gdy w Polsce pojawiła się pierwsza ustawa o ochronie danych.

“Niby dlaczego nie mogę wywiesić listy z nazwiskami sąsiadów na płocie? Bo co? Komuś to przeszkadza?”

Być może czytaliście o tym jak z powodu RODO zarządca zamknął cmentarz obawiając się naruszenia praw osób, które przygotowały sobie nagrobek jeszcze za życia. Rzecz jednak w tym, że jeśli zamawiasz kawałek kamienia z wyrytymi na nim danymi to tak jakby… no… zgadzasz się na wykorzystanie swoich danych w taki sposób. A RODO wcale nie zabrania przetwarzania danych jeśli ktoś się na to zgodził.

Niektórzy ludzie uwierzyli, że RODO zabrania wymieniania nazwisk uczniów, co również jest bzdurą. Placówki medyczne przejmują się podpisywaniem kroplówek nazwiskami pacjentów, czego RODO wcale nie zabrania. Ten przykład medyczny jest szczególnie ciekawy, że karygodny bałagan w dokumentacji medycznej zdarzał się w polskich przychodniach dość często. Zdarzały się nawet przypadki, gdy w kartotece innego pacjenta znajdowano wyniki badań innej osoby (!), ale kartoteki nie leżą na wierzchu więc to mało kogo obchodzi. Tymczasem nazwiska na kroplówkach widać i one wzbudzały strach “bo RODO”.

Sami ostatnio byliśmy świadkami zabawnej sytuacji. Braliśmy udział w imprezie, gdzie odbywał się pewien konkurs. Zwycięzców nie wyczytywano z pełnych nazwisk, “bo RODO”. Na podium poproszono więc “Michała”. Zgłosiło się pięciu (tylu było na sali, żaden z nich nie wiedział o którego chodzi i każdy oczywiście miał nadzieję, że to on wygrał). Właściwy Michał został wskazany palcem. Szczególnie zabawne było jednak to, że na podium stanął też obecny na zjeździe muzyk o charakterystycznym imieniu. Po jego wyczytaniu i tak było wiadomo o kogo chodzi. Ale nazwiska mimo to nie podano. Choć i tak zna je każdy…

Mityczne strachy przed RODO starało się obalać Ministerstwo Cyfryzacji.

To wszystko przypadki błędnej interpretacji przepisów RODO. RODO jest racjonalne. Mówi się, że jest neutralne technologicznie. To znaczy, że to Państwo decydują o tym, jak w danej sytuacji należycie zabezpieczyć dane osobowe — tłumaczył w jednym z komunikatów Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi Ministerstwa Cyfryzacji.

W tym samym komunikacie Ministerstwo ostrzegało, że:

  • RODO nie wymaga zakupu specjalnych urządzeń czy sprzętów (zwłaszcza mitycznych “szafek”)
  • RODO nie wymaga obowiązkowego udziału w żadnych szkoleniach (aczkolwiek dobrze jest wiedzieć, jakie nowe obowiązki i ograniczenia ze względu na ten przepis należy spełnić).
  • RODO nie wymaga przeprowadzenia audytów (owszem, RODO wymaga “szacowania ryzyka” a audyty to generalnie dobry pomysł, ale wcale nie jest tak, że RODO tego bezwzględnie wymaga i to od wszystkich).

Wreszcie, w RODO nie ma zapisów zabraniających przyjmowania sprzętu do naprawy.

Ale przecież Niebezpiecznik narzekał na ochronę danych w serwisach!

Niektórzy z Was mogą pamiętać, że Niebezpiecznik coś kiedyś pisał naruszeniach ochrony danych w serwisach gwarancyjnych. To prawda. Firma HP udostępniała login i hasło do serwisu, w którym były dane wielu klientów korzystających z gwarancji. Takie coś nie powinno mieć miejsca nawet gdyby RODO nigdy nie weszło w życie.

Pisaliśmy też o nieczyszczonych telefonach zastępczych i serwisantach proszących o hasło i podglądających dane użytkowniczek. Bo nikt nie powinien w celu naprawy sprzętu być zmuszany do rozszyfrowywania swoich prywatnych danych, jeśli nie jest to naprawdę niezbędne. I nawet teraz, kiedy RODO obowiązuje, zalecamy oddawanie do serwisu sprzętu który nie zawiera łatwo dostępnych danych. Nie tylko osobowych.

Przeczytaj także:

57 komentarzy

Dodaj komentarz
  1. Trzeba usunąć kartę SIM i kartę pamięcim czy pamięci

  2. A ja napiszę tak – RODO to kolejny i tym razem wyjątkowo głupi przepis wymyślony przez brukselskich biurokratów, którym się już w d… poprzewracało od kasy, którą zarabiają i tworzą idiotyczne przepisy chyba tylko, by się wykazać i mieć podkładkę dlaczego zarabiają po 50K zł bez podatku.

    Szczerze powiedziwszy przez ostatnie lata z wielkiego entuzjasty stałem się przeciwnikiem tej instytucji. Co więcej, na mojej decyzji oprócz debilnego przepisu o RODO zaważyła też obowiązkowa informacja o ciasteczkach (i parę innych).

    Jak tak dalej pójdzie będę zmuszony wyjechać do normalnego kraju poza Europę, co wcale mnie nie cieszy, ale każda cierpliwość się kiedyś kończy.

    • To ja skontruję – informowanie osoby, która jest śledzona, profilowana, której urządzenie jest używane do czegoś (np. przechowywania danych, “ciasteczek”), lub której dane osobowe są przetwarzane, to rzecz oczywista. Po prostu przyszła za późno, i dlatego wywołuje taki opór. Gdyby prawo “ciasteczkowe” weszło wraz z wprowadzeniem tej technologii, to po prostu każda aplikacja i strona WWW miałaby to wprowadzone na etapie projektowania, i nie byłoby kosztu zmian i związanego z tym chaosu.

      Główny problem z RODO i podobnymi jest według mnie taki, że nikt się tym nie przejmuje aż do “dnia zero”, a potem jest panika. Czemu? Pewnie taka ludzka natura.

    • Co, wybierasz się do Rosji, na Białoruś czy do Chin? Bo USA i Kanadzie w niektórych dziedzinach wymagania odnośnie prywatności i ochrony danych są jeszcze większa niż w UE.

      Ochrona prywatności, to są problemy ludzi bogatych i świadomych swoich praw obywatelskich. Niestety, Polacy do bogatych i świadomych praw nie należą, więc i problemy mogą wydawać się obce… :-(

      Ostatnie afery (np. Facebook) pokazują, że te regulację były prorocze i są potrzebne. Pewnie jednak, jak z każdą nową dużą zmianą, musi wejść orzecznictwo, pojawi się jedna lub dwie nowelizacje i w końcu praktyka musi się “ułożyć”.

    • __Jak tak dalej pójdzie będę zmuszony wyjechać do normalnego kraju poza Europę,…__
      Normalnych krajow juz nie ma. Ich istnienie w przeszlosci to prawdopodobnie legenda miejska

    • Ja bym powiedział, że jest przesadzony tzn. użytkownik powinien być poinformowany ale w postaci polityki prywatności i regulaminem, które automatycznie akceptuje poprzez korzystanie z danej funkcjonalności, a nie milionem komunikatów wyskakujących na każdej stronie, które i tak nic nie zmieniły, bo muszę je zaakceptować jeśli chcę skorzystać z treści itd. (to samo z cookie)

      Plusem RODO jest możliwość usunięcia danych, a nie jak było wcześniej – nie usunę bo nie.

    • A dziś na HN wszyscy się dopytują “kiedy wreszcie w USA RODO będzie?”. Z powodu Exactis.

  3. Gdyby Smartfony miały wyjmowane dyski twarde (w formie karty pamięci), jako wyłączny nośnik danych użytkownika, to generalnie mógłby być dobry pomysł.

    Może się RODO do czegoś przyda.

    PZDR

  4. Dobrą praktyką jest oddawanie do naprawy sprzętu bez dysków i/lub z wyczyszczoną pamięcią (szczerze, nie wyobrażam sobie oddania telefonu z moimi danymi w łapy serwisu). Skoro RODO się do tego przyczynia — to ja jestem ‘za’.

    • A co zrobisz, jak dane są zapisane w pamięci wewnętrznej a sprzęt jest uszkodzony w takim stopniu, że nie daje się uruchomić? Pytanie dotyczy nie tylko smartfonów ale też laptopów z dyskami SSD wlutowanymi w płytę główną.

    • @Maziarz: urządzenie powinno być zaszyfrowane, ale to i tak się sprowadza do oszacowania ryzyka i podjęcia decyzji “naprawiam”/”nie naprawiam”.

  5. Tak odnośnie RODO – to lekarz w przychodni może wyczytywać pacjentów po imieniu i nazwisku? Bo przetwarzać i tak przetwarzają, ale wtedy też ujawniają te dane.

    A inna sytuacja. Pani w cukierni przyjmując zamówienie może zapisać po imieniu i nazwisku? Dobrze myślę, że może o ile zgłosi fakt przetwarzania tych danych itd. podobnie jak z GIODO było?

    • > A inna sytuacja. Pani w cukierni przyjmując zamówienie może zapisać po imieniu i nazwisku? Dobrze myślę, że może o ile zgłosi fakt przetwarzania tych danych itd. podobnie jak z GIODO było?

      Już nie ma obowiązku zgłaszania przetwarzania tych danych do GIODO. Za to warto byłoby mieć rejestr (aka tabelka z jakimi danymi przetwarzasz i po co). Realnie jednak – jesteś pytany o imię i nazwisko wprost i tylko na potrzeby dokonania zamówienia. To podpada nawet pod zgodę niejawną/ukrytą. Czego RODO nie zakazuje – tak samo jeśli zostawiasz u mechanika auto i podajesz mu swój numer telefonu to nie musi do ciebie przyjść z formularzem, żebyś wyraził zgodę.

    • Jeśli w cukierni jest procedura, że przy przyjmowaniu zamówienia zapisuje się imię i nazwisko to zakłada się, że Klient składający zamówienie podając swoje dane i składając zamówienie:
      1. Jest świadomy tego, że skoro podał dane to cukiernia będzie je przetwarzać.
      2. Wyraża zgodę na postępowanie zgodnie z tą procedurą.
      Cukiernia po otrzymaniu danych Klienta i jego zamówienia może przetwarzać te dane do celów realizacji zamówienia zgodnie z przyjętą przez nich procedurą nawet jeśli cwaniaczek przyszedłby po 10 minutach i żądał usunięcia tych danych. Te dane są niezbędne cukierni do realizacji zamówienia, a jeśli dodatkowo jest zwyczaj np. wystawiania imiennej faktury to będą te dane przetwarzać zgodnie z prawem przez kolejne 5 lat.
      RODO znosi obowiązek rejestracji zbiorów danych osobowych do jakiegokolwiek urzędu.

    • Tylko, że zgoda nie może być domniemana, prawda?

    • @zagadka Nie mylmy zgody z obowiązkiem informacyjnym. Jeśli ktoś zamawia wykonanie tortu i dostanie za to paragon lub fakturę – nie potrzeba zgody, ponieważ z mocy prawa dane klienta są przetwarzane do wykonania usługi. I dane te trzeba trzymać i zabezpieczać, ot wystarczy, że klient nie zapłaci, albo dał zaliczkę i się nie zjawił i mamy prawo te dane dalej trzymać i przetwarzać w celach roszczeniowych, których przechowywanie jest nawet dłuższe niż skarbówka (6 lat). W cukierni przy składaniu zamówień wystarczy dopełnienie obowiązku informacyjnego. Zgody udziela się wtedy, kiedy nie jest ona wymagana prawem, czyli na przykład zgody marketingowej, lub np. jest potrzeba zbierania danych spoza katalogu zamkniętego, czyli np. danych biometrycznych – zdjęcia, albo informacji o stanie zdrowia – np. przy zatrudnianiu osoby niepełnosprawnej, gdzie pracodawca życzy sobie orzeczenie. Oczywiście możesz nie udzielić zgody i tych danych nie podać, zwykle towarzyszy temu formułka, że nieudzielenie tej zgody uniemożliwi zawarcie umowy (np. o pracę).

    • @zagadka
      Słyszałem (nie mam pewności), że zgoda nie może być domniemana na cele inne niż określone w RODO. Realizacja zamówienia podpada pod wyjątek.
      Sytuacja oczywiście się zmienia, jeżeli cukiernia potem coś więcej będzie z tymi danymi robić (np. statystyki, że “Jan Kowalski” zamawia dużo ciasta) i sprzedawać te dane.

  6. Bardzo interesujący artykuł. Przyszło nam żyć w ciekawych czasach. Jeżeli chodzi o to czy RODO nie wymaga:
    – zakupu specjalnych urządzeń czy sprzętów,
    – obowiązkowego udziału w żadnych szkoleniach,
    – przeprowadzenia audytów.
    Moim zdaniem właściwa odpowiedź brzmi – to zależy. RODO mówi bowiem o wdrożeniu odpowiednich środków technicznych i organizacyjnych. Zatem, jeżeli znajduje to uzasadnienie w stanie wiedzy technicznej, koszcie wdrażania oraz charakterze, zakresie, kontekście i celach przetwarzania oraz ryzyku naruszenia praw lub wolności osób fizycznych, przepisy RODO można traktować jako zobowiązujące do zastosowania konkretnych środków. W praktyce będzie się to objawiało w możliwości uznania przez organ nadzoru, że w konkretnym przypadku np. dla realizacji przez administratora danych obowiązku z art. 28 ust. 1 RODO nie było wystarczające otrzymanie od potencjalnego kontrahenta odpowiedzi na pytania w krótkiej ankiecie, bowiem z uwagi na (…) administrator przed zawarciem umowy powinien sprawdzić wdrożone środki techniczne i organizacyjne w miejscu prowadzenia działalności przez potencjalnego kontrahenta.

    PS.

    Czy żądanie podawania imienia i adresu e-mail w celu dodania komentarza jest zgodne z art. 5 ust. 1 lit.c RODO? No i gdzie znajdują się informacje wymagane przez art. 13 RODO, a dotyczące zbierania danych osobowych za pomocą formularza do zamieszczania komentarzy czy formularza zapisu na newsletter? A poza tym, gdzie można znaleźć informacje o tożsamości administratora danych, nazwie wydawcy oraz imieniu i nazwisku redaktora naczelnego? ;-)

    • Może w regulaminie dodawania komentarzy?

  7. “Wyrażam zgodę na wszystkie czynności przetwarzania mojego adresu e-mail przez administratora danych” – takie coś nie powinno w ogóle mieć miejsca, powinno być zaznaczone do czego, jasno i wyraźnie. “Wszystkie czynności” to zbyt szeroki zbiór możliwości, a zwrot jak mniemam użyty celowo.
    Ponadto w jednym żądaniu zgody na przetwarzanie e-mail umieszczono zapis “oraz wysyłania informacji handlowych o produktach własnych TP-Link za pośrednictwem poczty elektronicznej i wyrażam zgodę na otrzymywanie takich informacji” – kolejny fail, bo o przetwarzanie danych w celach marketingowych powinna być osobna zgoda, niezależna od przetwarzania adresu e-mal wyłącznie w celu poinformowania o statusie naprawy.
    Reasumując ja bym tego potworka nie podpisał. A jak odmawiają naprawy to sprawa dla Rzecznika Konsumentów.

  8. Proszę o wyjaśnienie zapisów na stronach GDPR.pl punktu: “umowa powierzenia przetwarzania danych” , bo tam jakoś nie widzę miejsca na swobodną interpretację ot tak wykonania usługi na czyms co ma dane bez zwalenia sobie na głowę X zadań.

  9. Kolejna psychoza – RODO.

  10. Odnosnie wyjmowania kart pamieci – gdy oddajesz komputer do serwisu komputerowego i chcesz reinstalacji systemu to tez musisz wyjac dysk twardy?:D

    • a co to ma wspólnego…?
      jak oddajesz komputer do reinstalacji systemu zostawiasz pendrive’y w portach USB…?

  11. Przytoczony we wpisie właściciel cmentarza nie wie, że RODO dotyczy osób fizycznych. Zmarły już osobą fizyczną nie jest.

    • Olu – ale co, jeżeli “działki” na cmentarzu zostały wykupione jeszcze za życia? (częsta praktyka na wsiach)

    • Przeczytaj jeszcze raz – chodzi o osoby ŻYJĄCE które wcześniej postawiły sobie nagrobki/pomniki…

  12. W związku z RODO miałem ostatnio duże wątpliwości, czy rezerwując pokoje w hotelu dla 20 pracowników firmy, mogę podać ich imienia i nazwiska.
    Nasz “pełnynocnik” od RODO stwierdził, że mogę, więc podałem – mam to na piśmie, więc jak coś, będzie na niego ;-)

  13. Marcin >> zauważ, że wchodząc do cukierni automatycznie akceptujesz „coockies

  14. Moim zdaniem sposób implementacji RODO jest wadliwy. Urzędy, instytucje i tego typu podmioty nie umieją z tego korzystać i teraz aby cokolwiek się dowiedzieć graniczy z cudem.
    Przykład? Miałem sytuację że zaginęła mi osoba z rodziny, szukaliśmy wszędzie. Dotarliśmy do izby wytrzeźwień i się okazuje że nie mogą nam pomóc, bo RODO. Na szczęście po kilkunastu minutach panie z tamtejszego przybytku się ulitowały i na boku powiedziały nam trochę więcej i tym samym pomogły w odnalezieniu poszukiwanej osoby.
    W innym wypadku, trzeba by było jeździć po komisariatach Policji w poszukiwaniu tego właściwego który wysłał daną osobę na izbę. Nie ma zlituj się, gliniarze są o wiele bardziej bezwzględni w nieudzielaniu informacji.
    Jak dla mnie RODO powinno zostać wycofane, bo to powoduje więcej problemów niż jest z tego korzyści.

  15. Ja się nie zgadzam w pełni z przekazem treści tego artykułu, że RODO to NIE absurd. Co nie ma związku z tym, że nie popieram ochrony danych osobowych.
    Rozporządzenie czytałem z konieczności od dechy do dechy i powiem, że jest to prawniczy majstersztyk, w którym są “szczegółowe ogólniki”, które nie do końca wiadomo jak wdrażać.
    W efekcie wdrożenia są też absurdalne lub chybione, a na pewno subiektywne.

    Co do ciasteczek – pokażcie mi stronę, która ma poprawnie wdrożony komunikat. Wszyscy informują po fakcie, a przepis jasno określa, że zgody domniemanej być nie może. Zatem powinna być strona wstępna i dopiero potem właściwa, uruchamiająca skrypty.

    Od serwerowni swojej dostałem umowę powierzenia i podpowierzenia, w której wymieniane są żywcem z Rozporządzenia informacje jak “szyfrowanie danych”. Na odpowiedź co szyfrują czekałem tydzień. Po tygodniu dowiedziałem się, że tak, szyfrują: połączenie. Oczywiście należało by dodać, że tylko jak ja to ustawię a nie obligatoryjnie.
    Może ktoś to skomentować, że właśnie to wynik nie rozumienia RODO. Nie, to jest właśnie wynik absurdu RODO, który może jest dobry dla tych co nic nie kumają w IT, ale dla specjalistów to absurd.
    A prawo do kontroli Przetwarzającego przez Powierzającego? To dopiero cyrk. I co? Mam mu udostępniać serwer i pokazywać zabezpieczenia?
    Rozporządzenie nasyła ludzi na ludzi, by sami sobie do gardła skakali.

    A prawniczo lepiej? Wiecie ile zdań usłyszałem na temat tego, czy muszę podawać dane swoich dostawców (np. serwerownie), którym podpowierzam dane? Co prawnik to inne zdanie. A co na to Rosporządzenie? To: “Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.” I teraz wróż co artysta miał na myśli pisząc “szczegółowej” lub “ogólnej”. To jak z interpretacją wierszy w szkole.
    Jak się zinterpretowało po swojemu to można było dostać banię.

    • Moze i jest to “prawniczy majstersztyk” ale tłumaczenie z jezyka angielskiego jest tutaj problemem.

      Dla przykladu wymieniony powyzej artykuł 28 pkt.2:

      “Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.”

      Tu jest blad w tlumaczeniu z jezyka ang., brakuje tłumaczenia słowa “should not” czyli wg. mnie powinno byc :

      “Podmiot przetwarzający “nie moze” korzystac z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.” – w takiej formie ma to większy sens.

      Jakim cudem „Data Controller” po przetłumaczniu to tylko „Administrator” a nie np. „Administrator danych”?

      Blad tłumaczenia zauwazylem w innym artykule RODO odnosnie zabezpieczen,

      artykuł 32 pkt.1:

      Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

      Tu brakuje przetłumaczenie słowa „shall” co znaczy „powinien”, zapis ten powinien wygladac wg mnie nastepujaco:

      Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający „powinnien” wdrozyc odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku….

      Owe “szczegółowe ogólniki” pozwalaja własnie Tobie na zdefiowanie zabezpieczen, to Ty jako Admin powinnienes oszacować ryzyko właściwe dla przetwarzania danych i wdrożyć środki – takie jak szyfrowanie. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność etc…..:)

      RODO jest łatwiejsze niz sie wydaje…..

    • “prawniczy majstersztyk” – tłumaczenie z języka angielskiego jest tutaj problemem.

      Dla przykładu wymieniony powyżej artykuł 28 pkt.2:

      “Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.”

      Tu jest błąd w tłumaczeniu z języka ang., brakuje tłumaczenia słowa “should not” czyli wg. mnie powinno być :

      “Podmiot przetwarzający “nie możne” korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.” – w takiej formie ma to większy sens.

      Blad tłumaczenia zauważyłem w innym artykule RODO odnośnie zabezpieczeń,

      artykuł 32 pkt.1:

      Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

      Tu brakuje przetłumaczenie słowa „shall” co znaczy „powinien”, zapis ten powinien wyglądać wg mnie następująco:

      Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający „powinien” wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku….

      Owe “szczegółowe ogólniki” pozwalają właśnie Tobie na zdefiniowanie zabezpieczeń, to Ty jako Admin (Administrator danych) powinieneś oszacować ryzyko właściwe dla przetwarzania danych i wdrożyć środki – takie jak np. szyfrowanie. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność etc…..:)

      RODO jest łatwiejsze niż się wydaje…..

    • “Mam mu udostępniać serwer i pokazywać zabezpieczenia?”
      Ja usłyszałem że któryś organ dostał uprawnienia do kontroli. Nie pamiętam czy to GIODO/UODO itd. A więc że mogą mi wjechać na serwery (z biegłym?) i grzebać.
      2) Przekazanie czegoś z danymi rozumiem jako przekazanie “zbioru” – a nad tym zbiorem ma roztoczyć opiekę (choćbym to tylko skasował – to już przetworzenie – z powiadomieniem w ciągu 3 dni pisemnie Administratora o tym??).
      3) Nie widzę innej formy współpracy jak; “umowa przetwarzania danych osobowych”
      4) Polska specyfika jest taka, że prawo traktuje się literalnie – jak trzeba dokopać, a to jest napisane nie jak dla Polaka, w innych krajach może to jest “przetwarzane” nieco bardziej na luzie. Proszę o to przykłąd sprzed kilku godzin zaledwie: https://www.pit.pl/aktualnosci/fiskus-wydaje-interpretacje-podatkowe-ktorych-potem-sam-nie-uznaje-927669
      4a) Zacząłem to czytać (całe GDPR) i się poddałem z braku czasu, ale rozumiem że to jak słowa pana S.Michalkiewicza: z powodu „kontynuowania działalności antysocjalistycznej, co zagrażało bezpieczeństwu państwa”. Ogólniki za pomocą których można uznać winę w dowolny sposób.
      5) Podobno do tej pory tylko ok. 15% firm rozpoznaje obowiązek RODO, portale to wiedzą, ale szaraki naginające na podatki?
      6) Sa jeszcze tematy “procesora” i “podprocesora” i jak dane wyciekną to stajemy się Administraorem i czy wg. polskiej specyfiki to ja mam udowodnić że nie jestem koniem? tzn. żę to nie mi, ale klientowi (np. z komórki którą zostawił w barze) dane wyciekły?

    • 1. Na stronie GIODO można znaleźć informacje dotyczące kontroli za rok 2016/2017 (kontrole sektorowe i kontrole doraźne) wiec domyślam się ze tak, maja prawo wjechać do serwerowni. (We Francji CNIL i w UK ICO mogą zjawić się bez zapowiedzi).
      2. jeżeli chcesz udzielić zbiór którego nie jesteś administratorem to przed udzieleniem tego zbioru…musisz najpierw skontaktować się z administratorem:D i poinformować go o takim zapytaniu i otrzymać zgodę by go udostępnić.
      4. zgadzam się w 100%…
      4a.LOL
      5. Podobno:) tez tak słyszałem, wiele osób nie wie co z tym zrobić, tłumaczenie z języka ang. nie pomaga w zrozumieniu RODO.
      6. Ja mam zrobiony rejestr: dla kogo jestem administratorem a dla kogo tylko procesorem. Serwer jest mój wiec jestem Administratorem serwera:) ale nie w każdym przypadku jestem administratorem danych…:)
      Jeżeli wyciekną dane..patrz rejestr:) – przy tworzeniu rejestru wysłałem zapytanie do wszystkich firm z którymi współpracuje, sprawdziłem umowy i zapisy nawiązujące do poufności/ przetwarzania danych….

    • @Michał “Tu brakuje przetłumaczenie słowa „shall” co znaczy „powinien”, zapis ten powinien wyglądać wg mnie następująco:”

      Czasem wracam myślami do czegoś i tak sobie dzisiaj pomyślałem że;

      W polskim tłumaczeniu (i prawie stosowanym) nie może być słowa “powinien”.
      Mogą być słowa: musi, stosuje się, nie stosuje się, podlega, nie podlega, etc. lub .. ogólnik w stylu “kto unika opodatkowania ..”. Tłumaczenie zostanie zastosowane literalnie, kopanie się o interpretację będzie wymagało powołania biegłych i zakładania sprawy: “Klient vs Państwo w sprawie prawidłowości tłumaczenia”. Zresztą wg. polskiego rozumowania (schematów zapisanych nam w mózgu), zapis w urzędowym paragrafie “powinien” tłumaczy się wprost na “musi”.

  16. A spam jak przychodził tak przychodzi, telemarketing dzwoni tak samo, skrzynka pocztowa nadal przepełniona śmieciami. Zamiast tego masa zwyczajnych uczciwych osób ma problemy z wyssanymi z palca wymogami plus narobiło się cwaniaków sprzedających “specjalne” i “audytowane” i “szkolenia” itp itd.

    • Jest nawet gorzej – przychodzi jeszcze więcej spamu z politykami prywatności i zmianami regulaminów a na stronach więcej wyskakujących okienek. Legenda głosi, że ktoś to wszystko przeczytał.

    • +1

  17. Informacja o cookies i RODO która się wyświetla na stronach internetowych jest jednym z najgłupszych pomysłów euroidiotów. Tak informacja której prawie nikt nie czyta służy tylko wkurzaniu ludzi, generowaniu niepotrzbengo ruchu i traceniu czasu.
    Wynalazcę tego idiotyzmu powinno się skazać na dożywotnie klikanie w uciekającego popup-a z akceptacją warunków zaglądania na stronę.

    • A najśmieszniejsze jest ze jak cię pozwą i powiesz że nie zanałeś prawa to sędzia Ci powie że nieznajomość prawa szkodzi i skarze Cię :D Ale RODO już konsumenci nie muszą znać i trzeba ich informować :D A przecież powinna być ta sama zasada. Nieznajomość prawa szkodzi. W myśl tej zasady każdy konsument powinien znać rodo i wiedziec jakie ma prawa.

      Cóż przez dwa albo trzy dni po wprowadzeniu rodo przeklikałem w całym spamie żeby mnie wypisali. Rzeczywiście niemal nic nie przychodziło poza jednym syfem z reklamą firmy…. WDRAŻAJĄCEJ RODO :D Wypisywałem się od nich 10 razy i dalej spamują matołki. Myślałem że sie myliłem i rzeczywiście rodo coś zmieniło… Ale od dwóch tygodni zaczęła się totalna masakra. 3x więcej syfu.
      Kolejna durna ustawa kolejna utopiona kasa i zmarnowane zasoby. A na profilowanie googlem się godzę bo mi z tym wygodniej za to FB nie używam i mam spokój bo ich nie lubię.

  18. Jak serwis przyjmuje strzęt, staje się ADMINISTRATOREM danych klienta (właściciela sprzętu). Natomiast w stosunku do danych zapisanych w urządzeniu staje się PRZETWARZAJĄCYM a to zasadnicza różnica. Administrator sam decyduje o celach i środkach przetwarzania danych a PRZETWARZAJĄCY robi to w imieniu i na rzecz adminustratora, co wymaga zawarcia odrębnej umowy.

    • Moim zdaniem tak i nie. Jeżeli mówimy o naprawie gwarancyjnej która centrum naprawy wykonuje po przez umowę z producentem danego sprzętu to jesteśmy nadal tylko przetwarzającym a nie administratorem a to dla tego ze przetwarzamy te dane na zlecenie/ umowę z producentem – który pozostaje administratorem – to producent chce żebyśmy zbierali dane klienta, zapisywali co wymieniliśmy (zwrot kosztów itp.)

  19. W mojej przychodni pozdejmowali z drzwi wszystkie tabliczki z nazwiskami lekarzy, jest tylko “Lekarz rodzinny” (kilka gabinetów) czy “Gastrolog” i jako, że nie mają lekarze stałych gabinetów to powstał wielki chaos, bo wszyscy biegają i próbują się dowiedzieć gdzie przyjmuje jego lekarz.
    Poprosiłam też mamę, by zapisała mnie do ortopedy na kolejną wizytę, usłyszała, że musiałaby przyjść z moim dowodem, bo oni tak nie mogą na głos pytać o dane, co w sumie mnie zaskoczyło, bo pamiętam kiedyś rozmowę z policjantem na inny temat i ten z kolei stwierdził, że Broń Boże nie można wziąć cudzego dowodu.

  20. “jeśli zamawiasz kawałek kamienia z wyrytymi na nim danymi to tak jakby… no… zgadzasz się na wykorzystanie swoich danych w taki sposób”
    Jeśli korzystasz z przeglądarki akceptującej cookies to… jeśli korzystasz z internetu z danego adresu IP to… jeśli publikujesz jakiś tekst/zdjęcie/film to… a jednak wszędzie wyskakują regulaminy do zaakceptowania.

  21. Rzygam już tym RODO.
    Dostałem dziesiątki maili, jak to maje dane są wykorzystywane.
    Odpisałem, że chcę wiedzieć co mają, skąd i żeby usnęli moje dane i brak odpowiedzi,
    a przecież w mailu sami poinformowali jakie mam opcje.
    Wysyłają to na zasadzie, bo ktoś im kazał (prawo).
    Co jak nie spełnili mojej woli? Czemu nikt o tym nic nie pisze?
    Wszędzie info, jakie obowiązki mają firmy administrujące danymi, a co z osobami, których dane są wykorzystywane bez ich woli? CISZA.

    • Dzieki RODO Ty masz prawo wyslac takie zapytanie a oni maja obowiązek na nie odpowiedzieć. Po potwierdzeniu twojej tożsamości (mogą zapytać) maja 30 dni na udzielenie informacji.
      Pozostaje postraszyć ich zgłoszeniem do GIODO – i jeżeli to nie pomoże to…formularz na stronie GIODO jest bardzo łatwy do wypełnienia.

  22. “Wbrew pozorom RODO jest… racjonalne”.

    Nie, nie jest. Trybunał Sprawiedliwości Unii Europejskiej orzekł właśnie, że właściciel firmowego fanpage’u na FB podlega RODO. Jeśli firmowego, to rozumiem, że prywatnego też (bo także jest publicznie dostępny), podobnie każdej FB-owej grupy, ba! każdy użytkownik FB przetwarza dane innych użytkowników w ramach własnej listy znajomych (jeśli tylko udostępnia ją publicznie) i powinien w związku z tym wdrożyć zapisy RODO. Podobnie komentarze na blogach, fora itp.

    Owszem, może prywatnych osób nie będzie się za to faktycznie ścigać, ale nawet jeśli nie będzie się ich ścigać, to ów brak ścigania nie będzie wynikać z samego (złego) prawa, tylko z nieprzestrzegania owego (złego) prawa w imię zdrowego rozsądku. Ino nie będzie się ich pewnie ścigać tylko tak długo, jak długo komuś to nie stanie się na rękę. Jak mieliśmy to okazję swego czasu oglądać np. w przypadku wymogu rejestracji czasopism internetowych i sporów o to, co jest a co nie jest internetowym czasopismem.

    • Art. 2 ust. 2 pkt c) RODO: Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. Prywatny fanpage nie służy do promocji firmy a tylko do kontaktów ze znajomymi a więc tego RODO nie obejmuje.

    • @Marcin Maziarz Napisał wyraźnie, że nie prywatny fanpage tylko firmowy. Jakich zresztą wiele.

    • Udostepnianie cudzej listy znajomych (a nawet wlasnej listy znajomych) powinno byc uzaleznione tylko i wylacznie od zgody (najlepiej pisemnej) kazdej osoby z tej listy na udostepnianie jej danych. W zadnym wypadku nie powinno zalezec czy udostepniasz te liste jako osoba fizyczna czy prawna. Dlaczego? dlatego, ze osobie, ktorej dane sa udostepnione moze byc serdecznie wszystko jedno kto je udostepnia. Jesli sobie tego nie zyczy to jej wola powinna byc respektowana. Wyjatkiem powinno byc prawo do nierespektowania takiej zgody (w szczegolnych przypadkach), a nie zakladanie ze wszystkim wolno wszystko jesli sa osoba fizyczna. Ale do tego, jak i do wielu innych rzeczy trzeba dorosnac, jako spoleczenstwo i jako jednostki.

  23. Dla mnie największym problemem jest połączenie pojęć gromadzenie oraz przetwarzanie danych. Rozumiem, że istnieją firmy, które przetwarzają dane osobowe wyłącznie w celach zarobkowych. Ja gromadze dane (nie przetwarzam, nie łączę, nie tworzę profili osobowych, nie sprzedaję) Oczywiście zawsze można przyczepić się do nazewnictwa. Skoro ktoś dobrowolnie stał się moim klientem, to życzyłbym sobie aby tak pozostało i klient też nie byłby zadowolony gdybym się nie odezwał. Bez tych danych mogę zamknąć firmę. Popadamy w paranoje. Oczywiście są wyjątowe sutuację, których nietoleruję jak np. przekazywanie moich danych “partnerom”, których lista jest tak długa, že samo przewijanie trwa 5minut, a jak miałbym to jeszcze przeczytać to 30minut. A jak niezaakceptujesz to nie przeczytasz, co już mi się wydaje jest niezgodne z RODO.

  24. Przepisy o ochronie prywatności generalnie są OK, ale ich implementacja w UE jest idiotyczna. Oto teraz by anonimowo zobaczyć wynik meczu na stronie z informacjami sportowymi muszą zgodzić się (albo nie) na ciasteczka i profilowanie. Za tydzień by sprawdzić wynik kolejnego meczu znowu muszę bezsensownie klikać. W efekcie nawet ta garstka ludzi która dbała choć minimalnie dbała o swoją prywatność została przymuszona (poprzez wygodę) do zaniechania używaniu trybu in-private w przeglądarkach.

    • Nie byłoby rabanu, gdyby strony prawidłowo reagowały na nagłówek DNT w żądaniach HTTP (w trybie prywatnym jest on w większości przypadków ustawiony) – tzn. nie wyświetlały banialucznych komunikatów tylko po to, by były, skoro i tak wszelkie ustawione przez nich ciacha się zaraz pokasują.

  25. Moim zdaniem klauzula Tp-Linka to strzał w kolano. Nie można w jednym zdaniu (zgodzie) zamieścić coś co jest niezbędne do wykonania umowy (naprawienie sprzętu) plus zgodę marketingową. Zgoda marketingowa MUSI być osobno, mało tego, musi być pole wyboru i do tego domyślnie nie zaznaczona zgoda. W tym momencie TP-link narusza RODO.

  26. A mi serwis Samsung wyczyścił telefon, bo RODO…

  27. A ja miałem ostatnio przypadek kreatywych “tyłkochronów” które pojawiły się od wejścia RODO :

    Odbierałem zamówienie w Świecie Książki – i nie pamiętałem numeru zamówienia – więc pani za kasą najpierw poprosiła mnie o podpisanie wydrukowanej zgody o zapytanie się o moje imię i nazwisko, potem mając papierek zapytała się mnie o moje imię i nazwisko i dopiero wówczas poszukała przesyłkę z zamówieniem :)

    Teraz dopiero przyszło mi do głowy że mogłem następnie poprosić o usunięcie moich danych i poczekać aż dopiero co podpisany papierek ląduje w niszczarce ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.