ustawa o ochronie danych osobowych Opcje

[AcidBurnt]

Witam

sprawa wyglada tak napisalismy z kumplem dla klienta X coś w stylu CMR, klient gromadzi w systemie dane uzytkwoników pewniego programu, adres, pesel telefony itp ogolnie wszelkie dane osobowe

system wisi na serwerach nazwy, logowanie itp zapewnione, wszystko po https leci itp

wszystko OK, projekt oddany, kasa rozliczona itp itd wszystko chula piknie

no ale teraz okazało sie ze taka baza danych musi zostac zarjeestrowania w GIODO Generalny Inserktor Ochrony Danych Osobowych.

no i tutaj pojawia sie wałek, GIODO obwarowuje systemy informatyczne dzialajace na jakis bazach danych osobowych pewnytmi ograniczeniam wymuszeniami itp... glownie aby to wprowadzic bedzie przeoranie tego systemu w dosc sporej czesc

i teraz jakie jest wasze zdanie, nasza wina czy klienta ;>

i czy w przypadku wprowadzania poprawek obarczac go dodatkowymi kosztami czy nie?

pozdrawiam


no i jeszcze pytanie podczas jakies tam kontroli do kogo sie GIODO dowali i walki w systemie, do firmy uzywajacej program, czy do autorów czyli do nas?

Ten post edytował AcidBurnt 6.04.2006, 21:29:55

[mike]

i teraz jakie jest wasze zdanie, nasza wina czy klienta ;>

i czy w przypadku wprowadzania poprawek obarczac go dodatkowymi kosztami czy nie?

A w czym wina miałaby być po stronie klienta?
Jego wina bo to projektant/wykonawca nie zachował wszystkich norm projektując system, który zamówił klient? Śnisz (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Miałem kiedyś stycznośc z tym zagadanieniem.
To wykonawca powinien zadbać o to by system spełniał normy.

[SongoQ]

@mike_mech w 100% sie z Toba zgadzam ale rowniez klient powinien poinformowac o takich wymaganiach, no chyba ze to bylo w projekcie, wiec wszelkie straty i koszty dodatkowe powinna poniesc firma (osoby wykonujace) dane zlecenie. Niewiedza kosztuje.

Przewaznie bywa tak ze z wielkim projektem idzie zaplecze prawnicze. Ktos straty musi poniesc. Tak juz w zyciu bywa (IMG:http://forum.php.pl/style_emoticons/default/sad.gif)

[AcidBurnt]

no dobra teraz takie pytanko, w rozporzadzeniach jest cos takiego ze trzeba opisac polityke bezpieczenstwa a tutaj:

Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

zastanawiam sie na ile będzie problem z uzyskaniem tych danych od nazwa.pl ;/

[seaquest]

Myślę, że nie będzie większego problemu. Na pewno nie jesteście jedyni, a przecież oni też muszą spełnić te wymagania. Jest to do zrobienia.

[AcidBurnt]

poczesci sie zgadzam, ale klient chyba mogl nas poinformowac ze dane ktore bedzie gromadzil obwarowane sa takimi przepisami, rownie dobrze mogl chec Sobie tam wpisywac dane krasnoludków ;/

[SongoQ]

Firma taka jak nazwa (netart) na 100% powinna spelniac wyzej wymagane zalozenia. Oprocz tego art 3 jest tez wiele innych na ktore nelezy zwrocic uwage.

zastanawiam sie na ile będzie problem z uzyskaniem tych danych od nazwa.pl

Jesli sie z nimi nie skontaktujesz, to nie dowiesz sie. Ostatnio przechodzilem przez takie procedury i troche jest z tym "stresow".

ale klient chyba mogl nas poinformowac ze dane ktore bedzie gromadzil obwarowane sa takimi przepisami

Jesli tego umowa nie obejmuje to teoretycznie jestes czysty.

[AcidBurnt]

ale klient chyba mogl nas poinformowac ze dane ktore bedzie gromadzil obwarowane sa takimi przepisami

Jesli tego umowa nie obejmuje to teoretycznie jestes czysty.

no własnie tak by wychodziło, bo umowa jest na system spełniajacy takie i takie załozenie, a nie te załozenie + ustawa o ochronie danych osobowych...

no ale fakt jest faktem system poprawic trzeba bedzie... eh

[Ace]

Nie, jesli w umowie nie bylo nic na temat ochrony danych osobowych, ja bym sie osobiscie tym nie przejmowal. Projekt zostal wykonany zgodnie ze specyfikacjia i umowa. To nie wchodzilo w sklad umowy - tak? Dowiedziales sie o tym po fakcie - tak? wiec wedlug mnie jestes czysty - ?

[AcidBurnt]

no dobra to teraz takie pytanko do tematy

co jesli system nie przestrzega tej ustawy, my jestesmy autorem systemu napisalismy go dla firmy X, i prawa autroskie do pragramu ma tez firma X ;>

kogo będzie sciagał urząd ;>

i własnie jakie kary za to groza?

[mike]

To że go napisałes dla Firmy X to jeszcze nie znaczy że masz prawa autorskie lub firma takowe ma.
Przekazanie praw autorskich (nie myliś zmajątkowymi) powinno być określone w umowie. Nie może być raczej tak, że zrzekasz się część tych praw i projekt ma dwóch autorów. To bez sensu.

A sąd śigał będzie autora.

[kszychu]

Trochę to bez sensu, nie uważasz? Sąd raczej powinien zająć się tym, kto te dane gromadzi a nie autorem narzędzia, przy pomocy którego jest to gromadzone. Autor nie musiał znać przeznaczenia programu w momencie tworzenia go. To w gestii gromadzącego dane jest dobranie takich narzędzi, by spełniały one normy.

[Wykrywacz]

Wydaje mi się że krzychu ma rację.
Pozatym dla przekłądu, to nie autorzy np. Nero odpowiadają za to co jest wypalane na płytach. Mimo że są autorami narzędzia, ba zachowują wszelkie prawa dla siebie, co do programu czyli narzędzia. Ja bym to interpretował w tą stronę.

Ten post edytował Wykrywacz 11.04.2006, 11:15:33

[babejsza]

Ogólnie obwarowania dotyczące ochrony danych osobowych są dość irytujące stąd pewnie te pytania. Jeżeli chodzi o stronę prawną to jeżeli w umowie dotyczącej stworzenia systemu nie było zawartego punktu o tym, że ma on spełniać wymagania ustawy to kontrolerzy z GIODO nie mogą w tej sprawie już nic zrobić. Koniec i kropka.

To tak jakby mieli nakładać karę na IBM'a za sprzedaż serwera na którym są przechowywane te dane, a miejsce, w którym jest on zamontowany tych wymagań nie spełnia.

[mike]

Istotnie macie racje.
Źle spojrzałem na to zagadnienie.

[spenalzo]

Owszem.

Ale cześć odpowiedzialności należy też to twórców. Bo jednak jak ktoś zrobi oprogramowanie, ktore przechowuje powiedzmy numery kart kredytowych i szczegółowe dane osobowe na serwerze www.cos.pl w pliku o sciezce www.cos.pl/LISTA.TXT ...
Wiec jednak nie do konca cała odpowiedzialność spada na użytkownika... a nie można chyba wymagać od klienta bardzo dobrej znajomości oprogramowania na takim stopniu, żeby samemu sprawdzac czy wprowadzac modyfikacje do aplikacji - w końcu po to kogoś wynajął, żeby ktoś to zrobił dobrze i zgodnie z wymaganiami.


Tak to wyglada z punktu widzenia kogos kto nie ma pojecia o wymgach ustawy (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Ten post edytował spenalzo 11.04.2006, 17:21:13

[Wykrywacz]

Pytałem się żony:

I w lajkonickim skrócie wygląda to tak:
Że jeżeli zostanie dowiedziona, celowość złego wykonania niespełniającego wymagań prawnych to twórca, w tym wypadku piszący taką bazę może zostać pociągnięty do odpowiedzialności karnej.

Mniej więcej tak powiedziała.

[AcidBurnt]

Pytałem się żony:

I w lajkonickim skrócie wygląda to tak:
Że jeżeli zostanie dowiedziona, celowość złego wykonania niespełniającego wymagań prawnych to twórca, w tym wypadku piszący taką bazę może zostać pociągnięty do odpowiedzialności karnej.

Mniej więcej tak powiedziała.

a możesz się dowiedziec co za to grozi ;>

[Wykrywacz]

Dz.U.02.101.926

Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Art. 50. Kto administrując zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.


Tu masz wszystko.