RODO

Zaczęty przez krzyszp, 29 Styczeń 2018, 17:48

krzyszp

Tak czytam sobie rozporządzenie RODO na stronach legislacyjnych i mam poważne wątpliwości...

Generalnie, wejście w życie RODO nakłada na adminów projektów (oraz organizacje prowadzące te projekty) szereg obowiązków, z których część jest dla mnie bardzo niejasna, ale po kolei:

1. Stara sprawa ciasteczek i ostrzeżeń o nich - o ile pamiętam, serwer BOINC nie ma ich zaimplementowanych, więc już w tym momencie jest mały zgrzyt.
2. Jak rozumiem rozporządzenie (potrzebne potwierdzenie) wymagane będzie dodanie linka do usunięcia konta, a tu mamy problem - konto to nie tylko dane komputera, ale także historia WU przerobionych, które są często powiązane z innym liczydłowym itd - co prawda można usunąć rekord z bazy, ale to nie roziązuje całościowo problemu.
3. Co na temat wpisów na forum projektów z takich powiązanych kont?
4. Czy prywatna osoba prowadząca popularny projekt powinna zgłosić bazę do Generalnego Inspektora Danych Osobowych?
5. Czy projekt uczelniany/oświatowy prowadzony przez ośrodek naukowy ma taki obowiązek?

Pytań jest więcej, a dowiedzieć mi się nie ma skąd...


Należę do drużyny BOINC@Poland
Moja wizytówka

Rysiu

#1
Cytat: krzyszp w 29 Styczeń 2018, 17:48
5. Czy projekt uczelniany/oświatowy prowadzony przez ośrodek naukowy ma taki obowiązek?

Wydaje mi się, że oczywistym jest fakt iż to, że ośrodek naukowy z niczego nie zwalnia.
Ale nie jestem specem...

Dane osobowe to też email (z tego co mi wiadomo).
Do dnia dzisiejszego zbiory danych trzeba było rejestrować w systemie GIODO - nie wiem jak po wejściu RODO.
Już nie rejestrując zbioru łamie się prawo.

Cytat: krzyszp w 29 Styczeń 2018, 17:48
4. Czy prywatna osoba prowadząca popularny projekt powinna zgłosić bazę do Generalnego Inspektora Danych Osobowych?
Do dnia wejścia RODO tak.
Po nie wiem...
Gdzieś czytałem, że po wejściu wchodzą nowe procedury i nie ma potrzeby zgłaszania zbioru danych.

Ogólnie jest mega lipa...
W normalnych warunkach nie ma co się przejmować ale gdyby ktoś wysłał, list do GIODO z informacją, że są jakieś wątpliwości to Ci być może by zareagowali... Sprawa wygląda tak, że przyjeżdża informatyk i prawnik na kontrolę. W przypadku uchybień GIODO może żądać skasowania danych osobowych.

Ale to tak jak piszę luźne zdania - bo nie jestem specem ale trochę temat badałem  :attack:

sirzooro

Cytat: krzyszp w 29 Styczeń 2018, 17:48
1. Stara sprawa ciasteczek i ostrzeżeń o nich - o ile pamiętam, serwer BOINC nie ma ich zaimplementowanych, więc już w tym momencie jest mały zgrzyt.

Ma zaimplementowane do logowania się na stronę. Jak je usuniesz, to będziesz musiał się zalogować jeszcze raz.

Cytat: krzyszp w 29 Styczeń 2018, 17:48
2. Jak rozumiem rozporządzenie (potrzebne potwierdzenie) wymagane będzie dodanie linka do usunięcia konta, a tu mamy problem - konto to nie tylko dane komputera, ale także historia WU przerobionych, które są często powiązane z innym liczydłowym itd - co prawda można usunąć rekord z bazy, ale to nie roziązuje całościowo problemu.

Tu pewnie sprawa będzie podobna jak z kontem w sklepie - konto możesz usunąć, ale informacje o transakcjach pozostaną w systemie księgowym. Trzeba wyjaśnić szczegóły.

Cytat: krzyszp w 29 Styczeń 2018, 17:48
3. Co na temat wpisów na forum projektów z takich powiązanych kont?

Albo usunąć je całkowicie, albo przepiąć je na konto użytkownika "Anonymous". Kilka razy już spotkałem się z takim rozwiązaniem.

Cytat: krzyszp w 29 Styczeń 2018, 17:48
4. Czy prywatna osoba prowadząca popularny projekt powinna zgłosić bazę do Generalnego Inspektora Danych Osobowych?
5. Czy projekt uczelniany/oświatowy prowadzony przez ośrodek naukowy ma taki obowiązek?

Pewnie jedni i drudzy powinni.

Cytat: krzyszp w 29 Styczeń 2018, 17:48
Pytań jest więcej, a dowiedzieć mi się nie ma skąd...

Na pewno warto zerknąć na stronę GIODO http://www.giodo.gov.pl/1520281 . Poza tym pewnie większe firmy hostingowe albo oferujące usługi usługi prowadzenia list mailingowych będą coś pisać na ten temat. Kojarzę ten temat z maili które dostaję, któraś z takich firm o tym pisała.

Rysiu

Wątpliwości jest masa.
Można coś wyłapać na poziomie informacji od firm hostingowych.
Firma hostingowa jednak na tym szczeblu nie jest specem od Twoich systemów.
Ty korzystając z usług firmy hostingowej w momencie przetwarzania danych osobowych musisz zawrzeć z firmą umową według wzoru GIODO.
W tej umowie firma zapewnia wszelkie warunki m. in. bezpieczeństwa "fizycznego" informacji - czyli, że ktoś nie wejdzie z siekierą i nie wyciągnie danych.
Raczej nie ma z tym problemu - przynajmniej nie u firm typu "krzak".

Musisz mieć opracowane procedury przetwarzania danych osobowych, instrukcje.
Jak sądzę sprawa jest przy podejściu całkowicie profesjonalnym nie do obejścia bez wynajęcia jakieś firmy, która będzie się tym zajmowała lub w najgorszym przypadku zapisania się na jakieś dłuższe kilkudniowe szkolenie (są takowe) i ogarniania samemu.
Przerabiałem to niestety i jako osoba z wykształceniem i doświadczeniem informatycznym nie mam bladego pojęcia o tych procedurach.

Według mojej wiedzy jest to nie do obejścia dla "szeregowego technika" - ale może się mylę.

Koszt zrobienia wszystkiej papierologi itp. przed wejściem RODO to różne kwoty - minimum licząc 2k PLN - zależne jest to od skomplikowania systemu.
Nie jestem pewny jak bardzo skomplikowany jest pod tym względem BOINC -> ile jest "opcji" przetwarzania danych itp. Nie chce mi się na szybko wnikać.
Potem koszt miesięczny dla kogoś kto będzie się tym zajmował - tutaj już sporo mniej jak będzie mało roboty/mały system/mało osób pracujących przy systemie.

W sumie to może gdyby jakiś informatyk z prawnikiem usiedli przy BOINC to by się udało wyprodukować to co trzeba i jakoś ustandaryzować aby było zgodne z ramami prawnymi.
Ale jakoś wątpię aby się ktoś tym zajął...
Na dodatek prawo to nie jakiś język programowania - przepisy cały czas się zmieniają.

Martin Fox

W firmie gdzie pracuję to przerabiamy też. Jest kilka podstawowych problemów:
- Trzeba dostosować się do rozporządzenia unijnego GDPR
- Być może RODO będzie troszkę inaczej wprowadzało niektóre rozwiązania, więc wtedy trzeba będzie się dostosować do tego (bo rząd ciągle nad tym pracuje)
- Jest wiele możliwości interpretacji niektórych zapisów, zwłaszcza że do momentu wprowadzenia RODO obowiązuje GDPR w wersji oficjalnej (a polskie tłumaczenia mogą i zawierają błędy interpretacyjne)

To tak z tym podstawowych :D A później zaczyna się jazda.
Trzeba określić i skatalogować jakie dane przechowujemy. Potem trzeba napisać dlaczego każdy rodzaj danych jest wymagany, bo GDP wprowadza zasadę "minimum wymagane". Jeśli nie potrafimy udowodnić że coś jest niezbędne to znaczy że nie możemy tej danej przechowywać.
Później dochodzą wymagania do co zabezpieczenia danych (nie tylko u nas ale i parterów).
Potem kwestia danych które są dzielone z innymi podmiotami - wtedy wchodzą umowy dwustronne nt zabezpieczenia, zakresu danych, odpowiedzialności, administratora itp.
Jak kogoś to interesuje bardziej to po weekendzie (bo wtedy będę miał czas) mogę przygotować elaborat, ale za dwa tygodnie może się okazać że będzie nieaktualny, bo RODO coś zmieni :P

sirzooro

Ludzie od BOINCa też zaczęli patrzeć na to: https://github.com/BOINC/boinc/issues/2332

krzyszp

Cytat: sirzooro w 01 Luty 2018, 12:40
Ludzie od BOINCa też zaczęli patrzeć na to: https://github.com/BOINC/boinc/issues/2332
Wiem, bo im to zgłosiłem :)


Należę do drużyny BOINC@Poland
Moja wizytówka

Krzysiak

Czy ktoś może wie coś na ten temat

Czy zwolnione są micro firmy z części obowiązków (do 250 osób)
Jeżeli nie to czy muszę każdemu klientowi przez telefon odczytać formułkę informacyjną z kartki z godnie z wytycznymi o jego prawach ?

Czy prawo dotyczy tylko sytuacji firma -> konsument
Bo byłoby bardzo śmiesznie gdyby sytuacja dotyczyła relacji firma -> firma.
Po nip-ie można sprawdzić na stronie GuS bardzo dużo informacji - szczególnie o mikroformach i ich właścicielach.


>>Moja szczegółowa sygnatur<< %)                                      >> Spis moich odkrytych liczb pierwszych << :whistle:

krzyszp

O ile się orientuję, to dotyczy to tylko linii firma -> osoba prywatna. Jak dotąd nic nie ma w temacie ułatwień dla mikrofirm.


Należę do drużyny BOINC@Poland
Moja wizytówka

Kalomel

Czy liczenie z RODO (z wątkiem rywalizacji) ma sens ? Jakakolwiek rywalizacja, zawody, konkursy - stanowi problem ?

tito

A cholera wie.
Na chwilę obecną WCG zasięga porad prawniczych, aby móc wysyłać statystyki na zewnętrzne serwisy (Free-DC etc).
Tu jest dyskusja na forum Einsteina:
https://einsteinathome.org/pl/content/upcoming-changes-due-european-general-data-protection-regulation-gdpr

Na innych forach nie znalazłem informacji (co nie oznacza, że ich tam nie ma).

Ogólnie póki sytuacja się nie wyklaruje ja liczę. Później zobaczę, czy dalej będę inwestował kasę i czas, czy zacznę wygaszać sprzęt.

krzyszp

Generalnie developerzy zarówno serwera jak i Managera ostro teraz pracują nad zapewnieniem zgodności z RODO. Niestety, sprawa jest bardzo skomplikowana:

1. Konto można założyć poprzez linię komend - jak w takim przypadku otrzymać zgodę na przetwarzanie danych? (A email taką daną jest).
2. Co z zakładaniem kont poprzez np. BoincsStats?
3. W projektach nie przetwarza się raczej danych userów do celów reklamowych, ale... Korzysta się np. ze statystyk Google (a w tym przypadku defacto chyba już następuje przekazanie danych)...
4. Podłączanie się przez Managera również musi zapewnić zgodność z RODO...

Na liście mailingowej jest spory ruch w temacie, jakieś rozwiązania są powoli wdrażane do kodu, ale po wszystkim trzeba będzie jeszcze te projekty zaktualizować (kod serwera) i nadal pozostanie problem, co z userami "sprzed RODO" którzy zainstalowali soft i zostawili?


Należę do drużyny BOINC@Poland
Moja wizytówka

tito

Tak sobie myślałem. Pomimo tych wszystkich maili, powiadomień na stronach itd nic nie wiem na temat RODO. Jakaś tam ochrona danych osobowych. OK.
Ale jak to ma się niby do statystyk?
W statystykach np BS widnieję jako tito - podobnie jak kilkunastu innych tito z całego świata. I jako taki pozostaję anonimowy, bo jakiś tam tito ma tyle, a tyle punktów. W jaki sposób niby to się ma do mojej osoby?
Sprawa nr2.
WCG pisze, że konta pozostawione same sobie przez 3 lata zostaną skasowane. Oczywiście mail z informacją zostanie wysłany wcześniej, ale ja np mam zaznaczone, aby nie dostawać powiadomień od projektów. Czyli, albo wyślą pomimo braku mojej zgody, albo skasują mi konto. Wyczuwam tu sporo problemów z użytkownikami.
Ktoś ma jakieś przemyślenia na temat?

kva.pl

Ja mialem kilkugodzinne szkolenie z RODO, zakonczone testem. I przemyslenie mam jedno - to jest napisane tak zebys czasem za wiele nie zrozumial, ale zeby prawnicy zarobili. Idea teoretycznie jest dosc szczytna ale posunieta do absolutnego absurdu. Moj przyjaciel dowiedzial sie w przedszkolu ze obrazki namalowane przez jego syna i wywieszone na scianie nie moga byc juz podpisane "Stas" tylko beda mialy numer cichociemnie przypisany do dziecka. Bo wiecie rozumiecie, trzylatek o imieniu Stas wymaga tego typu ochrony...

Krzysiak

Cytat: tito w 12 Czerwiec 2018, 11:49
Pomimo tych wszystkich maili, powiadomień na stronach itd nic nie wiem na temat RODO. Jakaś tam ochrona danych osobowych. OK.

[smg id=10784 type=preview align=center caption="demot 282 140"]


A tak na poważnie to mam wrażenie że te wszystkie powiadomienia to zwyczajny SPAM


>>Moja szczegółowa sygnatur<< %)                                      >> Spis moich odkrytych liczb pierwszych << :whistle:

krzyszp

#15
Cytat: kva.pl w 12 Czerwiec 2018, 12:25
Moj przyjaciel dowiedzial sie w przedszkolu ze obrazki namalowane przez jego syna i wywieszone na scianie nie moga byc juz podpisane "Stas" tylko beda mialy numer cichociemnie przypisany do dziecka. Bo wiecie rozumiecie, trzylatek o imieniu Stas wymaga tego typu ochrony...
Sorry, ale to znaczy tylko tyle, że w przedszkolu wiedzą o RODO jeszcze mniej niż Ty :)

@tito
Niestety, Twój login jest wraz z CPID (a to jest unikalny identyfikator usera powiązany z adresem eail)przekazywany w statystykach i projekt musi posiadać na to zgodę...

Ja oceniam generalnie RODO pozytywnie, ale faktem jest, że skala zmian jest duża i niestety trzeba bazy danych oczyścić. W przyszłości przecież te wszystkie zgody będą z góry potwierdzone.


Należę do drużyny BOINC@Poland
Moja wizytówka

kva.pl

Skad zalozenie ze ja wiem malo? ;)
Problem w tym ze to nie jest jasne i do tego wprowadzono to jak widac zbyt szybko i gwaltownie, na kazdym kroku wychodza przez to cyrki.

krzyszp

Cytat: kva.pl w 12 Czerwiec 2018, 17:59
Skad zalozenie ze ja wiem malo? ;)
Problem w tym ze to nie jest jasne i do tego wprowadzono to jak widac zbyt szybko i gwaltownie, na kazdym kroku wychodza przez to cyrki.
Sorki :)
A wracając do tematu przedszkola - gdyby pół roku wcześniej się zainteresowali i wydali rodzicom do podpisu jednostronicowy dokument z dosłownie trzema zdaniami to by kwestii nie było. Wystarczyło poprosić o zgodę na upublicznianie w obrębie jednostki organizacyjnej odpowiednich danych i po krzyku...
Zresztą, rysunki na tablicach z automatu podpadają pod "przetwarzanie danych osobowych w celu wykonywania obowiązków statutowych/regulaminowych" .


Należę do drużyny BOINC@Poland
Moja wizytówka

kva.pl

No prawda. Tylko to sie sprowadza do tego ze wlasciwie kazdy czlowiek powinien miec szkolenie z RODO   %)

krzyszp

Cytat: kva.pl w 12 Czerwiec 2018, 20:29
No prawda. Tylko to sie sprowadza do tego ze wlasciwie kazdy czlowiek powinien miec szkolenie z RODO   %)
Nie przesadzajmy. Każdy kto prowadzi działalność gospodarczą również musi mieć pojęcie o prawie skarbowym ;)

Ps. GPDR kiedy było uchwalone? We wrześniu 2016?


Należę do drużyny BOINC@Poland
Moja wizytówka

kva.pl

Ale X pracownikow juz niekoniecznie musi. RODO odnosi sie wlasciwie do kazdego.

krzyszp

Cytat: kva.pl w 12 Czerwiec 2018, 21:18
Ale X pracownikow juz niekoniecznie musi. RODO odnosi sie wlasciwie do kazdego.
Nie, niby dlaczego?
To, że większość pracowników przetwarza dane nie oznacza, że muszą znać RODO. Od tego jest Inspektor Danych Osobowych w firmie - to on pisze polityki i rozsyła info pracownikom.


Należę do drużyny BOINC@Poland
Moja wizytówka

kva.pl

No wlasnie, tworzy polityki i rozsyla info. Gdzie tu analogia do prawa skarbowego? ;)

krzyszp

Cytat: kva.pl w 12 Czerwiec 2018, 22:01
No wlasnie, tworzy polityki i rozsyla info. Gdzie tu analogia do prawa skarbowego? ;)
"Na fakturze musi być NIP"
"Nie wysyłamy maili do klientów z 'cc' zamiast 'bcc'"

Ot i cała filozofia :)


Należę do drużyny BOINC@Poland
Moja wizytówka

kva.pl

O nie, to nie jest takie proste  :D
Prezentacja polityki u nas w firmie miala ponad 100 slajdow  XD

krzyszp

Cytat: kva.pl w 12 Czerwiec 2018, 23:52
Prezentacja polityki u nas w firmie miala ponad 100 slajdow  XD
Korpo? Bo jeżeli tak, to ktoś musiał po prostu uzasadnić swoje istnienie i pensje  XD


Należę do drużyny BOINC@Poland
Moja wizytówka

mirage

#26
Całe to RODO sprowadziło duuuużo zmian i dużo zamieszania ale ja uważam, że słusznie. W obecnych czasach na prawdę musimy chronić dane osobowe chociaż brak wyczytywania po nazwiskach w przychodniach lekarskich to już mała przesada ale ja jestem sprzedawcą on-line mam swój sklep internetowy więc jeśli chodzi o certyfikat SSL, który powinien posiadać każdy sklep zdecydowanie się zgadzam. Przechowujemy dane nie tylko adresowe ale ja umożliwiam swoim klientom płatność on-line więc tymbardziej dane do kont bankowych są chronione. Ceny takiego certyfikatu są różne ja kupiłem na [proszę nie spamować]

Edit:
Wycięte linki

tito

Jako, że coraz więcej projektów wprowadza konieczność zgody na eksport statystyk, czas odświeżyć temat.
Przeglądając statystyki pokroju BS, czy Free-DC łatwo zauważyć, że mnóstwo osób nie zaznaczyło odpowiedniej opcji, w związku z czym nastąpiły ogromne przetasowania na pozycjach.
Kij z tym, ale...
Np WCG wymaga, aby w okresie 3 lat była jakakolwiek aktywność usera (chociażby kontakt BM z projektem) inaczej konto zostanie permanentnie skasowane. I tu się mogą rozpocząć cyrki. Co jeśli ktoś nie upilnuje tego terminu? Co z projektami niszowymi, które ktoś liczył dla checkpointu? Co z osobami które po kilku latach nieaktywności ponownie zechcą liczyć?
KrzyszP - jak to będzie wyglądać w Universe?
Powyższe może zniechęcić wiele osób do liczenia. Macie jakieś swoje przemyślenia?

krzyszp

Co do Universe, to odpowiedni update serwera jest w planach na najbliższą przyszłość, czekam tylko na odpowiednie dokumenty - teksty polityki prywatności, regulamin itd. Nie będzie tych udziwnień z WCG - raz wyrażona zgoda będzie ważna aż do jej cofnięcia przez zainteresowanego.


Należę do drużyny BOINC@Poland
Moja wizytówka

PoznanskaPyra

Przydałaby się lista projektów, gdzie trzeba taką akceptacje zrobić.

Wiem o:

Einstein - akceptacja
Universe - akceptacja (przyszłościowo)
WCG - akceptacja, aktywne konto

WIZYTÓWKA
Kompy:
AMD Ryzen 9-3900X + GTX980Ti
Intel i5 4570 + HD7970

tito

https://boincstats.com/en
WIELKIE OGŁOSZENIE
;D

Arthusp

Cytat: tito w 20 Styczeń 2019, 17:02
https://boincstats.com/en
WIELKIE OGŁOSZENIE
;D

Ważne, podbijam! 

Dotyczy projektów:
Albert@home *
Einstein@Home *
LHC@Home *
LHCathome-dev *
NumberFields@home
World Community Grid *
WUProp@Home

stiven

Żebym jeszcze potrafił odnaleźć co i gdzie trzeba zaznaczyć.

sirzooro

Cytat: stiven w 21 Styczeń 2019, 22:47
Żebym jeszcze potrafił odnaleźć co i gdzie trzeba zaznaczyć.

O ile dobrze zapamiętałem co i gdzie klikałem to jest tak:

Albert, Einstein - zgoda przy logowaniu, i zaznacz Preferences / Privacy / Do you consent to exporting your data to BOINC statistics aggregation Web sites?

LHC, LHC Dev - zgoda przy logowaniu

NumberFields - zaznacz Ustawienia NumberFields@home / Do you consent to exporting your data to BOINC statistics aggregation Web sites?

WCG - chyba zgoda przy logowaniu

WUProp - zaznacz Ustawienia WUProp@Home / Should WUProp@Home show app hours statistics on your account data page and export statistics?

W projektach gdzie jest zgoda przy logowaniu zwykle musisz się wylogować i zalogować ponownie żeby dostać pytanie o zgodę.

ReallyGrid

Jak myślicie, to też się stało za sprawą RODO?

https://screenshots.firefox.com/nFs21B9p80JnQIsp/boincstats.com

Chodzi mi o te spadki punktów:
15 stycznia
25 stycznia
5 lutego

Aha dodam, że jest to wykres kombinowany ze wszystkich liczonych przeze mnie projektów.
Moja wizytówka


Na wojnie zwycięstwo,
W pokoju czuwanie,
W śmierci ofiara.