Temat: Każdy sklep internetowy musi zgłosić do rejestracji 6...

Na stronie http://www.e-ochronadanych.pl/a,1783,ochrona-danych-os... znajduję ciekawą informację:

W sklepie internetowym [...]można zatem wyróżnić następujące typowe zbiory danych:
1. Konta użytkowników w sklepie internetowym,
2. Zamówienia składane w sklepie internetowym,
3. Marketing produktów i usług,
4. Opinie o produktach,
5. Subskrybenci newslettera,
6. Formularz kontaktowy.
[...] administrator danych przetwarzający dane osobowe w ww. zbiorach danych osobowych powinien zarejestrować przynajmniej wszystkie sześć z wymienionych zbiorów. Co do pozostałych rejestracji, to zależy to od praktyki danego sklepu (zakresu jego działań).[...]

Ciekaw jestem, co o tym sądzicie - jakie jest Wasze zdanie, ile typowy sklep internetowy powinien mieć (ma) zbiorów, które podlegają zgłoszeniu do rejestracji.

Temat: Każdy sklep internetowy musi zgłosić do rejestracji 6...

...sądzicie, że autor tego zalecenia pobiera wynagrodzenie od liczby zgłoszonych zbiorów swoich klientów ;-) żart

takie uogólnienia jak to poniżej są trudne do obrony:
"administrator danych przetwarzający dane osobowe w ww. zbiorach danych osobowych powinien zarejestrować przynajmniej wszystkie sześć z wymienionych zbiorów"
...bo w pewnych przypadkach zbiory 1,2,6 mogą być zwolnione z rejestracji

co może przesądzać o rozdzieleniu zbioru np. "zbiór danych zarejestrowanych użytkowników sklepu" albo "zbiór danych wykorzystywanych w celu marketingu" na mniejsze podzbiory? myślę, że "wszystko" ;-) np.:
- kategorie osób, których dane dotyczą
- cel(e) przetwarzania danych
- zakres danych (kategorie)
- okres przetwarzania
- zakres przetwarzania (czynności wykonywane na danych)
- rodzaj danych - zwykłe / wrażliwe
- sposób zbierania danych (od osoby, z innych źródeł)
- odbiorcy danych
- rozproszona albo zcentralizowana struktura IT
- forma papierowa lub elektroniczna
ale może też - zróżnicowanie obowiązków, które dotyczą tego podzbioru danych, a nie dotyczą innych np.:
- grupa osób upoważnionych do przetwarzania danych (np. dział, stanowiska) i ochrona organizacyjna tej grupy dotycząca
- obszar przetwarzania
- przekazywanie podmiotom trzecim
- przekazywanie do państwa trzeciego
- środki przetwarzania
- sposób / kanał zbierania danych
itd.

myślę że o rozdzieleniu na podzbiory decydują względy praktyczne, więc trudno określić typową listę zbiorów dla wszystkich sklepów, bo nie znamy ich wewnętrznej organizacji przetwarzania danych

w tym zaleceniu brakuje słowa "zazwyczaj" albo "w większości przypadków", a i tak nie odważyłbym się na takie uogólnienie - bo dlaczego nie łączyć 1+2+4 i 3+5+6? pewnie wynika to ze specyfiki sklepu...

Temat: Każdy sklep internetowy musi zgłosić do rejestracji 6...

Witam,

Zgadzam się z p. Michałem że autor tego tekstu pobiera opłatę od zboru a nie od działa. Ponieważ w sumie konieczne jest jedynie zarejestrowanie jednego zbioru danych osobowych. Zbioru klientów sklepu internetowego. To że, będzie to zbiór logiczny a nie fizyczny to już zupełnie inna "para kaloszy". W sumie i tak zgodnie z przepisami trzeba wyliczyć jakie dane będziemy zbierać by zrealizować cel przetwarzania.

No cóż, jak brak podstaw to nadrabia się jakość ilością. Jak to było w "Krolu" - sztuka jest sztuka.

A tak na poważnie. Wszystkie dane, aby można je było przetwarzać, czy analizować potrzebują wspólnego klucza. W przypadku sklepu internetowego będzie to najprawdopodobniej "nick" klienta. A to czy dane będą w jednym czy wielu zbiorach fizycznych to już rzecz wtórna nie mająca jakiegokolwiek związku z ochroną danych a jedynie z użytymi narzędziami, a raczej ich ograniczeniami, logiką samego serwisu i celem przetwarzania danych. No i jeszcze dwie kwestie ludzkie. Wyobraźnia autora serwisu co do jego funkcjonalności i umiejętności twórcy w korzystaniu z narzędzi, które używa do jego tworzenia.

Gdyby rejestrować każdy zbiór fizyczny stworzony w celu budowy i pracy serwisu internetowego to nie byłoby to minimum 6 zbiorów a co najmniej kilkanaście jeżeli nie kilkadziesiąt. Oprócz wyliczonych przez autora dodać trzeba minimum zbiór z adresami do wysyłki, statusem i rodzajem płatności, itd. itp.

A na koniec i może nie w temacie. Zerkając na autorów tekstu, z cały szacunkiem dla ich wiedzy i profesji to co napisali jest klasycznym przykładem, że ochrona danych osobowych nie jest "tematem" wyłącznie dla prawników. Tutaj trzeba zarówno wiedzy prawniczej jak i informatycznej. Ani sama prawnicza, ani sama informatyczna nie wystarczy. Co zresztą widać w tym przypadku ewidentnie. Pierwsze pytanie informatyk, drugie informatyk i prawnik, trzecie prawnik. Autorzy dwaj prawnicy. Ze względu na szacunek dla podanej poniżej firmy resztę opinii zachowam dla siebie.

Temat: Każdy sklep internetowy musi zgłosić do rejestracji 6...

Roman Janas:

A na koniec i może nie w temacie. Zerkając na autorów tekstu, z cały szacunkiem dla ich wiedzy i profesji to co napisali jest klasycznym przykładem, że ochrona danych osobowych nie jest "tematem" wyłącznie dla prawników. Tutaj trzeba zarówno wiedzy prawniczej jak i informatycznej. Ani sama prawnicza, ani sama informatyczna nie wystarczy. Co zresztą widać w tym przypadku ewidentnie. Pierwsze pytanie informatyk, drugie informatyk i prawnik, trzecie prawnik. Autorzy dwaj prawnicy. Ze względu na szacunek dla podanej poniżej firmy resztę opinii zachowam dla siebie.

Panie Romanie, ja bym nieco dalej poszedł. Fajnie, jakby ludzie podający rozwiązania mieli pojęcie o tym, dla kogo pracują. Samo bycie prawnikiem czy informatykiem nie znaczy, że się rozumie mechanizmy sprzedażowe - od marketingu, bo obsługę posprzedażową, która jest... tez marketingiem ;-))).

Bo w związku z tymże sklepem pytanie - co oznacza słowo MARKETING? Albo zanim jeszcze co oznacza - to z CZYJEGO słownika pochodzi? Czy aby na pewno prawniczego? Bo ja tego się uczyłem na pewno nie na przedmiotach prawniczych, a na .... czysto ekonomicznych, marketingu i zarządzaniu.

Temat z pozoru tylko błahy, a tak naprawdę bardzo poważny. Formalnie - dwa zbiory rzeczywiście można wyodrębnić - sprzedaż i marketing. Bo celem pierwszego jest zawarcie transakcji handlowej, a drugiego - doprowadzenie do tejże transakcji (przekonanie do kupna).

I tym tokiem myślenia idąc zbiór może zawierać informacje z zakresu marketing mix (cel nadal jeden - sprzedaż produktów):

Product (produkt) - czyli wszelkiego typu badania produktu. Od focusów, przez ankiety, wywiady etc. Masa ludzi pytanych o właściwości produktu, czyli typowe szukanie odpowiedzi - co klient chciałby. W tym również opinie o istniejących produktach (mając na względzie cykl życia produktu), a więc newslettery, wysyłki ankiet z opakowań, ankiety telefoniczne, listowne, mailowe etc, tak aby wiedzieć CO SPRZEDAWAĆ.

Price (cena) - wszystkie zapytania i badania związane z akceptacją ceny za produkt. Podstawa do wyboru strategii cenowej, ale... można by rzecz, że to potężna grupa respondentów których można różnymi metodami pytać o cenę. Respondenci posegmentowani, pytani o różne właściwości produktu, za pomocą narzędzi marketingowych i badawczych i pytanie kluczowe - czy byłbyś skłonny zapłacić tyle to a tyle...Czyli wszystko aby wiedzieć ZA ILE SPRZEDAWAĆ.

Place (miejsce) - czyli znowu respondenci, skłonności, przyzwyczajenia. Dobór sposobu sprzedaży produktu, a to też pytanie do ludzi, a technicznie dla firmy, jak za pomocą kanału dystrybucji wypozycjonować ów produkt. I znowu, pytana do respondentów - gdzie oczekiwali by produktu, czy sprzedaż indywidualna (prezentacje), jak tak, to jakie grono osób, prośby o namiary czy organizacje takich spotkań, gromadzenie danych osób przy tego typu kanale sprzedaży, .Przy tradycyjnych - półkowych, znowu gdzie i w jakim typie sklepów etc. Znowu segmentacja, masa danych osób do pytań.

Promotion (promocja) oooooooooo tu jest kolejna pajda, rozwinięta do kolejnego mix. Promotion Mix. A tu widzę kolejne z tych proponowanych przez autorów zbiorów. Promotion Mix to:

reklama - właśnie za pomocą newsletterów, informatorów etc. Choć niektórzy mówią, że to jest działanie bezpodmiotowe - ja się nie zgadzam za bardzo, bo reklamy już od dawna lecą segmentowo, nawet na stronach po ścieżce się prowadzi gościa, czy tez po preferencjach wcześniej zebranych - dostarcza właściwą reklamę dla osoby.

public relation i publicity - tu bardziej bezoosobowo,

promocje handlowe i promocje dla konsumentów (w strategiach pull i push) - czyli bardzo często docieranie do konkretnych klientów z rabatami, ofertami spec, obniżkami - na podstawie różnych metod segmentacji - od poziomu zakupów po klasyczna segmentacje demograficzną.

To wszystko nadal jest tylko marketingiem w klasycznym ujęciu. Formalnie cel tworzenia takiego zbioru nadal jest jeden - marketing usług lub produktów własnych.

Czy naprawdę w jednym zbiorze możemy wszystko?
A jak nie - to do jakiego stopnia szczegółowości zejść? Bo ja widzę w tym co wyżej napisałem kilkanaście zbiorów, w których cele można sobie wyodrębniać, a do tego w firmach i korporacjach zarządzają tymi danymi różne komórki organizacyjne.

Temat: Każdy sklep internetowy musi zgłosić do rejestracji 6...

Panie Grzegorzu,

Zgadzam się z Panem, że kwestia sklepu internetowego to nie projekt dla dwóch osób, w dodatku wysoko specjalizowanych, lecz zespołu. Podał przykład specjalisty od marketingu. Ja dodałby jeszcze minimum finansistę, specjalistę od sprzedaży (marketing i sprzedaż to wbrew pozorom dwie zupełnie inne działki), logistyka.

Zgadzam się również, że w jednym zbiorze fizycznym, podkreślam fizycznym, nie można pomieścić wszystkiego. Z informatycznego punktu widzenia chociażby dlatego, że rozbudowane zbiory bazodanowe trudno się przetwarza i wymaga to większych mocy obliczeniowych.

Natomiast co do logicznego zbioru danych osobowych to ponieważ uodo wiąże ściśle cel przetwarzania ze zbiorem danych to nie ma sensu rejestrować kilkudziesięciu zbiorów fizycznych tworzących zbiór logiczny. Jeden cel, jeden zbiór danych osobowych.

Oczywiście określenie "cel przetwarzania", jak Pan sam zauważył jest bardzo pojemne. Ale jednak definiowalne i skończone. Jeżeli przetwarzamy dane w celu sprzedaży produktów marki X to nie możemy ich używać w celu sprzedaży marki Y. Chyba, że określimy cel jako sprzedaż produktów w klepie Z. Kruczek prawniczy ale zgodny z prawem. Podobnie jeżeli określimy cel jak marketing produktu X to nie możemy użyć tych danych do sprzedaży produktu X. Dlatego pisałem o wyobraźni autora serwisu.

Piszę to nie bez kozery ponieważ rejestrowałem w GIODO bazę danych, która składała się z kilku tysięcy zbiorów fizycznych (o ilości zbiorów logicznych na nich zbudowanych nie wspomnę), umieszczonych na kilku serwerach i przetwarzanych w kilkunastu krajach. Na podstawie tych liczb może Pan sobie wyobrazić ilość stron wniosku rejestracyjnego GIODO. Czy było to potrzebne ?. Absolutnie nie. Zarejestrowaliśmy jeden zbiór danych klientów firmy X, przetwarzany w celu sprzedaży produktów przez nią dystrybuowanych. Wskazane zostało dokładnie jakie dane osobowe otrzymywane od klientów będą przetwarzane i to wszystko. Baza została zarejestrowana bez żadnego problemu.

Podsumowując. Każdy projekt wymaga zespołu specjalistów potrafiących albo rozwiązać problem albo minimum wskazać kto może ten problem rozwiązać. W przypadku danych osobowych musi to być zespół składający się minimum z prawnika i informatyka. Ponieważ pierwszy zna przepisy a drugi wie co jest co i jak zbudowane. Oczywiście w pewnych przypadkach konieczna będzie również obecność innych specjalistów ale to jest absolutne minimum. Sam prawnik moim zdaniem nigdy nie poradzi sobie z tym problemem.

Temat: Każdy sklep internetowy musi zgłosić do rejestracji 6...

Roman Janas:
W przypadku danych osobowych musi to być zespół składający się minimum z prawnika i informatyka. Ponieważ pierwszy zna przepisy a drugi wie co jest co i jak zbudowane.

To akurat racja - nawet kontrola GIODO składa się conajmniej ze specjalisty IT i osoby obeznanej w zagadnieniach prawnych.

Temat: Każdy sklep internetowy musi zgłosić do rejestracji 6...

Roman Janas:
Panie Grzegorzu,

Oczywiście określenie "cel przetwarzania", jak Pan sam zauważył jest bardzo pojemne. Ale jednak definiowalne i skończone. Jeżeli przetwarzamy dane w celu sprzedaży produktów marki X to nie możemy ich używać w celu sprzedaży marki Y. Chyba, że określimy cel jako sprzedaż produktów w klepie Z. Kruczek prawniczy ale zgodny z prawem. Podobnie jeżeli określimy cel jak marketing produktu X to nie możemy użyć tych danych do sprzedaży produktu X. Dlatego pisałem o wyobraźni autora serwisu.

A czemu kruczek? nawet jedna z przesłanek mówi o marketingu PRODUKTÓW własnych ;-))) Swoją drogą nie wyobrażam sobie rejestracji kilkudziesięciu do kilkuset zbiorów, które różnić się będą tylko nazwą marki i segmentacją opartą na demografii. Bo w sumie przyzwyczajenia klienta, to tez ta praca którą w marketingu się wykonuje - wszak klient w niektórych branżach idzie przez całe życie z produktami firmy ;-)))

Dodam jeszcze, że w niektórych branżach marka własna produktu to też bezpieczeństwo - reputacyjne i ochrona marki "matki".

Podsumowując. Każdy projekt wymaga zespołu specjalistów potrafiących albo rozwiązać problem albo minimum wskazać kto może ten problem rozwiązać. W przypadku danych osobowych musi to być zespół składający się minimum z prawnika i informatyka. Ponieważ pierwszy zna przepisy a drugi wie co jest co i jak zbudowane. Oczywiście w pewnych przypadkach konieczna będzie również obecność innych specjalistów ale to jest absolutne minimum. Sam prawnik moim zdaniem nigdy nie poradzi sobie z tym problemem.

A co z art 36? Zagrożeniami miejscowymi, ppoż etc? Wiem, że w ISO 27001 w wymaganiach jest bezpieczeństwo fizyczne i środowiskowe, ale nieco mi brakuje tych speców w układaniu bezpieczeństwa informacji - nie tylko danych osobowych. Bo jak nam wyjdzie pokój z aktami osobowymi w jednej strefie pożarowej, o dużym obciążeniu ogniowym, to chyba poza zabezpieczeniem przed dostępem, warto by zastosować ochronę przed spaleniem? No i wodą, bo strażacy mają rozmach ;-)))

Temat: Każdy sklep internetowy musi zgłosić do rejestracji 6...

Panie Grzegorzu,

Kruczek ponieważ jak mamy zgodę na markę X a marka Y nie jest nasza własną to musimy ponownie pytać o zgodę. Jeżeli natomiast użyjemy w celu przetwarzania sprzedaż produktów w sklepie Z to możemy używać danych do sprzedaży "mydła i powidła" bez zwracania uwagi na markę.

Co do innych specjalistów od bezpieczeństwa to absolutnie ich nie wykluczam. Oni, że tak powiem są włączeni "z urzędu". W większości wypadków, no może poza ochroną fizyczną, ich opinie i aprobaty wymagane są przez odrębne przepisy (chociażby prawo budowlane), że o zdrowym rozsądku nie wspomnę. Jest również zupełnie paradoksalny powód "wykluczenia". Zwykle, ale nie zawsze dane są chronione w obiektach już użytkowanych czyli spełniających (przynajmniej w teorii) wymagania pozostałych specjalistów od szeroko pojętej ochrony.

Mówiłem o absolutnym minimum i wejściu w istniejąca infrastrukturę. Zgadzam się jednak w pełni z Pan opinią, że przy tworzeniu bezpieczeństwa danych (osobowe są jedynie podzbiorem) konieczne jest minimum zasięgnięcie opinii właśnie między innymi specjalistów od ppoż, BHP, elektryki, nadzoru budowlanego. Szczególnie przy większych lub bardziej złożonych projektach. I z tego właśnie powodu piszę o zespole a nie o tandemie.

Choć w wielu przypadkach (np. gdy dane są przetwarzane w istniejącym centrum hostingowym) ten tandem, jeśli dodatkowo ma otwartą głowę, spełni wymagania minimum.

Temat: Każdy sklep internetowy musi zgłosić do rejestracji 6...

Roman Janas:
Panie Grzegorzu,

Kruczek ponieważ jak mamy zgodę na markę X a marka Y nie jest nasza własną to musimy ponownie pytać o zgodę. Jeżeli natomiast użyjemy w celu przetwarzania sprzedaż produktów w sklepie Z to możemy używać danych do sprzedaży "mydła i powidła" bez zwracania uwagi na markę.

No to tu jedziemy na zgodzie, a nie na marketingu usług własnych. Niezależnie od produktu. Nieco mnie zmyliła marka - nawet dziś miałem kawałek wykładu w temacie ochrony marki i technik rozproszenia w kontekście wycofania produktu z rynku (product recall). Nawiasem mówiąc, podstawa do przetwarzania ciekawa.

Co do innych specjalistów od bezpieczeństwa to absolutnie ich nie wykluczam. Oni, że tak powiem są włączeni "z urzędu". W większości wypadków, no może poza ochroną fizyczną, ich opinie i aprobaty wymagane są przez odrębne przepisy (chociażby prawo budowlane), że o zdrowym rozsądku nie wspomnę. Jest również zupełnie paradoksalny powód "wykluczenia". Zwykle, ale nie zawsze dane są chronione w obiektach już użytkowanych czyli spełniających (przynajmniej w teorii) wymagania pozostałych specjalistów od szeroko pojętej ochrony.

Panie Romanie proszę... ;-))) Ja tak walczę z nurtem "compliance" a Pan mi nóż w plecy ;-))) Nie chodzi mi o zgodność z przepisami, o przeglądy budowlane zależne od kubatury, dopuszczenie obiektu do użytkowania z opiniami PSP i całą masą innych. Czyli zgodność z przepisami prawa.

Ja chciałbym aby ABI wiedział, że są takie przeglądy (roczne lub półroczne), że oceniany jest stan budynku, wraz z uwagami, które mogą być czasem nawet krytyczne dla bezpieczeństwa fizycznego nośników - czy tradycyjnych czy informatyki cieknące okna, świetliki, etc).

Chciałbym, aby ABI wiedział, że jest IBP, strefy pożarowe i zabezpieczenia i ot drobnostkę, że nawet jak ma w strefie miejsce przechowywania danych, to może warto po prostu jedną płytę g-k dołożyć (dokleić) z uszczelnieniem i się podniesie odporność o co najmniej 60 minut.

Takie tips & tricks.

Mówiłem o absolutnym minimum i wejściu w istniejąca infrastrukturę. Zgadzam się jednak w pełni z Pan opinią, że przy tworzeniu bezpieczeństwa danych (osobowe są jedynie podzbiorem) konieczne jest minimum zasięgnięcie opinii właśnie między innymi specjalistów od ppoż, BHP, elektryki, nadzoru budowlanego. Szczególnie przy większych lub bardziej złożonych projektach. I z tego właśnie powodu piszę o zespole a nie o tandemie.

Miód na moje serce ;-)))

Choć w wielu przypadkach (np. gdy dane są przetwarzane w istniejącym centrum hostingowym) ten tandem, jeśli dodatkowo ma otwartą głowę, spełni wymagania minimum.

Zdaje się dlatego, że maja swoje normy i patenty. ;-)))

Temat: Każdy sklep internetowy musi zgłosić do rejestracji 6...

Panie Grzegorzu,

Biję się w pierś i szczerze przepraszam. Nie tylko dlatego, że się z Panem zgadzam ale również dlatego, że mam taką samą opinię na ten temat. Przez co kilkakrotnie moi szefowie patrzyli na mnie krzywym okiem, do czasu.

Niestety widząc co się dzieje chyba jesteśmy w mniejszości. Jak pokazuje tekst, który był inicjatorem tego wątku "słudzy Temidy" próbują zawłaszczyć ten obszar dla siebie mimo, że są ważną ale jedynie częścią problematyki ochrony danych osobowych.

Ale ziarnko do ziarnka i może uda się to zmienić. Oby.

Temat: Każdy sklep internetowy musi zgłosić do rejestracji 6...

Cóż... Trzeba walczyć. trzeba walczyć, aby bezpieczeństwo informacji nie było tylko spełnieniem wymagań z rozporządzenia i ustawy, a żeby dawało wartość dodaną, chroniło istotne interesy firmy etc.

jakoś tam się daje, dziś kolejne potwierdzenia i zlecenia. Więc widać, że kadra, jak ją przekonać, to wcale nei chce tylko zgodności, a chce sensu. ;-)))

Temat: Każdy sklep internetowy musi zgłosić do rejestracji 6...

tak na logikę to macie Panowie absolutną rację, że powinna wystarczyć rejestracja jednego zbioru skoro jest on przetwarzany w jednym systemie informatycznym de facto w jednym celu - sprzedaży przez internet, bo przecież żaden sklep internetowy nie wysyła newslettera w innym celu niż właśnie w celu sprzedaży oferowanych produktów, ale kto Wam obiecał, że nasze prawo i jego interpretacja musi być logiczna - w potocznym tego słowa znaczeniu oczywiście ;-)

na pytanie:
"CZY BAZA KLIENTÓW SKLEPU INTERNETOWEGO PRZETWARZANYCH W RÓŻNYCH CELACH, JAK NP. REALIZACJI ZAMÓWIEŃ, MARKETINGU, PROWADZENIA BAZY UMÓW CYWILNOPRAWNYCH, MOŻE ZOSTAĆ ZGŁOSZONA DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH JAKO JEDEN ZBIÓR DANYCH OSOBOWYCH?"

(przepraszam za duze litery, ale to cytat)

sam GIODO odpowiada:
"Nie, gdyż dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy de facto nie jednego, lecz kilku zbiorów prowadzonych w różnych celach."

pełny tekst i uzasadnienie na stronie
http://www.giodo.gov.pl/330/id_art/3489/j/pl/

a tak na poważnie, taka odpowiedź GIODO wynika prawdopodobnie z niezrozumienia pytania lub chodzi o szczególny przypadek, kiedy sklep zbiera adresy email od osób, które jeszcze nie dokonały zakupu i wtedy faktycznie przetwarzany jest inny zakres danych, który również podlega rejestracji http://www.giodo.gov.pl/330/id_art/3529/j/pl/

przynajmniej chcę w to wierzyć, że to jest tylko nieporozumienie :-)