GoldenLine
Zaloguj się

konto usunięte

Temat: Sklep i dane osobowe

Wiekszosc sklepow internetowych nie rejestruje zbiorow danych osobowych w urzedach. Czy robia dobrze? Czy nic im nie grozi? Bo z tego co roumiem, to kazdy administrator (wlasciciel sklepu) powinien taki zbior danych osobowych zglosic. Jednak nie wiele sklepow internetowych to czyni.

"Tymczasem należy wziąć pod uwagę przynajmniej dwa artyukuły ustawy, które podważają to stanowisko: art. 53 (kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze...) oraz art. 40 (administrator danych jest obowiązany zgłosić zbiór do rejestracji Generalnemu Inspektorowi...).

Podsumowując: jeżeli samo zbieranie danych jest już ich przetwarzaniem to należy przyjąć, że zbiór powinien być zgłoszony do rejestru co najmniej w momencie rozpoczęcia tworzenia zbioru."

I tu moje pytanie. Czy ktos sie orientuje gdzie, jak i ile kosztuje zgloszenie zbioru danych osobowych i jak to sie zalatwia?
Link do wypowiedziLink
Leszek Wolany

Leszek Wolany Digital marketing /
E-commerce Manager

Temat: Sklep i dane osobowe

w sklepie internetowym nie ma takiego obowiązku
Na podstawie Art. 43 par 8 Ustawy o ochronie danych osobowych:

"1.Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej"

i za takie własnie traktuje się dane udostępniane w sklepach internetowych, dane które zbierasz są niezbędne do realizacji zamówienia i wystawienia faktury.

Jesli dalej chcesz zgłaszac http://giodo.gov.pl
Link do wypowiedziLink

konto usunięte

Temat: Sklep i dane osobowe

Leszek W.:i za takie własnie traktuje się dane udostępniane w sklepach internetowych, dane które zbierasz są niezbędne do realizacji zamówienia i wystawienia faktury.


Tak, zgadza się ale tylko w przypadku jednorazowej realizacji zamowienia. Jednak gdy klient zarejestruje sie w sklepie, otrzyma login i haslo aby moc kontrolowac status zamowienia, skladac nastepne zamowienia to juz wtedy tworzy sie zbior danych osobowych i wtedy trzeba zglosic taki zbior.

Czyli nie trzeba zglaszac do GIODO gdy wszyscy klienci dokonuja zakupow bez procesu rejestracji w sklepie a trzeba zglaszac gdy klienci rejestruja sie aby kupic cos w naszym sklepie. Czyz nie?

Najwieksze sklepy maja zarejestrowane takie zbiory - te mniejsze nie.


Andrzej G. edytował(a) ten post dnia 21.02.07 o godzinie 19:06
Link do wypowiedziLink
Leszek Wolany

Leszek Wolany Digital marketing /
E-commerce Manager

Temat: Sklep i dane osobowe

no tak tworzy się zbiór, ale nadal jest to zbiór wykorzystywany do realizacji zamówien, i wystawiania dokumentów rozliczeniowych (faktury)

proponuje zapytac u źródła, czy trzeba to rejestrowac, moim zdaniem nie, ale moge się mylic


Leszek Wolany edytował(a) ten post dnia 21.02.07 o godzinie 20:17
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Sklep i dane osobowe

Zbiór nie musi być rejestrowany jeżeli dane są wykorzystywane jedynie w celu wystawienia faktury, itd. W takim wypadku nie musimy też prosić o zgodę na przetwarzanie danych. W żaden sposób nie zwalnia nas to z obowiązku zabezpieczenia danych, zgodnego z ustawą i powiązanym rozporządzeniem.

Jeżeli dane wykorzystamy w jakimkolwiek innym celu, np. wyślemy klientowi maila z jakąkolwiek informacją, to musimy posiadać jego zgodę na przetwarzanie danych, a zbiór zarejestrować w GIODO.

Ciekawy przypadek ma miejsce wówczas, gdy dane klienta wykorzystujemy dla jego ponownego logowania w systemie. Nie znam tu żadnej obowiązującej wykładni. Myślę, że mamy dwa bezpieczne wyjścia:
-Nie wiązać identyfikatora klienta z jego danymi osobowymi. Rozumem to w ten sposób, że dane osobowe są pobierane z systemu dopiero w momencie gdy generujemy fakturę. Wraz z identyfikatorem użytkownika możemy przechowywać dane nie będące danymi osobowymi, np. imię.
Trochę to naciągane, ale uważam, że nie ma dużego znaczenia techniczna realizacja. Ważne, że do danych nie będzie dostępu w innym momencie, niż w momencie dostępu do faktury.
-Profilaktycznie zgłaszamy zbiór do GIODO. Nie wymaga to wiele pracy (bo zabezpieczenie wymienione na zgłoszeniu i tak mamy obowiązek wdrożyć) i nic nie kosztuje.
Link do wypowiedziLink

konto usunięte

Temat: Sklep i dane osobowe

Chciałbym podrążyć jeszcze ten temat. Jasną rzeczą jest że o ile sklep przetwarza dane wyłącznie do celów stricte sklepowych to zbiór taki nie podlega obowiązkowi rejestracji, a w przypadku planowania mailingu typu newsletter - warto taki zbiór zgłosić. A jak wygląda temat rozsyłania wiadomości stricte technicznych, np. informacji o konserwacji systemu itp? Czy obliguje to właściciela serwisu do zgłoszenia zbioru?
Link do wypowiedziLink

konto usunięte

Temat: Sklep i dane osobowe

Sebastian Sieńko:
Chciałbym podrążyć jeszcze ten temat. Jasną rzeczą jest że o ile sklep przetwarza dane wyłącznie do celów stricte sklepowych to zbiór taki nie podlega obowiązkowi rejestracji, a w przypadku planowania mailingu typu newsletter - warto taki zbiór zgłosić. A jak wygląda temat rozsyłania wiadomości stricte technicznych, np. informacji o konserwacji systemu itp? Czy obliguje to właściciela serwisu do zgłoszenia zbioru?

Troszeczkę mylisz - obowiązkowi rejestracji nie podlega zbiór danych przetwarzanych do celów nie stricte sklepowych, tylko wyłącznie finansowych, czyil wystawienie faktury lub rachunku.
Ale jeśli - sytuacja najprostsza - przetwarzasz dane klienta w celu personalizacji oferty (np. po zalogowaniu aplikacja sprawdza, co klient najczęściej kupował, z jakiej kategorii produkty najczęściej oglądał itp i na tej podstawie wyświetla mu produkty na pierwszej stronie, jednocześnie pisząc na górze "Witaj Stachu"), to jest to dalej cel jak najbardziej sklepowy, ale jedocześnie nie spełnia warunków wyłączenia z obowiązku rejestracji. Czyli jeśli wykorzystujesz dane do personalizacji oferty, to już musisz rejestrować.
I do wszystkich innych celów poza wystawieniem faktury, rachunku lub w celu prowadzenia sprawozdawczości finansowej.
Link do wypowiedziLink

konto usunięte

Temat: Sklep i dane osobowe

Ta odpowiedź jest bardzo wyczerpująca. Myślę że rozwiewa to dużą część moich wątpliwości.
Link do wypowiedziLink
Maria L.

Maria L. Wiceprezes Zarządu,
współwłaściciel /
iSecure Sp. z o.o.

Temat: Sklep i dane osobowe

To ja postaram się je jeszcze bardziej rozwiać ;) załączając wpis z bloga mojego kolegi:

"...Co jakiś czas pojawia się w sieci pytanie, czy sklep internetowy musi rejestrować zbiory w GIODO. W poniższym poście spróbuję chwilę zająć się tym tematem.
Ustawa o ochronie danych osobowych w art. 43 ust. 1 wskazuje administratorów danych, którzy zwolnieni są z obowiązku rejestracji zbiorów w GIODO. Przy okazji sklepu internetowego pod uwagę można brać przesłankę w myśl której rejestracja nie jest wymagana, gdy przetwarzanie następuje wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. A zatem na dobry początek właściciel sklepu powinien się zastanowić czy będzie przetwarzał dane osobowe klientów tylko w takim właśnie celu. Jeśli tak, to trzymając się przepisów, nie trzeba rejestrować zbiorów w GIODO. Jeżeli jednak pojawiła by się chęć wykorzystania danych do innych celów, być może wówczas konieczny stałby się stosowny wniosek do ww. urzędu. Tak na szybko można sobie wyobrazić kilka innych celów, które mogą być atrakcyjne z punktu widzenia przedsiębiorcy prowadzącego sklep internetowy, a mianowicie: cel marketingowy, marketing własnych produktów, cel statystyczny, cel informacyjny dla przedsiębiorcy (preferencje klientów) etc. Często też sklep internetowy umożliwia zamówienie niedostępnego towaru, który w jakimś okresie zostanie dopiero sprowadzony przez firmę, a dopiero potem wysłany do klienta, podczas, gdy jego dane cały czas pozostają w posiadaniu przedsiębiorcy. Do wcześniej wskazanych celów dorzuciłbym jeszcze zachowanie danych dla celów reklamacji oraz windykację.
Podsumowując - wydaje się, że bezpieczniejszym rozwiązaniem dla właściciela sklepu będzie zarejestrowanie zbioru danych w GIODO. A to oznacza, że firma musi spełnić szereg wymogów określonych w ustawie o ochronie danych osobowych oraz w aktach wykonawczych (m.in. posiadać politykę bezpieczeństwa oraz instrukcję zarządzania, upoważnienia do przetwarzania danych).
Zachęcam też do rzucenia okiem na platformę e-GIODO, gdzie można podejrzeć wnioski rejestracyjne kilku większych sklepów internetowych np. Merlin.pl..."

Od siebie dodam, tak jak zostało wspomniane wcześniej, przeważnie takie sklepy umożliwiają ponowne logowanie, a tym samym wykluczają przetwarzanie tych danych wyłącznie w celu wystawienia faktury.

Pozdrawiam!
Marysia
Link do wypowiedziLink

konto usunięte

Temat: Sklep i dane osobowe

Ta odpowiedź nie już pozostawia śladu wątpliwości.
Puentując powyższą dyskusję - czy zarejestrowanie zbioru w GIODO to typowo biurokratyczne rozbijanie głową muru i nieustanne modły o pozytywne widzimisię urzędników, czy raczej jest to procedura do przejścia w czasie skończonym, lub wręcz względnie krótkim? Pytanie to kieruję do doświadczonych kolegów!
Link do wypowiedziLink
Rafał Rynkiewicz

Rafał Rynkiewicz analityk
biznesowo-systemowy
+ robię w
internetach, w
eco...

Temat: Sklep i dane osobowe

Rejestrowałem. Sprawa prosta w kwestii samej rejestracji.
Wypełniasz wniosek (formularz elektroniczny) na ich stronie. Musisz
przede wszystkim określić jakie dane i w jakim celu zbierasz.
Drukujesz wniosek i przesyłasz listem poleconym.

We wniosku jest masa beznadziejnych pytań w szczegółach o zabezpieczenie miejsca przechowywania danych - czyli zazwyczaj serwerowni.

No i musisz w sklepie samym już spełnić wymogi takie jak: informowanie przy rejestracji kto przetwarza dane, że mają ludzie prawo zmieniać i usuwać swoje dane, muszą wyrażać zgodę na to przetwarzanie... i takie tam standardowe sprawy :]Rafał Rynkiewicz edytował(a) ten post dnia 22.01.10 o godzinie 14:22
Link do wypowiedziLink

konto usunięte

Temat: Sklep i dane osobowe

No nic. Kiedyś musi być ten pierwszy raz.
Link do wypowiedziLink
Maria L.

Maria L. Wiceprezes Zarządu,
współwłaściciel /
iSecure Sp. z o.o.

Temat: Sklep i dane osobowe

Z racji tego, że zajmuję się tym zawodowo i niejeden wniosek zrobiłam to chętnie podpowiem co oznacza jakiś niejasny zapis we wniosku ;). I nie bójcie się – nie wystawię za to faktury ;).
Link do wypowiedziLink

konto usunięte

Temat: Sklep i dane osobowe

Postaram się załatwić temat samodzielnie, ale dziękuję za życzliwość - w razie potrzeby skorzystam :)
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Sklep i dane osobowe

W praktyce można przyjąć, że każdy sklep internetowy powinien zarejestrować zbór danych w GIODO. Prawdopodobnie będzie to nawet więcej niż jeden zbiór.

-Przetwarzanie danych wyłącznie w celu wystawienia faktury (ale dostawy towaru – już nie!) nie wymaga rejestracji zbioru.
-Przetwarzanie danych w celu realizacji umowy (również umowy sprzedaży) nie wymaga uzyskania zgody na przetwarzanie danych.

Jeżeli zatrudniamy pracowników, nie zapominajmy o zbiorach z tym związanych – nie wszystkie zgłasza się do GIODO, ale należy uwzględnić je w dokumentacji. Innymi słowy, z faktu, że nie mamy obowiązku zgłoszenia konkretnego zbioru, nie wynika, że jesteśmy zwolnieni z pozostałych obowiązków.

Brak konieczności uzyskania zgody, nie zwalnia nas z dopełnienia obowiązku informacyjnego! Generalnie, nie zapominajmy o innych niż zgłoszenie zbioru obowiązkach oraz obowiązkach wynikających z ustawy o świadczeniu usług drogą elektroniczną.

Zgłoszenie zbiorów w GIODO nie jest problemem, zwykle jest to najłatwiejszy element całego procesu – zauważmy jednak, że na druku zgłoszenia oświadczamy, że mamy opracowaną politykę bezpieczeństwa zgodną z ustawą. Opracowanie polityki bezpieczeństwa, instrukcji zarządzania oraz wymaganych przez nie rejestrów jest zwykle najbardziej pracochłonne.

I jeszcze jeden drobiazg – zwykle sklepy korzystają z usług firm hostingowych, a w takim wypadku mają obowiązek zawarcia na piśmie umowy powierzenia danych do przetwarzania.
Korzystanie z usług firm kurierskich (nie gwarantujących tajemnicy korespondencji zgodnie z prawem pocztowym) również wymaga podpisania takiej umowy.

Na szczęście dla osób zajmujących się tworzeniem dokumentacji związanej z ochroną danych, widzimy coraz większą świadomość obowiązków wynikających z ustawy o ochronie danych osobowych i ustawy o świadczeniu usług drogą elektroniczną...Jarosław Żabówka edytował(a) ten post dnia 27.01.10 o godzinie 16:02
Link do wypowiedziLink
Rafał Rynkiewicz

Rafał Rynkiewicz analityk
biznesowo-systemowy
+ robię w
internetach, w
eco...

Temat: Sklep i dane osobowe

Tu jest to dobrze przystępnie opisane: http://k2hosting.pl/atuty/ochrona-danych-osobowych.aspx
Pierwszy raz widzę by firma hostingowa (no ok... K2 nie jest firmą dla przeciętnej strony) opisywała u siebie to zagadnienie.

Ma ktoś hosting wirtualny i załatwiał z firmą hostingową (NetArt, KEI, NQ, Home...) tą kwestię?
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Sklep i dane osobowe

Przygotowywałem dokumentację i umowy powierzenia dla kilku serwisów. Generalnie duzi hostingodawcy wiedzą o co chodzi i mają przygotowane odpowiednie dokumenty, za to nie można liczyć o ich ewentualne uszczegółowienie pod konkretne wymagania.
W małych firmach sytuacja zwykle wygląda beznadziejnie i nawet gdy przekona się ich do podpisania umowy i tak nie ma liczyć, że się będą z obowiązków wywiązywać (a pamiętajmy, że powierzenie danych nie zdejmuje odpowiedzialności z ADO).
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Dane osobowe w sklepie -GIODO




Wyślij zaproszenie do
Anuluj