GoldenLine
Zaloguj się
Rafał Tochman

Rafał Tochman Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...

Temat: Cel przetwarzania danych w sklepie internetowym

Dzień dobry.

Zastanawiam się nad studium przypadku dot. przetwarzania danych w sklepie internetowym. Otóż...
Sklep internetowy sprzedaje powiedzmy elektronikę. W trakcie procesu składania zamówienia nie uzyskuje zgodny na przetwarzanie danych osobowych, przyjmując za przesłankę legalności art. 23.1.3 "jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,". Zamówienie zostaje złożone, o każdym etapie realizacji jestem informowany mailowo, towar dociera do mnie i wszystko jest OK.

Po jakimś czasie dostaję e-mail ze sklepu z informacją o "mega-promocji". Tę ofertę dostaję dlatego, iż ADO uznał, że wysyła ją gdyż "jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych".
Czy rzeczywiście?

ADO (sklep) przetwarzał moje dane zgodnie z 23.1.3 UODO. Czy przesłanka ta nie wygasła wraz ze zrealizowaniem celu, czyli zrealizowaniem zamówienia?
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Cel przetwarzania danych w sklepie internetowym

Witam,
Wg. mnie przesłanka wygasła a ADO wysyłając informację o promocji powinien posiadać odrębną zgodę.
Link do wypowiedziLink
Rafał Tochman

Rafał Tochman Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...

Temat: Cel przetwarzania danych w sklepie internetowym

Bardzo dziękuję za odpowiedź.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Cel przetwarzania danych w sklepie internetowym

Wybacz Piotrze ;-)

A ja mam pytanie. Czy naprawdę ustała przesłanka? Przecież sprzedany towar, a kwity ze sprzedaży jakiś czas trzeba trzymać - prawda? Do czasu ustania tego obowiązku, moim zdaniem przetwarzanie ma miejsce - w formie przechowywania. Sprawdzić trzeba w VAT (ale 5 lat jak nic).

W związku z tym przetwarzać może, a cel z marketingiem (jako w szczególności uprawniony cel realizacji) chyba jednak może być stosowany. Jak dla mnie - na sprzeciw. Plus świadczenie usług droga elektroniczną.
Link do wypowiedziLink

konto usunięte

Temat: Cel przetwarzania danych w sklepie internetowym

Grzegorz K.:
... Przecież sprzedany towar, a kwity ze sprzedaży jakiś czas trzeba trzymać - prawda? Do czasu ustania tego obowiązku, moim zdaniem przetwarzanie ma miejsce - w formie przechowywania. Sprawdzić trzeba w VAT (ale 5 lat jak nic).

Cel przetwarzania jakim jest przechowywanie nie upoważnia do przetwarzania w innym zakresie. Na potrzeby przechowywania nie jest potrzebna zgoda, na wysłanie reklamy jest - tak sądzę.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Cel przetwarzania danych w sklepie internetowym

Cel a przesłanka to to samo?

Bardzo proszę spojrzeć do 23. Każda z tych przesłanek jest SAMODZIELNA. Zgoda, wypełnienie umowy, czy cel administratora. Grzegorz K. edytował(a) ten post dnia 08.03.13 o godzinie 22:28
Link do wypowiedziLink
Rafał Tochman

Rafał Tochman Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...

Temat: Cel przetwarzania danych w sklepie internetowym

Grzegorz K.:
Cel a przesłanka to to samo?

Bardzo proszę spojrzeć do 23. Każda z tych przesłanek jest SAMODZIELNA. Zgoda, wypełnienie umowy, czy cel administratora.

Idąc tym tropem...
Jeśli ADO pozyska i przetwarza dane na podstawie dowolnej przesłanki (z pominięciem 23.1.5), a następnie przesłanka ta wygaśnie, to cały czas może przetwarzać dane osobowe w oparciu o 23.5.1?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Cel przetwarzania danych w sklepie internetowym

Idąc tym tropem, uważnie trzeba się wczytywać w to co robi sklep w ramach obowiązków informacyjnych. I jaki cel jest oznaczony w trakcie zawierania transakcji. Bo ja w 90% widziałem zapis, że dane będą przetwarzane do celu realizacji sprzedaży produktów własnych. A nie tylko do celu realizacji konkretnej, jednej transakcji handlowej.

Podam nieco inny przykład. Zwróćcie uwagę na ogłoszenia o pracę. Szczególnie tam, gdzie działa pośrednictwo pracy. Wszędzie jest klauzula o zgodzie, mimo że... do TEJ JEDNEJ rekrutacji, której dalszym celem jest zatrudnienie - nie jest to potrzebne. Wszak do celu realizacji konkretnej nie ma takiej potrzeby, bo jest 23.1.3.

A więc dla potrzeby studium przypadku - warto by przywołać treść informacji z konkretnego sklepu i dalej możemy dyskutować. Przy okazji, rozumiem, że takie działanie nieco wkurzające, bo masa reklam każdego potrafi wyprowadzić z równowagi, ale czy takim samym problemem interpretacyjnym będzie jeśli zamiast marketingu produktów czy usług własnych, podłożymy dochodzenie roszczeń z tytułu działalności gospodarczej? Drugi przypadek wyliczony w otwartym katalogu prawnie usprawiedliwionych celów - art 23.4.2.
Link do wypowiedziLink

konto usunięte

Temat: Cel przetwarzania danych w sklepie internetowym

Grzegorz K.:
... Bo ja w 90% widziałem zapis, że dane będą przetwarzane do celu realizacji sprzedaży produktów własnych. A nie tylko do celu realizacji konkretnej, jednej transakcji handlowej.


To po co ta cała ustawa ?

W głowie się nie mieści.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Cel przetwarzania danych w sklepie internetowym

A jakim problemem jest przeczytać dokładnie informację przekazaną przez Administratora Danych?
Link do wypowiedziLink

konto usunięte

Temat: Cel przetwarzania danych w sklepie internetowym

Grzegorz K.:
A jakim problemem jest przeczytać dokładnie informację przekazaną przez Administratora Danych?

Nie jest problemem żadnym. Odnoszę tylko wrażenie, że taki zapis jest lekko naciągany. Oczywiście to tylko moje wrażenie.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Cel przetwarzania danych w sklepie internetowym

Ja niestety myślę, że nieco w naszym kraju niezbyt prawidłowo jest postrzegana demokracja. Z jednej strony - chcemy swobody i samodzielności w decydowaniu, z drugiej nie potrafimy z tego korzystać.

Proszę zwrócić uwagę na Facebooka i aplikacje wyłudzające informacje. Ile osób czyta zakres dostępu? Albo instalacja oprogramowania i problemy ze stronami i wyszukiwarkami później, bo się jakieś toolbary integrują, czy strony i ludzie piszą - Grzegorz ratuj, coś mi wlazło. A wlazło, bo się nie przeczytało i nie odhaczyło. Ot w czymś z Adobe nawet jest pasek AVG do skanowania.

Ustawy nie są do tego, żeby działać ZAMIAST naszego myślenia i wyręczać nas w naszym notabene działaniu. One są do podstawowego poziomu bezpieczeństwa. Wszystkie - i te od ochrony danych osobowych i te które mają chronić przed pożarem i zagrożeniami miejscowymi i te od ochrony osób i mienia, czy bliższa temu przypadkowi - ustawa o świadczeniu usług drogą elektroniczną. Wszystkie one ustanawiają jakiś ogólny schemat i szablon systemów zarządzania bezpieczeństwem, czy firm, czy naszym. Naszą rolą jest wypełnić ów schemat działaniami na nieco wyższym szczeblu szczegółów i działań codziennych.

I jest to moim zdaniem doskonałe rozwiązanie, bo nie ma dwóch identycznych ludzi. Dlatego nie możemy narzucać zbyt daleko idących obostrzeń. Proszę porównać introwertyka i ekstraweryka. Ten pierwszy - paranoicznie wręcz chroni informacje o sobie, przy czym zakłada, że te informacje mogę pochodzić tylko od niego. Niestety - jego znajomi o tym nie wiedzą i czasem wrzucą na fejsa czy naszą klasę fotę, czy też podadzą kontakt jakiemuś handlowcowi, bo doskonała okazja i może skorzystać.

Z drugiej strony ekstrawertyk, człowiek który lubi się dzielić wszystkim. Często jako osoba publiczna, na stanowisku (niekoniecznie polityk). Lubi wręcz dostawać oferty na biurko, nie chodzić nie szukać. Jemu mamy odebrać takie prawo, bo ktoś nie potrafi uważnie przeczytać treści notatki informacyjnej?

W tym obszarze i przykładzie nazywa się to informowaniem o ryzyku, czyli aspekt szkoleń z zagrożeń i ryzyka. Tym bardziej istotny, że w naszych rodakach został utrwalony całkowicie błędny schemat. Że do przetwarzania danych osobowych potrzebna jest ZGODA. A to nieprawda - zgoda jest tylko jedną z podstaw.

Przepraszam za nieco mentorski ton, ale często mam takie zagadnienia na szkoleniach "Świadomościowych" - czyli początkowych z bezpieczeństwa informacji - nie tylko danych osobowych. I zawsze schodzimy do konkluzji - ustawa za nas nic nie zrobi. Ustawa może nam pomóc - dając nawet dość mocne narzędzia. Ale znowu wymagana reakcja. GIODO sam nie będzie wiedział - czasem trafi w kontrolach planowanych. Ale potrzeba jednak naszego sygnału, że coś nie tak z danymi osobowymi się dzieje.
Link do wypowiedziLink

konto usunięte

Temat: Cel przetwarzania danych w sklepie internetowym

Grzegorz K.:
... Proszę zwrócić uwagę na Facebooka i aplikacje wyłudzające informacje. Ile osób czyta zakres dostępu? ...

W tym temacie generalnie zgadzam się z Tobą. Podpisywanie (akceptowanie) bez czytania to nasza narodowa wada.

W omawianym jednak przypadku twierdzę, że wielu ten zapis ("do celu realizacji sprzedaży produktów własnych") zrozumie inaczej. To nazywam "obejściem".

Na marginesie Facebook i wyłudzania danych - czytałeś regulamin usług Google, który zawiera między innymi zapis:
użytkownik udziela firmie Google (i jej współpracownikom) ważnej na całym świecie licencji na
wykorzystywanie, udostępnianie, przechowywanie, reprodukowanie, modyfikowanie,
przesyłanie, publikowanie, publiczne prezentowanie i wyświetlanie oraz rozpowszechnianie tych
materiałów, a także na tworzenie na ich podstawie dzieł pochodnych

Link -> http://www.google.pl/intl/pl/policies/terms/regional.html

To dopiero ciekawostka.

p.s.
Kto to przeczytał i świadomie zaakceptował ?Robert B. edytował(a) ten post dnia 10.03.13 o godzinie 08:56
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Cel przetwarzania danych w sklepie internetowym

Jak znam życie - wielu. Podobnie z dropboxami i innymi podobnymi usługami, gdzie w niektórych przypadkach mowa jest o WŁASNOŚCI wręcz. A nie tylko zgodzie na wykorzystanie. Problem w przypadku przechowywania materiałów pomocniczych do publikacji i innych takich - gdzie nie jesteśmy właścicielem i nie mamy prawa takiej zgody wydać.

Też można powiedzieć, że jest to obejście prawa.

Nieco jaśniej - mam artykuł, czy publikację. Wrzucam sobie w takie miejsce, żeby mieć pod ręką, bo piszę swój artykuł i chcę się powołać. Ale google czy inne - zgodnie z tą polityką jaką cytowałeś NABYWA PRAW do dysponowania i eksploatacji tego co wrzuciłem.

Tu można by powiedzieć, że ominięcie prawa autorskiego i pokrewnych w celu wyłudzenia utworów. A tak naprawdę - znowu brak umiejętności czytania.

Nawiasem mówiąc, problem w większości spraw to NASZA interpretacja. Tylko nie wiem czemu NASZA (jak w tym sklepie) ma być lepsza niż CUDZA ;-)
Link do wypowiedziLink

konto usunięte

Temat: Cel przetwarzania danych w sklepie internetowym

Czy przesłanka ta nie wygasła wraz ze zrealizowaniem celu, czyli zrealizowaniem zamówienia?

Oczywiście, że wygasła.
Link do wypowiedziLink

konto usunięte

Temat: Cel przetwarzania danych w sklepie internetowym

Piotr K.:
Wg. mnie przesłanka wygasła a ADO wysyłając informację o promocji powinien posiadać odrębną zgodę.

Jak najbardziej.
Zgodnie z ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Prawnie usprawiedliwiony ce...




Wyślij zaproszenie do
Anuluj