Temat: Kiedy nie musze rejestrować się w GIODO ?

Witam,
prowadzę serwis internetowy. Założyłem przy serwisie Klub. Aby zapisać się do klubu trzeba wypełnić formularz rejestracyjny. Początkowo miał to być rozbudowany formularz z danymi teleadresowymi. Ale potem trafiłem na strony GIODO i w gąszcz przepisów, nakazów, zakazów i tej całej masy administracyjnej. Koszmar. W koncu ograniczyłem swój formularz rejestacyjny do minimum. Pola wymagane to: LOGIN, i adres e-mail. Dobrowolnie internauta wypelnia: płeć*, wiek*, miejscowość*.

Moje pytanie brzmi, czy w dalszym ciągu muszę rejestrować się w GIODO ?

serwis znajduje sie na darmowym serwerze a uzyskane dane nie będą udostępniane osobom trzecim.

pzodrawiam.

Temat: Kiedy nie musze rejestrować się w GIODO ?

Pola wymagane to: LOGIN, i adres e-mail.

Dane osobowe to takie, które identyfikują osobę. Zbiór danych osobowych to uporządkowane dane, które można przeszukiwać wg jakiegoś klucza. Zbiory danych osobowych zewnętrznych trzeba zgłaszać. I teraz uwaga:
adresy mailowe typu:
malinka@o2.pl
tuptunio@wp.pl
są anonimowe;
ale adresy o konstrukcji:
imię.nazwisko@nazwafirmy.com
taki adres wskazuje konkretną osobę pracującą w konkretnej firmie a więc identyfikuje osobę. Zbiór adresów tego typu uporządkowany alfabetycznie jest zbiorem danych osobowych, którego przetwarzanie należy zgłosić do GIODO.
Taką uknułem teorię ale jestem w tym temacie zielonkawy więc może to wszystko stek bzdur... ;)
Bardzo jestem ciekaw opinii fachowców.

Temat: Kiedy nie musze rejestrować się w GIODO ?

Ponieważ nijak nie mogę dać sobie rady z administracyjną masą krytyczna produkującą kolejne punkty i podpunkty ustaw i rozporzadzeń, których sam ustawodawca nie potrafi interpretować ani wykładać uprzejmie dziękuję Panu Piotrowi za podpowiedź w kwestii nazw adresów e-mail. Wydaje się logiczne i zrozumiałe. Super. A co w kwestii danych, które zaznaczam jako opcjonalne ? Nikogo nie zmuszam do ich podawania w formularzu ale jesli ktoś wypełni pola odnośnie wieku, płci i miejscowości ? Powstaje bez wapienia baza danych. Tyle, że podanych dobrowolnie. I jeszcze, co oznacza "zbiór danych zewnętrzy" ? Trzymany na zewnętrznym serwerze ? Ale oni przecież mają swoja politykę ochrony danych ?
pozdrawiam.

Temat: Kiedy nie musze rejestrować się w GIODO ?

Wątek rejestracji przewijał się kilkakrotnie, więc proponowałbym poszukać najpierw informacji, które już zostały podane.
To, że pewne dane nie są wymagane nie zwalnia jeszcze z konieczności rejestracji zbioru i zapewnienia jego ochrony.
To, że firma hostingowa być może ma swoje polityki nie zwalania z konieczności podpisania z nią umowy (kolejny wątek)
Odrębną kwestią jest cel przetwarzania i przez kogo, jeśli jest to przetwarzanie do celów nie zarobkowych przez osobę prywatną to zapewne nie będzie takiej potrzeby.

Sądzę, że jeśli doprecyzujesz swoje pytanie to będziesz mógł oczekiwać bardziej szczegółowych rad.
Pozdr.

Temat: Kiedy nie musze rejestrować się w GIODO ?

Będę szukał informacji panie Adamie zgodnie ze wskazówką (robię to już od jakiegoś czasu) aczkolwiek rozmowa z „mistrzem” jest cenniejsza od marnotrawienia czasu na szukanie (choćby te w końcu okazało się i tak udane). Tudzież doprecyzowuje:
1) Uzyskane przeze mnie dane nie będą przetwarzane. Służą mi tylko w jednym celu. Muszę wydać kartę członka klubu i muszę ją wydać osobie, która się po nią zgłosiła, nie innej, vide: pola wymagane (Login, e-mail,). Koniec.
Jeśli po kartę zgłosi się za pomocą formularza osoba posługująca się loginem, dajmy na to „Pimpek” (absolutnie nie oczekuję, że będzie nazywać się Jan Kowalski ) i poda e-mail np. pimpek@portal.pl, do tego dorzuci dobrowolnie nazwę miejscowości, pleć i przedział wiekowy to mi wystarczy. Oczywiście powstaje baza. Ale jaka ?
„Pimpek” z miasta Łodzi, wiek 20-40 lat, kobieta, posługujący się adresem e-mail pimpek@portal.pl zarejestrował się w … serwisie „nn”. Oczywiście mój „Pimpek” otrzymał kartę klubową o konkretnym numerze, który jest tylko jemu przypisany … ale to wciąż tylko … pimpek a nie Jan Kowalski (nikomu nie umniejszając, Login jest trochę lekceważący tylko i wyłącznie dla podkreślenia absurdu sytuacji). Pimpek, będzie używał karty i czerpał z niej profity w różnych miejscach ale nikt nigdy nie zapyta go skąd jest, jak się nazywa, jaki ma adres e-mail etc. W każdym bądź razie nie będzie zobligowany do udzielenia odpowiedzi. De facto jest baza, Pimpków, Puszków, Krasnali, Wróżek … . Ale czy po czymś takim, ktoś może zorientować się kim jest ów tajemniczy członek Klubu ? Jeśli tak to …. rispect !
2) Tak, serwis będzie czerpał korzyści finansowe tytułem wydania karty klubowej. Wydaje mi się, że docelowa baza może liczyć nawet 3000 członków.
3) Nie chce być złodziejem i chce działać w świetle prawa, dlatego szukam jasnej czytelnej odpowiedzi. Rejestrować to czy nie ? Coś mi mówi, że zgłoszenie bazy do GIODO to będzie, totalny kanał.

Temat: Kiedy nie musze rejestrować się w GIODO ?

I jeszcze, co oznacza "zbiór danych zewnętrzy" ? Trzymany na
zewnętrznym serwerze ?

Nieprecyzyjnie się wyraziłem... Dane "wewnętrzne" to dane np. kadrowo-płacowe pracowników Twojej firmy. A "zewnętrzne" to dane innych osób, które to dane z jakichś powodów przetwarzasz.
Art. 3 ustawy mówi o tym kiedy się tę ustawę stosuje a kiedy nie.
http://giodo.gov.pl/data/filemanager_pl/473.pdf
Osoba fizyczna nie stosuje ustawy dla celów osobistych lub domowych.
Ale gdy jako osoba fizyczna gromadzisz dane w celach statutowych to i owszem. Klub pewnie będzie miał jakiś statut?
http://pl.wikipedia.org/wiki/Statut
:)
To takie puste, teoretyczne rozważania...
Jeśli mogę coś niefachowo doradzić - załóż sobie człowieku klub, niech się ludzie rejestrują i miło czas spędzają. Ludzie przezorni nie wykorzystują adresów służbowych do celów prywatno-rozrywkowych więc jeśli dostaniesz na formularzu dane typu: malgosia44@buziaczek.pl, kobieta, 18 lat, Zgierz - to nie są dane osobowe a więc zbiór ten nie podlega żadnym przepisom.
Pozdrawiam serdecznie
Sąsiad z Nowego Dworu M.

Temat: Kiedy nie musze rejestrować się w GIODO ?

Waldemar Andrzejewski:
Będę szukał informacji panie Adamie zgodnie ze wskazówką (robię to już od jakiegoś czasu) aczkolwiek rozmowa z „mistrzem” jest cenniejsza od marnotrawienia czasu na szukanie (choćby te w końcu okazało się i tak udane).

Do rozmowy z "mistrzem" dobrze jest się przygotować, chociaż w podstawowy sposoób, żeby ne tracić jego czasu na odpowiadanie na pierdoły. Widać, że nie zadałeś sobie trudu, żeby przeczytać ze zrozumieniem chociaż ustawę.

Tudzież doprecyzowuje:
1) Uzyskane przeze mnie dane nie będą przetwarzane. Służą mi tylko w jednym celu. Muszę wydać kartę członka klubu i muszę ją wydać osobie, która się po nią zgłosiła, nie innej, vide: pola wymagane (Login, e-mail,). Koniec.

Podstawowy błąd osób, które nie przeczytały ustawy. Przetwarzanie rozpoczyna się w momencie zbierania danych a kończy się po ich usunięcu. Tak więc przetwarzasz dane osobowe.
Art. 7
[...]
2) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych
osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
[...]

Jeśli po kartę zgłosi się za pomocą formularza osoba posługująca się loginem, dajmy na to „Pimpek” (absolutnie nie oczekuję, że będzie nazywać się Jan Kowalski ) i poda e-mail np. pimpek@portal.pl, do tego dorzuci dobrowolnie nazwę miejscowości, pleć i przedział wiekowy to mi wystarczy. Oczywiście powstaje baza. Ale jaka ?
„Pimpek” z miasta Łodzi, wiek 20-40 lat, kobieta, posługujący się adresem e-mail pimpek@portal.pl zarejestrował się w … serwisie „nn”. Oczywiście mój „Pimpek” otrzymał kartę klubową o konkretnym numerze, który jest tylko jemu przypisany … ale to wciąż tylko … pimpek a nie Jan Kowalski (nikomu nie umniejszając, Login jest trochę lekceważący tylko i wyłącznie dla podkreślenia absurdu sytuacji). Pimpek, będzie używał karty i czerpał z niej profity w różnych miejscach ale nikt nigdy nie zapyta go skąd jest, jak się nazywa, jaki ma adres e-mail etc. W każdym bądź razie nie będzie zobligowany do udzielenia odpowiedzi. De facto jest baza, Pimpków, Puszków, Krasnali, Wróżek … . Ale czy po czymś takim, ktoś może zorientować się kim jest ów tajemniczy członek Klubu ? Jeśli tak to …. rispect !

Jeżeli w zbiorze danych znajdzie się chociaż jedna osoba, która poda login: Rafał Skarżyński, adres: rafal@skarzynski.net (analogia), to Twój zbiór staje się zbiorem danych osobowych i podlega ustawie. Zanim nie zarejestruje się taki idiota, Twój zbiór nie jest zbiorem danych osobowych, ale co zrobisz, jeżeli taki ktoś z adresem e-mail pozwalającym na jego identyfikację się znajdzie?
Możesz zastrzec to w regulaminie (ale kto czyta ze zrozumieniem regulamin), albo usuwać takie adresy i loginy - wtedy jednak przetwarzasz już te dane przez krótką chwilę.

2) Tak, serwis będzie czerpał korzyści finansowe tytułem wydania karty klubowej. Wydaje mi się, że docelowa baza może liczyć nawet 3000 członków.

Jeżeli klub bęzie czerpał korzyści, to nie jest to przetwarzanie w celach domocych, prywatnych i dnia codziennego. Jeżeli znajdą się tam dane podchodzące pod do, to podlegasz automagicznie pod ustawę.

3) Nie chce być złodziejem i chce działać w świetle prawa, dlatego szukam jasnej czytelnej odpowiedzi. Rejestrować to czy nie ? Coś mi mówi, że zgłoszenie bazy do GIODO to będzie, totalny kanał.

A teraz poza konkursem. Po raz kolejny powiadam, że nie jest problemem zgłoszenie bazy do GIODO, ale przetwarzając dane musisz je zabezpieczyć i stworzyć odpowiednie procedury i całą papierologię. Zgłoszenie to pikuś. W przypadku, jeżeli Twój zbiór będzie zawierał dane osobowe, ale nie będziesz wysyłał do użytkowników korespondencji reklamowych, to nie musisz rejestrować bazy w GIODO, ale musisz ją zabazpieczyć. Ale jeżeli chociaż raz wyslesz do nich przesyłkę marketingową i rozszerzysz przetwazanie zbioru poza poza cele związane z podstawową obsługą członkostwa, to już rejestracja zbiowu jest konieczna.

A tak już zupełnie poza konkursem...
http://isip.sejm.gov.pl/servlet/Search?todo=file&id=WD...
czyli ustawa o świadczeniu usług drogą elektroniczną. :)
Miłej lektury.Rafał "NOMAD" S. edytował(a) ten post dnia 25.04.09 o godzinie 07:16

Temat: Kiedy nie musze rejestrować się w GIODO ?

Jeżeli w zbiorze danych znajdzie się chociaż jedna osoba, która poda login: Rafał Skarżyński, adres: rafal@skarzynski.net (analogia), to Twój zbiór staje się zbiorem danych osobowych i podlega ustawie. Zanim nie zarejestruje się taki idiota, Twój zbiór nie jest zbiorem danych osobowych,
ale co zrobisz, jeżeli taki ktoś z adresem e-mail pozwalającym
na jego identyfikację się znajdzie?

Z całym szacunkiem dla Pana Rafała w tym miejscu się nie zgadzam.
Dane osobowe to takie, które jednoznacznie identyfikują osobę. Przytoczony przykład to nie są dane osobowe. Taki adres mailowy w takiej domenie może sobie założyć każdy na dowolne nazwisko i w prosty sposób się nie dojdzie do konkretnego człowieka. Co innego adres jan.kowalski@sklepzpieluchami.pl. Uruchamiasz przeglądarkę, wpisujesz http://sklepzpieluchami.pl, odnajdujesz adres firmy (wiesz już gdzie pracuje), telefon, dzwonisz, pytasz czy Jan Kowalski jest teraz w pracy, jedziesz i wskazujesz palcem tego faceta. To są dane osobowe.
Wydaje mi się, że wyjątki od tej reguły to adresy typu johny.english@microsoft.com. Spróbuj namierzyć konkretnego człowieka ;). Jak mówi ustawa w art.6 jeśli zidentyfikowanie osoby wg posiadanych danych wymaga nadmiernych kosztów, czasu, działań to nie są to dane osobowe.
Pozdrawiam

Temat: Kiedy nie musze rejestrować się w GIODO ?

Tak sobie pozwolę wtrącić trzy grosze.
Literalnie rzecz biorąc jak się trafi bodaj jedna osoba, którą można jednoznacznie zidentyfikować na podstawie adresu mailowego to będą to już dane osobowe :-( bez nadmiernych kosztów rzecz jasna.
Smutne to ale co do zasady niesie konsekwencje, z których konieczność rejestracji zbioru jest czynnością wymagającą najmniejszego wysiłku. Zbiór niezależnie od konieczności rejestracji wymaga odpowiedniej ochrony (ustawa i rozporządzenie to precyzują). W szczególności dotyczy to powierzenia przetwarzania danych – hosting, składowanie.
Tyle teorii.

Praktyka, jaka jest taka jest, cicha i milcząca.

Zamiast szukać możliwości jak obejść ustawę proponuję skoncentrować się zamierzonych celach biznesowych i informacjach jakich Pan potrzebuję do osiągnięcia celu. Po prostu maksymalizować korzyści biznesowe. Wtedy można budować rozwiązanie zgodnie z wymaganiami ustawy i po prostu wdrożyć wymagana środki ochrony i zarejestrować zbiór.

Jeśli chce mieć Pan 100% pewność działania zgodnie z prawem, to proponuję rozważyć wynajęcie firmy lub specjalisty który się tym dla Pana zajmie.

Życzę powodzenia w realizacji zamierzenia i realizacji celów biznesowych.

Pozdr.

Adam

Temat: Kiedy nie musze rejestrować się w GIODO ?

Piotr Kirpsza:

Jeżeli w zbiorze danych znajdzie się chociaż jedna osoba, która poda login: Rafał Skarżyński, adres: rafal@skarzynski.net (analogia), to Twój zbiór staje się zbiorem danych osobowych i podlega ustawie. Zanim nie zarejestruje się taki idiota, Twój zbiór nie jest zbiorem danych osobowych,
ale co zrobisz, jeżeli taki ktoś z adresem e-mail pozwalającym
na jego identyfikację się znajdzie?

Z całym szacunkiem dla Pana Rafała w tym miejscu się nie zgadzam.
Dane osobowe to takie, które jednoznacznie identyfikują osobę. Przytoczony przykład to nie są dane osobowe. Taki adres mailowy w takiej domenie może sobie założyć każdy na dowolne nazwisko i w prosty sposób się nie dojdzie do konkretnego człowieka.

I tu właśnie widać różnicę pomiędzy tym co pyta, a tym co już jakiś czas się zajmuje tymi sprawami. :)
Jeżeli nie wierzysz w moją interpretację, to udaj się do swoje ABI urzędzie i zapytaj, czy przytoczony mój przykład to już są dane osobowe.
Akurat podany mój przypadek jest bardzo dobry, ponieważ domena jest moja i zawartość strony pozwala na identyfikację mojej osoby.
Chyba nawet nie zadałeś sobie trudu zajrzenia na ową stronę.
Poszukaj wypowiedzi p. Serzyckiego na temat adresów e-mail... gdzieś w sieci jest :)

Co innego adres jan.kowalski@sklepzpieluchami.pl. Uruchamiasz przeglądarkę, wpisujesz http://sklepzpieluchami.pl, odnajdujesz adres firmy (wiesz już gdzie pracuje), telefon, dzwonisz, pytasz czy Jan Kowalski jest teraz w pracy, jedziesz i wskazujesz palcem tego faceta. To są dane osobowe.

Tu bym akurat polemizował. Można te dane rozpatrywać jako dane w relacja B2C i B2B, czyli dane kontaktowe pracownika - bo jest to jego służbowy mail.
Była swego czasu opinia GiODO na temat umieszczania nazwisk, zdjęć i wizerunków pracowników na stronach firmowych. To zahacza się z tym tematem.

Wydaje mi się, że wyjątki od tej reguły to adresy typu johny.english@microsoft.com. Spróbuj namierzyć konkretnego człowieka ;). Jak mówi ustawa w art.6 jeśli zidentyfikowanie osoby wg posiadanych danych wymaga nadmiernych kosztów, czasu, działań to nie są to dane osobowe.
Pozdrawiam

A poza wszytskim, to zgadzam się z Adamem. Zamias kombinować i próbować kopać się z koniem, spróbuj dobrze zabezpieczyć zbiory.
Pozdrawiam i idę na ognisko.
Pozdrowienia z Serw :)

Temat: Kiedy nie musze rejestrować się w GIODO ?

Bardzo dziękuję za wszelkie przekazane informacje. Zaoszczędziliście mi panowie mnóstwo czasu, który mogłem wykorzystać i wykorzystałem w inny pożyteczny sposób. Ale po to przecież są fora, prawda ? Nie chce, żeby zabrzmiało to źle. Naprawdę znam się na wielu rzeczach, jestem fotografem, grafikiem, organizatorem, animatorem, managerem, dziennikarzem i w pewnym sensie programistą. Na "giodo" po prostu nie mam już czasu, bo i tak mam już łeb jak koń. Jeszcze raz dziękuję za cenne wskazówki.
pozdrawiam.

Temat: Kiedy nie musze rejestrować się w GIODO ?

Akurat podany mój przypadek jest bardzo dobry, ponieważ domena jest moja i zawartość strony pozwala na identyfikację mojej osoby.
Chyba nawet nie zadałeś sobie trudu zajrzenia na ową stronę.

Biję się w swoje wątłe piersi aż huczy... Faktycznie źle odczytałem adres i wyszło mi nie wiem jakim cudem "rafal.skarzynski@net".

Poszukaj wypowiedzi p. Serzyckiego na temat adresów e-mail... gdzieś w sieci jest :)

Znalazłem tylko o adresach IP. Jak byś podesłał kiedyś namiar na stanowisko Serzyckiego nt. adresów mailowych to byłbym wdzięczny.
A tymczasem dziękuję za naukę i liczę na jeszcze.

Pozdrawiam i idę na ognisko.

Ja właśnie wróciłem z ogniska. ;)

Temat: Kiedy nie musze rejestrować się w GIODO ?

W jakich okolicznościach adres poczty elektronicznej należy zaliczyć do danych osobowych, w rozumieniu przepisów ustawy o ochronie danych osobowych?

Zgodnie z art. 6 ust. 1 ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Jednocześnie ust. 2 precyzuje, że osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3 ustawy). W myśl art. 6 ust. 1 ustawy za dane osobowe uznaje się zarówno takie informacje, które pozwalają bezpośrednio na określenie tożsamości konkretnej osoby, jak również takie, które nie pozwalają na jej natychmiastową identyfikację, są jednakże przy pewnym nakładzie kosztów, czasu lub działań wystarczające do jej ustalenia. Nie stanowią natomiast danych osobowych takie informacje, na podstawie których nie jest możliwe zidentyfikowanie osoby oraz takie, na podstawie których wprawdzie można byłoby ją zidentyfikować, lecz wiązałoby się to z nadmiernymi kosztami, czasem lub działaniami. W świetle przywołanego wyżej art. 6 ustawy adres poczty elektronicznej bez żadnych dodatkowych informacji umożliwiających ustalenie tożsamości osoby, co do zasady, nie zalicza się do danych osobowych. Wyjątkiem jest sytuacja, gdy jego elementy pozwalają bez nadmiernych kosztów, czasu lub działań na ustalenie na ich podstawie tożsamości danej osoby.

ABC wybranych zagadnień z ustawy o ochronie danych osobowych

Temat: Kiedy nie musze rejestrować się w GIODO ?

dość często da się wpisać adres email do tej czy innej wyszukiwarki i kieruje nas na stronę gdzie mamy imię nazwisko, miejsce urodzenia, datę urodzenia, czasem adres...
Moim zdaniem wpisanie adresu email w 10 wyszukiwarek nic nie kosztuje i nie wymaga nadmiernych nakładów,
tak więc czy adres malinka@o2.pl wtedy też jest daną osobową ? czy nie ?

Temat: Kiedy nie musze rejestrować się w GIODO ?

Tak, nawet adres z pozoru wyglądający na anonimowy po wpisaniu go w wyszukiwarki kieruje do danych osobowych lub informacji po których można klienta zidentyfikować.