Temat: Jedyny obowiązek ADO - rejestracja zbioru! - jak walczyć...

Klient ostatnio przesłał mi link do takiej strony:
http://blog.istore.pl/2010/04/19/ochrona-danych-osobow...
Wszystko niby świetnie - jest SSL, jest bezpieczne oprogramowanie sklepu i jest informacja o obowiązku rejestracyjnym baz danych osobowych. Niemniej dalej już trudniej: firma podsuwa wypełniony wzór wniosku rejestracyjnego ale już nie informuje klienta o innych obowiązkach jakie nakłada na ADO UODO
tylko stwierdza:
Pod względem formalnym, Twoim zadaniem jest wyłącznie zgłoszenie bazy danych zarejestrowanych użytkowników do GIODO.
Wysłałam zapytanie do firmy jak rozwiązują kwestię sporządzania dokumentacji czy wyznaczenia ABI ( te pola domyślnie w prezentowanym wniosku rejestracyjnym są oczywiście zaznaczone) - otrzymałam informację:
"Terminy, o które Pani pyta związane są z technicznymi procedurami zabezpieczenia zbioru danych osobowych, a te wykonywane są przez platformę iStore."
Tyle, ze iStore nie jest ADO, co najwyżej Klienci powierzają im dane do przetwarzania. A zatem według mnie jest to ewidentne wprowadzanie ludzi w błąd i narażanie ich na straty w przypadku kontroli GIODO - czy to na utratę reputacji czy to na straty finansowe.
Dopiero w 4 mailu wyjaśnili: "To Pani jako podmiot odpowiedzialny za prowadzenie sklepu ma obowiązek stworzenia takich dokumentów i procedur. Pani pracownicy są odpowiedzialni za ich przestrzegania" ale ilu ich klientów w ogóle będzie chciało temat drążyć a ilu poprzestanie na wiedzy podanej na stronie www lub w pierwszym mailu od BOK..?

iStore to członek grupy Allegro poważnego gracza na rynku - tym bardziej informacja, że w zasadzie legalność przetwarzania danych osobowych ogranicza się wyłącznie do zarejestrowania zbiorów danych w rejestrze GIODO, jest niebezpiecznym nadużyciem, tym bardziej że na stronach bardzo chętnie prezentują logotyp GIODO.

Takie praktyki należałoby bezwzględnie tępić. Gdyby to było jawne naruszenie UODO to można złożyć skargę, ale to nadużycie prowadzi do tego, że to de facto klienci oprogramowania będą masowo naruszali postanowienia UODO a iStore wtedy zapewne "umyje ręce" bo przecież odpowiedzialność leży na ADO.
Gdzie, komu można to zgłosić i jaki jest wachlarz środków żeby przeciwdziałać takim praktykom?

Temat: Jedyny obowiązek ADO - rejestracja zbioru! - jak walczyć...

Czasem zabranie głosu w sprawie pomaga - wysłałam ostatecznie do iStore informację, że wprowadzają artykułem potencjalnych nabywców w błąd. Skorygowali nieco treść artykułu :)

Temat: Jedyny obowiązek ADO - rejestracja zbioru! - jak walczyć...

przekonanie, że "wystarczy zarejestrować zbiór" jest dość powszechne i chyba wynika z tego, że GIODO prowadzi rejestr takich zbiorów - może powinien prowadzić też rejestr ABI, PBDO, IZSI, ewidencji, spełniania obowiązków informacyjnych itp? ;-) wtedy przynajmniej byłoby "wiadomo", że trzeba się tym zająć...

Temat: Jedyny obowiązek ADO - rejestracja zbioru! - jak walczyć...

Wymagania UODO są traktowane przez znaczą część właścicieli sklepów internetowych oraz firm hostujących takie sklepy jako rodzaj folkloru, w którym nie wiadomo o co chodzi. Część zapewne tak jak napisała Pani Monika, uważa że wystarczy zarejestrować zbiór i problem znika.
Sam spotkałem się kiedyś z opinią osoby z infolinii jednej z większych firm hostingowych, że inne sklepy internetowe nie zawracają sobie głowy GIODO więc żebym nie robił problemów (chodziło mi o ocenę konieczności podpisania umowy powierzenia przetwarzania danych osobowych).

Płacz zaczyna się w chwili gdy dzwoni inspektor urzędu i informuje o dacie rozpoczęcia kontroli...

Co należy zrobić? uświadamiać? tłumaczyć? pokazywać że PB/IZSI ma też swoje dobre strony, nie będąc jedynie uciążliwą stertą papierów, których nikt nie rozumie...

Temat: Jedyny obowiązek ADO - rejestracja zbioru! - jak walczyć...

Tak, Panie Łukaszu - ma Pan rację, świadomość w temacie ustawowych wymagań dotyczących zbiorów danych osobowych jest niezmiernie niska - codziennie się o tym przekonuje pracując w jednej z polskich firm hostingowych. Nie akceptuję jednak faktu, że tacy gracze jak iStore reklamują się pokazując jako wartość dodaną spełnienie wymagań UODO i stosownego ministerialnego rozporządzenia dot. zabezpieczenia zbiorów danych osobowych ale jednocześnie wprowadzają ludzi w błąd nawet nie odsyłając do treści Ustawy.

Panie Michale, byłam ostatnio na prelekcji GIODO z okazji konferencji Infoshare w Gdańsku. GIODO przyznał, że sam rejestr zbiorów zwykłych danych osobowych nie jest odpowiednim rozwiązaniem i że ostatecznie będzie chciał dążyć do stworzenia rejestru ABI i rejestru zbiorów danych wrażliwych. Osobiście się z taką koncepcją zgadzam ale też przewiduję że rychło to nie nastąpi.