GoldenLine
Zaloguj się
Rafał Kiraga

Rafał Kiraga Administrator
Bezpieczeństwa
Informacji, Zakłady
Produkcj...

Temat: zbiory danych osobowych - sklep internetowy

Mam kilka pytań odnośnie sklepu internetowego.
przy zamówieniu przez klienta na e-maila działu Handlowego przesyłane są następujące dane:
imię i nazwisko kupującego
adres e-mail
data zamówienia
nazwa produktu
ilość
cena
Kupujący udostępnia takie informacje są one zawarte w formularzu zamówienia oraz znajdują sie na e-mailu. Czy tworzy to zbiór danych osobowych?( czy podlega rejestracji w GIODO?)
w odpowiedzi na przesłane informacje o zakupie dostaje e-mail dotyczący zapłaty za zamówiony produkt. Dokonuje przelewu na podstawie którego wystawiana jest faktura i wysyłka produktu.
wszystko na temat procesu zakupów w sklepie.
Proszę o odpowiedź na pytania
Pozdrawiam
Link do wypowiedziLink
Rafał Kiraga

Rafał Kiraga Administrator
Bezpieczeństwa
Informacji, Zakłady
Produkcj...

Temat: zbiory danych osobowych - sklep internetowy

i jeszcze jedno pytanko: Czy przy przesyłaniu takich informacji sklep internetowy musi być zabezpieczony certyfikatem SSL?Rafał Kiraga edytował(a) ten post dnia 26.01.11 o godzinie 09:40
Link do wypowiedziLink

konto usunięte

Temat: zbiory danych osobowych - sklep internetowy

moim zdaniem nie ma potrzeby rejestrowania powyższego zbioru gdy dane te są przetwarzane w calu realizacji umowy i co za tym idzie wystawieniem faktury art 43 ust 1 pkt 8 oraz art 23 ust 1 pkt 3.
Jednak dane te podlegają ochronie ustawowej i wymogom zawartym w ustawie i rozporządzeniu wykonawczym
Link do wypowiedziLink
Przemysław Osiak

Przemysław Osiak zarządzanie w IT /
project management/
project portfolio
...

Temat: zbiory danych osobowych - sklep internetowy

Radosław G.:
moim zdaniem nie ma potrzeby rejestrowania powyższego zbioru gdy dane te są przetwarzane w calu realizacji umowy i co za tym idzie wystawieniem faktury art 43 ust 1 pkt 8 oraz art 23 ust 1 pkt 3.

Z przykrością stwierdzam, że Pana wypowiedź może wprowadzać w błąd.

Po pierwsze: z obowiązku rejestracji zbiorów danych osobowych zwolnieni są administratorzy danych spełniających kryteria określone w art. 43 ust. 1.
Wśród wymienionych tam przesłanek nie znajduje się przetwarzanie danych w celu realizacji umowy - jak to sugeruje Pana wypowiedź.
Po drugie: art. 23 ust. 1, na który się Pan powołuje, określa sytuacje, w których przetwarzanie danych jest dozwolone. I tutaj faktycznie jako jedną z przesłanek legalności przetwarzania wskazano przetwarzanie w związku z realizacją umowy, gdy osoba, której dane dotyczą jest lub ma być stroną takiej umowy. Nie ma to jednak żadnego związku z kwestią zwolnienia z obowiązku rejestracji zbioru danych osobowych - jak to sugeruje Pana wypowiedź.
Po trzecie: biorąc pod uwagę treść art. 43 ust. 1 pkt 8 zbiór podlegałby zwolnieniu z obowiązku rejestracji jedynie wtedy, gdy dane osobowe byłyby przetwarzane "wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej" - tak niestety raczej nie jest w przypadku sklepów internetowych, których konstytutywną działalnością jest prowadzenie sprzedaży wysyłkowej. Oznacza to, że dane osobowe będą w takich przypadkach przetwarzane także (a może nawet przede wszystkim) w celu wysłania produktu do klienta. Wystawienie faktury będzie tutaj tylko jednym z celów przetwarzania danych osobowych, a zatem nie wyłącznym.

PeOx ConsultingPrzemysław Osiak edytował(a) ten post dnia 15.02.11 o godzinie 21:56
Link do wypowiedziLink

konto usunięte

Temat: zbiory danych osobowych - sklep internetowy

hmmm a mam pytanie czy przesłanie towaru do klienta to jest przetwarzanie danych ????
mam towar wystawiam na niego fakturę i wysyłam pocztą i gdzie tu dane które są przetwarzane poza fakturą????
chyba że ma pan na myśli list przewozowy ale to już sprawa firmy kurierskiej czyż nie tak ?
Link do wypowiedziLink

konto usunięte

Temat: zbiory danych osobowych - sklep internetowy

Przemysław Osiak:
Po trzecie: biorąc pod uwagę treść art. 43 ust. 1 pkt 8 zbiór podlegałby zwolnieniu z obowiązku rejestracji jedynie wtedy, gdy dane osobowe byłyby przetwarzane "wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej" - tak niestety raczej nie jest w przypadku sklepów internetowych, których konstytutywną działalnością jest prowadzenie sprzedaży wysyłkowej. Oznacza to, że dane osobowe będą w takich przypadkach przetwarzane także (a może nawet przede wszystkim) w celu wysłania produktu do klienta. Wystawienie faktury będzie tutaj tylko jednym z celów przetwarzania danych osobowych, a zatem nie wyłącznym.
ja napisałem o wystawieniu faktury a nie mówiłem o innej działalności idąc pana tropem to jeszcze można dopisać marketing czyż nie tak który też może być stosowany przez sklepy internetowe ????
Link do wypowiedziLink
Przemysław Osiak

Przemysław Osiak zarządzanie w IT /
project management/
project portfolio
...

Temat: zbiory danych osobowych - sklep internetowy

Radosław G.:
hmmm a mam pytanie czy przesłanie towaru do klienta to jest przetwarzanie danych ????
mam towar wystawiam na niego fakturę i wysyłam pocztą i gdzie tu dane które są przetwarzane poza fakturą????
chyba że ma pan na myśli list przewozowy ale to już sprawa firmy kurierskiej czyż nie tak ?

Czy Pan na prawdę pisze to poważnie? Czy po prostu Pan się droczy?

A w jaki sposób chciałby Pan wysłać pocztą lub poprzez firmę kurierską przesyłkę nie przetwarzając danych osobowych [b]adresata[b]?

Czyż nie sądzi Pan, że należałoby taką przesyłkę zaadresować? A czy Pana zdaniem, adresując przesyłkę z produktem nie należałoby przypadkiem wpisać chociażby podstawowych danych adresata? Takich jak, np. imię, nazwisko i adres? A czy Pana zdaniem dane te są, czy też nie są danymi osobowymi? I na koniec ostatnie pytanie: czy zaadresowanie przesyłki będzie przetwarzaniem danych osobowych czy też nie?

Gdyby pojawiły się jakiekolwiek wątpliwości w udzielaniu odpowiedzi na powyższe pytania, podpowiem: odpowiedzi znajdują się w art. 6 UODO, który definiuje, co to są dane osobowe oraz art. 7 pkt 2, który definiuje, co to jest przetwarzanie danych osobowych.
Link do wypowiedziLink
Przemysław Osiak

Przemysław Osiak zarządzanie w IT /
project management/
project portfolio
...

Temat: zbiory danych osobowych - sklep internetowy

Radosław G.:
ja napisałem o wystawieniu faktury a nie mówiłem o innej działalności
I tutaj właśnie leży problem.
idąc pana tropem to jeszcze można dopisać marketing czyż nie tak który też może być stosowany przez sklepy internetowe ????
Proszę nie podążać moim tropem, proszę po prostu przeczytać ze zrozumieniem treść art. 43 ust. 1 pkt 8.
Link do wypowiedziLink

konto usunięte

Temat: zbiory danych osobowych - sklep internetowy

hmmm to w takim razie trzeba też poruszyć przy sklepie internetowym również fakt że z ustawy o ochronie danych osobowych wynika, iż jedno zgłoszenie zbioru danych powinno obejmować tylko jeden zbiór danych osobowych (art. 41 ustawy). Administrator danych, dokonując zgłoszenia zbioru danych do rejestracji, powinien mieć na uwadze, iż poszczególne zbiory danych osobowych różnią się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą prawną prowadzenia zbioru. Dlatego, wypełnienie jednego zgłoszenia dla kilku zbiorów danych osobowych nie pozwala w sposób właściwy scharakteryzować poszczególnych zbiorów objętych tym zgłoszeniem. Tym samym nie można dla każdego z nich wskazać elementów decydujących o jego tożsamości, tj. np. podstawy prawnej przetwarzania danych, zakresu przetwarzanych danych, celu przetwarzania danych w zbiorze, a co za tym idzie nie jest możliwe stwierdzenie, jaki zakres informacji, o którym mowa w art. 41 ust. 1 ustawy, dotyczy każdego ze zbiorów.
Link do wypowiedziLink
Przemysław Osiak

Przemysław Osiak zarządzanie w IT /
project management/
project portfolio
...

Temat: zbiory danych osobowych - sklep internetowy

Radosław G.:
hmmm to w takim razie trzeba też poruszyć przy sklepie internetowym również fakt że z ustawy o ochronie danych osobowych wynika, iż jedno zgłoszenie zbioru danych powinno obejmować tylko jeden zbiór danych osobowych (art. 41 ustawy). Administrator danych, dokonując zgłoszenia zbioru danych do rejestracji, powinien mieć na uwadze, iż poszczególne zbiory danych osobowych różnią się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą prawną prowadzenia zbioru. Dlatego, wypełnienie jednego zgłoszenia dla kilku zbiorów danych osobowych nie pozwala w sposób właściwy scharakteryzować poszczególnych zbiorów objętych tym zgłoszeniem. Tym samym nie można dla każdego z nich wskazać elementów decydujących o jego tożsamości, tj. np. podstawy prawnej przetwarzania danych, zakresu przetwarzanych danych, celu przetwarzania danych w zbiorze, a co za tym idzie nie jest możliwe stwierdzenie, jaki zakres informacji, o którym mowa w art. 41 ust. 1 ustawy, dotyczy każdego ze zbiorów.
Cóż, widzę, że ponownie postanowił Pan wprowadzić forumowiczów w błąd.
Tym razem sugerując, iż powyższa wypowiedź jest Pana autorstwa.
Jeżeli cytuje Pan nieswoje teksty, to wypadałoby to ujawnić. Dodatkowo wypadałoby wskazać źródło. Moim zdaniem nieelegancko.

Widząc, że odbiegamy od głównego tematu tego wątku, pozwolę sobie nie kontynuować tej dyskusji.
Dziękuję.Przemysław Osiak edytował(a) ten post dnia 17.02.11 o godzinie 21:28
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: zbiory danych osobowych - sklep internetowy

Uważam, że jeśli chodzi o rejestrację zbioru, to najpierw należałoby ustalić, czy prowadząc sklep internetowy dane osobowe będą przetwarzane w zbiorze, czy nie. W większości przypadków tak - bo chociażby sama lista zamówień, gromadzenie danych klienta w kolumnach bazy danych przez program sklepu internetowego na to wskazują - zresztą tak są zazwyczaj skonstruowane sklepy internetowe, aby gromadzić takie dane.

Ale... mogę sobie wyobrazić sytuację, gdyby tak nie było - np. aplikacja sklepu tych danych nie gromadzi, a zamówienia przysyłane są "natychmiast" do realizacji w mailach w formie nieuporządkowanej, nie mającej "struktury". Dodatkowo załóżmy, że firma nie prowadzi książki nadawczej.. Owszem - przetwarza dane osobowe. Na pewno przetwarza dane w celu wystawienia rachunku. Przetwarza je też w celu realizacji zamówienia (dowód nadania może być dowodem księgowym).

Przetwarzałby wtedy dane osobowe (w celu realizacji wysyłki), ale nie gromadziłby ich w zbiorze - a więc nie musiałby zbioru rejestrować. Co nie zmienia faktu, ze dane osobowe przetwarza i mają zastosowanie - jak rozumiem - zapisy rozdziału 5 uodo.

Sądzę, że gdyby jednak gromadził te dane z zbiorze (np. w aplikacji sklepu internetowego - gdzie dane te można sortować, wyszukiwać, filtrować), ale usuwał je po realizacji zamówienia, to nie byłby to tzw. "zbiór doraźny" - krótki okres przetwarzania nie stanowi usprawiedliwienia, ponieważ jest realizowany stały i zasadniczy cel przetwarzania.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Portal internetowy a ochron...




Wyślij zaproszenie do
Anuluj