Rejestracja bazy w Giodo

 
• Na górę

Jak w temacie pytanie rejestrować ?
TAK czy NIE
Czy wystarczy umowa powierzenia przetwarzania danych osobowych z hostingiem.

Jakie wasze zdanie ..

A może ktoś służy pomocą w sprawie?

 
• Bezpośredni link
• Na górę

Jeżeli masz jakąkolwiek bazę adresów , nazwisk, emaili to masz taki ustawowy obowiązek

 
• Bezpośredni link
• Na górę

To wiem jednak nie chodzi mi o to czy mam czy nie mam tylko czy warto i czy ktos tą ścieżkę przechodził.
Tak naprawde każdy kto ma sklep wg giodo poiwnien zarejestować sie chyba że usuwa dane po wysyłce towaru.

 
• Bezpośredni link
• Na górę

„kto przetwarza dane, o których mowa w art. 27 ust. 1, przed zarejestrowaniem zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2” oraz „kto, będąc do tego obowiązany, nie zgłasza Generalnemu Inspektorowi zmiany informacji zawartych w zgłoszeniu zbioru danych do rejestracji w terminie 30 dni od dnia dokonania zmiany w zbiorze, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”.

Warto?

Ja zarejestrowałem bazę dawno temu, trzeba dokładnie zapoznać się z objaśnieniami przy wypełnianiu wniosku poza tym rejestracja ogranicza się do wysłania tegoż wniosku.

 
• Bezpośredni link
• Na górę

Ja właśnie przechodzę ten proces.

Do lektury:
http://www.ekomercyjnie.pl/sklep-internetowy-a-rejestracja-w-giodo/

Rejestracja: http://www.ekomercyjnie.pl/sklep-internetowy-a-rejestracja-w-giodo/

Objaśnienia GIODO: http://www.giodo.gov.pl/163/
http://www.giodo.gov.pl/266/

 
• Bezpośredni link
• Na górę

A czy ktoś moze ma wzór:

Polityki bezpieczeństwa informacji
Instrukcji zarządzania systemem informatycznym

i może wiecie jak sie do tego ma do tego umowa powierzenia przetwarzania danych osobowych z hostingiem.

 
• Bezpośredni link
• Na górę

Tu jak podasz maila (później możesz się wypisać z ich spamu), to dostajesz pdf’a z szablonem regulaminu i polityki:
https://www.trustedshops.com/pl/order/membership_start.html

Da się coś wtedy zrobić :)

 
• Bezpośredni link
• Na górę

Rejestracja w bazie nie jest taka straszna :), a w gruncie rzeczy w wielu przypadkach konieczna.

 
• Bezpośredni link
• Na górę

Nie jest, nie jest. Mam także wrażenie, że nikt tych wniosków zbytnio nie sprawdza…

 
• Bezpośredni link
• Na górę

Pozwolę sobie zabrać głos w dyskusji :)
Rejestracja w GIODO w przypadku prowadzenia e-sklepu jest konieczna. Niemniej obowiązek rejestracji to tylko jeden z wielu obowiązków jakie spoczywają na Administratorach danych osobowych, którymi jesteście z punktu widzenia Ustawy z dn.27.08.1997 o ochronie danych osobowych.
W telegraficznym skrócie: bez względu na obowiązek rejestracji i tak trzeba sporządzić politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym, jeśli korzystacie z usług hostingowych i np. księgowych to trzeba podpisać z usługodawcami umowy powierzenia przetwarzania danych osobowych, poza tym macie obowiązek prowadzić ewidencję upoważnień i upoważnić pisemnie każdą osobę, którą dopuszczacie do danych osobowych swoich klientów do przetwarzania tychże danych przy zachowaniu poufności.  Do przetwarzania danych osobowych trzeba też mieć umocowanie prawne - przy marketingu/newsletterze będzie to zgoda, przy realizacji zamówienia zgoda już być nie musi pozyskana bo dane osobowe są niezbędne do wypełnienia warunków umowy.
Klient musi być tez poinformowany kto jest administratorem jego danych osobowych i że ma możliwość wglądu do nich i ich poprawiania ale to wystarczy odpowiedni zapis w regulaminie.
Dokumenty:
Polityka bezpieczeństwa zawiera listę zbiorów d.o., listę lokalizacji, opis przepływu danych w systemach lub modułach systemów, wzajemne relacje jakie zachodzą miedzy danymi, zabezpieczenia fizyczne i organizacyjne.
Instrukcja Zarządzania Systemem Informatycznym - procedury zw. z bezpieczeństwem systemowym - od polityki haseł przez backup, po zasady aktualizacji programów antywirusowych.
Jak widzicie to bardzo indywidualne dokumenty - nie można ich skopiować od kogoś, przepisać etc. - trzeba je stworzyć samemu (lub ewentualnie zlecić komuś to zadanie) zgodnie z wytycznymi z Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024)

Jak macie pytania - zapraszam na priv albo też tutaj jeśli chodzi o informacje użyteczne dla wszystkich.

Czy warto się w to bawić? - jest to obowiązek prawny, od 1.01.2012 Ustawa obejmuje także dane osobowe, które pojawiają się przy jednoosobowych działalnościach gospodarczych. Mało tego GIODO niedawno zmienił statut - mają się pojawić zamiejscowe jednostki - w Katowicach ( na obszar południa Polski) i w Gdańsku ( na obszar północy Polski) a zatem możemy liczyć na wzmożone kontrole.
Inna sprawa, że kontrole najczęściej są wynikiem złożonej skargi a o złośliwego klienta - jak wiecie -nie jest trudno.

 
• Bezpośredni link
• Na górę

Zgadzam się, że przedsiębiorcy powinni zadbać o politykę bezpieczeństwa i instrukcję zarządzania systemem dla własnego bezpieczeństwa i swoich klientów. Pytanie jednak dotyczyło rejestracji zbioru danych osobowych.

.

Dane osobowe podobnie jak wszystko co z nimi związane to temat rzeka :D. Zainteresowanych rejestracją zbioru i poszerzeniem swojej wiedzy na temat przetwarzania danych w systemie informatycznym zachęcam do przeczytania felietonu:

Kiedy rejestrujemy dane osobowe ?

 
• Bezpośredni link
• Na górę

Zgadzam się, że przedsiębiorcy powinni zadbać o politykę bezpieczeństwa i instrukcję zarządzania systemem dla własnego bezpieczeństwa i swoich klientów. Pytanie jednak dotyczyło rejestracji zbioru danych osobowych

Przedsiębiorcy nie tyle powinni co mają obowiązek wynikający bezpośrednio z Ustawy a dokładnie z Art.36.1. pkt 2 i dalej z Art. 39a. Zaś pytanie pozostało otwarte i dotyczyło w zasadzie tego czy powierzając dane osobowe do przetwarzania “załatwiamy” sprawę GIODO - nie, bo rejestracja to jeden obowiązek jaki nakłada prawo na administratora danych osobowych, a powierzenie danych osobowych do przetwarzania jeśli korzystamy np. z hostingu to kolejny obowiązek wynikający z Art.31.1

Poza tym… i odpowiadając na pytanie czy warto:
Często pojawia się przeświadczenie, że rejestracja to wszystko : wypełniamy wniosek i jesteśmy ok w stosunku do prawa ( Pani w swoim artykule także wspomina tylko o obowiązku rejestracyjnym i polityce prywatności, która w świetle Ustawy nie jest obligatoryjna), jest to błędne postrzeganie problemu a mało tego niezbyt ostrożne gdyż notabene:
Zgłaszając zbiór pojawimy się w rejestrze GIODO, to zwiększa szansę na kontrolę a z kolei brak dokumentacji ( we wniosku deklarujemy że ją mamy, bo inaczej wniosek nie przejdzie ) to poświadczenie nieprawdy przy składaniu wniosku i rażące naruszenie przepisów Ustawy z dnia 29.08.1997 o ochronie danych osobowych.
Nie zgłaszając z kolei mamy mniejszą szanse na kontrolę (tylko na podstawie donosu) ale za to konsekwencje mogą być poważniejsze, bo bez zgłoszenia i bez odpowiedniego zabezpieczenia danych osobowych przetwarzamy je de facto nielegalnie. Czyli i tak źle i tak nie dobrze.

 
• Bezpośredni link
• Na górę

Drogi MGS

Moje posty dotyczyły odpowiedzi na pytania czy warto rejestrować zbiór danych osobowych i tylko w tym aspekcie moje odpowiedzi należy oceniać. Oczywiście, że w przypadku braku rejestracji lub zaniedbań ze strony administratora grożą sankcje.

Jeżeli A przetwarza dane osobowe w taki sposób, że podlegają one ustawowemu obowiązkowi rejestracyjnemu to powinien przystąpić do rejestracji wniosku (tu odsyłam do Kiedy rejestrujemy dane osobowe?. Następnie przedsiębiorca może zgłosić się do kancelarii prawnej/ prawnika etc., aby zostać bezpiecznie przeprowadzonym przez proces rejestracji albo spróbować własnych sił.

Czytając wniosek przedsiębiorca napotka m.in. takie zagadnienia jak :

.

- aspekt umowy o powierzanie przetwarzania danych osobowych (wpisuje zgodnie z prawdą co jest oczywiste - odrębną kwestią jest to jakie jeszcze obowiązki na nim ciążą jeżeli ewentualna umowa jest podpisana);

- Podstawa prawna upoważniająca do prowadzenia zbioru danych, cel przetwarzania danych w zbiorze, opis kategorii osób, których dane dotyczą; zakres danych osobowych, sposób zbierania oraz udostępniania danych;

- Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36—39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

- Informacja o sposobie wypełnienia warunków technicznych i organizacyjnych, o których mowa w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

.

Zgadzam się, że rejestracja zbioru a umowa o powierzanie przetwarzania danych osobowych to dwie odrębne kwestie - to chyba jest oczywiste.

Z tym punktem się nie zgadzam:
powierzenie danych osobowych do przetwarzania jeśli korzystamy np. z hostingu to kolejny obowiązek wynikający z Art.31.1

Art. 31.1 uodo stanowi, że administrator danych może powierzyć innemu podmiotowi, w drodze umowy
zawartej na piśmie, przetwarzanie danych.

Nie jest to zatem obowiązek administratora. Umowa o powierzanie przetwarzania danych osobowych nie musi być zawierana by przedsiębiorca wypełniał obowiązki ustawowe.

.

Pana komentarz odnośnie wypisywania niedbale wniosków i składania oświadczeń niezgodnych z prawdą jest trochę nie na miejscu. Dlaczego z góry zakłada Pan, że osoby wypełniające wniosek nie mają stosownej dokumentacji ? Jeśli jej nie mają to nie powinny wypełniać wniosku podobnie jeśli nie rozumieją co oznacza np. podwyższony środek bezpieczeństwa.

.
Edit: literówka ;)

Edytowany: 03 Styczeń 2012 18:52 przez Beata Marek

 
• Bezpośredni link
• Na górę

Beata Marek - 03 Styczeń 2012 06:48 PM

Art. 31.1 uodo stanowi, że administrator danych może powierzyć innemu podmiotowi, w drodze umowy
zawartej na piśmie, przetwarzanie danych.

Nie jest to zatem obowiązek administratora. Umowa o powierzanie przetwarzania danych osobowych nie musi być zawierana by przedsiębiorca wypełniał obowiązki ustawowe.

Oczywiście zapis w Ustawie może Pani interpretować dwojako:  Administrator danych może powierzyć innemu przedsiębiorcy, w drodze umowy zawartej na piśmie, przetwarzanie danych - Pani interpretuje to na zasadzie, że można powierzyć dane do przetwarzania w drodze umowy ale umowa nie jest koniecznia. Wg mnie zapis w Ustawie wskazuje jednak, że administrator ma możliwość powierzenia przetwarzania danych osobowych ale pod warunkiem podpisania stosownej umowy. Za tą wykładnią opowiada się także sam GIODO. Zachęcam do lektury decyzji pokontrolnych, w toku których jako uchybienie inspektorzy wskazali brak podpisanych umów powierzenia:
http://www.giodo.gov.pl/306/id_art/2308/j/pl/
http://www.giodo.gov.pl/306/id_art/4221/j/pl/
oraz do wyjaśnienia tematu przez samego obecnego GIODO - dr Wiewiórowskiego : http://www.giodo.gov.pl/plik/id_p/2533/j/pl/

Beata Marek - 03 Styczeń 2012 06:48 PM

Pana komentarz odnośnie wypisywania niedbale wniosków i składania oświadczeń niezgodnych z prawdą jest trochę nie na miejscu. Dlaczego z góry zakłada Pan, że osoby wypełniające wniosek nie mają stosownej dokumentacji ? .

Nie zakładam z góry ale jest to wbrew pozorom bardzo częsta praktyka wynikająca nie z niedbałości ale pobieżnej tylko znajomości zapisów Ustawy, w Sieci mówi się dużo jedynie o samej rejestracji,rzadziej wspominając o pozostałych obowiązkach. W pracy zawodowej pomagam i doradzam w temacie zagadnień związanych z ochroną danych osobowych i bezpieczeństwem informacji i proszę mi uwierzyć, że osoby prowadzące e-biznes często uważają, że wypełnienie/wysłanie wniosku to wszystko a nawet jeśli wiedzą że nie wszystko to i tak rejestrują zbiór “aby był zarejestrowany” a dokumentacja, ewidencja, umowy powierzenia? - “ dorobię później” tylko że później zawsze brakuje czasu. Dlatego kładę nacisk na to, aby przy temacie rejestacji zbioru mówić także o innych obowiązkach.

 
• Bezpośredni link
• Na górę

Przepis jest jasny i interpretuję go właściwie. Proszę uważnie przeczytać mój post oraz swój poprzedni.

Nie będę więcej wypowiadać się w tej kwestii. Temat uważam za zamknięty.

 
• Bezpośredni link
• Na górę

Pani Beato, interpretacja to jedna sprawa, kłopoty jakie mogą z niej wyniknąć dla przedsiębiorcy to druga.
Moim zdaniem lepiej interpretować Ustawę zgodnie z wykładnią GIODO - dla przedsiębiorców oznacza to mniejsze kłopoty.
GIODO owszem jest omylny, o czym świadczą wyroki sądu administracyjnego uchylające niejednokrotnie decyzje GIODO ale myślę, że z punktu widzenia przedsiębiorcy lepiej tego nie sprawdzać, oczywiście punkt widzenia prawnika czy adwokata może być inny ;) - tego nie neguję.

Pozdrawiam i proszę się tak nie unosić - całe życie się uczymy :)
P.S.
Posty przeczytałam uważnie.