Browsing articles tagged with " GIODO"
Gru
29
2014

Nowe regulacje odnośnie ochrony danych osobowych, już od 1 stycznia 2015

Po zmianach wprowadzonych 25 grudnia 2014, które spowodowały rewolucje w wielu regulaminach sklepów internetowych władza ustawodawcza dała szanse pracy kolejnym kancelariom prawniczym wspierający sklep internetowe. Wraz z ustawą o ułatwieniu wykonywania działalności gospodarczej z 7 listopada 2014, pomiędzy zmianami w Kodeksie Pracy, prawie energetycznym i wieloma innymi ustawami wprowadzono ważne uproszczenia w metodzie rejestrowania zbiorów danych osobowych. Niestety tekst jednolity ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych po zmianach nie został jeszcze opublikowany, zaś GIODO nie informuje o zmianach na swojej stronie, dlatego nie wiemy jak zmiany będą interpretowane.

Artykuł 9 ustawy o ułatwieniu zmienia brzmienie kilku artykułów w ustawie o ochronie danych osobowych.  Według nowych przepisów Administrator Danych Osobowych (e.g. właściciel sklepu internetowego) nie ma obowiązku bezpośredniego rejestrowania zbioru w GIODO (z wyłączeniem zbiorów,  o których mowa w art. 27 ust. 1 o ochronie danych osobowych np. rasa, poglądy polityczne) pod warunkiem powołania Administratora Bezpieczeństwa Informacji (ABI), który musi zostać zarejestrowany w GIODO (nowy artykuł 36a -36 c ustawy o ochronie danych osobowych).

W przypadku powołania ABI, GIODO zwraca się do ABI o dokonanie sprawdzenia:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowy;

Podsumowując, wprowadzona zmiana zgodnie z nazwą ustawy, którą ja wdrożono powinna stanowić ułatwienie, jednak brakuje interpretacji dla niej w szczególności otwartą kwestią pozostaje co z już zgłoszonymi zbiorami?

Podstawy prawne:


Celem bloga jest popularyzacja wiedzy na temat związany z handlem internetowym a wszystkie treści mają charakter wyłącznie informacyjny. Poglądy i opinie przedstawione w tej wiadomości są wyłącznie poglądami i opiniami jej autora i nie mogą być podstawą do podejmowania decyzji w zakresie prawa czy obrotu gospodarczego. Autor nie odpowiada za jakie kolwiek szkody wyrządzone zastosowanie lub brakiem zastosowania się do tej treści.
Maj
4
2014

Zakładamy sklep internetowy – część 4

Rejestracja w GIODO

To już czwarty wpis o zakładaniu sklepu internetowego. Jak już poznaliśmy konkurencję, policzyliśmy nasz biznes, wybraliśmy dostawców i skrypt oraz zarejestrowaliśmy działalność gospodarczą możemy zacząć działać. Ponieważ prowadzić sklep internetowy w odróżnieniu od sklepu stacjonarnego dowiadywali się będziemy wielu informacji o naszych klientach jak imię, nazwisko, adres, telefon, e-mail itd. dlatego też podlegamy Ustawie o ochronie danych osobowych. Ustawa ta nakłada na przedsiębiorcę wymóg rejestracji każdego spisu danych osobowych u Generalnego Inspektora Danych Osobowych (GIODO). O tym jak przebiega proces rejestracji prezentowałem w poprzednim wpisie.

W przypadku kontroli z GIODO ewentualnie na wniosek GIODO podczas rejestracji możemy być zmuszeni do przedstawienia kilku dokumentów:

  • Polityki Bezpieczeństwa
  • Instrukcji Zarządzania Systemem Informatycznym
  • Umowy powierzenia przetwarzania danych osobowych np. z pisana z dostawcą hostingu (to warto wziąć pod uwagę wybierając hosting dla naszego serwisu, niestety jeszcze nie wszyscy dostawcy usług skłonni są podpisywać takie umowy)
  • Formularzy dokumentów:
    • Upoważnienia do przetwarzania danych osobowych
    • Ewidencji upoważnień
    • Klauzuli o zachowaniu poufności

Wszystkie powyższe dokumenty powinny być przygotowane w chwili rejestracji zbioru w GIODO. Lubiący profesjonalne podejście do sprawy mogą skontaktować się z kancelariami prawnymi wyspecjalizowanymi w tematyce i zapłacić za przygotowanie tych dokumentów.

Warto zwrócić też uwagę ile wniosków należy przygotować, każdy cel zbierania danych osobowych to jeden zbiór danych w interpretacji GIODO, tak więc lista klientów wykorzystywana na potrzeby realizacji zamówienia to jeden zbiór i wymaga jednego wniosku. A jeżeli chcemy prowadzić jeszcze newsletter to jest to kolejny zbiór danych i będzie wymagał złożenia osobnego wniosku.

Dane osobowe

Zastanówmy się co może być danymi osobowymi, bez wątpienia imię, nazwisko, adres klienta. Definicja jest dosyć szeroka gdyż są to wszelakiego typu informacje które umożliwiają jednoznaczne rozpoznanie osoby. Dlatego do listy danych osobowych należy dodać nr. telefonu, adres IP, adres e-mail, nazwę użytkownika w naszym jak i w innych portalach (e.g. Facebook).

Polityka prywatności

Przy okazji tworzenia różnych instrukcji i rejestracji w GIODO warto się zastanowić nad stworzeniem Polityki Prywatności naszego sklepu. W odróżnieniu od instrukcji i polityk wymaganych przez Ustawę jest to dokument, którym możemy podzielić się z naszymi klientami na stronie internetowej. Pamiętajmy, że instrukcje i polityki mogą zawierać wiele ważnych informacji na temat działania i zabezpieczeń systemów informatycznych, dlatego z założenia są dokumentami wewnętrznymi firmy.

Polityka prywatności powinna zawierać następujące informacje:

  • oznaczenie Administratora Danych (czyli informacje o firmie jak nazwa, adres, REGON);
  • informacje jakie dane są zbierane automatycznie przez sklep, statystyki strony inte rentowej itd.;
  • jakie informacje są zbierane przy okazji rejestracji w naszym sklepie oraz podczas dokonywanie zakupów;
  • w jaki sposób sklep będzie komunikował się z klientem (np. czy będzie wysyłany newsletter);
  • komu będziemy udostępniali informacje (np. firmie kurierskiej);
  • jakie podjęliśmy środki techniczne zabezpieczające dane (np. szyfrowanie połączeń SSL);
  • informacje o obowiązkach klientów (np. nie przekazywania haseł innym osobom);
  • prawa klientów w zakresie danych osobowych.

Powodzenia przy rejestracji w GIODO i tworzeniu wszystkich wymaganych dokumentów.


Celem bloga jest popularyzacja wiedzy na temat związany z handlem internetowym a wszystkie treści mają charakter wyłącznie informacyjny. Poglądy i opinie przedstawione w tej wiadomości są wyłącznie poglądami i opiniami jej autora i nie mogą być podstawą do podejmowania decyzji w zakresie prawa czy obrotu gospodarczego. Autor nie odpowiada za jakie kolwiek szkody wyrządzone zastosowanie lub brakiem zastosowania się do tej treści.

Maj
1
2014

Rejestracja w GIODO – to nic trudnego

We wcześniejszym poście pisałem, że rejestracja w GIODO nie jest trudna i tak jest. Jednak postanowiłem cały proces przybliżyć. Oczywiście z zastrzeżeniem, że nie jestem prawnikiem i prezentuję moje rozumienie całego procesu.

http://egiodo.giodo.gov.pl/index.dhtml

Zacznijmy od otworzenia strony rejestracji, tam też wybieramy czy rejestrujemy czy dokonujemy zmiany w informacjach o wcześniej zarejestrowanym zbiorze.

Dalej podajemy nazwę zbioru, np. Lista klientów sklepu internetowego, oraz dane administratora danych osobowych. W przypadku jednoosobowej działalności gospodarczej są to dane firmy i jej właściciela chyba, że oddelegował te aktywności na pracownika albo zewnętrzną firmę.

Dane przedstawiciela wnioskodawcy, jeżeli ktoś (np. prawnik) składa wniosek w naszym imieniu. Wszystkie Zosie Samosie mogą pominąć ten punkt.

Jeżeli mamy podpisana umowę o powierzenie przetwarzania danych osobowych podajemy dane firmy, której powierzyliśmy. Umowy tego typu podpisuje się z dostawcami usług internetowych (e.g. u którego utrzymujemy serwer sklepu) albo firmie od której wykupujemy skrypt sklepu w technologi SaaS. Dlaczego warto jest podpisać taka umowę napiszę wkrótce.

Zaznaczamy jaką mamy podstawę prawną do przetwarzania danych, albo jest to zgoda na przetwarzanie np. doubleopt (podwójne potwierdzenie) w newsletterze ewentualnie jeszcze, że przetwarzanie jest konieczne do realizacji umowy.

W kolejnym kroku podajemy cele przetwarzania danych (np. wywiązywanie się umowy kupna sprzedaży albo marketingowy). Zgodnie z interpretacją na stronie GIODO, jeżeli poza sprzedażą, planujemy rozsyłać newsletter to musimy zarejestrować dwa zbiory danych czyli listę klientów związaną ze sprzedażą oraz tych, którzy zamówili newsletter.

Opisujemy kategorię osób jakich dane będą przetwarzane np. klienci sklepu internetowego.

Zaznaczamy jakie dane będą przetwarzane.

Wypisujemy inne dane osobowe, które nie były wypisane w poprzednim kroku.

W kroku 10 musimy zaznaczyć czy będziemy przetwarzali dane specjalne np. wyznanie itd. Zwykły sklep internetowy zapewne może przejść do punktu 11.

Następnie podajemy skąd będą pochodziły dane czy tylko od osób, które je podają, czy jeszcze z innych źródeł (np. zakup danych osobowych – nie polecany).

W kroku 12 podajemy czy dane będą udostępniane innym podmiotom np. firmie kurierskiej, firmie prowadzącej marketing itd.

Jeżeli zamierzamy przekazywać dane, musimy podać jakim firmom.

W kroku 14 podajemy czy dane osobowe będą przekazywane do państw trzecich.

W następnym kroku pytani jesteśmy jak zamierzamy przetwarzać dane, punkty są oczywiste.

Następnie podajemy jakie jakie środki podejmujemy aby chronić dane osobowe.

Rozporządzenie mówi jasno, że jeżeli przetwarzamy dane osobowe z wykorzystaniem internetu musimy zapewnić wysoki poziom bezpieczeństwa danych. Co za tym się kryje warto poczytać w rozporządzeniu MSWiA Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024)

Już prawie koniec, podajemy adres mail na który chcemy otrzymać potwierdzenie oraz do późniejszego logowani. Załączników nie musimy dodawać.

W zależności czy posiadamy podpis elektroniczny czy nie, albo podpisujemy wniosek albo musimy go wydrukować. Ja nie posiadam podpisu dlatego drukuję wniosek i wysyłam go pocztą po podpisaniu długopisem.

Koniec, teraz idziemy na pocztę i wysyłamy wydrukowana wersję wniosku do GIODO. Następnie odczekujemy ok. miesiąca i możemy się cieszyć z rejestracji zbioru danych osobowych.

Małe zastrzeżenie, powyższa krótka instrukcja przedstawia stan na sierpień 2012. Nie jestem prawnikiem i prezentuję moje rozumienie całego procesu oraz prawa o ochronie danych osobowych. Nie biorę odpowiedzialności za błędy, które mogą wyniknąć ze stosowania moich wskazówek, robicie to na własną odpowiedzialność. Jeżeli, ktoś nie czuje się pewny  sugeruję skorzystanie z usług kancelarii prawnych specjalizujących się w tematyce ochrony danych osobowych.


Celem bloga jest popularyzacja wiedzy na temat związany z handlem internetowym a wszystkie treści mają charakter wyłącznie informacyjny. Poglądy i opinie przedstawione w tej wiadomości są wyłącznie poglądami i opiniami jej autora i nie mogą być podstawą do podejmowania decyzji w zakresie prawa czy obrotu gospodarczego. Autor nie odpowiada za jakie kolwiek szkody wyrządzone zastosowanie lub brakiem zastosowania się do tej treści.