Browsing articles tagged with " ochrona danych osobowych"
Gru
29
2014

Nowe regulacje odnośnie ochrony danych osobowych, już od 1 stycznia 2015

Po zmianach wprowadzonych 25 grudnia 2014, które spowodowały rewolucje w wielu regulaminach sklepów internetowych władza ustawodawcza dała szanse pracy kolejnym kancelariom prawniczym wspierający sklep internetowe. Wraz z ustawą o ułatwieniu wykonywania działalności gospodarczej z 7 listopada 2014, pomiędzy zmianami w Kodeksie Pracy, prawie energetycznym i wieloma innymi ustawami wprowadzono ważne uproszczenia w metodzie rejestrowania zbiorów danych osobowych. Niestety tekst jednolity ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych po zmianach nie został jeszcze opublikowany, zaś GIODO nie informuje o zmianach na swojej stronie, dlatego nie wiemy jak zmiany będą interpretowane.

Artykuł 9 ustawy o ułatwieniu zmienia brzmienie kilku artykułów w ustawie o ochronie danych osobowych.  Według nowych przepisów Administrator Danych Osobowych (e.g. właściciel sklepu internetowego) nie ma obowiązku bezpośredniego rejestrowania zbioru w GIODO (z wyłączeniem zbiorów,  o których mowa w art. 27 ust. 1 o ochronie danych osobowych np. rasa, poglądy polityczne) pod warunkiem powołania Administratora Bezpieczeństwa Informacji (ABI), który musi zostać zarejestrowany w GIODO (nowy artykuł 36a -36 c ustawy o ochronie danych osobowych).

W przypadku powołania ABI, GIODO zwraca się do ABI o dokonanie sprawdzenia:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowy;

Podsumowując, wprowadzona zmiana zgodnie z nazwą ustawy, którą ja wdrożono powinna stanowić ułatwienie, jednak brakuje interpretacji dla niej w szczególności otwartą kwestią pozostaje co z już zgłoszonymi zbiorami?

Podstawy prawne:


Celem bloga jest popularyzacja wiedzy na temat związany z handlem internetowym a wszystkie treści mają charakter wyłącznie informacyjny. Poglądy i opinie przedstawione w tej wiadomości są wyłącznie poglądami i opiniami jej autora i nie mogą być podstawą do podejmowania decyzji w zakresie prawa czy obrotu gospodarczego. Autor nie odpowiada za jakie kolwiek szkody wyrządzone zastosowanie lub brakiem zastosowania się do tej treści.
Maj
1
2014

Rejestracja w GIODO – to nic trudnego

We wcześniejszym poście pisałem, że rejestracja w GIODO nie jest trudna i tak jest. Jednak postanowiłem cały proces przybliżyć. Oczywiście z zastrzeżeniem, że nie jestem prawnikiem i prezentuję moje rozumienie całego procesu.

http://egiodo.giodo.gov.pl/index.dhtml

Zacznijmy od otworzenia strony rejestracji, tam też wybieramy czy rejestrujemy czy dokonujemy zmiany w informacjach o wcześniej zarejestrowanym zbiorze.

Dalej podajemy nazwę zbioru, np. Lista klientów sklepu internetowego, oraz dane administratora danych osobowych. W przypadku jednoosobowej działalności gospodarczej są to dane firmy i jej właściciela chyba, że oddelegował te aktywności na pracownika albo zewnętrzną firmę.

Dane przedstawiciela wnioskodawcy, jeżeli ktoś (np. prawnik) składa wniosek w naszym imieniu. Wszystkie Zosie Samosie mogą pominąć ten punkt.

Jeżeli mamy podpisana umowę o powierzenie przetwarzania danych osobowych podajemy dane firmy, której powierzyliśmy. Umowy tego typu podpisuje się z dostawcami usług internetowych (e.g. u którego utrzymujemy serwer sklepu) albo firmie od której wykupujemy skrypt sklepu w technologi SaaS. Dlaczego warto jest podpisać taka umowę napiszę wkrótce.

Zaznaczamy jaką mamy podstawę prawną do przetwarzania danych, albo jest to zgoda na przetwarzanie np. doubleopt (podwójne potwierdzenie) w newsletterze ewentualnie jeszcze, że przetwarzanie jest konieczne do realizacji umowy.

W kolejnym kroku podajemy cele przetwarzania danych (np. wywiązywanie się umowy kupna sprzedaży albo marketingowy). Zgodnie z interpretacją na stronie GIODO, jeżeli poza sprzedażą, planujemy rozsyłać newsletter to musimy zarejestrować dwa zbiory danych czyli listę klientów związaną ze sprzedażą oraz tych, którzy zamówili newsletter.

Opisujemy kategorię osób jakich dane będą przetwarzane np. klienci sklepu internetowego.

Zaznaczamy jakie dane będą przetwarzane.

Wypisujemy inne dane osobowe, które nie były wypisane w poprzednim kroku.

W kroku 10 musimy zaznaczyć czy będziemy przetwarzali dane specjalne np. wyznanie itd. Zwykły sklep internetowy zapewne może przejść do punktu 11.

Następnie podajemy skąd będą pochodziły dane czy tylko od osób, które je podają, czy jeszcze z innych źródeł (np. zakup danych osobowych – nie polecany).

W kroku 12 podajemy czy dane będą udostępniane innym podmiotom np. firmie kurierskiej, firmie prowadzącej marketing itd.

Jeżeli zamierzamy przekazywać dane, musimy podać jakim firmom.

W kroku 14 podajemy czy dane osobowe będą przekazywane do państw trzecich.

W następnym kroku pytani jesteśmy jak zamierzamy przetwarzać dane, punkty są oczywiste.

Następnie podajemy jakie jakie środki podejmujemy aby chronić dane osobowe.

Rozporządzenie mówi jasno, że jeżeli przetwarzamy dane osobowe z wykorzystaniem internetu musimy zapewnić wysoki poziom bezpieczeństwa danych. Co za tym się kryje warto poczytać w rozporządzeniu MSWiA Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024)

Już prawie koniec, podajemy adres mail na który chcemy otrzymać potwierdzenie oraz do późniejszego logowani. Załączników nie musimy dodawać.

W zależności czy posiadamy podpis elektroniczny czy nie, albo podpisujemy wniosek albo musimy go wydrukować. Ja nie posiadam podpisu dlatego drukuję wniosek i wysyłam go pocztą po podpisaniu długopisem.

Koniec, teraz idziemy na pocztę i wysyłamy wydrukowana wersję wniosku do GIODO. Następnie odczekujemy ok. miesiąca i możemy się cieszyć z rejestracji zbioru danych osobowych.

Małe zastrzeżenie, powyższa krótka instrukcja przedstawia stan na sierpień 2012. Nie jestem prawnikiem i prezentuję moje rozumienie całego procesu oraz prawa o ochronie danych osobowych. Nie biorę odpowiedzialności za błędy, które mogą wyniknąć ze stosowania moich wskazówek, robicie to na własną odpowiedzialność. Jeżeli, ktoś nie czuje się pewny  sugeruję skorzystanie z usług kancelarii prawnych specjalizujących się w tematyce ochrony danych osobowych.


Celem bloga jest popularyzacja wiedzy na temat związany z handlem internetowym a wszystkie treści mają charakter wyłącznie informacyjny. Poglądy i opinie przedstawione w tej wiadomości są wyłącznie poglądami i opiniami jej autora i nie mogą być podstawą do podejmowania decyzji w zakresie prawa czy obrotu gospodarczego. Autor nie odpowiada za jakie kolwiek szkody wyrządzone zastosowanie lub brakiem zastosowania się do tej treści.