Dlaczego baza adresowa podlega rejestracji w GIODO?

Dlaczego baza adresowa podlega rejestracji w GIODO?

Witaj, Krzysiek Krawczyk z tej strony. Po publikacji mojego artykułu „Cała prawda o GIODO: fakty i mity”, wywołałem burzę dyskusji. Wielu nie zgodziło się z moją interpretacją ustawy. Jednak mogę się pochwalić, że Generalny Inspektor potwierdził moje słowa, o czym świadczy jego wpis na moim blogu.

Baza adresowa a GIODO

Ze sprawy najbardziej oburzającej wynotowałem sobie temat: BAZA ADRESOWA. Na pewno wielu zapyta: „Jak dziecko, ale dlaczego …?” Odpowiedź może być krótka: „Bo tak uważa GIODO”, jednak okaże się niewystarczająca dla niejednego czytelnika. Zatem zajmijmy się teraz tym tematem.

Adres E-mail to dane osobowe

W opinii Inspektora należy uznać adres e-mail za dane osobowe, ponieważ:

  • może prezentować imię i nazwisko,
  • może prezentować imię, nazwisko i nazwę firmy, np. w takiej postaci imie.nazwisko@nazwa-firmy.com

Wszystkie te warianty zwiększają prawdopodobieństwo ustalenia tożsamości. Jednocześnie my, jako administratorzy bazy, musimy założyć różne warianty maili, jakie się znajdą w bazie, w związku z czym nie możemy wykluczyć pojawienia się i takich, jak przedstawiłem wyżej.

Wykorzystanie bazy danych osobowych

Kolejną sprawą jest charakter wykorzystania bazy danych. Budowanie bazy adresowej ma nam przynieść korzyści finansowe, więc budowanie takiej bazy ma charakter marketingowy, reklamowy, informacyjny. We wszystkich tych działaniach nie ma przesłanek, które można znaleźć w ustawie o ochronie danych osobowych (art. 43.1 ustawy). Jeżeli nie ma tych przesłanek, to zbiór podlega rejestracji.

Warto zarejestrować bazę

To co w wielu wzbudza oburzenie, może okazać się atutem w promocji naszego przedsięwzięcia. Spełniając warunki związane z ochroną danych osobowych i odpowiednio to nagłaśniając, pokażemy naszemu odbiorcy, klientowi, że jest dla nas ważny. Ludzie przywiązują uwagę do swoich danych osobowych i niechętnie się nimi dzielą. Jeżeli pokażemy takiej osobie, że:

  • Dbamy o bezpieczeństwo pozostawionych danych, dając jej poczucie pewności, że dokonamy wszelkich starań, aby dane takie nie wyciekły, nikt nam ich nie wykradł.
  • Dbamy o zachowanie poufności tych danych, dając poczucie, że nie będziemy handlowali pozyskanymi danymi.
  • Zapewniamy dobrowolność, dając poczucie respektowania obowiązującego prawa i w każdej chwili osoba taka może usunąć swoje dane i nie będziemy jej nękać treścią, której nie chce.
  • Będziemy postrzegani jak duży profesjonalny serwis internetowy, który nie odbiega standardom od potentatów. Osoba może też uznać, że skoro mamy profesjonalne podejście do bezpieczeństwa klienta, to takie same podejście mamy do obsługi klienta w sklepie internetowym.

Wszystkie te działania wzbudzą zaufanie do nas. Dzięki temu możemy liczyć na fakt powracania klienta do sklepu, czytelnika na blog itp. Możemy też liczyć, że klient sam poleci nas znajomym. O reklamie szeptanej napisano niejedną książkę i artykuł, więc nie będę rozpisywał się o tym.

Zamień obowiązek w swój atut!

Właśnie teraz, kiedy jeszcze rejestracja baz adresowych nie jest normą, mamy szansę być tym pierwszym i zbudować silną relację z klientem wzbudzając w nim zaufanie i poczucie bezpieczeństwa. Jest to jeden z kluczowych elementów budowania silnej i stabilnej marki.

Gdzie wolałbyś robić zakupy:

  • W sklepie internetowym, który ma jasną i przejrzystą politykę prywatności, opisany cel i przedmiot przetwarzania danych oraz jednoczesne zapewnienia poufności i bezpieczeństwa przechowywanych danych?
  • Czy w sklepie, gdzie przede wszystkim liczy się cena, lecz przy okazji dostaniesz kilkadziesiąt maili z reklamami łańcuszków, systemów MLM, super tanich ofert, oraz możliwość wycieku danych do niepowołanych osób?

Profesjonalne podejście do ochrony danych osobowych to jeden z elementów zbudowania swojej silnej marki.

Krzysztof Krawczyk w artykule o GIODO

34 komentarzy

  1. 1. Jeżeli do napisania komentarza na blogu osoba musi być zarejestrowanym użytkownikiem, to wtedy trzeba już to zgłaszać do GIODO?

    2. Jeżeli prowadzimy forum dyskusyjne gdzie przy rejestracji podajemy email, to też to wymaga zgłoszenie do GIODO?

    3. Jeżeli mamy w blogu wtyczkę do prowadzenia statystyk ruchu na blogu (gdzie widzimy także IP), to też to należy zgłaszać do GIODO?

    Odpisz
  2. A czy trzeba rejestrować bazę maili zbieraną za pomocą strony np. mailchimp, tylko w celu wysyłania maili z nowościami i ostatnimi artykułami na stronie? W takiej sytuacji przecież ja nie zbieram bezpośrednio danych, tylko mailchimp czy inne serwisy.

    Odpisz
  3. Witam
    Ja mam trochę inne pytanie. Jestem w tym temacie laikiem, Pana artykuł znalazłem przy pomocy Google więc proszę się nie śmiać jeśli moje pytanie będzie powodować śmiech :)
    Niedawno otworzyłem firmę i planujemy wydanie e-gazety, która będzie rozsyłana za free osobom zarejestrowanym w serwisie. I teraz moje pytanie, czy jeśli te osoby podadzą tylko adres e-mail a moje zyski z tego „mailingu” będą wyłącznie na podstawie reklam zawartych w e-czasopiśmie (czyli defakto mailing nie będzie miał nic wspólnego z reklamą jak np takich firm jak sieci telefonii komórkowej, które nakłaniają do wziecia telefonu za 1 zł) to czy taką listę też muszę rejestrować? Dodam tylko, że ta lista nie będzie służyła do innych celów poza wysłaniem raz w miesiącu darmowego wydania czasopisma.
    Pozdrawiam

    Odpisz
  4. GIODO – mój ulubiony.
    Parę luźnych przemyśleń na temat funkcjonowania systemu prawnego w Polsce na przykładzie GIODO:

    1. Obowiązek zgłaszania bazy danych mają nawet osoby fizyczne, jeśli wykorzystują dane do celów komercyjnych – miesiąc temu sprzedałem 5 rzeczy na allegro – chyba muszę zarejstrować bazę, prawda? Bo w przyszłym miesiącu też wyczyszczę komórkę i parę gratów sprzedam, więc jest to ciągłe działanie.

    2. W Polsce mamy wiele bzdurnych przepisów, na które w większości nikt nie zwraca uwagi. Bo one nie powstają po to, by żył się łatwiej, ale żeby mieć na obywatela haka. Chociaż 99% podmiotów w Polsce nie zarejstrowało się w GIODO, to zawsze można brak rejestracji wyciągnąć jako hak na kogoś – kij się zawsze znajdzie.
    3. Ustawa o danych osobowych – mam wyższe wykształcenie, ale jej nie rozumiem. Rejestracja bazy – jest trudna, przepełniona technicznymi pojęciami o których nie mam pojęcia. Odrzuca to od rejestracji.
    4. Czy baza baz w GIODO jest zarejestrowana w GIODO? Czy przy rejestracji wyrażamy zgodę na przetwarzanie naszych danych?

    5. Co mi po ochronie danych, skoro bez wyrażenia zgody na ich przetwarzanie nic nie jestem w stanie zrobić – uzyskać informacji, niczego kupić – siłą rzeczy jesteśmy zmuszeni nasze dane ujawniać. Więc po co to komu?

    6. Tak jak z info o cookies – niczego to w moim życiu nie zmieniło. A w waszych życiach coś to zmieniło?

    Odpisz
  5. Dla mnie jest to i tak nie do przełknięcia, udostępniamy dane osobowe instytucją trzecim (nawet jeśli są to instytucje rządowe). Samo GIODO wypada tutaj w formie gangstera, wziętego wprost z amerykańskich filmów – „dawaj haracz za ochronę”.

    Odpisz
  6. Bardzo ciekawy artykuł. Mam w tej sprawie pytanie:

    Czy jeżeli:
    Prowadzę działalność zagranicą np. UK
    Posiadam serwer zagranicą
    Działam na terenie Polski
    Przechowuję i przetwarzam dane wrażliwe (choroby itp)
    Domena zarejestrowana jest w Polsce

    To czy w jakikolwiek sposób podlegam pod GIODO? czy też podlegam pod ochronę danych osobowych w UK?

    Odpisz
    • Generalnie pod prawo UK i ich GIODO bo tam jest działalność. Jeżeli masz tutaj jakieś filie fizyczne to i pod nasze prawo i GIODO. Od 2016 roku ma się to zmienić i firma będzie podlegać pod jeden kraj tam gdzie ma siedzibę i wszystkie filie w całej UE również pod kraj siedziby

      Odpisz
  7. „Kolejną sprawą jest charakter wykorzystania bazy danych. Budowanie bazy adresowej ma nam przynieść korzyści finansowe, więc budowanie takiej bazy ma charakter marketingowy, reklamowy, informacyjny. We wszystkich tych działaniach nie ma przesłanek, które można znaleźć w ustawie o ochronie danych osobowych (art. 43.1 ustawy). Jeżeli nie ma tych przesłanek, to zbiór podlega rejestracji.”

    Odnośnie tej części artykułu – nie wiem, czy dobrze rozumiem.. – jeśli nasza baza mailingowa ma charakter zarobkowy tzn. jeśli chcemy zarabiać pieniądze dzięki takiej liście to nie ma obowiązku rejestracji takiej bazy w GIODO?

    ..hmm, mam kilka list mailingowych i nie bardzo wiem, którą z nich muszę zarejestrować, a której nie. Czy rejestracja bazy mailingowej w GIODO jest płatna?

    Odpisz
    • No właśnie jest taki obowiązek rejestracji. W ustawie o ochronie danych osobowych jest art 43.1 i ma on 11 punktów, które zwalniają z obowiązku rejestracji. Kolejna sprawa to podaję Tobie link do uzasadnienia GIODO czy newsletter podlega rejestracji. Newsletter jest idealnym przykładem mailingu. Jednak w postaci mailingu możesz np. oferować kurs nazwijmy to korespondencyjny i w tym przypadku art 43.1 pkt 4 jest zwolnienie z rejestracji jednak pamiętaj że osoba zapisze się na kurs zakończy go i koniec. Nie będziesz mógł wykorzystać tej bazy do działań marketingowych – tak w skrócie. Rejestrujesz jeden zbiór np. o nazwie działania marketingowa firmy. Ten zbiór może zawierać 1,2, albo 100 baz adresowych – gdyż na tym polega architektura rozproszona bazy. Rejestracja jest oczywiście darmowa.

      Odpisz
  8. A ile czasu jest na zgłoszenie takiej bazy? I co jeśli się nie zgłosiło w terminie tylko dopiero teraz (np. po 12 mies!)?
    czy są jakieś kary i czy można ich uniknąć

    Odpisz
    • Zgłosić bazę należy przed rozpoczęciem pozyskiwania danych osobowych. Jeżeli się tego obowiązku nie dopełniło to należy to zrobić jak najprędzej. Kary mogą wystąpić podczas kontroli, ewentualnych skarg. GIODO może nakazać wstrzymanie zbieranie danych osobowych do czasu dopełnienia tych obowiązków. co dla ebiznesu jest równoznaczne z jego czasowym zaknięciem

      Odpisz
  9. Czy dane zebrane w prywatnych notatnikach też trzeba rejestrować?

    Odpisz
  10. Zgadzam się z argumentem że na moje nazwisko każdy może założyć skrzynkę mailową. Na tej zasadzie traktowanie adresów poczty elektronicznej jako wiarygodnych danych osobowych, wydaje się absurdem. Istnieją jednak prawne precedensy rozstrzygające inaczej. Prawo jest prawem i warto go przestrzegać, nawet gdy sankcjonuje rozwiązania sprzeczne z logiką. Gdy istnieje sprzeczność między prawem a logiką lub co gorsze etyką, czasem należy wykazać się odwagą i złamać prawo. Taka potrzeba może wystąpić na przykład gdy operuje się danymi na temat ludzi prześladowanych przez władzę. Nie wyobrażam sobie zarejestrowania bazy danych w jakiejkolwiek instytucji na przykład przez WikiLeaks. Podejmując działania sprzeczne z prawem, należy się jednak liczyć z poważnymi konsekwencjami, szczególnie gdy mieszka się w Chinach lub Iranie.

    Odpisz
    • Informacje, które są w posiadaniu Wikileaks podlegają w duże mierze u nas pod informacje niejawne i odpowiadającej jej ustawie. W Polsce aby móc czytać informację niejawną należy mieć upoważnienie dostępu do informacji niejawnej lub dopuszczenie do informacji niejawnych.

      Odpisz
  11. Nie zgodzę się tu (przynajmniej) z jednym: adres e-mail nie może być daną osobową. Założę się, że mógłbym utworzyć niejeden adres e-mail, który przed @ będzie miał Krzysztof_Krawczyk, np. Krzysztof_Krawczyk@interia.pl – czy to mnie identyfikuje? Czy tym mailem posługuje się Krzysztof, czy ja? Daną osobową nie jest, np. imię, nazwisko nr telefonu firmowego – są to dane „jawne” firmowe – nie zidentyfikuję, gdzie gościu mieszka, podobnie ma się sprawa przy mailach firmowych. Mało tego, imiona i nazwiska nie stanowią zbioru danych osobowych, gdyż żeby dojść, o kogo chodzi, musiałbym poświęcić na to trochę czasu i kosztów. Krzysztofów Krawczyków znam już kilku…
    „1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczą-
    ce zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
    2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić
    bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer
    identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej
    cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
    3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli
    wymagałoby to nadmiernych kosztów, czasu lub działań.”
    Ten 3 punkt jest świetny i w zasadzie przekreśla całą ustawę ;) jestem ciekaw ile to jest: „nadmierne koszty”, „nadmierny czas”, „nadmierne działania”?
    Jeśli chodzi o usuwanie, to w ustawie jest nieścisłość: raz jest uznawane to jako przetwarzanie, a potem (wynika to chyba ze źle skonstruowanego zdania) usunięcie nie jest przetwarzaniem danych osobowych – pokazywał nam to pan na szkoleniu do iso27001, lecz teraz jakoś nie mogę znaleźć tej nieścisłości :( Dodam, że ustawa ta jest pisana chyba na kolanie, bo takich nieścisłości pokazał nam ze 3 sztuki. Pewnie, to o czym tu piszę, i tak nie dotyczy się każdego przypadku, ponieważ na każde zadane nasze pytanie, pan zaczynał odpowiedź, którą zawsze podkreślał: „To zależy…” Zwolnieni z rejestracji bazy danych są m.in. ci, którzy: „przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,” – więc, moim zdaniem, jeśli prowadzimy sklep internetowy, nie musimy rejestrować bazy danych, gdyż służą nam do wystawienia rachunku. Radzę sobie poczytać ustawę, o ile ktoś ma do czynienia ze zbiorami danych osobowych. Będzie miał jasność, co z nimi robić, a czego nie. Niektóre tezy w artykule są albo słabo wyjaśnione, albo błędne – nie opierałbym się na tym – sorry.

    Odpisz
    • Marcinie,
      Do Twojego komentarz z pewnością odniesie się Krzysiek Krawczyk – to on jest ekspertem w tym temacie. Ja tylko wspomnę o jednym.
      Pamiętajmy, że ustawa ustawą, a jej interpretacja to inna para kaloszy. I nawet jeśli czasami wydawać by się mogło, że mamy rację (nie wiem jak jest tutaj), to i tak urzędnik ma zdanie decydujące. Oczywiście można się sądzić, że np. uważamy przyznanie kary za nieuzasadnione, jednak większość z nas tego nie robi, bo masa z tym taplania w… błocie.
      Interpretacja GIODO jest taka, że e-mail MOŻE BYĆ daną osobową, dlatego należy rejestrować bazę nawet w przypadku, gdy akurat nasze maile w bazie na tę chwilę nie są danymi osobowymi (tzn. żaden z nich nie jest).

      Odpisz
    • Nikogo nie pozbawiam prawa do własnych opinii. Jednak moje tezy są zbieżne z GIODO, z którym miałem okazję rozmawiać. Poruszyłeś tutaj dużo tematów. Zgadzam się, że ustawa była pisana na kolanie, jednak ja nie miałem na to wpływu. Według opinii GIODO bazę abonentów newslettera należy zgłosić.
      Dane osobowe pracowników również podlegają ochronie, jednak takiego zbioru nie trzeba rejestrować. Pracodawca ma prawo upublicznić wizerunek danego pracownika na swoich stronach internetowych do kontaktu, np. Jan Kowalski – handlowiec tel. email, itd.
      Co to są nadmierne koszty, tego nie wie nikt, kwestia czy warto się procesować po NSA itd. z GIODO w tej sprawie jak ten nakaże wstrzymać przetwarzanie danych osobowych, albo usunąć je dopóki przywrócenia ze stanem faktycznym.
      Zbiór danych do wystawienia faktury nie podlega rejestracji, tylko sklep internetowy wykorzystuje te dane nie tylko do wystawienia faktury ale także wysyłki towaru, marketing produktów i usług, a to już nie jest na potrzeby wystawienia faktury. Oczywiście można to ominąć powołując się na zasadę anonimizacji danych osobowych, jednak w taki sposób trudno jest budować markę sklepu internetowego.
      Usuwanie to również przetwarzanie danych osobowych – wynika to z definicji przetwarzania danych osobowych – Art 7 ust. 2.
      Mogę jednocześnie zapewnić, że starałem się pisać zrozumiale bez prawniczego bełkotu czy suchym cytowaniu ustawy, jednak zdaję sobie sprawę, że nie każdy musi się z tym zgadzać i interpretować tak samo. Rozumiem też, że nie trafię swoim przekazem do wszystkich, bo tego się nie da. Jeżeli bazy sklepów internetowych nie podlegałyby rejestracji, to w takim układzie potentaci na rynku jak empik, allegro, sferis, home.pl, netart nie mieliby zgłoszonych swoich baz do GIODO.

      Odpisz
      • ok, dzięki za naświetlenie pewnych spraw. Wydaje mi się, że sprawa ze zbiorami danych osobowych ma się podobnie, jak z urzędami skarbowymi – co urząd, urzędnik, to inna interpretacja. Niestety idąc w tym kierunku, musielibyśmy brnąć w: iso27001, iso9001, itp, a czy prowadząc skromny sklep internetowy jesteśmy w stanie zapewnić sobie takie certyfikaty? No, bo tylko wtedy będziemy postrzegani dobrze przez kupujących. Oczywiście, moim zdaniem (znowu) można pominąć rejestrację bazy, unikając jej tworzenia. Czyli ktoś się zarejestruje w sklepie, zrobi zakup, my wystawiamy rachunek, wysyłamy i kasujemy dane (wysłać paczkę do kogoś można przecież, nieprawdaż?). Czyli, według ustawy, jesteśmy w posiadaniu danych osobowych, ale tylko na czas ich przetwarzania. Pewnie zrypiecie mnie za to, że za każdym razem osoba kupująca będzie musiała wypełniać dane formularza z adresem, co może ją zniechęcić. Nie jestem aż takim ekspertem, ale dane te można chyba przetrzymywać w którymś z cookies na kompie kupującego i pola formularza wypełniać z ciasteczek. Co do maili, dalej utrzymuję swoje stanowisko ;) jeśli nie wierzycie, to wyślijcie maila na: pawel.krzyworaczka@interia.pl, a odpowiem ;) Gdzieś tam się zaloguję i ktoś pomyśli: przecież mam czyjeś dane osobowe, muszę bazę maili zarejestrować w GIODO. Jakie dane osobowe? Możemy spokojnie założyć, że każde imię i nazwisko w mailu nie jest prawdziwe. Nawet w firmie. Jeśli z kimś koresponduję, powiedzmy, że z maila znam imię i nazwisko. Wchodzę jednak do firmy, gdzie facet jest zatrudniony, zbieram wszystkich pracowników. Czy jestem go w stanie wskazać? O ile nie opisał się wcześniej (co już jest danymi osobowymi), nie przesłał zdjęcia, to go nie zidentyfikuję, więc mail (IMHO) nie może być daną osobową ;)

        Odpisz
        • Po pierwsze, tak prowadzony sklep nie musi mieć zgłoszonej bazy do GIODO, tylko czy tak prowadzony sklep będzie w pełni funkcjonalny, moim zdaniem nie. Odnośnie maila to nie wiem co mam powiedzieć, skoro GIODO jest innego zdania, a tak naprawdę to właśnie tam są rozstrzygane pewne spory, pytanie czy w kwestii kiedy ktoś złoży sprzeciw do GIODO czy będziemy w stanie się z nimi sądzić i czy będzie nas na to stać, gdy organ ten wyda nam decyzję wstrzymującą przetwarzanie danych osobowych, od decyzji można się odwołać zaskarżyć do NSA. Jednak decyzja będzie prawomocna do czasu, kiedy organ wyższej instancji ją odwoła, czy nasz biznes to wytrzyma. Ochronę danych rozpatrywałbym również pod kątem ustawy, a nie tylko tym, czy ktoś namierzy lub nie.

          Odpisz
      • Włos się jeży jak się to czyta.
        Po pierwsze polecam zapoznać się z treścią Ustawy o ochronie danych osobowych:
        Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
        (…)
        3)jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (…)

        Tak – gdy jest to konieczne do realizacji umowy.
        Jeżeli wysyłamy towar, wystawiamy fakturę, piszemy maila z podziękowaniem za transakcję, prowadzimy z potencjalnym klientem rozmowy mailowe przed kupnem (opis towaru) – takie działanie nie wymaga rejestracji. Jest to związane z wykonaniem zawartej umowy, lub przygotowaniem do zawarcia umowy.

        Odpisz
        • I jeszcze jedno:
          Jeżeli pisanie maili byłoby przetwarzaniem danych osobowych, to programy je obsługujące musiałby spełniać szereg wymogów określonych w rozporządzeniu ministra (data pierwszego wprowadzenia danych, określenie operatora wprowadzającego dane, wydruk danych osobowych i inne). Pokażcie mi jeden program pocztowy który to oferuje.
          A przecież każdy wysyła maile, prawda ?
          To wszyscy łamią prawo ?

          Odpisz
  12. Ten obowiązek rejestracji bazy danych to trochę absurd. Proszę mi powiedzieć, co ma zrobić osoba, która zakłada bloga i żadnej listy mailingowej nie tworzy i nie zbiera. Tylko udostępnia formularz do komentowania. W takim formularzu są pola „email” i „imię”? Jeśli to również jest zbieranie bazy danych, to oznacza, że praktycznie każdy właściciel bloga powinien zarejestrować swoją bazę danych. Jak to więc jest z tym formularzem kontaktowym lub formularzem do komentarzy na blogu?

    O ile prościej byłoby poprawić ustawę i umieścić w niej zapis, że email jest „daną osobową” pod warunkiem, że zawiera imię i nazwisko. Wówczas taki maile usuwałoby się z listy lub ostrzegało takich właścicieli przed zapisem z imiennego maila.

    Odpisz
    • Nie posiadam takiej mocy aby zmienić ustawę. Usuwanie maili to zgodnie z ustawą o.d.o. – przetwarzanie danych osobowych.
      Moja ocena i opinia na temat komentarzy na blogach jest taka – zbiór nie podlega zgłoszeniu, gdyż uważam to za drobną bieżącą sprawę życia codziennego. (Art. 43.1. pkt. 11), ponieważ dla mnie jako właściciela bloga taki mail ma nie jest głównym celem dla którego prowadzę blog. Nie korzystam z tych maili do mailingu, nie wysyłam propozycji handlowych.
      Formularz kontaktowy oczywiście ma pole e-mail, jednak odpowiedzią może się okazać czy ma on być do kontaktu z osobą, czy potem zamierzamy bombardować go super ofertami przez autoresponder. W ocenie konieczności rejestracji powiem tak, że należy zastanowić, co chcemy z danymi robić. Budowanie listy adresowej – tak, mail tylko do komentowania – nie

      Odpisz
      • Zaskoczył mnie fakt, że samo kliknięcie usuń jest już uważane za przetworzenie danej osobowej.

        Odpisz
        • Wynika to z definicji w ustawie, która mówi jednoznacznie, że usuwanie to przetwarzanie danych osobowych

          Odpisz
      • Ciekawa i logiczna interpretacja. Rejestrować – nazwijmy to „zbioru komentarzy z blogu” nie trzeba, ale jeśli zgodzimy się z tym, że na blogu są przetwarzane dane osobowe, to na administratorze danych spoczywają obowiązki z art. 24 uodo czyli poinformowania osób, od których dane są zbierane o swojej pełnej nazwie, celu przetwarzania danych, możliwości ich zmiany, poprawienia itp. Czyli kolejna zakładka na blogu oprócz informacji o ciasteczkach? :)

        Odpisz
  13. > instrukcja zarządzania systemem informatycznym

    Taką instrukcję trzeba samemu napisać, czy jest dostępna, gdy korzystamy z gotowego systemu typu Implebot czy FUMP?

    > Z tego co widziałem, umowa o powierzeniu danych osobowych obejmuje dwie strony, administratora i osobę powierzającą. Jak zastosować to do listy mailingowej?

    Odpisz
    • Taką instrukcję musimy napisać samemu. Jeśli chodzi o Fumpa, to trzeba mieć umowę powierzenia z firmą hostingową.

      Odpisz
    • Administratorem danych jesteś Ty – właściciel bazy. Firma hostingowa, na której stoi FUMP jest podmiotem, któremu powierzasz dane.

      Odpisz
  14. Implebot jest programem, a my rejestrujemy bazę danych, program ma tu znaczenie drugorzędne.
    Co należy zrobić:
    1. Przede wszystkim stworzyć podstawową dokumentację (Polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym)
    2. Wyznaczyć osobę pełniącą funkcję ABI
    3. Mieć umowę o powierzeniu danych osobowych
    4. Wypełnić wniosek
    5. Wysłać wniosek wraz z dokumentacją
    Rejestracja jest wolna od opłaty – proszę się zapoznać z tym dokumentem http://www.giodo.gov.pl/data/filemanager_pl/oplata_skarbowa.pdf

    +1

    Odpisz
    • Implebot jest programem tylko dostęp do bazy ma również właściciel implebota, bo program nie jest na naszym serwerze i trzeba mieć umowę powierzenia przetwarzania danych osobowych.

      Odpisz
  15. Proszę jeszcze przypomnieć jaki jest koszt rejestracji takiej bazy i co muszę spełniać, jeśli korzystam z implebota?

    Odpisz
    • Implebot jest programem, a my rejestrujemy bazę danych, program ma tu znaczenie drugorzędne.
      Co należy zrobić:
      1. Przede wszystkim stworzyć podstawową dokumentację (Polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym)
      2. Wyznaczyć osobę pełniącą funkcję ABI
      3. Mieć umowę o powierzeniu danych osobowych
      4. Wypełnić wniosek
      5. Wysłać wniosek wraz z dokumentacją
      Rejestracja jest wolna od opłaty – proszę się zapoznać z tym dokumentem http://www.giodo.gov.pl/data/filemanager_pl/oplata_skarbowa.pdf

      Odpisz

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Uwaga: zasady rozsądnego komentowania.
1. Daruj sobie komentarze typu "Dobry wpis", "Gratulacje! link.pl" itp.
2. Komentuj tak, jakbyś chciał, aby u Ciebie komentowano.
3. Podawaj w formularzu Twój prawdziwy adres e-mail (jest bezpieczny!)
4. Link do Twojej strony WWW (w podpisie) pokaże się dopiero wtedy, gdy napiszesz 5-ty komentarz na ebiznesy.pl. Pamiętaj jednak, aby zawsze podawać ten sam adres mailowy (komentarze zliczane są właśnie po mailu).

Cała prawda o GIODO: fakty i mity

Na temat instytucji GIODO i ochrony danych osobowych w […]

Zamknij