E-biznes Blog - Paweł Krzyworączka - e-marketing, e-commerce, pozycjonowanie, reklama internetowa
Główny Inspektor Ochrony Danych Osobowych - artykuł obalający mity

Cała prawda o GIODO: fakty i mity

Na temat instytucji GIODO i ochrony danych osobowych w e-biznesie powstało wiele faktów i mitów. Dziś postaram się wyjaśnić kwestie sporne pojawiające się na wielu forach internetowych. Zacznijmy jednak od tego, co takiego jest to GIODO.

Co to jest GIODO?

Otóż jest to Generalny Inspektor Ochrony Danych Osobowych, który pełni swój urząd i stoi na straży przestrzegania ustawy ochrony danych osobowych, do której zapoznania zachęcam (Dz. U. z 2002 r. Nr 101 poz. 926). Pełny zakres uprawnień Generalnego Inspektora znajdziesz w Art. 12 niniejszej ustawy.

Zanim przejdę do obalania największych mitów, chciałbym poinformować, że zgodnie z ustawą o ochronie danych osobowych podlegają one ochronie. Dane osobowe w świetle norm oraz opinii Generalnego Inspektora to nie tylko imię i nazwisko, adres czy PESEL, lecz również adres e-mail, IP komputera, z którego komunikujesz się z Internetem, czy nr Twojego telefonu. W ustawie znajdziesz, że zbiór takich danych podlega rejestracji u Generalnego Inspektora Danych Osobowych, z kilkoma odstępstwami (Art. 43.1 ustawy).

Czy rejestracja jest kosmicznie trudna?

Rejestracja nie jest trudna. Należy pobrać wniosek (lub wypełnić wniosek rejestracyjny ze strony GIODO), wypełnić go i wysłać na adres Biura GIODO w Warszawie. Od tej pory w większości przypadków możemy legalnie przetwarzać dane osobowe. Jednak aby nie było wszystko tak różowo, należy do wniosku dodać dwa załączniki:

  • Politykę bezpieczeństwa informacji
  • Instrukcję zarządzania systemem informatycznym

Te dokumenty mają uściślać procedury i sposób postępowania z danymi osobowymi podczas ich przetwarzania dla nas i naszych pracowników. Przedstawiają one też procedury awaryjne na wypadek wycieku danych, jak miało to miejsce np. w sieci Sony.

Przejdźmy do obalenie mitów na temat GIODO

Mit #1: Nie muszę się rejestrować, ponieważ używam danych do realizacji zamówienia.

Błąd. Rejestracji nie podlega baza tylko wtedy, kiedy dane są wykorzystywane do wypełnienia faktury. Czy zamówieniem było wystawienie faktury czy także towar, który musisz wysłać? Wysyłka towaru czy nawet wysyłka tejże faktury to działanie na danych osobowych, którego zbiór podlega rejestracji w GIODO.

Mit #2: Mail nie jest daną osobową, gdyż nie reprezentuje on osoby, a koszty do identyfikacji osoby są zbyt duże, aby uznać go za dane osobowe.

Przykro mi, ale innego zdania jest Generalny Inspektor, który mail uznaje za dane osobowe. Fakt, że w definicji danych osobowych w ustawie jest zapis „Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.” Art. 6.3 ustawy. Jednak jest to małe niedopracowanie, co oznaczają nadmierne koszta. Czy 100 zł to już dużo, czy dopiero 100 000? Oczywiście masz prawo się sądzić z GIODO, kiedy nałoży na Ciebie karę i zakaże Tobie działań na zbiorze danych osobowych, tylko żeby nie stało się tak, że popadniesz w nadmierne koszta na prawników, pisanie zażaleń, odwołań od decyzji, a do wyjaśnienia sprawy nie będziesz mógł sprzedawać w swoim sklepie itp. Wtedy możemy poznać definicję nadmiernych kosztów 🙁 Generalnie za opinią GIODO ja powtarzam: EMAIL TO DANE OSOBOWE ! czy się nam to podoba czy nie.

Mit #3: Email nie prezentuje danych osoby.

Wiele osób twierdzi, że adres w postaci twój_nick@domena.com nie prezentuje danych osobowych. To nie do końca prawda, ponieważ:

  • Zakładając maila musiałeś wypełnić formularz rejestracyjny i musiałeś podać swoje dane z adresem zamieszkania włącznie.
  • Jeżeli podałeś fikcyjne dane w formularzu, łamiesz regulamin dostawcy Twojej poczty.
  • Tworząc bazę danych osobowych musisz założyć, że nie będą tam tylko takie adresy, ale również imie.nazwisko@domena.com. Rejestracji należy dokonać przed rozpoczęciem pozyskiwania danych, a nie w momencie pojawienia się maila uznanego przez nas za dane osobowe.

Mit #4: Nie używam danych osobowych do celów marketingowych, w związku z czym nie muszę rejestrować bazy.

Kolejny błąd. Nie tylko działania marketingowe, ale wysyłka towaru, czy nawet kartka imieninowa do Twojego klienta to działania, których nie znajdziemy w wyłączeniach z konieczności rejestracji bazy (!).

Mit #5: Ustawa dotyczy tylko dużych przedsiębiorstw, sklepów internetowych i instytucji państwowych.

To jest fikcja, bo jeśli przeczytasz całą ustawę, nie ma tam żadnego takiego zapisu. Ustawa traktuje jednakowo instytucję państwową, mega przedsiębiorstwo czy osobę prywatną lub mikrofirmę. Ustawa rozpatruje każdy przypadek pod kątem przetwarzania danych osobowych i jeżeli wykonujesz takie działania to już podlegasz tej ustawie.

Mit #6: Rejestracji podlegają tylko firmy, a nie osoby prywatne.

Kolejny mit. Rejestracji nie podlegają zbiory danych osobowych wykorzystywane do celów prywatnych, czyli np. książka telefoniczna w Twoim telefonie czy spis numerów i adresów w Twoim kalendarzu; pod warunkiem, że nie wykorzystujesz tych danych zarobkowo. Jednak jeżeli masz ebiznes i nie masz zarejestrowanej działalności, to nie wiem, czy jest to do końca legalne, lecz ustawa nie rozdziela tutaj na osoby prywatne i firmy; różnica jest tylko w maksymalnych karach; w pierwszym przypadku do 10 tys. zł, w drugim do 50 tys. zł.

Podsumowanie rozważań

Przedstawiłem tutaj największe dylematy, jakie przeczytałem na forach internetowych (m.in na forum e-biznesu Pawła Krzyworączki).

Celem mojego artykułu nie jest zastraszenie karami i konsekwencjami za tym idącymi, a informowanie każdego, kto działa w szeroko rozumianym ebiznesie, aby nie odczuł negatywnych skutków swojej niewiedzy, jak miało miejsce w przypadku klauzul niedozwolonych i rzekomych pozwów. Zainteresowanym chętnie udzielę szerszych informacji.

Życzę miłego dnia i pozdrawiam
Krzysztof Krawczyk artykuł o GIODO

188 odpowiedzi na „Cała prawda o GIODO: fakty i mity”

  1. Awatar Oliwia
    Oliwia

    Bardzo przydatny artykuł. Widać lekkie pióro autora 🙂 Pozdrowienia!

  2. Awatar Elle
    Elle

    A jak to się ma do B2B? Załóżmy, że firma, w której pracuję obsługuje tylko firmy. Czy zasady są takie same? Czy email oraz telefon firmowy też może być rozumiany jako dane osobowe?

  3. Awatar Ernest
    Ernest

    A skąd wziął się obowiązek wysyłania dodatkowo polityki bezpieczeństwa i instrukcji?
    Z poniższych linków wynika, że nie ma takiego obowiązku. Nadgorliwość, czy coś się zmieniło?
    http://www.giodo.gov.pl/487/id_art/3904/j/pl/
    http://www.giodo.gov.pl/1520052/id_art/1753/j/pl/
    http://www.giodo.gov.pl/1520048/id_art/3059/j/pl/

    Pzdr

  4. Awatar Marcin
    Marcin

    Prowadzę jednoosobową działalność w ramach której mam dwa sklepy internetowe( na dwóch oddzielnych domenach) sprzedające praktycznie te same produkty.Powinienem zarejestrować jeden wspólny wniosek czy dwa oddzielnie dla każdego sklepu.

    Dodatkowo jako osoba prywatna uczestniczę w programie partnerskim.Czy w tym wypadku gromadząc adresy email do celów marketingowych także muszę wypełnić oddzielny wniosek do GIODO ??

  5. Awatar Piotr
    Piotr

    To wszystko to pic na wodę- GIODO to kolejna przystań dla „swoich’ teoretycznie GIODO nie podlega nikomu- świata krowa nie do ruszenia. Prawo egzekwuje w stosunku do wybranych (przykład prosze bardzo PGP i firmy współpracujące nie zgłosiło bazy danych od półtora roku mimo iż GIODO wie o tym) i co? i nic. Czas zrobić porządek z tymi przystaniami i zlikwidować te PINB, Inspekcje pracy, GIODO i wiele innych instytucji. Kasy wiele by przybyło, mniej papierków i ludziom żyło by się spokojniej. Moze wreszcie Kukiz zrobi z tym porzadek.

  6. Awatar księgowy
    księgowy

    Dzisiaj już widać, że tak naprawdę niewiele osób przejmuje się swoimi danymi osobowymi i większość dostaje spam i po prostu go kasuje i nic z tym nie robi.

  7. Awatar Marina

    Czy funkcjonuje na stronie baza decyzji GIODO?

  8. Awatar enq
    enq

    Ja mam jeszcze jedno pytanko do faktów i mitów i GIODO. W listoapdzie wysłałem zgłoszenie internetowo bez podpisu elektronicznego. A dopiero dzisiaj wysłałem wersję papierową (bez załączników). Czy mogłem przetwarząc dane osobowe od momemtu przyjęcia przez nich wniosku w listoapdzie (cały czas ma status na e-giodo „wysłany”, czy dopiero od wysłania wersji papierowej dziś?

    Interesuje mnie, bo tutaj w mitach jest, ze od momentu wysłania zgłoszenia można przetwarzać, tylko ciekaw jestem kiedy w moim przypadku nastąpiło „wysłanie”

  9. Awatar Andrzej Puk

    Dzięki wielkie! Informacje których szukałem Ty przedstawiłeś w świetny uporządkowany sposób a do tego obalanie mitów po prostu bomba 😀
    Komentarze są świetnym tego rozszerzeniem.

  10. Awatar szafarz
    szafarz

    Panie Krzysztofie, moim zdaniem nie ma Pan racji w kwestii emaila. Email nie jest daną osobową. Dlaczego?
    1. Uzyskanie pozostałych danych osobowych (o ile takie istnieją, bo nie każdy dostawca poczty ich wymaga) nie jest (legalnie) w ogóle możliwe przez osobę prywatną, czy firmę, więc kryterium kosztów mamy już załatwione – są nieskończone a to raczej niedwuznacznie i bezdyskusyjnie dużo.
    2. O ile podanie fałszywych danych w formularzu rejestracyjnym emaila jest złamaniem regulaminu, to już podanie ich w mailu absolutnie nie. Nawet w mailu postaci jan.kowalski@poczta.pl nie można traktować adresu jako imię i nazwisko a jedynie jako „adres poczty elektronicznej”. Przykład – jeżeli w polu hasło wpiszę „JanKowalskiUl.Jasna700-140Warszawa” to przecież nikt nawet nie pomyśli o tym, żeby już zarejestrować taką bazę jako dane osobowe nawet, jeżeli będzie to prawdziwy adres i nazwisko.
    3. Baza samych adresów email (sporo portali wymaga tylko adresu email i hasła) nie stanowi „bazy” w pojęciu GIODO – nie można jej przeszukiwać przy użyciu dwóch kryteriów.

    1. Awatar Paweł Krzyworączka

      @Szafarz,
      Na logikę – być może masz rację. Jest jednak stanowisko GIODO w tej sprawie i ono jest wiążące: adres e-mail jest daną osobową.

  11. Awatar Daria
    Daria

    Co w wypadku kiedy dane osobowe dłużników naruszających prawa autorskie odtajnione są przez Prokuraturę na wniosek zagranicznego stowarzyszenia w celu tworzenia wezwań do zapłaty? Z góry dziękuje za odpowiedź. 😉

  12. Awatar Dawid
    Dawid

    Witam, jakieś 5 miesięcy temu wypełniłem wniosek na stronie Giodo a także wydrukowałem regulamin i politykę prywatności mojego portalu. Przesłałem wszystko na ich adres. W panelu „Moja sprawa” na stronie Giodo do dziś widnieje informacja „Wysłany” ale nie ma mojego zbioru w bazie Giodo. Oczywiście kilkadziesiąt razy próbowałem się dodzwonić o różnych godzinach do Giodo ale dodzwonić się nie da. Co powinienem zrobić w takim przypadku? Przymknąć na to oko? W końcu przesłałem papiery (niekoniecznie wszystkie takie jak trzeba) i wniosek -liczą się chęci. Chyba Giodo nie powinno mieć do mnie pretensji nigdy o to, że nie zgłosiłem zbioru bo przecież zgłosiłem

    1. Awatar E.
      E.

      Witam,
      mam podobny problem, na stronie status wniosku elektronicznego- wysłano, dokumenty podpisane przesłałam pocztą, żadnej informacji zwrotnej.

  13. Awatar bozydar
    bozydar

    Witam,
    ja mam pytanie trochę techniczne. Jest wiele firm oferujących przygotowanie niezbędnego zestawu dokumentacji do rejestracji w GIODO, jednak bez wdrożenia tych papierów w życie. Mam na myśli to, że dokonuję zakupu sprawdzonych i wypełnionych formularzy polityki bezpieczeństwa itp., ale firma ta w ramach umowy nie zajmuje się faktycznie zabezpieczeniami, o których mowa w przepisach. Czy wobec tego lepiej zapłacić więcej i skorzystać z usługi przygotowania dokumentacji wraz z wdrożeniem, czy GIODO ma to w nosie, a więc wysłać im standardowe arkusze zakupione od firm specjalizujących się w tej materii? Co do zasady formularz wymaga tylko określenia poziomu zabezpieczeń, a nie dokladnych metod. Pytam o to pod kątem kontroli:)

  14. Awatar Michał
    Michał

    Mam pytanie o tzw. „Politykę prywatności”. Jakie to ma odniesienie i gdzie do przepisów prawa? Gdzie jest napisane, że powinien być właśnie taki dokument i tak nazwany? Nie umiem znaleźć poza tym, że co chwila ktoś pisze, że musi być bo tak, albo bo tak wypada. Na pytania moje o podstawę prawną autorzy takich artykułów milczą.

    1. Awatar adwokat Iwo Klisz

      ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r.w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wydane na podstawie art. 39a ustawy o ochronie danych osobowych w par. 3 stanowi „Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej instrukcją”.

  15. Awatar Andrzej

    Witam, prowadzę bloga, jest nowy mam kilka dni, oczywiście aby dodać komentarz wymagany jest adres e-mail. Blog stoi na serwerze VPS z IP we Francji.
    Moje pytanie – rejestrować bazę adresów e-mail w GIODO? Blog nie posiada jeszcze zarejestrowanych użytkowników, brak komentarzy więc baza jakby pusta, teraz drugie pytanie – wyłączam formę rejestrowania się na blogu, pozostaje tylko forma komentarzy – także trzeba będzie rejestrować w przyszłości bazę jak będą komentarze?

  16. Awatar Julia
    Julia

    Witam. Proszę o pomoc. Pracuję w szkole podstawowej. Jakie dokumenty powinny być zarejestrowane w GIODO? Byłam na kilku szkoleniach i interpretacje ustaw były naprawdę różne. Pozdrawiam.

    1. Awatar Krzysztof Krawczyk

      W szkole wiele zbiorów działa na art 43.1. uodo czyli jest zwolniona z obowiązku rejestracji. Jednak będą zbiory do zgłoszenia. Trzeba zacząć od dokumentacji, czyli polityka bezpieczeństwa przede wszystkim i na tym etapie prac pojawią się zbiory. Proszę o kontakt ze mną kkwebistics@gmail.com

  17. Awatar Grazyna
    Grazyna

    Witam, a ja mam takie pytanie, prowadzę sklep internetowy już rok i do tej pory nie zgłosiłam bazy danych do GIODO. I co teraz?
    Mam zgłosić i napisać akt czynnego żalu? Jest tam jedno pytanie, od kiedy powstał obowiązek zgłoszenia. Nie wiem co mam tam wpisać.
    Poradzicie coś?

    Z góry dziękuję za pomoc:)

    1. Awatar amm
      amm

      Witam ,jeżeli dane wykorzystujemy tylko do realizacji zamówienia nie podlegamy obowiązkowi rejestracji . Firmy które tak twierdzą próbują naciągać nas na dodatkowe koszty . tel do info GIODO (22) 860 70 70.Po ww. numerem można uzyskać podstawowe informacje o ustawie o ochronie danych osobowych i kompetencjach Generalnego Inspektora Ochrony Danych Osobowych.
      Infolinia czynna jest od poniedziałku do piątku, w godzinach od 8.15 do 15.45.

      1. Awatar Artur
        Artur

        A przeczytałeś powyższy tekst, jeśli ktoś prowadzi sklep internetowy towar musi gdzieś wysłać więc już musi zgłosić zbiór do GIODO.

    2. Awatar Krzysztof Krawczyk

      Nie kojarzę, aby we wniosku było pole od kiedy przetwarzam dane, bo obowiązek zgłoszenia jest przed. Przede wszystkim trzeba zarejestrować. Aktu czynnego żalu nie ma, to nie Urząd Skarbowy. Po prostu wypełniam wniosek i czekam na rejestrację.

    3. Awatar adwokat Iwo Klisz

      Mogę powiedzieć z doświadczenia – obejmującego jeden przypadek znacznie spóźnionego zgłoszenia zbioru do GIODO – że GIODO raczej jest zadowolony jak ktoś w ogóle zgłasza zbiór i raczej nie czepia się strasznie, że coś jest po terminie, a jeśli widzi jakieś nie prawidłowości, to najpierw wzywa do ich usunięcia, a dopiero brak reakcji może się spotkać z sankcją.

  18. Awatar adrian
    adrian

    Witam

    Mam pytanie czy zakładając portal ogłoszeniowych z ogłoszeniami drobnymi regionalnymi w którym podać będzie trzeba jedynie adres email i nr tel służący do kontaktu między zainteresowanymi ogłaszającym i czytajacym ogłoszenie oraz mail do odzyskiwania kodu usunięcia ogłoszenia a wszystko dodane dobrowolnie akceptując regulamin jest konieczne by zgłaszać gdziekolwiek?

    1. Awatar Michał
      Michał

      Wydaje mi się że powinieneś zgłosić bazę jeżeli taką gdzieś tworzysz i gromadzisz. poczytaj tutaj http://rbdo.pl/nie-tylko-sklepy-internetowe-maja-obowiazek-zglosic-zbior-danych-osobowych-swoich-klientow-do-rejestru-prowadzonego-przez-giodo/ artykuł nt nowych wytycznych giodo dot. sklepów internetowych.

    2. Awatar Krzysztof Krawczyk

      To wszystko zależy. Nie można jednoznacznie odpowiedzieć. Wszystko zależy od tego, jak zbudowany będzie serwis z ogłoszeniami. Czy użytkownik będzie miał konto itd. Ostateczna kwestia czy będziemy robić marketing do tych osób? Można zrobić serwis bazujący na art 43.1. uodo i taki co trzeba rejestrować – jednak w obu przypadkach musimy mieć politykę bezpieczeństwa i instrukcję zarządzania.

  19. Awatar Aleksandra Drozd
    Aleksandra Drozd

    Polecam dobre rozwiązanie z którego korzystaliśmy w poprzedniej firmie w której pracowałam. Był to pewnego rodzaju pakiet stworzony dla Agencji Pracy. Poza szkoleniami były tam audyty, oprogramowanie z certyfikatem GIODO. Czyli wszystkie informacje w jednym miejscu. Postaram się znaleźć co to było i jaka firma oferowała ten pakiet i wrzucę informacje.

    1. Awatar REGE
      REGE

      Zastanawia mnie co to jest za oprogramowanie z certyfikatem GIODO? Bo jak już, gdzieś w komentarzach, wspomniał autor artykułu:

      „GIODO nie wydaje żadnych certyfikatów. Generalny Inspektor daje jedynie zalecenia i opracowuje wytyczne. Zobacz tutaj http://www.giodo.gov.pl/560/id_art/2652/j/pl„.

    2. Awatar Krzysztof Krawczyk

      Nie ma oprogramowania z certyfikatem GIODO, ponieważ uzyskanie takiego certyfikatu jest niemożliwe. GIODO nie wydaje certyfikatów a jedynie decyzje na mocy administracyjnej oraz ewentualne swoje wytyczne i zalecenia. Jeżeli jakaś firma reklamuje swój produkt, że posiada certyfikat GIODO to opowiada bajki. Jedynie ich program może spełniać warunki zgodności z ustawą o ochronie danych osobowych.

  20. Awatar alch
    alch

    No myślę jednak, że prawnicy żyją z tworzenia przepisów i jest to prawda ogólna, a lektura artykułu i komentarzy potwierdza to moje mniemanie.

    Zapisany jestem do około kilkunastu list typu NEWSLETTER i w żadnej, podkreślam – w ŻADNEJ z nich nie przestrzega się ani jednego z cytowanych przepisów. Gdyby bowiem ich przestrzegać, wszelka działalność byłaby kompletnie niewykonalna. Internet został stworzony przez błogosławione Stany Zjednoczone Ameryki jako swego rodzaju przestrzeń wolności, która ma UŁATWIAĆ życie, a nie go utrudniać.

    Dla dobra sprawy radziłbym wcale nie pisać tekstów ani o GIODO ani o jego przepisach. Wówczas być może obszar niewiedzy będzie tak wielki, że same z siebie wyjdą po prostu z użycia, jak to już nieraz bywało w ciągu ostatnich 20 lat. Podam przykład domniemanej zgody na pobieranie organów od zmarłego. Przepis praktycznie martwy, bo „zmowa absolutna” obywateli powoduje, że nie jest przestrzegany. Prosiłbym, aby Pana studia prawnicze poszły w tym kierunku, wtedy jak sądzę pieniądze wydane na Pańska edukację zwrócą się całemu społeczeństwu.

    1. Awatar Krzysztof Krawczyk

      Nie jestem prawnikiem z wykształcenia to raz. Dwa tak już jest, że nieznajomość prawa nie zwalnia z jego przestrzegania. Nie sądzę aby część moich klientów mogła powiedzieć, że sprawę GIODO schowali głęboko i mieli problemy z tego powodu. Zwłaszcza teraz kiedy to GIODO współpracuje z Inspekcją Pracy co po pierwsze zwiększy liczbę kontroli, będzie egzekwować te „martwe” przepisy bowiem egzekucja kar w porozumieniu z naczelnikiem Urzędu Skarbowego może się okazać sposobem na łatanie dziurawej dziury budżetowej. Dodajmy jeszcze zmiany w przepisach prawa telekomunikacyjnego o obowiązkowym zgłaszaniu GIODO wycieków danych. Każda firma hostingowa będzie musiała to zgłaszać i co wtedy jak powiadomi, że z naszego serwera wyciekły dane.

    2. Awatar adwokat Iwo Klisz

      Gdyby to prawnicy tworzyli przepisy prawa, to tylko kilku z nich miałaby na życie, a cała reszta byłaby bezrobotna. To właśnie dzięki temu, że to „nieprawnicy” tworzą przepisy, prawnicy mają tyle pracy, bo trzeba odgadnąć „co autor miał na myśli” 🙂

  21. Awatar adamant
    adamant

    Witam!
    Mam takie pytanie odnośnie rejestracji bazy danych. Jestem na etapie kończenia portalu intern. gdzie w bazie danych oczywiście przetrzymywane są dane użytkowników takie jak: (dobrowolnie imię, nazwisko oraz miasto i avatar), obowiązkowo e-mail, nick, IP, płeć, data urodzenia. Jestem osobą fizyczną, nie prowadzę DG. Większość danych zarejestrowanego usera (poza e-mailem) będzie wyświetlana publicznie min w wyszukiwarce użytkowników (o wszystkim będą poinformowani w regulaminie serwisu). Maile będą wykorzystywane jedynie do potwierdzenia rejestracji lub w przypadku zapomnienia hasła (ewentualnie jakaś kartką świąteczna ze strony mojego serwisu). Czy taką bazę danych również muszę rejestrować w GIODO? Czy muszę im przekazywać całą strukturę zabezpieczeń? To byłoby nierozsądne.. :/ Co to znaczy, że może przyjść kontrola jeśli coś im się nie spodoba? Przyjdzie mi ktoś do mieszkania badać komputer? Pomijam fakt, że zrzucę go ze schodów bo jestem nerwowy na takich ludzi i czasem nie panuję.. ale jak to wygląda rzeczywiście? Wyżej wyczytałem, że większość firm już nie mówiąc o osobach fizycznych nie rejestruje swoich baz danych? Czy zatem lepiej będzie nie zarejestrować i nie przejmować się tym wynalazkiem jakim jest GIODO czy zarejestrować i w razie, gdyby coś im się nie spodobało w załączniku, którego tak tutaj wszyscy się obawiają (jednego z dwóch) -być już na oku?? Jeśli rejestrować to kiedy? Nim strona strona trafi na serwer? Czy jak już zacznie funkcjonować?

    Pozdrawiam

    (dobry art :))

    1. Awatar Krzysztof Krawczyk

      Ja bym zarejestrował bazę. Jak inni skaczą z mostu to nie zawsze ja muszę skakać. Jak mój sąsiad jedzie na ryby to ja nie muszę jechać. Każdy może zdecydować. Za utrudnienie inspektorowi dostępu kontroli grozi kara nawet pozbawienia wolności do lat dwóch. Może skuć w kajdanki jak policja skarbowa czy policjant. Ustawa dotyczy i osób fizycznych i przedsiębiorców

      1. Awatar Rachman

        Oj chyba urzędnik nie może skuć w kajdanki… jeśli już to może wrócić z organami porządkowymi które mogą to zrobić 🙂 Nie sądzę by mieli aż takie uprawnienia, a jeśli o czymś nie wiem to nie sądzę by nosili ze sobą kajdanki. Utrudnianie pracy urzędnikom (choćby nie wiem jak bezpodstawnie działali) raczej nic dobrego nie przyniesie zwykłej fizycznej osobie bez ochrony i stada prawników dlatego radziłbym nawet nie wygrażać się zrzucaniem ze schodów… na to też są paragrafy i nie trzeba być urzędnikiem by je egzekwować…

        Podepnę się z podobną sprawą. Panie Krzysztofie jeśli mogę prosić o komentarz…

        Katalog stron, dokonujący wpisu zostawia email by: otrzymać potwierdzenie dokonania wpisu, usunięcie itp. Żadnych działań marketingowych. Ewentualnie informacje o zmianach w katalogu np. zmiana adresu, nowe funkcjonalności katalogu, propozycja rejestracji w nowym moim katalogu (nie zarobkowo – darmowy). Czy taką bazę trzeba zgłosić czy można to podpiąć pod – jak Pan to określił – „drobne bieżące sprawy życia codziennego”. Chodziło wtedy o wtyczki do komentowania artykułów na stronach zapisujących email i wysyłających informacje o nowych wpisach…

        1. Awatar lol
          lol

          co za obled z tym giodo, urzednik moze skuc w kajdanki? co za brednie. po dlugiej nieobecnosci wrocilem do pl i to co tutaj sie dzieje, co trzeba robic aby sprzedac durny przedmiot na allegro raz na ruski rok, albo na swojej niekomercyjnej stronie wrzucic formularz kontaktowy to jakie glupowy zostaly powymyslane. to jest smieszne poprostu co tutaj sie dzieje w tej polske!!!!!!!!!!!!!!!!!!

    2. Awatar szafarz
      szafarz

      1. Jeżeli z tej bazy nie będziesz korzystał w celach zarobkowych to możesz sobie odpuścić zgłaszanie.
      2. Bierz pod uwagę, że publikowanie danych osobowych może co najmniej irytować niektórych ich właścicieli, i nawet mimo informowania ich przed zapisaniem się w portalu, będą czuły się urażone i mogą zgłosić sprawę do organów ścigania w tym GIODO. Polecam jednak stworzyć politykę bezpieczeństwa i poważnie brać pod uwagę możliwość zgłoszenia bazy w każdym momencie.
      3. Zrzucenie komputera ze schodów niczego nie zmienia. W ostateczności naraża Cię na dodatkowe koszty odzyskania danych (jeżeli w ogóle nastąpi jakieś uszkodzenie dysku w co wątpię).

  22. Awatar Monika
    Monika

    Witam,
    dla wstępu – mam zarejestrowaną działalność gospodarczą i planuję założyć portal ogłoszeniowy (drobne) i portal z katalogiem firm.
    Wczoraj dzwonilam do GIODO na infolinię dowiedzieć się jak to jest z tymi danymi powszechnie dostępnymi i odpowiedz na moje pytanie „czy jak z gazety przepisze dane firm tam zaprezentowane i opublikuje na mojej stronie, to musze to zglaszac do GIODO -strona nie posiada zadnego formularza do zglaszania firmy ani przymusu rejestracji, dane mozna przeslac na meila” brzmiala TAK, bo to juz jest przetwarzanie/prezentowanie danych i na to ponadto wymagana jest zgoda firmy. Takze potwierdzam gdzieś już przeczytany komentarz.

    Mam jednak pytanie – wlasciwie jaki sposob jest odpowiedni aby uzyskac zgode autora na zamieszczenie ogł. drobnego albo danych firmy? Czy zawsze powinno isc w parze „odhaczenie” 'akceptuje regulamin’ i 'zgdzam sie na przetwarzanie danych zgodznie z….’. Teoretycznie każda osoba moze firme zglosic do katalogu podajac sie za jej wlasciciela. A przeciez nonsensem by bylo bieganie po firmach z pisemnymi papierowymi oswiadczeniami?
    z gory dziekuje za pomoc,
    pozdrawiam
    monika

    1. Awatar Krzysztof Krawczyk

      Zgodę na przetwarzanie można zawrzeć w regulaminie i nie trzeba powielać klauzuli zgody to raz. Dwa rejestrować można zbiór i we wniosku zaznaczę że dane będą pochodzić z innych źródeł niż od osób, których dane dotyczą, a bazę firm kupię sobie z GUS i wprowadzę do swojego katalogu stron. Następnie dopełnię obowiązku informacyjnego osoby, której dane dotyczą i działam zgodnie z prawem. To taka gratisowa porada w skrócie. Ewentualne wyjaśnienia mogę złożyć po umówieniu się ze mną na usługę doradztwa

  23. […] gościnnie na blogu Pawła o ebiznesie pojawił się mój artykuł z jakże zaczepnym tytułem – Cała prawda o GIODO. Nie nadążyłem z odpisywaniem na komentarzy ale wzrost wejść na mojego bloga był niesamowity […]

  24. Awatar Irek
    Irek

    A jak przedstawia się sytuacja gdy strona (w języku polskim) dotyczy obszaru działalności poza granicami polski? Administruję dwoma stronami myrugby.pl oraz rugbyszkola.com.pl. Odbiorcą jest polak w UK. Czy w taki przypadku również mam rejestrować w GIODO?

    1. Awatar Krzysztof Krawczyk

      Zasadniczym pytaniem może być gdzie jest zameldowany lub gdzie ma siedzibę administrator danych jeżeli w Polsce to de facto podlega on pod polskie prawo ochrony danych osobowych. Jeżeli nie ma on zameldowania ani siedziby ani żadnej placówki oddziału w Polsce to nie podlega

  25. Awatar Aeist
    Aeist

    Wiem że temat był już dawno nie poruszany ale mam nadzieje że uda mi się uzyskać odpowiedź,

    Czy trzeba zgłaszać bazę złożoną z danych powszechnych i dostępnych np pochodzących z CEIDG lub z książki telefonicznej.

    Moje pytanie bierze się z faktu że na stronie GIODO w zakładce ZWOLNIENIA Z OBOWIĄZKU REJESTRACJI jest zapisane że z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: powszechnie dostępnych,

    I teraz w sumie chodzi mi o definicję danych powszechnie dostępnych.

    1. Awatar Krzysztof Krawczyk

      Baza CEIDG nie jest uznana za dane powszechnie dostępne w związku z czym zwolnienie z art. 43.1. pkt 9) chyba 🙂 nie ma zastosowania. Dane przedsiębiorców od stycznia 2012 zostały włączone pod ochronę i od tego momentu za dane powszechnie dostępne uznaje się te dane, które przedsiębiorca sam upublicznia np. na swojej stronie firmowej. Wobec powyższego tworząc taką bazę powinniśmy mieć jego zgodę na przetwarzanie jego danych. Może ten artykuł coś rozjaśni http://ostium.pl/zmiany-w-zasadach-ochrony-danych-osobowych-od-2012-roku/

  26. Awatar Tomasz
    Tomasz

    Witam,
    chcę prowadzić serwis internetowy, gdzie publikowane będą wizytówki osób fizycznych. Czy mam obowiązek zgłoszenia tego do GIODO? To będzie bardziej serwis ogłoszeniowy.
    A druga sprawa: czy mogę prowadzić taki portal dla celów zarobkowych nie mając zarejestrowanej działalności gosp.? Co na to GIODO, jeśli złożę wniosek o rejestrację zbioru jako osoba fizyczna?
    Z góry dziękuję za odpowiedź.:)

    1. Awatar Dariusz Dahm

      Jeśli chcesz prowadzić portal w celach zarobkową na pewno musisz zarejestrować działalność gospodarczą.

    2. Awatar Krzysztof Krawczyk

      Dla GIODO czy to jest osoba fizyczna czy prawna nie ma znaczenia. Czy taki zbiór taki należy zgłosić do GIODO to powiem i tak i nie. W zasadzie wszytko wyjaśniłem w swoim nowym serwisie http://abipomocnik.pl Jest tam wiele bardzo ciekawych artykułów oraz możliwość korzystania z doradztwa w cenie abonamentu. Jednak aby odpowiedzieć na to pytanie należy się zastanowić co z tymi danymi klientów chcemy robić.
      A zarabianie bez DG to sprawa dla Urzędu Skarbowego. Jednak powiem Tobie tak nie kupiłbym nic jako firma jeżeli nie możesz wystawić mi za to faktury a nie mając DG nie wystawisz jej chyba ?

      1. Awatar Przemek
        Przemek

        A co jak ktoś nie jest vatowcem, a ma DG?

        Mądrzysz się koleś z tym giodo, bo coś masz tam do opędzlowania w temacie.

  27. Awatar Gregory
    Gregory

    Proszę o informację jak wygląda sprawa, jeśli już posiadam sklep internetowy jakiś czas, a dopiero teraz zgłoszę sie do GIODO, czy są jakieś konsekwencje tego?

    1. Awatar Sally
      Sally

      Witam, podpinam się pod temat sklepu internetowego. Co jeśli sklep internetowy jest na serwerze firmy pełniącej usługi hostingowe? Kto zgłasza bazy? Firma hostinogowa czy właściciel sklepu internetowego? Oraz czy mówi o tym jasno któryś przepis?

      1. Awatar Krzysztof Krawczyk

        Zgłasza bazę zawsze ADO czyli Administrator Danych Osobowych, firma hostingowa jest w tym momencie podmiotem, któremu dane zostały powierzone i z nią trzeba mieć umowę. Przepisy na to, to mógłbym przytaczać całą ustawę o ochronie danych osobowych

    2. Awatar Krzysztof Krawczyk

      Powiem tak trzeba to zrobić i tyle. Jakie są konsekwencje no jest to przetwarzanie danych niezgodne z ustawą i pod koniec ustawy bodaj od art 50 są podane jakie kary grożą – tak w skrócie

  28. Awatar Paweł
    Paweł

    Czy zbiór osób, które na naszej stronie na Facebooku kliknął lubię to! należy również zgłaszać do GIODO? Do tych ludzi możemy później wysyłać za pośrednictwem Facebooka informacje, czyli coś w rodzaju Newslettera. Jak to prawnie wygląda?

    1. Awatar Krzysztof Krawczyk

      Z facebookiem sprawa wygląda tak, że nie podlega on pod nasze prawo, ponieważ nie ma on póki co swojego przedstawicielstwa w Polsce. W związku z czym niemożliwe jest uzyskanie od nich żadnej umowy o powierzeniu. Jeżeli działamy tylko na obszarze facebooka, nie widzę konieczności zgłaszania tego do GIODO.

  29. Awatar Mat
    Mat

    W jaki mniej więcej sposób powinny zostać napisane: polityka bezpieczeństwa informacji oraz instrukcja zarządzania systemem informatycznym. Czy dostępny jest wzór tych pism? Jaki jest koszt rejestracji w GIODO?

    1. Awatar Krzysztof Krawczyk

      Jak powinna wyglądać polityka bezpieczeństwa i instrukcja zarządzania można znaleźć na stronie GIODO i opublikował tam wytyczne. Szereg artykułów na ten temat można znaleźć na moim blogu ostium.pl. Zachęcam też do zajrzenia do czasopisma Mensis tam też zamieściłem kilka artykułów w tej tematyce. Zrobiłem też szkolenie przez Internet i zapis z niego można kupić na stronie http://rejestracja-w-giodo.pl. Odnośnie drugiego pytania to sama rejestracja w GIODO jest wolna od opłat

  30. Awatar travel

    Czy autor lub ktoś inny mógłby odpowiedzieć na zadane pytania? W artykule te kwestie nie są poruszone . Podobnie jak kwestia taka, co się dzieje, jeśli ktoś nie zgłosił bazy , co powinien teraz zrobić, czy grozi mu jakaś kara?

    1. Awatar Krzysztof Krawczyk

      O jakie inne kwestie chodzi ? Jeżeli ktoś nie zgłosił zbioru podlegającemu zgłoszeniu to powinien to zrobić jak najprędzej. Kara na pewno mu nie grozi zanim GIODO samo odkryje, że nie ma zgłoszonego zbioru. W kwestiach dotyczących spraw ochrony danych osobowych proszę o kontakt ze mną na maila krawczyk(małpa)ostium.pl

      1. Awatar travel

        Chodziło o poniżej zadane pytanie, i dzięki serdeczne za odpowiedź.

  31. Awatar Paweł

    Ja mam pytanie, długo już to obowiązuje? bo generalnie mało kto o tym mówi, a sprawa jest dość istotna i może dla przeciętnego człowieczka być miażdżąca w skutkach

    1. Awatar Krzysztof Krawczyk

      Ustawa o ochronie danych osobowych obowiązuje od 1997 roku. Natomiast ludzie zainteresowali się dopiero po nowelizacji która miała miejsce na początku 2011 roku, gdzie wzmocniły się uprawnienia Generalnego Inspektora

  32. Awatar travel
    travel

    Ach, i jeszcze, czy potem się to jakoś aktualizuje (np. liczbę danych itp?)

    1. Awatar Krzysztof Krawczyk

      Nie wiem co oznacza liczba danych. Do GIODO nie wysyła się treści całego zbioru tylko informacje z jakich pól się składa zbiór danych osobowych. Aktualizacji podlegają wszelkie zmiany dotyczące zbioru czy administratora danych

  33. Awatar travel
    travel

    A co jeśli ma się kilka stron (np. sklepów ) czy każdy z nich to osobny zbiór, czy też jest można to zgłosić jako jedną bazę?

    1. Awatar Krzysztof Krawczyk

      Faktycznie zgłasza się jeden zbiór nazwijmy go Klienci i będzie on dotyczył wszystkich Klientów firmy. De facto mogą oni być klientami różnych sklepów prowadzonych przez firmę. Tak samo dokumentacja jest tworzona dla firmy a nie konkretnego sklepu

  34. Awatar skutek
    skutek

    Jeśli e-mail jest daną osobową, to podczas zapisów na newsletter należałoby dodać – oprócz zgody na politykę prywatności – odrębną zgodę na przetwarzanie danych osobowych. Jeśli e-mail jest daną os., a brakuje takiej zgody, to wtedy przetwarzanie takich danych należy uznać za bezprawne. Niedawno konsultowałem tą sprawę z prawnikiem. Polityka prywatności nie wystarczy. Dlatego prywatnie będę bronił zdania, że e-mail nie jest daną osobową. Z nazwy maila można jedynie domniemywać, że to osoba XY i nie można jednoznacznie stwierdzić o kogo chodzi. Dopóki we własnej sprawie nie dostanę wyroku, to nie przyznam (zgłaszając bazę), że to dane osobowe. Bo składając wniosek musiałbym utrudnić rejestrację ludziom, strasząc ich potężnymi regułkami.

    1. Awatar Krzysztof Krawczyk

      Można wstawić takiego checkboxa przy zapisie na newsletter, gdzie osoba może taką zgodę zaznaczyć.
      Można to rozwiązać jeszcze tak że po zapisie na newsletter, osoba otrzymuje emaila z potwierdzeniem w którym zawieramy regułkę

    2. Awatar janusz
      janusz

      trochę nieścisłości przy rejestracji na newsletter wystarczy kilka podstawowych informacji. prosze spojrześ jak GIODO rozwiązał sam tą kwestie. nie jest to wcale skomplikowane. nie sądzę że warto czekać na wyrok:-)

    3. Awatar MFaryna
      MFaryna

      Ciekaw jestem jak ludzie mają zabezpieczyć adres email który ze swojej natury jest publiczny? Poczta a co za tym idzie email nie musi iść bezpośrednio tą samą scieżką do obiorcy może być po drodze routowana sprzętowo, wreszcie może być wysyłana z różnych serwerów poczty jak robimy mailing. Tak więc w praktyce ustawodawca obciąża nas obowiązkami których małe podmioty nigdy nie będą w stanie dotrzymać. No chyba że ktoś zacznie świadczyć dla samego siebie wszystkie usługi : bazy danych, mailing, hosting itd. To jest patalogia myślę że najlepiej przenieść e-binzesy pod stabilną administracje emigrując.

  35. Awatar Porady
    Porady

    No nareszcie jakiś konkretny artykuł poruszający tą tematykę. Dziękuję

  36. Awatar Karolina
    Karolina

    Witam,
    mam pytanie czy istnieje gdzieś szablon, wzór zapisu, jak stworzyć te 2 dodatkowe dokumenty do wniosku? Mam na myśli zapis o polityce bezpieczeństwa informacji oraz instrukcję zarządzania systemem informatycznym.

    Dodatkowo? Czy jeśli baza jest zarejestrowana do celów stworzenia konta na stronie, to czy teraz chcąc wysyłać newsletter do nich, wystarczy, że zupdatuję wniosek, czy muszę listę osób do mailingu zgłaszać jako nową bazę??

    Dziękuję za odpowiedź 🙂

    1. Awatar zdrój

      Z tego co się orientuję (a się orientuję:)) to nie ma żadnych szablonów. Nie praktykuje się takich rzeczy, jedynie mogą zostać wydane zalecenia w danej sprawie.

    2. Awatar Krzysztof Krawczyk

      Wraz z Pawłem Krzyworączką zrobiłem webinar na ten temat i opracowałem też przykłady, na których można się wzorować. Nie radziłbym jednak robić tego na zasadzie kopiuj/wklej, gdyż nie ma takiej samej dokumentacji. Dostęp do zapisu ze szkolenia wraz z przykładami jest tutaj >> http://rejestracja-w-giodo.pl

      Można połączyć to w jedną bazę np. Klienci i odpowiednio to opisać jednak istotnym jest czy newsletter będzie działać niezależnie od rejestracji w serwisie jeżeli tak, to są dwa zbiory podlegające rejestracji a co za tym idzie dwa wnioski

      1. Awatar janusz
        janusz

        przy rejestracji zbioru nie trzeba dołączać ani polityki bezpieczeństwa ani instrukcji zarządzania systemem informatycznym… trochę pan przesadził.
        faktem jest iż we wniosku trzeba zaznaczyć fakt posiadania takich dokumentów.

  37. Awatar rwtryb
    rwtryb

    ale trzeba mieć firmę prawda? żeby zarejestrować się w GIODO inaczej oni sami się przyczepią?

    1. Awatar Krzysztof Krawczyk

      Nie, nie trzeba ustawa dotyczy zarówno osób fizycznych oraz firmy, które przetwarzają dane osobowe. Od razu wspomnę, że zbiór danych osobowych wykorzystywany do celów prywatnych nie należy rejestrować w GIODO.

      1. Awatar Jan
        Jan

        „Od razu wspomnę, że zbiór danych osobowych wykorzystywany do celów prywatnych nie należy rejestrować w GIODO”

        Słowo „zbiór” w języku polskim
        odmieniamy według przypadków

        -> należy rejestrować zbiór -> biernik kogo?co?
        -> NIE należy rejestrować zbiORU -> dopełniacz kogo?czego?

        Sorry, ale nie wytrzymałem, widząc po raz kolejny ten błąd. Dlaczego Polacy nie potrafią mówić i pisać poprawnie ??? Przecież to podstawy.

        1. Awatar Rachman

          Może nie każdy jest takim polonistą jak Ty? 😉 Nie jest to aż tak rażące więc daj spokój. Art jest ciekawy i wiele wyjaśnia – a o to chodzi. (Tylko nie przysssaj 😛 się o to słowo kalające język polski – art)

          Do autora – dzięki za pigułę wiedzy. Szkoda że prawo polskie jest tak pokręcone i samo za sobą nie nadąża. Skoro IP jest daną osobową to lepiej sobie statystyk na serwerze nie instalować 😉

  38. Awatar Tomek M
    Tomek M

    Mam kilka pytań:
    1) Rozumiem, że w myśl art. 43.1. p.8 mogę gromadzić dane użytkowników serwisu, w tym e-mail, w celu wystawienia faktury za jakąś usługę, bez potrzeby rejestracji w GIODO? Zakładam, że serwis ten nie będzie wysyłał żadnych newsletterów lub innych emaili do użytkowników.
    2) Co w przypadku gdybym była potrzeba wykorzystania emailu do przypomnienia hasła użytkownika? Czy w takim przypadku już będzie wymagana rejestracja?
    3) Co w przypadku gdy gromadzę tylko adres email w formie zaszyfrowanej:
    a) algorytm szyfrowania umożliwia odczytanie adresu,
    b) wykorzystuję hashowanie np. md5 (rozumiem, że ogranicza mnie to w zasadzie tylko do wykorzystania np. przy odzyskiwaniu hasła użytkownika – porównanie wartości z bazy z tą z formularza, gdzie użytkownik wpisuje swój email, na który ma zostać przysłane hasło).
    Czy tak zaszyfrowane dane (a lub b) będą zbiorem danych osobowych i wymagają rejestracji?

    1. Awatar Krzysztof Krawczyk

      Na sprawę rejestracji należy patrzeć nie tylko z pozycji czy jest to dana osobowa. Poza tym art 43 ust. 1 mówi o przesłankach zwalniających z rejestracji.
      Powiedz mi, po co Tobie jest e-mail do wystawienia faktury? Czy nie obawiasz się, że Twój Klient złoży sprzeciw do GIODO o zbyt szeroki zakres zbierania danych do wystawienia faktury?
      Powiedz mi, ponieważ widzę, że usilnie wszyscy się boją zgłaszać zbiorów do rejestracji, jednak odpowiedzialność Twoja za zbiór jest taka sama – obojętnie czy jest on zarejestrowany czy też nie. Czy brak konieczności rejestrowania zbioru upoważnia Ciebie do zwolnienia z wdrożenia PBI i IZSI? Też nie.
      Ad 2) Ja nie widzę takiej potrzeby, gdyż nie widzę tu wykorzystania o charakterze handlowym, marketingowym.
      Ad 3) To że przechowujesz email w formie zaszyfrowanej oznacza, że starasz się zabezpieczyć te dane i to jest dobrze.
      Nie ma obowiązku rejestracji bo to, co opisujesz to już są warunki techniczne systemu informatycznego i nie ma tu nic wspólnego ze zbiorem danych osobowych. To że jakieś dane osobowe podlegają rejestracji nie ma znaczenia sposób szyfrowania. Przesłanki do zwolnienia z rejestracji mówią art 43 ust.1.

  39. Awatar robert
    robert

    Ad. MIT #6: Czy ja dobrze rozumiem, że lista nazwisk i numerów telefonów ludzi i firm, z którymi biznes i których to dane wykorzystuję zarobkowo podlega rejestracji? Dane te siedzą w pamięci mojego telefonu – to jest moja cenna baza danych.

    Mam ją zarejestrować?

    1. Awatar Krzysztof Krawczyk

      Robercie: trudno byłoby udowodnić, że telefon służy tylko i wyłącznie do celów służbowych, więc z listą w telefonie daj sobie spokój z rejestracją, natomiast niektórzy posiadają bazy w MS Access, czy np. Business Contact Manager i wykorzystują to w firmach jako Baza Klientów i taka baza, jeżeli zawiera nazwiska pracowników tych firm, to już podlega rejestracji. Natomiast jeżeli w bazie masz tylko np. Firma ABC ul. nazwa nr tel., to te dane są akurat publicznie dostępne. Tak samo jak byś miał np. osobę Jan Kowalski, który ma tak zarejestrowaną działalność gospodarczą, powiedzmy usługi hydrauliczne, to w tym wypadku on – jako firma również z automatu jego dane stają się publicznie dostępne, nawet jeżeli siedzibą jest jego prywatny dom. Każdą osobę prowadzącą firmę można znaleźć w bazie GUS np. po REGONIE i wyskoczą nam wszystkie dane jakie są w tym zaświadczeniu.

      1. Awatar robert
        robert

        Znam ludzi, którzy używają jedynie telefonów do prowadzenia działalności gosp. W ich książkach adresowych klienci są podzieleni na grupy, a nie każdy ma działalność, bo klientem osoba fizyczna też może być. Dodam, że poza imieniem i nazwiskiem takiej osoby przechowywane są tam dane teleadresowe. Taki telefon to żyła złota. Jeden z moich znajomych ma teraz problem: telefon był kupiony na początku działalności (jakieś 6 lat temu) i zapchała mu się pamięć a tu synchronizacji z PC nie ma…
        Czy taki zbiór danych osobowych, wykorzystywany w celach zarobkowych, w nośniku elektronicznym (jakim jest telefon) podlega rejestracji?
        Jaki jest cel tej ustawy? Nowe miejsca pracy w rządzie?
        A może Inspekcja Danych Osobowych?

        Ja jestem na nie.

        1. Awatar Krzysztof Krawczyk

          Każdy ma prawo do swojej opinii. Ochrona danych osobowych jest wymogiem członkostwa naszego w UE i dostosowania dyrektywy UE 95/46
          Mógłbym Tobie powiedzieć jednoznacznie: tak taki telefon trzeba zarejestrować, tak samo jak każda osoba prowadząca DG powinna mieć lekarza zakładowego, prowadzić ewidencję opłat skarbowych – takich paradoksów można przytoczyć więcej.

          1. Awatar michal
            michal

            Czegoś tu w takim razie nie rozumiem: http://www.giodo.gov.pl/560/id_art/4353/j/pl

          2. Awatar Jacek
            Jacek

            „każda osoba prowadząca DG powinna mieć lekarza zakładowego”

            WTF? Chyba chodziło o duże firmy zatrudniające > 100 pracowników.

  40. Awatar Aga
    Aga

    I kolejna kwestia odnośnie porównania sklepu tradycyjnego z internetowym. Zaiks i Giodo tak w skrócie można napisać – to dwa pojęcia obce dla większości prowadzących działalność. Zaiks chroni utwory muzyczne, słowno-muzyczne, choreograficzne …. itd. więc jeśli chcesz raczyć swoich klientów muzyką zapłać tantiemy. Okazuje się , że w Internecie też są organizacje, które chronią ale tym razem dane osobowe. Cieszę się, że takie szkolenie jest organizowane, bo niewiedza kosztuje.

    1. Awatar Paweł Krzyworączka

      Agnieszko: na ebiznesy.pl usuwam linki partnerskie z podpisu autora komentarza. Promuj, proszę, własne serwisy.

    2. Awatar Krzysztof Krawczyk

      ZAIKS tak chroni prawa twórców, artystów. Akurat nie wiem czy jest to doskonałe rozwiązanie. Natomiast ustawa o ochronie danych osobowych, ma chronić osoby prywatne przed handlem ich danymi, nie chcianymi informacjami. Być może gdyby ustawodawca inaczej podszedł do samej ustawy nie byłoby z tym tyle zamieszania

      1. Awatar poznanska13
        poznanska13

        Cytuję: „Natomiast ustawa o ochronie danych osobowych, ma chronić osoby prywatne przed handlem ich danymi…” – ale w jaki sposób ma chronić, skoro do GIODO nie zgłasza się treści bazy? GIODO otrzymuje informację, że ktoś ma bazę i nic więcej – to, powtarzam swoje pytanie – w jaki sposób może ochronić dane? Przyznam, że nie widzę związku i ni chu chu nie kumam o co tu chodzi 🙁

    3. Awatar Krzysztof Krawczyk

      Jeszcze jedna kwestia: GIODO to instytucja powołana do stania na straży ochrony danych osobowych i respektowania ustawy. Internet jest jednym z kanałów przetwarzania danych osobowych. Pamiętać należy, że kontaktując się z klientami, osobami to również przetwarzanie danych osobowych. Dane osobowe pracowników, przechowywane w segregatorze to również przetwarzanie danych osobowych i podlegają ochronie jak w przypadku internetu. Internet ma to do siebie, że może powodować większe ryzyko wydostania się tych danych w ręce osób do tego niepowołanych, to też powinniśmy zwrócić na to szczególną uwagę.

  41. Awatar Krzysztof 'raczus' Raczek
    Krzysztof 'raczus’ Raczek

    Już nie mogę się doczekać webinaru do zobaczenia wieczorem

  42. Awatar Piotr
    Piotr

    MIT 4 – czyli można od razu ukarać wszystkich przedsiębiorców, którzy nie zarejestrowali bazy. Wystarczy że zadzwonią do klienta, lub wyślą projekt do zatwierdzenia.
    To chyba jakaś paranoja.

    1. Awatar Krzysztof Krawczyk

      Po pierwsze proszę mi wierzyć są firmy, które mają zarejestrowane bazy. Po drugie, tak niestety to wygląda od strony prawa. Z praktyki mogę powiedzieć, że póki nie trafimy na klienta, który będzie szukał dziury w całym to może i firma może funkcjonować. Jednak charakter biznesu w internecie moim zdaniem obliguje nas do zwiększenia bezpieczeństwa przy pozyskiwaniu danych, z racji większej liczby zagrożeń niż biznes tradycyjny.

  43. Awatar Mitia
    Mitia

    Witam, nie prowadzę działalności gospodarczej, miałem taki okres, że nudziło mi się – więc założyłem portal randkowy. korzysta z niego na ten moment około 1000 osób – podają swoje dane osobowe (prawdziwy czy wymyślone w to nie wnikam, w każdym bądź razie email musi być prawdziwy).

    Teraz wiem,że rejestracja bazy danych powinna nastąpić przed rozpoczęciem prowadzenia portalu. Ale co mam zrobić w zaistniałej sytuacji?

    Pozdrawiam Mitia

    PS Jeżeli zgłoszę się na tym etapie – to wydaje mi się, że poniosę jakąś karę, ponieważ nie zarejestrowałem bazy wcześniej :/

    1. Awatar Krzysztof Krawczyk

      Po pierwsze: czy podają swoje dane w ogłoszeniu, czy podają dane do założenia konta. Bo to dwie różne sprawy. Jeżeli podają dane do kontaktów w ogłoszeniu, to Ty na swojej stronie prezentujesz dane osobowe. Przychodzi mi tutaj na myśl takie orzeczenie w stosunku do Naszej klasy, kiedy to jedna osoba żądała usunięcia zdjęcia klasowego, na którym był.
      Bazę zarejestrować trzeba. Przecież czy musisz mówić kiedy zacząłeś? Wypisujesz wniosek, wysyłasz, i już. Jednocześnie chcąc mieć spokój sumienia wysyłasz maila do swoich użytkowników z prośbą, potwierdzenia czy chcą być użytkownikami, że to rodzaj aktualizacji, lub masz nowy regulamin portalu, w związku z tym musisz ich o tym poinformować. I niech potwierdzą dalsza obecność na portalu. To co mi tak na szybko przychodzi do głowy. Jeśli ta odpowiedź nie jest wystarczająca dla Ciebie, to możesz się ze mną skontaktować i wspólnie rozwiązać ten problem. I nie bójcie się tak GIODO, tam też pracują ludzie.

  44. Awatar Urszula

    Witam.

    Artykuł o GIODO istotnie wywołał małe trzęsienie na forach, odwiedziłam trzy i na każdym tematem nr.1 było GIODO. No cóż opinie były różne, ale wynikały one raczej z niewiedzy na dany temat. Dobrze że będzie Webinar, który wyjaśni jak to wygląda w świetle prawa, skończą się domysły i dociekania typu, co by było gdyby itd.

    Pozdrawiam Urszula Drumlak.

    1. Awatar Krzysztof Krawczyk

      Mam nadzieję, że z pytaniami wyrobimy się do północy 🙂

  45. […] Krzysiek Krawczyk z tej strony. Po publikacji mojego artykułu „Cała prawda o GIODO: fakty i mity„, wywołałem burzę dyskusji. Wielu nie zgodziło się z moją interpretacją ustawy. Jednak […]

  46. Awatar Krzysztof Krawczyk

    Sam korzystam z disquss i przyznam szczerze zrobiłem to celowo, ponieważ disquss nie ma swojej siedziby w Polsce (tak mi się wydaje). I podobnie jak w przypadku facebooka nie podlega pod polskie prawo 🙂

  47. Awatar Iwoldan

    Zastanawiam się jak wygląda prawnie sprawa gdy do obsługi komentarzy używam zewnętrznych usług – chociażby Disqus. Chociaż to administratorzy systemu są odpowiedzialni za zarządzanie bazami danych ale z drugiej strony ja im „napędzam” komentatorów. Podobnie jest gdy korzystam z usługi wordpress.com

    1. Awatar Krzysztof Krawczyk

      Przepraszam, odpowiedź zamieściłem powyżej.

    2. Awatar Tomasz Fabiszak

      W polityce prywatności swojego serwisu powinno się napisać, że dane (nick, email) są realizowane za pomocą zewnętrznych usług np. Disqus. Że podanie danych przez Internautę jest dobrowolne (jeśli nie chce zostawić danych, to nie komentuje i tyle). Obojętnie z jakiego systemu do zbierania danych osobowych korzystasz, to i tak Ty (jako administrator danych, nie systemu) jesteś za to odpowiedzialny. Administrator systemu ma prawo nie wiedzieć, jakie dane przetwarzasz na serwerze lub w systemie. Jeśli chcesz przekazać część lub całość odpowiedzialności za dane osobowe administratorowi systemu, to musicie podpisać umowę o powierzeniu danych osobowych. Od zapisów tej umowy (ustaleń) zależy kto i za co będzie odpowiedzialny. Tak to wygląda prawnie.

      1. Awatar Krzysztof Krawczyk

        Wszystko ok. Zgadza się, że ADO jest za to odpowiedzialny. Tylko jest taka kwestia, czy GIODO skontroluje Disquss albo Facebook? Nie, bo nie ma takiej mocy prawnej – to raz.
        Może to też być przesyłanie danych do państw trzecich – serwis zagraniczny i istnieje przesłanka z art 43.1
        Po trzecie, komentarz na blogu to w mojej ocenie jest drobną sprawą dnia codziennego i ma charakter drugorzędny. Zwłaszcza jeżeli prowadzimy blog sklepu internetowego, którego głównym celem jest sprzedaż, a nie zbieranie komentarzy.
        Ja rozpatrywałem to pod kątem rejestracji, a nie polityki prywatności, która powinna korespondować z ustawą i polityką bezpieczeństwa informacji firmy.

        1. Awatar Tomasz Fabiszak

          Masz rację Krzysztofie, że GIODO nie będzie kontrolować firm zagranicznych. Jednak są art. 47. i 48. w ustawie, które mówią o tym, że administrator może przekazać dane osobowe do państwa trzeciego tylko za pisemną zgodą posiadacza danych.
          Ponadto tym jeśli kraj, w którym są serwery nie zapewnia ochrony danych co najmniej takich jak Polska, to ADO musi mieć pozwolenie od GIODO na przekazanie danych za granicę oraz musi zapewnić bezpieczeństwo ich przetwarzania.

          Masz rację, że ta ustawa jest paranoiczna – jak zresztą ta o podpisie elektronicznym też.

          1. Awatar Krzysztof Krawczyk

            Jednak korzystając z Disqussa na swojej stronie nie musisz być ADO w sensie ustawy. Bo ADO jest na pewno sam Disquss, Ty na swoim serwerze i w swojej bazie nie przechowujesz też tych danych, więc na pewno nie jesteś ADO. Disquss nie podlega pod GIODO, bo nie ma w Polsce przedstawicielstwa, podobnie jak Facebook. Jest to zawiłe. W mojej ocenie, posługując się disqussem jedynie mogę prezentować dane osobowe i osoba taka sama decyduje o tym, czy chce zostawić komentarz czy nie. Była taka sprawa odnośnie NK i zamieszczenia w tym serwisie zdjęcia. GIODO uchylił sprzeciw twierdząc, że jest to tylko prezentacja danych.

      2. Awatar Krzysztof Krawczyk

        Jeszcze jedno: umowa o powierzeniu danych osobowych nie zwalnia Ciebie, jako ADO, z odpowiedzialności za nie, chyba, że posiadacie umowę, że ADO jest jednocześnie właścicielem bazy.
        Wyjaśniłem to w tym artykule http://ostium.pl/powierzenie-przetwarzania-danych-osobowych/
        Firma, której przetwarzanie powierzono odpowiada na równi z ADO zapewnienia zabezpieczenia danych zgodnie z art. 36 – 39 ustawy oraz spełnić wymagania określone w art. 39a ustawy.
        Generalnie mając standardową umowę powierzenia danych nie zwalnia nas z odpowiedzialności, jaka ciąży na ADO.

  48. Awatar Marek
    Marek

    Witam,
    na wstępie gratuluję profesjonalizmu, artykuł oraz Pańskie odpowiedzi do komentarzy dużo rozjaśniają.
    Przejdę do swojego przypadku: prowadzę jednoosobową działalność gospodarczą, zajmuję się grafiką komputerową i programowaniem stron i serwisów WWW.
    Dane swoich klientów posiadam w kilku miejscach i zastanawiam się, które z nich należy zgłosić podczas rejestracji w GIODO.
    Pierwsze miejsce to maile. Z większością swoich klientów kontaktuje się mailowo, a wszelkie dokumenty (umowa, aneksy, rachunki) wysyłam pocztą. Maile ściągam na dysk komputera (Outlook). Czy taki zbiór podlega rejestracji, jeśli nie służy on do kontaktów reklamowych, czy też wysyłania ofert do klientów?
    Kolejnym miejscem jest aplikacja internetowa do księgowości, która umożliwia zapisanie danych kontrahenta. To tu generuje i wystawiam rachunki dla klientów. Tu jestem pewien co do konieczności rejestracji, ale proszę o potwierdzenie 🙂
    Zastanawiam się jeszcze nad swoim serwerem, jednak na swojej stronie internetowej przedstawiam jedynie opis realizacji, bez danych osobowych klienta. Nie posiadam również newslettera, dlatego na moim serwerze nie ma żadnych danych osobowych klientów.

    Z góry dziękuję za pomoc i pozdrawiam

    1. Awatar Krzysztof Krawczyk

      Odnośnie aplikacji do księgowości, wszystko zależy jak jest skonstruowana. Otóż jeżeli są tam tylko dane ogólnie dostępne, to nie trzeba ich rejestrować, czyli osób prowadzących działalność gosp. oraz nazwy spółek bez imion i nazwisk pracowników nie ma takiej potrzeby rejestracji, gdyż zachodzi zwolnienie z art 43.1
      Odnośnie wysyłania rachunków pocztą, wszystko zależy, co to za dane. Podejrzewam, że dane firm, więc też nie zachodzi taka konieczność, jednak bez dokładnego przyjrzenia się sprawie nie powiem jednoznacznie.
      Odnośnie maili generalnie jeżeli służą one tylko rozliczeniom nie trzeba takiej bazy rejestrować, jeżeli jednak na te maile wysyłasz treści marketingowe lub informacyjne – to już tak. Taki paradoks jak np. kartka świąteczna.
      Jeżeli na serwerze nie masz danych osobowych, to nie ma potrzeby rejestracji, gdyż stosowanie ustawy jest bezzasadne.

  49. Awatar Jan
    Jan

    Czy każdy, newsletter, biuletyn trzeba rejestrować osobno?

    Dlaczego w zbiorach baz zarejestrowanych GIODO widoczne są tylko części wniosków: A,B,C,D a E, i F – już nie.
    O co tu chodzi?

    1. Awatar Krzysztof Krawczyk

      Nie, nie trzeba rejestrować osobno każdego newslettera. Wszystko zależy kto jest właścicielem bazy, jeżeli ta sama osoba lub firma, to wniosek rejestracyjny jest jeden.
      Część E dotyczy opisu środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy, natomiast część F mówi o sposobie wypełnienia warunków technicznych i organizacyjnych, o których mowa w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. Są to informacje dość szczegółowe i nie nadają się do publicznej wiadomości. Czy chciałbyś, aby każdy wiedział jakie zabezpieczenia stosujesz do ochrony swoich baz, oraz jaka jest struktura baz? Wykaz, który jest powszechny w internecie jest tylko wyciągiem z rejestracji i znajdują się tylko dane publicznie dostępne z racji funkcji administratora danych osobowych.

      1. Awatar Jan
        Jan

        Jeżeli mamy kilka newsletterów czy biuletynów to jak nazwać taką bazę?

  50. Awatar Irena

    Witam,
    Mój planowany biznes polega na dostępie do aplikacji do oceny pracowników – dostęp w postaci e-usługi. Firma, która wykupi dostęp do usługi będzie miała dostęp tylko do swojej bazy (aby zapobiec „mieszania” pracowników różnych klientów), gdzie wprowadza dane pracowników (są to dane osobowe a więc podlegają ochronie GIODO) i korzysta z funkcji aplikacji. Stosujemy protokół SSL.
    Pytanie czy jest możliwość zdobycia certyfikatu od GIODO, że nasze rozwiązanie jest zgodne z ustawą GIODO ? Co powinnam zrobić aby dostać taki certyfikat, może Pan się zajmuje takimi sprawami ?
    pozdrawiam
    Irena

    1. Awatar Krzysztof Krawczyk

      Po pierwsze GIODO nie wydaje żadnych certyfikatów. Generalny Inspektor daje jedynie zalecenia i opracowuje wytyczne. Zobacz tutaj http://www.giodo.gov.pl/560/id_art/2652/j/pl.
      Aby być zgodnym z Ustawą o ochronie danych osobowych, to należy:
      1). opracować i wdrożyć politykę bezpieczeństwa informacji dla swojej firmy
      2). opracować i wdrożyć instrukcję zarządzania systemem informatycznym
      3). złożyć wniosek rejestracyjny.
      4). Wyznaczyć osobę, która będzie pełnić obowiązki Administratora Bezpieczeństwa Informacji (ABI)
      Bardzo dobrze, że używasz protokołu SSL – w mojej ocenie z pewnością zapewnia on wysoki stopień bezpieczeństwa, jaki można przeczytać w rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024).
      Ja zajmuje się rejestracją baz w GIODO, pełnieniem obowiązków ABI, pisaniem i wdrażaniem polityki bezpieczeństwa itd.

  51. Awatar Coopernik
    Coopernik

    Czy orientujesz się jak Giodo interpretuje publikowanie z imienia, nazwiska, nazwy miejscowości, ulicy, podawanie na stronie www://handeldługami.pl/ danych osobowych osób? Druga sprawa to w końcu jeżeli prowadzę blog z poradami i buduję jakąś listę adresatów, to mam obowiązek zgłoszenia tego do Giodo? Przecież każda zapisana osoba potwierdza swoja wolę otrzymywania korespondencji? Tym samym zdaje sobie chyba sprawę że nawet najlepiej strzeżone dane nie są do końca bezpieczne w necie. A co z polityką prywatności na stronach? Jest tylko dla picu? Jak mam niby zabezpieczyć dane skoro znajdują się na zewnętrznym serwerze i to właściciele serwera mają obowiązek je zabezpieczyć. Czy to kolejny sposób na drenaż kieszeni przez państwo? Hakerzy włamują się do banków, instytucji wojskowych i państwowych a co dopiero do maluczkich.

    1. Awatar Krzysztof Krawczyk

      Poruszyłeś tutaj dużo tematów.
      W sprawie handlu długami w Internecie w ocenie obecnego Generalnego Inspektora należy publikować tylko te dane osobowe, które są niezbędne dla skonkretyzowania wierzytelności w celu jej sprzedaży. Według GIODO są to takie dane, jak imię, nazwisko i adres dłużnika, czyli kod pocztowy, miasto i nazwa ulicy, ale bez numeru posesji. Jeżeli będzie tych danych więcej niż te co napisałem to można liczyć że dłużnik złoży swój sprzeciw do GIODO i sprawa będzie rozpatrywana indywidualnie.
      Jeżeli prowadzisz blog i jednocześnie prowadzisz newsletter to podlega on rejestracji w GIODO. Wola otrzymania korespondencji to po prostu dobrowolność pozostawienia danych osobowych, o której znajdziemy w ustawie jednak nie zwalnia to z rejestracji bazy. Polityka prywatności nie powinna być dla picu, powinna pokrywać się z polityką bezpieczeństwa firmy. W polityce prywatności zamieszczasz informacje, jakie dane pozyskujesz, w jakim celu, oraz dajesz zapewnienie, że dokonujesz wszelkich starań o zapewnieniu bezpieczeństwa. Tutaj zobacz ten artykuł http://ostium.pl/jak-napisac-polityke-prywatnosci/. W związku z tym, powinieneś zadbać o wybór właściwej firmy hostingowej, która dba o standardy bezpieczeństwa – zobacz ten artykuł http://ostium.pl/hosting-a-rejestracja-w-giodo/. Drenaż kieszeni? Rejestracja nic nie kosztuje. Tak, hakerzy włamują się, jak wiadomo nie istnieje system w 100% bezpieczny. GIODO stoi na straży tego, aby podnieść bezpieczeństwo, jednak nie oczekuje nikt od Ciebie, że zabezpieczysz dane w 101%. Masz po prostu zachować standardy, które są wysokie, oraz pokazać, że wiesz, co robić w sytuacji kryzysowej – czytaj wyciek danych.

      1. Awatar Coopernik

        Dzięki, wychodzi na to, że nie taki diabeł (GIODO) straszny, jak go malują. Co do handlu długami: mam osobiście z nimi zatarg, publikują te niby nie pełne dane, ale łatwo jest osobę zidentyfikować (nie ma tylko numeru domu i mieszkania). Wiem, że nikomu nic nie zalegam (byłem kilka lat za granicą – stąd były nie zapłacone rachunki, wszystko już uregulowałem, mimo to ta handlarska firma nadal chce sprzedawać moje nie istniejące zadłużenie). Na moje prośby o wyjaśnienie sprawy zbywają mnie byle czym, mam zamiar złożyć doniesienie do prokuratury o podejrzenie próby wyłudzenia.

        1. Awatar Krzysztof Krawczyk

          Możesz wnieść sprzeciw do GIODO kosztuje 10 zł. Zobacz tutaj http://giodo.gov.pl/163/id_art/892/j/pl/ Tutaj znajdziesz wniosek http://giodo.gov.pl/data/filemanager_pl/471.doc Do wniosku dołączasz dowód wpłaty i wysyłasz do GIODO. Z tego co mówisz, są wszelkie przesłanki do tego, gdyż administrator bazy nie reaguje na Twoje prośby. Nie wiem czy sprawa jest ścigana z prokuratury, gdyż bardziej mi to wygląda na oszczerstwa i zniesławienie, co toczy się z powództwa cywilnego. Możesz złożyć pozew do sądu uzasadniając, że firma szkodzi Tobie. Ja złożyłbym tu i tu.

        2. Awatar Krzysztof Krawczyk

          Ja zrobiłbym tak: złożyłbym sprzeciw do GIODO, gdyż są przesłanki ku temu. ADO mimo Twych wezwań do zaprzestania publikacji nie usunął tych danych. Jednocześnie sprawdziłbym, czy Twoje dane nie widnieją w BIK, KRD, jeśli tak, wniósłbym kolejny sprzeciw, wynikiem czego GIODO nakaże usunięcie Twoich danych z baz.
          Na temat sprzeciwu odsyłam tutaj http://giodo.gov.pl/163/id_art/892/j/pl/ Wniosek sprzeciwu pobierzesz stąd: http://giodo.gov.pl/data/filemanager_pl/471.doc Koszt to 10 zł od sprzeciwu; dołączasz wpłatę do wniosku i wysyłasz do GIODO.
          Odnośnie prokuratury – nie widzę tutaj znamion przestępstwa, bardziej można wnieść sprawę z powództwa cywilnego, co też bym z pewnością zrobił.

  52. Awatar tomek

    Krzysztofie,

    odnośnie komentowania na blogach itp pisałeś, że podciągnąłbyś to pod sprawy codzienne,

    a jak się według Ciebie ma sprawa zapisywania na RSS?

    1. Awatar Krzysztof Krawczyk

      Powiedz mi, co ma być zapisane na RSS, bo jeżeli artykuł z bloga to bardziej podlega to prawu autorskiemu. Musisz to trochę rozwinąć.

      1. Awatar tomek

        Wycofuje pytanie ad RSS,

        ale może wiesz jak ma się ustawa o ochronie danych osobowych do ustawy o świadczeniu usług drogą elektroniczną.

        Przerabiałeś to?

        1. Awatar Krzysztof Krawczyk

          Rozdział 4 ustawy o świadczeniu usług drogą elektroniczną jest poświęcony ochronie danych osobowych. Art. 16. 1. Do przetwarzania danych osobowych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926), w związku ze świadczeniem usług drogą elektroniczną, stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej. – co oznacza że UODO koresponduje z tą ustawą. Natomiast w art 18.1 jest wykaz, jakie dane można przetwarzać. Natomiast w art 19.1 jest zapis, że po skończonej usłudze nie masz prawa z nich korzystać. Czyli jeżeli ktoś wypisze się z newslettera, nie możesz dalej wysyłać mu treści. Jednak ta ustawa nie zwalnia z konieczności rejestracji.

          1. Awatar tomek

            a newsletter nie może być usługą?

            (po skończonej…)

            pozdrawiam

  53. Awatar Adam
    Adam

    Oni w tym giodo chyba za mało rejestracji mają… Majewskiego, Krzywego, Michalaka, kołodzieja nie idzie znaleźć w wyszukiwarce…. http://egiodo.giodo.gov.pl/ A jako że za mało rejestracji, to trzeba wymyśleć ze lista mailingowa to też lista danych osobowych, a co z tym idzie będą mieli prace w giodo 🙂 Mam wrażenie, że jak mniej wniosków do giodo leci, straszą tu i uwdzie i znowu maja kilka wniosków… i tak się kręci biznes.

  54. Awatar Mariusz

    Witaj Krzysztofie,
    dzięki za świetny artykuł. Co prawda jakiś czas temu słyszałem o rejestracji danych osobowych, ale usłyszałem żeby się nie przejmować, bo i tak nikt tego nie robi. A widzę że jednak warto.

    Od pewnego czasu prowadzę sklep internetowy i jakąś bazę z danymi już mam. Chciałbym teraz zgłosić się do GIODO.
    Czy jest szansa zrobienia tego bez ponoszenia konsekwencji za wcześniejsze niedopatrzenie?
    Czy zgłoszenie będzie równoznaczne z otrzymaniem kary ??
    Z góry dziękuję.
    Mariusz

    1. Awatar Krzysztof Krawczyk

      Wydaje mi się, że szansa jest. Wszystko da się zrobić, po prostu zarejestruj, nie musisz przecież wspominać o tym, że sklep masz od dłuższego czasu.
      Zgłoszenie nie jest równoznaczne z otrzymaniem kary, często dawane są zalecenia pokontrolne, a w przypadku ich braku zastosowania – kara. Mogę Tobie pomóc – skontaktuj się ze mną mailowo.
      Ty jako ADO sam decydujesz, kiedy się rejestrować. Poza tym znam trzy sposoby na prowadzenie sklepu internetowego bez konieczności rejestracji, jednak będzie to sklep w pewnym stopniu „ułomny”. Chcę to przedstawić na webinarze, który przygotowuję.

  55. Awatar adrian markowski

    Dzięki za informacje, poczekam na wasze szkolenie. Pytanie czy wysyłając uczniom chorym, dyslektykom i dyzgrafom, notatki z lekcji za pomocą autorespondera freebot też muszę zgłaszać się do giodo?
    Drugie czy opłata jst od każdej posiadanej listy?

    1. Awatar Krzysztof Krawczyk

      Opłata jest za potwierdzenie rejestracji. Natomiast rejestracja jest na firmę lub osobę – to ile baz posiada nie jest istotne.
      Jeżeli korzystasz z freebot’a do wysyłania notatek z lekcji to są to uczniowie, natomiast baza danych osobowych uczniów jest zwolniona z obowiązku rejestracji uczniów. Dokładniej mógłbym odpowiedzieć jeżeli podasz mi kilka informacji. Czy prowadzisz jakieś kursy, czy notatki wysyłasz dla jakiejś grupy formalnej itd. Ale może już porozmawiajmy przez mail.
      Jeżeli w szkole są uczniowie i materiały dydaktyczne wysyłamy im w formie mailingu to ja powołałbym się na art. 43.1 UODO

  56. Awatar Adam
    Adam

    Równie dobrze na podstawie twarzy, odcisku buta, który ktoś pozostawił w danej chwili i w danym czasie na ulicy da się ustalić dane osobowe… A co dopiero np. miejsca toaleta… kamera przemysłowa… widok za oknem z samochodami i rejestracjami, widok twarzy, odciski palców…

    No ale to jest dokładnie to samo co z ip i emailem, policja wykorzystując nadmierny czas i koszty jest w stanie dojść do tego kto się pod tym kryje. A przedsiębiorca może dojść do tego bez żadnego problemu, bo na przedsiębiorcy zarabiają prawnicy. Na policji niestety prawnicy nie zarabiają, więc policja ma utrudnienie.

    1. Awatar Krzysztof Krawczyk

      Przedstawiłem interpretację ustawy. Równie dobrze taką interpretację przedstawi pracownik biura GIODO, doradca ochrony danych osobowych, Administrator Bezpieczeństwa Informacji (ABI) jakiejkolwiek firmy. Możemy się z tym nie zgodzić, ale prawo jest takie i nie mamy wpływu na jego zmianę.

      1. Awatar Adam
        Adam

        Krzysztofie, wszystkie te instytucje zarabiają na takiej interpretacji ustawy!!! Czy one legalnie zajmują się interpretowaniem ustaw w tym kraju?

        1. Awatar Krzysztof Krawczyk

          Ja przedstawiłem interpretację własną i nie wziąłem za to ani grosza. GIODO to instytucja państwowa utrzymywana przez państwo.
          Ja się zgadzam, że ustawa nie jest doskonała, ale co możemy zrobić? Moim zdaniem, albo przyzwyczaić się do życia w kraju absurdu, albo zmienić kraj.

  57. Awatar Darek Jasiński
    Darek Jasiński

    Na forum wielu ludzi chwaliło się, że nigdy nie rejestrowało ani nie ma zamiaru rejestrować swoich baz. A jak wygląda proces rejestracji? Czy osoby prywatne także mogą mieć taką bazę? A jeśli tak, to jaki byłby tego cel?

  58. Awatar Jacek

    Sama rejestracja może nie jest skomplikowana, lecz te dwa dodatkowe załączniki to już trudne do przejścia jak nie jest się specjalistą, ponieważ nieprawidłowe napisanie tych dokumentów pociąga za sobą najczęściej kontrole i dociekliwe pytania – w stylu prokuratora, jakbyś już był potencjalnym przestępcą. Pozdrawiam

    1. Awatar Krzysztof Krawczyk

      Nie przesadzajmy.
      Nowelizacja ustawy spowodowała, że GIODO nie miesza już prokuratury do tych spraw. W przypadku odmowy rejestracji wydają oni decyzję odmowną oraz nakazują nanieść zmiany. Wiem, że to budzi lęk, ale tam też pracują ludzie. Przede wszystkim nie bać się.
      Rozumiem też oburzenie ludzi, ponieważ osobiście mam zdanie, że ustawa nie jest doskonała.

  59. Awatar Waldek

    A może podasz kilka sugestii dla już istniejących list, a nie zgłoszonych. Jak najprościej, a skutecznie bez narażania się dokonać rejestracji i „nie budzić lwa”

    1. Awatar Krzysztof Krawczyk

      W połowie września zrobię na ten temat webinar. Paweł i ja powiadomimy wszystkich na swoich stronach.

  60. Awatar tomek

    Mam jednak sporo wątpliwości do interpretacji zawartej w artykule.
    1. Brak konieczności rejestracji nie oznacza braku konieczności stosowania odpowiednich sposobów zabezpieczania zbioru danych (polecam zajrzeć do załącznika do rozporządzenia ministra).
    2. W ustawie (art43.1) są zapisane wyjątki dotyczące zwolnienia z obowiązku rejestracji zbioru danych i tak (przykładowo):
    punkt 1) mówi, że w przypadku danych niejawnych (a co to oznacza?, czy nie można pozwolić wpisującemu (mail?) na nadanie statusu braku jawności?)
    punkt 4) (…) dotyczących osób u nich zrzeszonych lub uczących się, przecież zamiast wysyłać newsletter można wysyłać kurs, lekcje, porady czyli wiedzę do nauczania, a dlaczego nie można zrzeszać na liście adresowej sympatyków danej tematyki (uważam, że komentowanie też pod to trochę podchodzi)?

    a jeszcze wracając do punktu 4) mamy tutaj umowy cywilnoprawne, zakupy to też rodzaj umowy przecież? zatem konieczność rejestracji danych gromadzonych w sklepach nie do końca jest oczywista

    Póki co nie czuję się przekonany, ale sporo wątpliwości zostaje (nie jestem prawnikiem).

    Pozdrawiam

    1. Awatar Krzysztof Krawczyk

      Skoro nie przekonują Ciebie moje wyjaśnienia, masz możliwość złożenia zapytania przez elektroniczną skrzynkę podawczą w GIODO. Czas oczekiwania na odpowiedź około 2-3 miesiące.
      Natomiast Ad1) Chodziło mi o to, że jeżeli w ocenie ADO nie ma konieczności rejestracji, ponieważ można się powołać na jeden z punktów art 43.1 to nie oznacza, że nie musimy odpowiednio zabezpieczyć danych przed wyciekiem lub niepowołanymi osobami. Albo podaj załącznik rozporządzenia. Natomiast w UODO masz zapis każdy ma prawo do ochrony danych osobowych
      Ad2)Informacja niejawna to w kwestii ochrony informacji niejawnej jest ustawa o ochronie informacji niejawnej Dz.U. z 2010 nr 182 poz. 1228. Email nie może być informacją niejawną. Gdybyś chciał mieć dostęp do informacji niejawnych należy mieć certyfikat lub poświadczenie dopuszczające do informacji niejawnych wydawane przez MSWiA, więc to nie jest takie proste.
      Ad4)Oczywiście możesz stwierdzić, że jest to kurs czy coś takiego jednak czy nie sądzisz, że w wyniku kontroli GIODO może zarzucić Tobie, że na taki kurs powinna być jakaś forma zapisu. Drugą sprawą powinieneś założyć też taką możliwość, że uczestnik takiego kursu otrzymujący od Ciebie informację o charakterze handlowym może taki zniesmaczony złożyć swój sprzeciw do GIODO i wynikiem czego będzie kontrola. Jeżeli ma to być kurs to nie mailing nie może mieć formy reklamowej.
      Na stronie GIODO masz też wyjaśnienie czy baza abonentów newslettera podlega rejestracji.
      Nie bardzo też rozumiem dlaczego umowa cywilnoprawna ma jednocześnie powodować zwolnienie z obowiązku rejestracji. Umowy cywilnoprawne mogą zawierać podmioty gospodarcze, których dane osobowe są powszechnie dostępne, jak i osoby fizyczne, których dane osobowe podlegają ochronie.

      1. Awatar Adam
        Adam

        „Nie bardzo też rozumiem dlaczego umowa cywilnoprawna ma jednocześnie powodować zwolnienie z obowiązku rejestracji.” – bo tak jest w ustawie

        1. Awatar Krzysztof Krawczyk

          A można prosić o nr artykułu?

        2. Awatar Krzysztof Krawczyk

          Znalazłem art 43.1 pkt 4, który brzmi: „4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na
          podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub
          uczących się,”
          Osoba kupująca w sklepie nie jest ani zatrudniona w sklepie, ani nie świadczy usług, ani też nie jest uczniem czy zrzeszona.

          1. Awatar tomek

            Krzysztofie,

            odnośnie braku konieczności rejestracji i jednoczesnej konieczności zabezpieczenia to powiedzieliśmy to samo (mój pierwszy komentarz chyba nieprecyzyjnie napisałem),

            odnośnie umów cywilnoprawnych jestem bliski przyznać Ci rację – kluczowe jest słowo 'im’, relacja jest od osoby do administratora a nie odwrotnie, a to wydaje się kluczowe (nie prawnik nie widzi tego od razu),
            ciekawy jestem tych 3 sposobów, ja mam w głowie bodajże dwa sposoby na sklep bez konieczności rejestracji

            odnośnie kursów zamiast newslettera to wydaje mi się, że spokojnie tak można gromadzić i prowadzić swoje listy adresowe, newsletter to przesyłanie newsów czyli stricte reklamowa korespondencja (marketingowa), przy wiedzy, kursie etc można moim zdaniem utrzymać się bez rejestracji (nawet przesłanie linku partnerskiego może być podzieleniem się wiedzą, ale nie musi 🙂 )

            Pozdrawiam

          2. Awatar Adam
            Adam

            O jizas masakra z wami,

            zupełnie gdzie indziej, na samym początku ustawy, osoba kupująca w sklepie internetowy nie jest zbiorem danych tylko jest jedną osobą!

        3. Awatar tomek

          Adam,

          gdzie jest w ustawie (podaj namiar dokładny) informacja, że osoba kupująca w sklepie internetowym nie jest zbiorem danych etc?

          1. Awatar Krzysztof Krawczyk

            Adam po prostu źle odczytał pewien zapis ale sprawę już wyjaśniliśmy 🙂

  61. Awatar robert
    robert

    A czy jak na fecebooku założę sobie „stronę” i będę miał fanów, do których w przyszłości poślę mass mailing, to co? Rejestrować?

    1. Awatar Krzysztof Krawczyk

      Z facebookiem sprawa jest tego typu, że jest on poza granicami Polski, w związku z czym nie podlega on GIODO. Pytanie brzmi czy ten mass mailing będzie poprzez FB, czy jakiś autoresponder. Jeżeli FB to nie, autoresponder – tak.

      1. Awatar robert
        robert

        FB nie jest poza granicami, ma serwery w Polsce. Chyba, że mówimy o FB jako o firmie zarejestrowanej poza granicami RP.
        Jeśli tak, to rozwiązanie problemów GIODO jest proste: rejestrujcie firmy poza RP 🙂

        1. Awatar Krzysztof Krawczyk

          Tak jeżeli Twoja firma będzie poza granicami Polski nie podlegasz pod polskie prawo. Jednak weź pod uwagę czy to będzie się opłacać? Mam na myśli koszty. We wszystkich krajach UE obowiązuje ustawa o ochronie danych osobowych i w każdym kraju jest odpowiednik naszego Generalnego Inspektora Ochrony Danych Osobowych.

  62. Awatar Rafał
    Rafał

    Krzysztof, super ważny artykuł!

    Powiedz mi tylko tak:
    1 – czy korzystając z impleBota muszę swoją listę rejestrować
    2 – ile to kosztuje 🙂

    Pozdrawiam i dziękuję!
    Rafał

    1. Awatar Krzysztof Krawczyk

      Odp1. W mojej ocenie tak, bo implebot to narzędzie (program) natomiast baza adresowa jest Twoja
      Odp.2. Zależy kto ma to zrobić jeśli chcesz zlecić to mi to proszę o maila.
      Natomiast w połowie września będę robił webinar na ten temat, może warto poczekać

  63. Awatar Kaśka

    Dzięki za porady,
    Rozumiem, ze jeśli zamierzam wysyłać newslettery , mailingi, to najpierw zgłaszam się do GIODO o rejestrację. Rejestracja jest tylko na zasadzie zgłoszenia faktu, nie wymaga zgody? czy jest płatna?
    pozdrawiam

    1. Awatar Krzysztof Krawczyk

      Dokładnie tak. Jeżeli nie pozyskujesz danych „wrażliwych” czyli takich, które sugerują wyznanie religijne, orientację seksualną stan zdrowia itd. To nie trzeba czekać na zgodę.
      Potwierdzenie rejestracji kosztuje 17 zł

      1. Awatar Kaśka

        bardzo dziękuję, Krzysiu, znów u Pawła temat jak na moje zamówienie:) „Sekret” w czystej postaci:) Pozdrawiam i życzę wszystkim dalszych sukcesów!

        1. Awatar Krzysztof Krawczyk

          Jeżeli mogłem komukolwiek pomóc to jest mi niezmiernie miło, że mnóstwo czasu spędzonego przy analizowaniu różnych postów na forach oraz godzin spędzonych na czytaniu i interpretowaniu ustaw nie poszedł na marne.
          Sekret oczywiście, że działa 😉

      2. Awatar Jan
        Jan

        Czy ja dobrze rozumiem?

        1) W przypadku braku danych wrażliwych wysyłam zgłoszenie i sobie działam. GIODO zaś sprawdza czy wszystko jest ok. Jeśli jest ok. – przysyłają informację, a ja muszę zapłacić za rejestrację. Jeśli zaś każą coś poprawić – muszę wstrzymać działalność i niewykluczona jest kara.

        2) Czy też jest tak? Wysyłam wniosek, który jest wrzucany do bazy i sobie tam leży, nikt go nie sprawdza, do czasu aż się coś nie stanie: skarga, kontrola itp.

        1. Awatar Krzysztof Krawczyk

          Ad1) Po pierwsze rejestracja jest darmowa. Jeżeli chcesz, aby GIODO wydało Tobie odpis z rejestracji musisz zapłacić 17 zł, dowód wpłaty dołączasz do wniosku. Jeżeli będzie odmowa rejestracji, to będzie podany powód i może być wydana decyzja zaprzestania zbierania danych osobowych do czasu poprawienia błędów – jednak dane zebrane możesz posiadać. Możesz dostać decyzję usunięcia danych ze zbioru. Możesz też dostać pozwolenie i jednoczesne poprawienie uchybień do określonego czasu. Kara nie musi być od razu. Kara na pewno zostanie nałożona, jeżeli będziesz się uchylał od nakazów wydanych przy odmowie rejestracji, czyli zakażą zbieranie danych, a Ty mimo wszystko dalej zbierasz.
          Ad2) Każdy wniosek jest sprawdzany. Jest to pierwsza kontrola na podstawie nadesłanych dokumentów. Oprócz samego wniosku wysyłasz politykę bezpieczeństwa informacji, instrukcję zarządzania systemem informatycznym. Tam jest zawartych dużo istotnych informacji o Twojej działalności. Jeżeli pojawi się skarga, to otrzymasz zawiadomienie na tydzień przed kontrolą, że przyjedzie do Ciebie inspektor do siedziby firmy i na pewno ABI ma wtedy co robić.

  64. Awatar Piotr
    Piotr

    Czy ma tutaj znaczenie, jaki autoresponder wykorzystujemy?
    Np. Getresponse jest wpisany do GIODO,
    czy dodatkowo musimy sami się rejestrować korzystając z ich usług?

    1. Awatar Krzysztof Krawczyk

      Na pewno ma. Getresponse ma zarejestrowaną bazę w GIODO, lecz może to dotyczyć ich bazy klientów. Jednak to bardzo dobrze, bo z pewnością będą chętni udzielić pomocy. Ja wysłałbym zapytanie do nich z pytaniem, czy oni będą moim ABI? Czy oni są moim ADO?
      W wolnej chwili sam do nich napiszę maila.

  65. […] zwłaszcza tych, którzy prowadzą firmę w Internecie.  Zachęcam do przeczytania artykułu : Cała prawda o giodo fakty i mity. Podziel się […]

  66. Awatar Jan
    Jan

    Czy kara może być nałożona od razu za nie zarejestrowanie listy, czy też po upomnieniu inspektora GIODO?

    Tutaj czytam, że musi być zalecenie inspektora:
    http://mojafirma.infor.pl/aktualnosci/127649/GIODO-Kary-za-nieprawidlowe-przetwarzanie-danych-osobowych.html

    1. Awatar Krzysztof Krawczyk

      Kara może być nałożona podczas wykrycia tego faktu; może to być podczas kontroli inspektora, albo ktoś życzliwy poda do GIODO i oni przyjdą z kontrolą

  67. Awatar Jan
    Jan

    Ciekawe ile list internetowych jest zarejestrowanych?

    Krótko: podejrzewam, że 90% e-biznesów zagrożonych jest karą 50 tyś. zł.

    W tym kraju nie da się normalnie funkcjonować.

    1. Awatar Krzysztof Krawczyk

      Rejestracja nie jest skomplikowana, aczkolwiek ustawa nie jest doskonała.

  68. Awatar MarioC

    I jeszcze jedna rzecz związana z dobrowolnością pozostawiania danych osobowych lub potwierdzaniem różnych regulaminów. Należy zwrócić uwagę na to, aby opcja np. „wyrażam zgodę na przetwarzanie danych osobowych…” nie była domyślnie zaznaczona.

  69. Awatar MarioC

    Nie opisałeś jeszcze jednej istotnej rzeczy. O ile mi wiadomo, można bez rejestracji gromadzić wszystkie dane (oczywiście poza tzw. danymi wrażliwymi) pod dwoma warunkami, że wszystkie gromadzone dane pozostawione przez właściciela tych danych:
    1. są pozostawione dobrowolnie
    2. są publicznie dostępne (widoczne dla wszystkich)

    1. Awatar Krzysztof Krawczyk

      Dane publicznie dostępne to dane firm. Dobrowolność informacji nie zwalnia z obowiązku rejestracji.

      1. Awatar MarioC

        Miałem na myśli następujący teoretyczny przypadek:
        Prowadzisz ogólnie dostępną bazę osób pragnących nawiązać kontakty hobbystyczne w jakiejś dziedzinie. Można w twojej bazie zarejestrować imię, nazwisko i email (oczywiście osób fizycznych nie prowadzących działalności gospodarczej). Wszystkie zarejestrowane dane widoczne są publicznie na Twojej stronie zaraz po rejestracji a osoba rejestrująca świadomie umieściła w bazie swoje dane. Czy takie dane również wymagają rejestracji w GIODO?

        1. Awatar Krzysztof Krawczyk

          To trochę wygląda jak serwis ogłoszeniowy. Dane które są publikowane nie są przez Ciebie przetwarzane, a prezentowane. Jakiś czas temu pewna osoba pozwała serwis nasza-klasa, że ktoś bez jej zgody opublikował zdjęcie klasowe oraz opisał, kto gdzie się znajduje. Jedna osoba nie życzyła tego sobie i żądała usunięcia zdjęcia od admina NK. Bez skutku, w związku z czym wniosła sprzeciw do GIODO. Sprawa została uchylona tłumacząc, że w tym przypadku jest to prezentowanie danych, a nie przetwarzanie. Musisz w takim przypadku mieć regulamin, który użytkownik zaakceptuje. Istotna jest klauzula, że właściciel serwisu nie odpowiada za treści publikowanych ogłoszeń. Natomiast jeżeli chcesz komunikować się z użytkownikami i przesyłać im treści marketingowe, handlowe, reklamowe itd., to musisz taką bazę zarejestrować.

          1. Awatar MarioC

            A prezentowanie nie jest przetwarzaniem danych w kontekście UOODO Art 7 pkt 2 ? Mam na myśli zwrot „udostępnianie”
            (Ilekroć w ustawie jest mowa o przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

    2. Awatar Krzysztof Krawczyk

      Dane zwolnione z rejestracji znajdziesz w ustawie o ochronie danych osobowych art 43 ust. 1

      Polecam też zajrzeć tutaj http://ostium.pl/czy-musze-sie-rejestrowac-w-giodo/

      1. Awatar MarioC

        A co z danymi (takimi jak imię, nazwisko, email dostępny na blogu danej osoby) w przypadku osób publicznych (mam na myśli posłów, senatorów itp.)?

        1. Awatar Krzysztof Krawczyk

          Jeżeli ktoś, kto jest właścicielem strony sam publikuje swoje dane, to w jego ocenie to działanie mu nie szkodzi. Sam upublicznia te dane. Przecież nie napiszesz skargi do GIODO na samego siebie. Jednak nie możesz podać danych innej osoby, która sobie tego nie życzy.

          1. Awatar MarioC

            Chodziło mi o to, czy jeżeli dane (imię, nazwisko, email) np. posła znajdują się na jego stronie / blogu i są publicznie dostępne to czy ja również mogę je publikować u siebie na stronie bez zgody tej osoby. Nie gromadzę ich w formie zbioru danych rozumieniu UOODO (Art 7 pkt 1)

  70. Awatar MarioC

    Można by odnieść część Twojego artykułu do list mailngowych np. związanych z bezpłatnymi kursami tak popularnymi na wielu blogach.
    Problem jest jednak większy. Komentowanie na blogu również wiąże się z pozostawianiem adresu email i tu pojawia się trudne pytanie do rozważenia przez każdego blogera, czy w związku z tym każdy blog z komentarzami powinien być zarejestrowany w GIODO?

    I jeszcze jedna rzecz związana z dobrowolnością pozostawiania danych osobowych lub potwierdzaniem różnych regulaminów. Należy zwrócić uwagę na to, aby opcja np. „wyrażam zgodę na przetwarzanie danych osobowych…” nie była domyślnie zaznaczona.

    1. Awatar Krzysztof Krawczyk

      Z komentarzami jest tak, że można to podciągnąć pod „drobne bieżące sprawy życia codziennego”.
      Kwestia tego, co z tymi mailami chcesz zrobić. Jeżeli mają służyć tylko do komentarzy, to nie, a jeżeli te maile wykorzystasz do tworzenia bazy – to już wychodzi poza ten zapis.

      1. Awatar Adam
        Adam

        Panie Krzysztofie ja wiem, że wizja zarobku na zastraszonych jest fajna, ale maile w komentarzach na blogach są zbiorem danych osobowych! Trzymając się wersji ze lista mailingowa jest zbiorem danych osobowych. Maile przechowywane są w bazie bloga i przetwarzane za każdym razem gdy ktoś robi kopie zapasowa danych z boga, chce dodać kolejny formularz, poza tym przetwarzane np. przy podbieraniu obrazka z gravatara. więc są zbiorem danych osobowych i można je wykraść więc powinno się je chronić.

        Oczywiście jeżeli trzymać się wersji że lista mailingowa jest, to komentarze na blogu też są.

        1. Awatar Krzysztof Krawczyk

          Nikogo nie straszę ani nie mam zamiaru zastraszać. Odpowiedzmy sobie na pytanie, po czemu ma służyć mailing, a czemu komentowanie tekstów na blogu.
          Czy tworzymy blog, którego celem mają być komentarze? Czy tworzymy bloga po to, aby pisać ciekawie i odbiorcy nas czytali. Komentowanie ma charakter drugorzędny.
          Zawsze można skorzystać z elektronicznej skrzynki podawczej i zadać pytanie u źródła (GIODO). Gdyby było tak jak Pan pisze, czyli gdybym chciał zarabiać na zastraszaniu, to zrobiłbym to w zupełnie inny sposób np. stowarzyszenie eterna, mi zależy bardziej na zapobieganiu takich sytuacji.

    2. Awatar Krzysztof Krawczyk

      Odnośnie konieczności rejestracji mailingu mogę odesłać również do mojego artykułu: http://ostium.pl/czy-mailing-podlega-rejestracji-w-giodo/. W którym podałem też uzasadnienie GIODO

    3. Awatar robert
      robert

      Ja bym zadzwonił do gugla i zapytał jak oni tę sprawę rozwiązali, bo nie wierzę aby każdą bazę adresów rejestrowali, np: code.google.com, groups.google.com, mail.google.com
      A nawet jeśli, zaraz po tym jak sobie u nich (gugle) założę grupę mailową (na groups.google.com), zarejestrują tę bazę w GIODO to co my mamy z tego? Czy GIODO nas ochroni? Jaki jest w ogóle cel? Ochrona czy kontrola?

      Nie wierzę w żadne aparaty ochronne moich danych osobowych.

      Ktoś ma inne zdanie?

      1. Awatar Krzysztof Krawczyk

        Po pierwsze Google nie jest firmą polską. A transfer danych osobowych do Państw trzecich nie podlega rejestracji.

        Uwierz mi, że wszystkie duże polskie firmy takie jak allegro, onet, wp, nk, o2 itp posiadają zarejestrowane bazy w GIODO.

        Instytucja GIODO nie nadaje ochrony w sensie fizycznym. Jednak jeżeli czujesz się pokrzywdzony w kwestii niewłaściwej ochrony Twoich danych osobowych zawsze możesz wnieść sprzeciw kosztuje 10 zł. GIODO zajmie się tą sprawą po czym może nakazać ADO podniesienie kwestii bezpieczeństwa, zakazać dalszego pozyskiwania danych osobowych.
        Gdyby nie było GIODO to spamerstwo byłoby dozwolone i bezkarne. Handel danymi osobowymi kwitłby w niesamowitym tempie.
        Wszelkie agencje typu Claritas i tym podobne dalej naciągałyby ludzi.
        Jeżeli nie wierzysz w aparat obronny Twoich danych osobowych, Ok, w dużej mierze zależy to od Ciebie, gdzie zostawiasz swoje dane osobowe, komu je powierzasz itd. Czy wolisz je zostawić u kogoś kto ma opracowaną politykę bezpieczeństwa i zarejestrował swoją bazę w GIODO a co za tym idzie, jest tam stopień bezpieczeństwa podwyższony czy u kogoś kto nie przywiązuje do tego wagi i faktury czy zamówienia wyrzuca do kosza, a wiatr roznosi je po mieście – to jest tylko przykład 🙂 Z punktu widzenia konsumenta powinniśmy być zadowoleni, że ktoś dba o nasze prawo do prywatności i bezpieczeństwa danych, które zostawiamy.

        1. Awatar robert
          robert

          Spamerstwo nie zniknęło, zmieniło tylko formę z: „Mamy super ofertę dla Ciebie” na: „Czy chcesz otrzymać super ofertę… bo zgodnie z ustawą o ODO…” 🙂

          1. Awatar Krzysztof Krawczyk

            Jednak masz prawo do odmowy lub usunięcia swoich danych z takiej bazy. Jeżeli Twoja prośba będzie ignorowana ze strony ADO. Piszesz sprzeciw do GIODO. Pytanie: czy tylko większość ludzi to zrobi, czy po prostu mrucząc pod nosem skasuje kolejnego maila ze spamem. Bo tak jest łatwiej, szybciej, prościej. Potem też ludzie mówią, że ustawa jest martwa.

      2. Awatar Krzysztof Krawczyk

        Robert specjalnie dla Ciebie znalazłem artykuł o kontroli GIODO w polskim oddziale GOOGLE. Jednocześnie wynika, że Google ma w Polsce zarejestrowane zbiory danych osobowych. Uchybienia były jednak nieduże zobacz artykuł http://wyborcza.biz/biznes/1,100896,9822704,GIODO_skontrolowal_usluge_Google_Street_View.html

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

70 sposobów na rozkochanie Klienta - książka

O mnie

Nazywam się Paweł Krzyworączka. Ale znajomi mówią na mnie Krzywy. A to jest mój subiektywny blog o e-biznesie (-;

Polecam DIVI

szablony wordpress divi

Moje e-sklepy

Staram się przekazywać maksymalnie praktyczną wiedzę o e-biznesie, e-commerce. Taki mandat staram się uzyskać przez prowadzenie własnych e-sklepów. Oto wybrane z nich:
Akcesoria do tabletu – sklep Tabletoid.pl – to nasz główny sklep, kilka tysięcy produktów, akcesoria do tabletów i telefonów.
Tablety akcesoria – sklep Senio.pl – to nasz drugi, główny e-sklep, nieco inna strategia sprzedażowa.

Preferencje plików cookies

Inne

Inne pliki cookie to te, które są analizowane i nie zostały jeszcze przypisane do żadnej z kategorii.

Niezbędne

Niezbędne
Niezbędne pliki cookie są absolutnie niezbędne do prawidłowego funkcjonowania strony. Te pliki cookie zapewniają działanie podstawowych funkcji i zabezpieczeń witryny. Anonimowo.

Reklamowe

Reklamowe pliki cookie są stosowane, by wyświetlać użytkownikom odpowiednie reklamy i kampanie marketingowe. Te pliki śledzą użytkowników na stronach i zbierają informacje w celu dostarczania dostosowanych reklam.

Analityczne

Analityczne pliki cookie są stosowane, by zrozumieć, w jaki sposób odwiedzający wchodzą w interakcję ze stroną internetową. Te pliki pomagają zbierać informacje o wskaźnikach dot. liczby odwiedzających, współczynniku odrzuceń, źródle ruchu itp.

Funkcjonalne

Funkcjonalne pliki cookie wspierają niektóre funkcje tj. udostępnianie zawartości strony w mediach społecznościowych, zbieranie informacji zwrotnych i inne funkcjonalności podmiotów trzecich.

Wydajnościowe

Wydajnościowe pliki cookie pomagają zrozumieć i analizować kluczowe wskaźniki wydajności strony, co pomaga zapewnić lepsze wrażenia dla użytkowników.