Na temat instytucji GIODO i ochrony danych osobowych w e-biznesie powstało wiele faktów i mitów. Dziś postaram się wyjaśnić kwestie sporne pojawiające się na wielu forach internetowych. Zacznijmy jednak od tego, co takiego jest to GIODO.
Co to jest GIODO?
Otóż jest to Generalny Inspektor Ochrony Danych Osobowych, który pełni swój urząd i stoi na straży przestrzegania ustawy ochrony danych osobowych, do której zapoznania zachęcam (Dz. U. z 2002 r. Nr 101 poz. 926). Pełny zakres uprawnień Generalnego Inspektora znajdziesz w Art. 12 niniejszej ustawy.
Zanim przejdę do obalania największych mitów, chciałbym poinformować, że zgodnie z ustawą o ochronie danych osobowych podlegają one ochronie. Dane osobowe w świetle norm oraz opinii Generalnego Inspektora to nie tylko imię i nazwisko, adres czy PESEL, lecz również adres e-mail, IP komputera, z którego komunikujesz się z Internetem, czy nr Twojego telefonu. W ustawie znajdziesz, że zbiór takich danych podlega rejestracji u Generalnego Inspektora Danych Osobowych, z kilkoma odstępstwami (Art. 43.1 ustawy).
Czy rejestracja jest kosmicznie trudna?
Rejestracja nie jest trudna. Należy pobrać wniosek (lub wypełnić wniosek rejestracyjny ze strony GIODO), wypełnić go i wysłać na adres Biura GIODO w Warszawie. Od tej pory w większości przypadków możemy legalnie przetwarzać dane osobowe. Jednak aby nie było wszystko tak różowo, należy do wniosku dodać dwa załączniki:
- Politykę bezpieczeństwa informacji
- Instrukcję zarządzania systemem informatycznym
Te dokumenty mają uściślać procedury i sposób postępowania z danymi osobowymi podczas ich przetwarzania dla nas i naszych pracowników. Przedstawiają one też procedury awaryjne na wypadek wycieku danych, jak miało to miejsce np. w sieci Sony.
Przejdźmy do obalenie mitów na temat GIODO
Mit #1: Nie muszę się rejestrować, ponieważ używam danych do realizacji zamówienia.
Błąd. Rejestracji nie podlega baza tylko wtedy, kiedy dane są wykorzystywane do wypełnienia faktury. Czy zamówieniem było wystawienie faktury czy także towar, który musisz wysłać? Wysyłka towaru czy nawet wysyłka tejże faktury to działanie na danych osobowych, którego zbiór podlega rejestracji w GIODO.
Mit #2: Mail nie jest daną osobową, gdyż nie reprezentuje on osoby, a koszty do identyfikacji osoby są zbyt duże, aby uznać go za dane osobowe.
Przykro mi, ale innego zdania jest Generalny Inspektor, który mail uznaje za dane osobowe. Fakt, że w definicji danych osobowych w ustawie jest zapis „Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.” Art. 6.3 ustawy. Jednak jest to małe niedopracowanie, co oznaczają nadmierne koszta. Czy 100 zł to już dużo, czy dopiero 100 000? Oczywiście masz prawo się sądzić z GIODO, kiedy nałoży na Ciebie karę i zakaże Tobie działań na zbiorze danych osobowych, tylko żeby nie stało się tak, że popadniesz w nadmierne koszta na prawników, pisanie zażaleń, odwołań od decyzji, a do wyjaśnienia sprawy nie będziesz mógł sprzedawać w swoim sklepie itp. Wtedy możemy poznać definicję nadmiernych kosztów 🙁 Generalnie za opinią GIODO ja powtarzam: EMAIL TO DANE OSOBOWE ! czy się nam to podoba czy nie.
Mit #3: Email nie prezentuje danych osoby.
Wiele osób twierdzi, że adres w postaci twój_nick@domena.com nie prezentuje danych osobowych. To nie do końca prawda, ponieważ:
- Zakładając maila musiałeś wypełnić formularz rejestracyjny i musiałeś podać swoje dane z adresem zamieszkania włącznie.
- Jeżeli podałeś fikcyjne dane w formularzu, łamiesz regulamin dostawcy Twojej poczty.
- Tworząc bazę danych osobowych musisz założyć, że nie będą tam tylko takie adresy, ale również imie.nazwisko@domena.com. Rejestracji należy dokonać przed rozpoczęciem pozyskiwania danych, a nie w momencie pojawienia się maila uznanego przez nas za dane osobowe.
Mit #4: Nie używam danych osobowych do celów marketingowych, w związku z czym nie muszę rejestrować bazy.
Kolejny błąd. Nie tylko działania marketingowe, ale wysyłka towaru, czy nawet kartka imieninowa do Twojego klienta to działania, których nie znajdziemy w wyłączeniach z konieczności rejestracji bazy (!).
Mit #5: Ustawa dotyczy tylko dużych przedsiębiorstw, sklepów internetowych i instytucji państwowych.
To jest fikcja, bo jeśli przeczytasz całą ustawę, nie ma tam żadnego takiego zapisu. Ustawa traktuje jednakowo instytucję państwową, mega przedsiębiorstwo czy osobę prywatną lub mikrofirmę. Ustawa rozpatruje każdy przypadek pod kątem przetwarzania danych osobowych i jeżeli wykonujesz takie działania to już podlegasz tej ustawie.
Mit #6: Rejestracji podlegają tylko firmy, a nie osoby prywatne.
Kolejny mit. Rejestracji nie podlegają zbiory danych osobowych wykorzystywane do celów prywatnych, czyli np. książka telefoniczna w Twoim telefonie czy spis numerów i adresów w Twoim kalendarzu; pod warunkiem, że nie wykorzystujesz tych danych zarobkowo. Jednak jeżeli masz ebiznes i nie masz zarejestrowanej działalności, to nie wiem, czy jest to do końca legalne, lecz ustawa nie rozdziela tutaj na osoby prywatne i firmy; różnica jest tylko w maksymalnych karach; w pierwszym przypadku do 10 tys. zł, w drugim do 50 tys. zł.
Podsumowanie rozważań
Przedstawiłem tutaj największe dylematy, jakie przeczytałem na forach internetowych (m.in na forum e-biznesu Pawła Krzyworączki).
Celem mojego artykułu nie jest zastraszenie karami i konsekwencjami za tym idącymi, a informowanie każdego, kto działa w szeroko rozumianym ebiznesie, aby nie odczuł negatywnych skutków swojej niewiedzy, jak miało miejsce w przypadku klauzul niedozwolonych i rzekomych pozwów. Zainteresowanym chętnie udzielę szerszych informacji.
Życzę miłego dnia i pozdrawiam
Nazywam się Paweł Krzyworączka. Ale znajomi mówią na mnie Krzywy. A to jest mój subiektywny blog o e-biznesie (-;
Bardzo przydatny artykuł. Widać lekkie pióro autora 🙂 Pozdrowienia!
A jak to się ma do B2B? Załóżmy, że firma, w której pracuję obsługuje tylko firmy. Czy zasady są takie same? Czy email oraz telefon firmowy też może być rozumiany jako dane osobowe?
A skąd wziął się obowiązek wysyłania dodatkowo polityki bezpieczeństwa i instrukcji?
Z poniższych linków wynika, że nie ma takiego obowiązku. Nadgorliwość, czy coś się zmieniło?
http://www.giodo.gov.pl/487/id_art/3904/j/pl/
http://www.giodo.gov.pl/1520052/id_art/1753/j/pl/
http://www.giodo.gov.pl/1520048/id_art/3059/j/pl/
Pzdr
Prowadzę jednoosobową działalność w ramach której mam dwa sklepy internetowe( na dwóch oddzielnych domenach) sprzedające praktycznie te same produkty.Powinienem zarejestrować jeden wspólny wniosek czy dwa oddzielnie dla każdego sklepu.
Dodatkowo jako osoba prywatna uczestniczę w programie partnerskim.Czy w tym wypadku gromadząc adresy email do celów marketingowych także muszę wypełnić oddzielny wniosek do GIODO ??
To wszystko to pic na wodę- GIODO to kolejna przystań dla „swoich’ teoretycznie GIODO nie podlega nikomu- świata krowa nie do ruszenia. Prawo egzekwuje w stosunku do wybranych (przykład prosze bardzo PGP i firmy współpracujące nie zgłosiło bazy danych od półtora roku mimo iż GIODO wie o tym) i co? i nic. Czas zrobić porządek z tymi przystaniami i zlikwidować te PINB, Inspekcje pracy, GIODO i wiele innych instytucji. Kasy wiele by przybyło, mniej papierków i ludziom żyło by się spokojniej. Moze wreszcie Kukiz zrobi z tym porzadek.
Dzisiaj już widać, że tak naprawdę niewiele osób przejmuje się swoimi danymi osobowymi i większość dostaje spam i po prostu go kasuje i nic z tym nie robi.
Czy funkcjonuje na stronie baza decyzji GIODO?
Ja mam jeszcze jedno pytanko do faktów i mitów i GIODO. W listoapdzie wysłałem zgłoszenie internetowo bez podpisu elektronicznego. A dopiero dzisiaj wysłałem wersję papierową (bez załączników). Czy mogłem przetwarząc dane osobowe od momemtu przyjęcia przez nich wniosku w listoapdzie (cały czas ma status na e-giodo „wysłany”, czy dopiero od wysłania wersji papierowej dziś?
Interesuje mnie, bo tutaj w mitach jest, ze od momentu wysłania zgłoszenia można przetwarzać, tylko ciekaw jestem kiedy w moim przypadku nastąpiło „wysłanie”
Dzięki wielkie! Informacje których szukałem Ty przedstawiłeś w świetny uporządkowany sposób a do tego obalanie mitów po prostu bomba 😀
Komentarze są świetnym tego rozszerzeniem.
Panie Krzysztofie, moim zdaniem nie ma Pan racji w kwestii emaila. Email nie jest daną osobową. Dlaczego?
1. Uzyskanie pozostałych danych osobowych (o ile takie istnieją, bo nie każdy dostawca poczty ich wymaga) nie jest (legalnie) w ogóle możliwe przez osobę prywatną, czy firmę, więc kryterium kosztów mamy już załatwione – są nieskończone a to raczej niedwuznacznie i bezdyskusyjnie dużo.
2. O ile podanie fałszywych danych w formularzu rejestracyjnym emaila jest złamaniem regulaminu, to już podanie ich w mailu absolutnie nie. Nawet w mailu postaci jan.kowalski@poczta.pl nie można traktować adresu jako imię i nazwisko a jedynie jako „adres poczty elektronicznej”. Przykład – jeżeli w polu hasło wpiszę „JanKowalskiUl.Jasna700-140Warszawa” to przecież nikt nawet nie pomyśli o tym, żeby już zarejestrować taką bazę jako dane osobowe nawet, jeżeli będzie to prawdziwy adres i nazwisko.
3. Baza samych adresów email (sporo portali wymaga tylko adresu email i hasła) nie stanowi „bazy” w pojęciu GIODO – nie można jej przeszukiwać przy użyciu dwóch kryteriów.
@Szafarz,
Na logikę – być może masz rację. Jest jednak stanowisko GIODO w tej sprawie i ono jest wiążące: adres e-mail jest daną osobową.
Co w wypadku kiedy dane osobowe dłużników naruszających prawa autorskie odtajnione są przez Prokuraturę na wniosek zagranicznego stowarzyszenia w celu tworzenia wezwań do zapłaty? Z góry dziękuje za odpowiedź. 😉
Witam, jakieś 5 miesięcy temu wypełniłem wniosek na stronie Giodo a także wydrukowałem regulamin i politykę prywatności mojego portalu. Przesłałem wszystko na ich adres. W panelu „Moja sprawa” na stronie Giodo do dziś widnieje informacja „Wysłany” ale nie ma mojego zbioru w bazie Giodo. Oczywiście kilkadziesiąt razy próbowałem się dodzwonić o różnych godzinach do Giodo ale dodzwonić się nie da. Co powinienem zrobić w takim przypadku? Przymknąć na to oko? W końcu przesłałem papiery (niekoniecznie wszystkie takie jak trzeba) i wniosek -liczą się chęci. Chyba Giodo nie powinno mieć do mnie pretensji nigdy o to, że nie zgłosiłem zbioru bo przecież zgłosiłem
Witam,
mam podobny problem, na stronie status wniosku elektronicznego- wysłano, dokumenty podpisane przesłałam pocztą, żadnej informacji zwrotnej.
Witam,
ja mam pytanie trochę techniczne. Jest wiele firm oferujących przygotowanie niezbędnego zestawu dokumentacji do rejestracji w GIODO, jednak bez wdrożenia tych papierów w życie. Mam na myśli to, że dokonuję zakupu sprawdzonych i wypełnionych formularzy polityki bezpieczeństwa itp., ale firma ta w ramach umowy nie zajmuje się faktycznie zabezpieczeniami, o których mowa w przepisach. Czy wobec tego lepiej zapłacić więcej i skorzystać z usługi przygotowania dokumentacji wraz z wdrożeniem, czy GIODO ma to w nosie, a więc wysłać im standardowe arkusze zakupione od firm specjalizujących się w tej materii? Co do zasady formularz wymaga tylko określenia poziomu zabezpieczeń, a nie dokladnych metod. Pytam o to pod kątem kontroli:)
Mam pytanie o tzw. „Politykę prywatności”. Jakie to ma odniesienie i gdzie do przepisów prawa? Gdzie jest napisane, że powinien być właśnie taki dokument i tak nazwany? Nie umiem znaleźć poza tym, że co chwila ktoś pisze, że musi być bo tak, albo bo tak wypada. Na pytania moje o podstawę prawną autorzy takich artykułów milczą.
ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r.w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wydane na podstawie art. 39a ustawy o ochronie danych osobowych w par. 3 stanowi „Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej instrukcją”.
Witam, prowadzę bloga, jest nowy mam kilka dni, oczywiście aby dodać komentarz wymagany jest adres e-mail. Blog stoi na serwerze VPS z IP we Francji.
Moje pytanie – rejestrować bazę adresów e-mail w GIODO? Blog nie posiada jeszcze zarejestrowanych użytkowników, brak komentarzy więc baza jakby pusta, teraz drugie pytanie – wyłączam formę rejestrowania się na blogu, pozostaje tylko forma komentarzy – także trzeba będzie rejestrować w przyszłości bazę jak będą komentarze?
Witam. Proszę o pomoc. Pracuję w szkole podstawowej. Jakie dokumenty powinny być zarejestrowane w GIODO? Byłam na kilku szkoleniach i interpretacje ustaw były naprawdę różne. Pozdrawiam.
W szkole wiele zbiorów działa na art 43.1. uodo czyli jest zwolniona z obowiązku rejestracji. Jednak będą zbiory do zgłoszenia. Trzeba zacząć od dokumentacji, czyli polityka bezpieczeństwa przede wszystkim i na tym etapie prac pojawią się zbiory. Proszę o kontakt ze mną kkwebistics@gmail.com
Witam, a ja mam takie pytanie, prowadzę sklep internetowy już rok i do tej pory nie zgłosiłam bazy danych do GIODO. I co teraz?
Mam zgłosić i napisać akt czynnego żalu? Jest tam jedno pytanie, od kiedy powstał obowiązek zgłoszenia. Nie wiem co mam tam wpisać.
Poradzicie coś?
Z góry dziękuję za pomoc:)
Witam ,jeżeli dane wykorzystujemy tylko do realizacji zamówienia nie podlegamy obowiązkowi rejestracji . Firmy które tak twierdzą próbują naciągać nas na dodatkowe koszty . tel do info GIODO (22) 860 70 70.Po ww. numerem można uzyskać podstawowe informacje o ustawie o ochronie danych osobowych i kompetencjach Generalnego Inspektora Ochrony Danych Osobowych.
Infolinia czynna jest od poniedziałku do piątku, w godzinach od 8.15 do 15.45.
A przeczytałeś powyższy tekst, jeśli ktoś prowadzi sklep internetowy towar musi gdzieś wysłać więc już musi zgłosić zbiór do GIODO.
Nie kojarzę, aby we wniosku było pole od kiedy przetwarzam dane, bo obowiązek zgłoszenia jest przed. Przede wszystkim trzeba zarejestrować. Aktu czynnego żalu nie ma, to nie Urząd Skarbowy. Po prostu wypełniam wniosek i czekam na rejestrację.
Mogę powiedzieć z doświadczenia – obejmującego jeden przypadek znacznie spóźnionego zgłoszenia zbioru do GIODO – że GIODO raczej jest zadowolony jak ktoś w ogóle zgłasza zbiór i raczej nie czepia się strasznie, że coś jest po terminie, a jeśli widzi jakieś nie prawidłowości, to najpierw wzywa do ich usunięcia, a dopiero brak reakcji może się spotkać z sankcją.
Witam
Mam pytanie czy zakładając portal ogłoszeniowych z ogłoszeniami drobnymi regionalnymi w którym podać będzie trzeba jedynie adres email i nr tel służący do kontaktu między zainteresowanymi ogłaszającym i czytajacym ogłoszenie oraz mail do odzyskiwania kodu usunięcia ogłoszenia a wszystko dodane dobrowolnie akceptując regulamin jest konieczne by zgłaszać gdziekolwiek?
Wydaje mi się że powinieneś zgłosić bazę jeżeli taką gdzieś tworzysz i gromadzisz. poczytaj tutaj http://rbdo.pl/nie-tylko-sklepy-internetowe-maja-obowiazek-zglosic-zbior-danych-osobowych-swoich-klientow-do-rejestru-prowadzonego-przez-giodo/ artykuł nt nowych wytycznych giodo dot. sklepów internetowych.
To wszystko zależy. Nie można jednoznacznie odpowiedzieć. Wszystko zależy od tego, jak zbudowany będzie serwis z ogłoszeniami. Czy użytkownik będzie miał konto itd. Ostateczna kwestia czy będziemy robić marketing do tych osób? Można zrobić serwis bazujący na art 43.1. uodo i taki co trzeba rejestrować – jednak w obu przypadkach musimy mieć politykę bezpieczeństwa i instrukcję zarządzania.
Polecam dobre rozwiązanie z którego korzystaliśmy w poprzedniej firmie w której pracowałam. Był to pewnego rodzaju pakiet stworzony dla Agencji Pracy. Poza szkoleniami były tam audyty, oprogramowanie z certyfikatem GIODO. Czyli wszystkie informacje w jednym miejscu. Postaram się znaleźć co to było i jaka firma oferowała ten pakiet i wrzucę informacje.
Zastanawia mnie co to jest za oprogramowanie z certyfikatem GIODO? Bo jak już, gdzieś w komentarzach, wspomniał autor artykułu:
„GIODO nie wydaje żadnych certyfikatów. Generalny Inspektor daje jedynie zalecenia i opracowuje wytyczne. Zobacz tutaj http://www.giodo.gov.pl/560/id_art/2652/j/pl„.
Nie ma oprogramowania z certyfikatem GIODO, ponieważ uzyskanie takiego certyfikatu jest niemożliwe. GIODO nie wydaje certyfikatów a jedynie decyzje na mocy administracyjnej oraz ewentualne swoje wytyczne i zalecenia. Jeżeli jakaś firma reklamuje swój produkt, że posiada certyfikat GIODO to opowiada bajki. Jedynie ich program może spełniać warunki zgodności z ustawą o ochronie danych osobowych.
No myślę jednak, że prawnicy żyją z tworzenia przepisów i jest to prawda ogólna, a lektura artykułu i komentarzy potwierdza to moje mniemanie.
Zapisany jestem do około kilkunastu list typu NEWSLETTER i w żadnej, podkreślam – w ŻADNEJ z nich nie przestrzega się ani jednego z cytowanych przepisów. Gdyby bowiem ich przestrzegać, wszelka działalność byłaby kompletnie niewykonalna. Internet został stworzony przez błogosławione Stany Zjednoczone Ameryki jako swego rodzaju przestrzeń wolności, która ma UŁATWIAĆ życie, a nie go utrudniać.
Dla dobra sprawy radziłbym wcale nie pisać tekstów ani o GIODO ani o jego przepisach. Wówczas być może obszar niewiedzy będzie tak wielki, że same z siebie wyjdą po prostu z użycia, jak to już nieraz bywało w ciągu ostatnich 20 lat. Podam przykład domniemanej zgody na pobieranie organów od zmarłego. Przepis praktycznie martwy, bo „zmowa absolutna” obywateli powoduje, że nie jest przestrzegany. Prosiłbym, aby Pana studia prawnicze poszły w tym kierunku, wtedy jak sądzę pieniądze wydane na Pańska edukację zwrócą się całemu społeczeństwu.
Nie jestem prawnikiem z wykształcenia to raz. Dwa tak już jest, że nieznajomość prawa nie zwalnia z jego przestrzegania. Nie sądzę aby część moich klientów mogła powiedzieć, że sprawę GIODO schowali głęboko i mieli problemy z tego powodu. Zwłaszcza teraz kiedy to GIODO współpracuje z Inspekcją Pracy co po pierwsze zwiększy liczbę kontroli, będzie egzekwować te „martwe” przepisy bowiem egzekucja kar w porozumieniu z naczelnikiem Urzędu Skarbowego może się okazać sposobem na łatanie dziurawej dziury budżetowej. Dodajmy jeszcze zmiany w przepisach prawa telekomunikacyjnego o obowiązkowym zgłaszaniu GIODO wycieków danych. Każda firma hostingowa będzie musiała to zgłaszać i co wtedy jak powiadomi, że z naszego serwera wyciekły dane.
Gdyby to prawnicy tworzyli przepisy prawa, to tylko kilku z nich miałaby na życie, a cała reszta byłaby bezrobotna. To właśnie dzięki temu, że to „nieprawnicy” tworzą przepisy, prawnicy mają tyle pracy, bo trzeba odgadnąć „co autor miał na myśli” 🙂
Witam!
Mam takie pytanie odnośnie rejestracji bazy danych. Jestem na etapie kończenia portalu intern. gdzie w bazie danych oczywiście przetrzymywane są dane użytkowników takie jak: (dobrowolnie imię, nazwisko oraz miasto i avatar), obowiązkowo e-mail, nick, IP, płeć, data urodzenia. Jestem osobą fizyczną, nie prowadzę DG. Większość danych zarejestrowanego usera (poza e-mailem) będzie wyświetlana publicznie min w wyszukiwarce użytkowników (o wszystkim będą poinformowani w regulaminie serwisu). Maile będą wykorzystywane jedynie do potwierdzenia rejestracji lub w przypadku zapomnienia hasła (ewentualnie jakaś kartką świąteczna ze strony mojego serwisu). Czy taką bazę danych również muszę rejestrować w GIODO? Czy muszę im przekazywać całą strukturę zabezpieczeń? To byłoby nierozsądne.. :/ Co to znaczy, że może przyjść kontrola jeśli coś im się nie spodoba? Przyjdzie mi ktoś do mieszkania badać komputer? Pomijam fakt, że zrzucę go ze schodów bo jestem nerwowy na takich ludzi i czasem nie panuję.. ale jak to wygląda rzeczywiście? Wyżej wyczytałem, że większość firm już nie mówiąc o osobach fizycznych nie rejestruje swoich baz danych? Czy zatem lepiej będzie nie zarejestrować i nie przejmować się tym wynalazkiem jakim jest GIODO czy zarejestrować i w razie, gdyby coś im się nie spodobało w załączniku, którego tak tutaj wszyscy się obawiają (jednego z dwóch) -być już na oku?? Jeśli rejestrować to kiedy? Nim strona strona trafi na serwer? Czy jak już zacznie funkcjonować?
Pozdrawiam
(dobry art :))
Ja bym zarejestrował bazę. Jak inni skaczą z mostu to nie zawsze ja muszę skakać. Jak mój sąsiad jedzie na ryby to ja nie muszę jechać. Każdy może zdecydować. Za utrudnienie inspektorowi dostępu kontroli grozi kara nawet pozbawienia wolności do lat dwóch. Może skuć w kajdanki jak policja skarbowa czy policjant. Ustawa dotyczy i osób fizycznych i przedsiębiorców
Oj chyba urzędnik nie może skuć w kajdanki… jeśli już to może wrócić z organami porządkowymi które mogą to zrobić 🙂 Nie sądzę by mieli aż takie uprawnienia, a jeśli o czymś nie wiem to nie sądzę by nosili ze sobą kajdanki. Utrudnianie pracy urzędnikom (choćby nie wiem jak bezpodstawnie działali) raczej nic dobrego nie przyniesie zwykłej fizycznej osobie bez ochrony i stada prawników dlatego radziłbym nawet nie wygrażać się zrzucaniem ze schodów… na to też są paragrafy i nie trzeba być urzędnikiem by je egzekwować…
Podepnę się z podobną sprawą. Panie Krzysztofie jeśli mogę prosić o komentarz…
Katalog stron, dokonujący wpisu zostawia email by: otrzymać potwierdzenie dokonania wpisu, usunięcie itp. Żadnych działań marketingowych. Ewentualnie informacje o zmianach w katalogu np. zmiana adresu, nowe funkcjonalności katalogu, propozycja rejestracji w nowym moim katalogu (nie zarobkowo – darmowy). Czy taką bazę trzeba zgłosić czy można to podpiąć pod – jak Pan to określił – „drobne bieżące sprawy życia codziennego”. Chodziło wtedy o wtyczki do komentowania artykułów na stronach zapisujących email i wysyłających informacje o nowych wpisach…
co za obled z tym giodo, urzednik moze skuc w kajdanki? co za brednie. po dlugiej nieobecnosci wrocilem do pl i to co tutaj sie dzieje, co trzeba robic aby sprzedac durny przedmiot na allegro raz na ruski rok, albo na swojej niekomercyjnej stronie wrzucic formularz kontaktowy to jakie glupowy zostaly powymyslane. to jest smieszne poprostu co tutaj sie dzieje w tej polske!!!!!!!!!!!!!!!!!!
1. Jeżeli z tej bazy nie będziesz korzystał w celach zarobkowych to możesz sobie odpuścić zgłaszanie.
2. Bierz pod uwagę, że publikowanie danych osobowych może co najmniej irytować niektórych ich właścicieli, i nawet mimo informowania ich przed zapisaniem się w portalu, będą czuły się urażone i mogą zgłosić sprawę do organów ścigania w tym GIODO. Polecam jednak stworzyć politykę bezpieczeństwa i poważnie brać pod uwagę możliwość zgłoszenia bazy w każdym momencie.
3. Zrzucenie komputera ze schodów niczego nie zmienia. W ostateczności naraża Cię na dodatkowe koszty odzyskania danych (jeżeli w ogóle nastąpi jakieś uszkodzenie dysku w co wątpię).
Witam,
dla wstępu – mam zarejestrowaną działalność gospodarczą i planuję założyć portal ogłoszeniowy (drobne) i portal z katalogiem firm.
Wczoraj dzwonilam do GIODO na infolinię dowiedzieć się jak to jest z tymi danymi powszechnie dostępnymi i odpowiedz na moje pytanie „czy jak z gazety przepisze dane firm tam zaprezentowane i opublikuje na mojej stronie, to musze to zglaszac do GIODO -strona nie posiada zadnego formularza do zglaszania firmy ani przymusu rejestracji, dane mozna przeslac na meila” brzmiala TAK, bo to juz jest przetwarzanie/prezentowanie danych i na to ponadto wymagana jest zgoda firmy. Takze potwierdzam gdzieś już przeczytany komentarz.
Mam jednak pytanie – wlasciwie jaki sposob jest odpowiedni aby uzyskac zgode autora na zamieszczenie ogł. drobnego albo danych firmy? Czy zawsze powinno isc w parze „odhaczenie” 'akceptuje regulamin’ i 'zgdzam sie na przetwarzanie danych zgodznie z….’. Teoretycznie każda osoba moze firme zglosic do katalogu podajac sie za jej wlasciciela. A przeciez nonsensem by bylo bieganie po firmach z pisemnymi papierowymi oswiadczeniami?
z gory dziekuje za pomoc,
pozdrawiam
monika
Zgodę na przetwarzanie można zawrzeć w regulaminie i nie trzeba powielać klauzuli zgody to raz. Dwa rejestrować można zbiór i we wniosku zaznaczę że dane będą pochodzić z innych źródeł niż od osób, których dane dotyczą, a bazę firm kupię sobie z GUS i wprowadzę do swojego katalogu stron. Następnie dopełnię obowiązku informacyjnego osoby, której dane dotyczą i działam zgodnie z prawem. To taka gratisowa porada w skrócie. Ewentualne wyjaśnienia mogę złożyć po umówieniu się ze mną na usługę doradztwa
A jak przedstawia się sytuacja gdy strona (w języku polskim) dotyczy obszaru działalności poza granicami polski? Administruję dwoma stronami myrugby.pl oraz rugbyszkola.com.pl. Odbiorcą jest polak w UK. Czy w taki przypadku również mam rejestrować w GIODO?
Zasadniczym pytaniem może być gdzie jest zameldowany lub gdzie ma siedzibę administrator danych jeżeli w Polsce to de facto podlega on pod polskie prawo ochrony danych osobowych. Jeżeli nie ma on zameldowania ani siedziby ani żadnej placówki oddziału w Polsce to nie podlega
Wiem że temat był już dawno nie poruszany ale mam nadzieje że uda mi się uzyskać odpowiedź,
Czy trzeba zgłaszać bazę złożoną z danych powszechnych i dostępnych np pochodzących z CEIDG lub z książki telefonicznej.
Moje pytanie bierze się z faktu że na stronie GIODO w zakładce ZWOLNIENIA Z OBOWIĄZKU REJESTRACJI jest zapisane że z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: powszechnie dostępnych,
I teraz w sumie chodzi mi o definicję danych powszechnie dostępnych.
Baza CEIDG nie jest uznana za dane powszechnie dostępne w związku z czym zwolnienie z art. 43.1. pkt 9) chyba 🙂 nie ma zastosowania. Dane przedsiębiorców od stycznia 2012 zostały włączone pod ochronę i od tego momentu za dane powszechnie dostępne uznaje się te dane, które przedsiębiorca sam upublicznia np. na swojej stronie firmowej. Wobec powyższego tworząc taką bazę powinniśmy mieć jego zgodę na przetwarzanie jego danych. Może ten artykuł coś rozjaśni http://ostium.pl/zmiany-w-zasadach-ochrony-danych-osobowych-od-2012-roku/
Witam,
chcę prowadzić serwis internetowy, gdzie publikowane będą wizytówki osób fizycznych. Czy mam obowiązek zgłoszenia tego do GIODO? To będzie bardziej serwis ogłoszeniowy.
A druga sprawa: czy mogę prowadzić taki portal dla celów zarobkowych nie mając zarejestrowanej działalności gosp.? Co na to GIODO, jeśli złożę wniosek o rejestrację zbioru jako osoba fizyczna?
Z góry dziękuję za odpowiedź.:)
Jeśli chcesz prowadzić portal w celach zarobkową na pewno musisz zarejestrować działalność gospodarczą.
Dla GIODO czy to jest osoba fizyczna czy prawna nie ma znaczenia. Czy taki zbiór taki należy zgłosić do GIODO to powiem i tak i nie. W zasadzie wszytko wyjaśniłem w swoim nowym serwisie http://abipomocnik.pl Jest tam wiele bardzo ciekawych artykułów oraz możliwość korzystania z doradztwa w cenie abonamentu. Jednak aby odpowiedzieć na to pytanie należy się zastanowić co z tymi danymi klientów chcemy robić.
A zarabianie bez DG to sprawa dla Urzędu Skarbowego. Jednak powiem Tobie tak nie kupiłbym nic jako firma jeżeli nie możesz wystawić mi za to faktury a nie mając DG nie wystawisz jej chyba ?
A co jak ktoś nie jest vatowcem, a ma DG?
Mądrzysz się koleś z tym giodo, bo coś masz tam do opędzlowania w temacie.
Proszę o informację jak wygląda sprawa, jeśli już posiadam sklep internetowy jakiś czas, a dopiero teraz zgłoszę sie do GIODO, czy są jakieś konsekwencje tego?
Witam, podpinam się pod temat sklepu internetowego. Co jeśli sklep internetowy jest na serwerze firmy pełniącej usługi hostingowe? Kto zgłasza bazy? Firma hostinogowa czy właściciel sklepu internetowego? Oraz czy mówi o tym jasno któryś przepis?
Zgłasza bazę zawsze ADO czyli Administrator Danych Osobowych, firma hostingowa jest w tym momencie podmiotem, któremu dane zostały powierzone i z nią trzeba mieć umowę. Przepisy na to, to mógłbym przytaczać całą ustawę o ochronie danych osobowych
Powiem tak trzeba to zrobić i tyle. Jakie są konsekwencje no jest to przetwarzanie danych niezgodne z ustawą i pod koniec ustawy bodaj od art 50 są podane jakie kary grożą – tak w skrócie
Czy zbiór osób, które na naszej stronie na Facebooku kliknął lubię to! należy również zgłaszać do GIODO? Do tych ludzi możemy później wysyłać za pośrednictwem Facebooka informacje, czyli coś w rodzaju Newslettera. Jak to prawnie wygląda?
Z facebookiem sprawa wygląda tak, że nie podlega on pod nasze prawo, ponieważ nie ma on póki co swojego przedstawicielstwa w Polsce. W związku z czym niemożliwe jest uzyskanie od nich żadnej umowy o powierzeniu. Jeżeli działamy tylko na obszarze facebooka, nie widzę konieczności zgłaszania tego do GIODO.
W jaki mniej więcej sposób powinny zostać napisane: polityka bezpieczeństwa informacji oraz instrukcja zarządzania systemem informatycznym. Czy dostępny jest wzór tych pism? Jaki jest koszt rejestracji w GIODO?
Jak powinna wyglądać polityka bezpieczeństwa i instrukcja zarządzania można znaleźć na stronie GIODO i opublikował tam wytyczne. Szereg artykułów na ten temat można znaleźć na moim blogu ostium.pl. Zachęcam też do zajrzenia do czasopisma Mensis tam też zamieściłem kilka artykułów w tej tematyce. Zrobiłem też szkolenie przez Internet i zapis z niego można kupić na stronie http://rejestracja-w-giodo.pl. Odnośnie drugiego pytania to sama rejestracja w GIODO jest wolna od opłat
Czy autor lub ktoś inny mógłby odpowiedzieć na zadane pytania? W artykule te kwestie nie są poruszone . Podobnie jak kwestia taka, co się dzieje, jeśli ktoś nie zgłosił bazy , co powinien teraz zrobić, czy grozi mu jakaś kara?
O jakie inne kwestie chodzi ? Jeżeli ktoś nie zgłosił zbioru podlegającemu zgłoszeniu to powinien to zrobić jak najprędzej. Kara na pewno mu nie grozi zanim GIODO samo odkryje, że nie ma zgłoszonego zbioru. W kwestiach dotyczących spraw ochrony danych osobowych proszę o kontakt ze mną na maila krawczyk(małpa)ostium.pl
Chodziło o poniżej zadane pytanie, i dzięki serdeczne za odpowiedź.
Ja mam pytanie, długo już to obowiązuje? bo generalnie mało kto o tym mówi, a sprawa jest dość istotna i może dla przeciętnego człowieczka być miażdżąca w skutkach
Ustawa o ochronie danych osobowych obowiązuje od 1997 roku. Natomiast ludzie zainteresowali się dopiero po nowelizacji która miała miejsce na początku 2011 roku, gdzie wzmocniły się uprawnienia Generalnego Inspektora
Ach, i jeszcze, czy potem się to jakoś aktualizuje (np. liczbę danych itp?)
Nie wiem co oznacza liczba danych. Do GIODO nie wysyła się treści całego zbioru tylko informacje z jakich pól się składa zbiór danych osobowych. Aktualizacji podlegają wszelkie zmiany dotyczące zbioru czy administratora danych
A co jeśli ma się kilka stron (np. sklepów ) czy każdy z nich to osobny zbiór, czy też jest można to zgłosić jako jedną bazę?
Faktycznie zgłasza się jeden zbiór nazwijmy go Klienci i będzie on dotyczył wszystkich Klientów firmy. De facto mogą oni być klientami różnych sklepów prowadzonych przez firmę. Tak samo dokumentacja jest tworzona dla firmy a nie konkretnego sklepu
Jeśli e-mail jest daną osobową, to podczas zapisów na newsletter należałoby dodać – oprócz zgody na politykę prywatności – odrębną zgodę na przetwarzanie danych osobowych. Jeśli e-mail jest daną os., a brakuje takiej zgody, to wtedy przetwarzanie takich danych należy uznać za bezprawne. Niedawno konsultowałem tą sprawę z prawnikiem. Polityka prywatności nie wystarczy. Dlatego prywatnie będę bronił zdania, że e-mail nie jest daną osobową. Z nazwy maila można jedynie domniemywać, że to osoba XY i nie można jednoznacznie stwierdzić o kogo chodzi. Dopóki we własnej sprawie nie dostanę wyroku, to nie przyznam (zgłaszając bazę), że to dane osobowe. Bo składając wniosek musiałbym utrudnić rejestrację ludziom, strasząc ich potężnymi regułkami.
Można wstawić takiego checkboxa przy zapisie na newsletter, gdzie osoba może taką zgodę zaznaczyć.
Można to rozwiązać jeszcze tak że po zapisie na newsletter, osoba otrzymuje emaila z potwierdzeniem w którym zawieramy regułkę
trochę nieścisłości przy rejestracji na newsletter wystarczy kilka podstawowych informacji. prosze spojrześ jak GIODO rozwiązał sam tą kwestie. nie jest to wcale skomplikowane. nie sądzę że warto czekać na wyrok:-)
Ciekaw jestem jak ludzie mają zabezpieczyć adres email który ze swojej natury jest publiczny? Poczta a co za tym idzie email nie musi iść bezpośrednio tą samą scieżką do obiorcy może być po drodze routowana sprzętowo, wreszcie może być wysyłana z różnych serwerów poczty jak robimy mailing. Tak więc w praktyce ustawodawca obciąża nas obowiązkami których małe podmioty nigdy nie będą w stanie dotrzymać. No chyba że ktoś zacznie świadczyć dla samego siebie wszystkie usługi : bazy danych, mailing, hosting itd. To jest patalogia myślę że najlepiej przenieść e-binzesy pod stabilną administracje emigrując.
No nareszcie jakiś konkretny artykuł poruszający tą tematykę. Dziękuję
Witam,
mam pytanie czy istnieje gdzieś szablon, wzór zapisu, jak stworzyć te 2 dodatkowe dokumenty do wniosku? Mam na myśli zapis o polityce bezpieczeństwa informacji oraz instrukcję zarządzania systemem informatycznym.
Dodatkowo? Czy jeśli baza jest zarejestrowana do celów stworzenia konta na stronie, to czy teraz chcąc wysyłać newsletter do nich, wystarczy, że zupdatuję wniosek, czy muszę listę osób do mailingu zgłaszać jako nową bazę??
Dziękuję za odpowiedź 🙂
Z tego co się orientuję (a się orientuję:)) to nie ma żadnych szablonów. Nie praktykuje się takich rzeczy, jedynie mogą zostać wydane zalecenia w danej sprawie.
Wraz z Pawłem Krzyworączką zrobiłem webinar na ten temat i opracowałem też przykłady, na których można się wzorować. Nie radziłbym jednak robić tego na zasadzie kopiuj/wklej, gdyż nie ma takiej samej dokumentacji. Dostęp do zapisu ze szkolenia wraz z przykładami jest tutaj >> http://rejestracja-w-giodo.pl
Można połączyć to w jedną bazę np. Klienci i odpowiednio to opisać jednak istotnym jest czy newsletter będzie działać niezależnie od rejestracji w serwisie jeżeli tak, to są dwa zbiory podlegające rejestracji a co za tym idzie dwa wnioski
przy rejestracji zbioru nie trzeba dołączać ani polityki bezpieczeństwa ani instrukcji zarządzania systemem informatycznym… trochę pan przesadził.
faktem jest iż we wniosku trzeba zaznaczyć fakt posiadania takich dokumentów.
ale trzeba mieć firmę prawda? żeby zarejestrować się w GIODO inaczej oni sami się przyczepią?
Nie, nie trzeba ustawa dotyczy zarówno osób fizycznych oraz firmy, które przetwarzają dane osobowe. Od razu wspomnę, że zbiór danych osobowych wykorzystywany do celów prywatnych nie należy rejestrować w GIODO.
„Od razu wspomnę, że zbiór danych osobowych wykorzystywany do celów prywatnych nie należy rejestrować w GIODO”
Słowo „zbiór” w języku polskim
odmieniamy według przypadków
-> należy rejestrować zbiór -> biernik kogo?co?
-> NIE należy rejestrować zbiORU -> dopełniacz kogo?czego?
Sorry, ale nie wytrzymałem, widząc po raz kolejny ten błąd. Dlaczego Polacy nie potrafią mówić i pisać poprawnie ??? Przecież to podstawy.
Może nie każdy jest takim polonistą jak Ty? 😉 Nie jest to aż tak rażące więc daj spokój. Art jest ciekawy i wiele wyjaśnia – a o to chodzi. (Tylko nie przysssaj 😛 się o to słowo kalające język polski – art)
Do autora – dzięki za pigułę wiedzy. Szkoda że prawo polskie jest tak pokręcone i samo za sobą nie nadąża. Skoro IP jest daną osobową to lepiej sobie statystyk na serwerze nie instalować 😉
Mam kilka pytań:
1) Rozumiem, że w myśl art. 43.1. p.8 mogę gromadzić dane użytkowników serwisu, w tym e-mail, w celu wystawienia faktury za jakąś usługę, bez potrzeby rejestracji w GIODO? Zakładam, że serwis ten nie będzie wysyłał żadnych newsletterów lub innych emaili do użytkowników.
2) Co w przypadku gdybym była potrzeba wykorzystania emailu do przypomnienia hasła użytkownika? Czy w takim przypadku już będzie wymagana rejestracja?
3) Co w przypadku gdy gromadzę tylko adres email w formie zaszyfrowanej:
a) algorytm szyfrowania umożliwia odczytanie adresu,
b) wykorzystuję hashowanie np. md5 (rozumiem, że ogranicza mnie to w zasadzie tylko do wykorzystania np. przy odzyskiwaniu hasła użytkownika – porównanie wartości z bazy z tą z formularza, gdzie użytkownik wpisuje swój email, na który ma zostać przysłane hasło).
Czy tak zaszyfrowane dane (a lub b) będą zbiorem danych osobowych i wymagają rejestracji?
Na sprawę rejestracji należy patrzeć nie tylko z pozycji czy jest to dana osobowa. Poza tym art 43 ust. 1 mówi o przesłankach zwalniających z rejestracji.
Powiedz mi, po co Tobie jest e-mail do wystawienia faktury? Czy nie obawiasz się, że Twój Klient złoży sprzeciw do GIODO o zbyt szeroki zakres zbierania danych do wystawienia faktury?
Powiedz mi, ponieważ widzę, że usilnie wszyscy się boją zgłaszać zbiorów do rejestracji, jednak odpowiedzialność Twoja za zbiór jest taka sama – obojętnie czy jest on zarejestrowany czy też nie. Czy brak konieczności rejestrowania zbioru upoważnia Ciebie do zwolnienia z wdrożenia PBI i IZSI? Też nie.
Ad 2) Ja nie widzę takiej potrzeby, gdyż nie widzę tu wykorzystania o charakterze handlowym, marketingowym.
Ad 3) To że przechowujesz email w formie zaszyfrowanej oznacza, że starasz się zabezpieczyć te dane i to jest dobrze.
Nie ma obowiązku rejestracji bo to, co opisujesz to już są warunki techniczne systemu informatycznego i nie ma tu nic wspólnego ze zbiorem danych osobowych. To że jakieś dane osobowe podlegają rejestracji nie ma znaczenia sposób szyfrowania. Przesłanki do zwolnienia z rejestracji mówią art 43 ust.1.
Ad. MIT #6: Czy ja dobrze rozumiem, że lista nazwisk i numerów telefonów ludzi i firm, z którymi biznes i których to dane wykorzystuję zarobkowo podlega rejestracji? Dane te siedzą w pamięci mojego telefonu – to jest moja cenna baza danych.
Mam ją zarejestrować?
Robercie: trudno byłoby udowodnić, że telefon służy tylko i wyłącznie do celów służbowych, więc z listą w telefonie daj sobie spokój z rejestracją, natomiast niektórzy posiadają bazy w MS Access, czy np. Business Contact Manager i wykorzystują to w firmach jako Baza Klientów i taka baza, jeżeli zawiera nazwiska pracowników tych firm, to już podlega rejestracji. Natomiast jeżeli w bazie masz tylko np. Firma ABC ul. nazwa nr tel., to te dane są akurat publicznie dostępne. Tak samo jak byś miał np. osobę Jan Kowalski, który ma tak zarejestrowaną działalność gospodarczą, powiedzmy usługi hydrauliczne, to w tym wypadku on – jako firma również z automatu jego dane stają się publicznie dostępne, nawet jeżeli siedzibą jest jego prywatny dom. Każdą osobę prowadzącą firmę można znaleźć w bazie GUS np. po REGONIE i wyskoczą nam wszystkie dane jakie są w tym zaświadczeniu.
Znam ludzi, którzy używają jedynie telefonów do prowadzenia działalności gosp. W ich książkach adresowych klienci są podzieleni na grupy, a nie każdy ma działalność, bo klientem osoba fizyczna też może być. Dodam, że poza imieniem i nazwiskiem takiej osoby przechowywane są tam dane teleadresowe. Taki telefon to żyła złota. Jeden z moich znajomych ma teraz problem: telefon był kupiony na początku działalności (jakieś 6 lat temu) i zapchała mu się pamięć a tu synchronizacji z PC nie ma…
Czy taki zbiór danych osobowych, wykorzystywany w celach zarobkowych, w nośniku elektronicznym (jakim jest telefon) podlega rejestracji?
Jaki jest cel tej ustawy? Nowe miejsca pracy w rządzie?
A może Inspekcja Danych Osobowych?
Ja jestem na nie.
Każdy ma prawo do swojej opinii. Ochrona danych osobowych jest wymogiem członkostwa naszego w UE i dostosowania dyrektywy UE 95/46
Mógłbym Tobie powiedzieć jednoznacznie: tak taki telefon trzeba zarejestrować, tak samo jak każda osoba prowadząca DG powinna mieć lekarza zakładowego, prowadzić ewidencję opłat skarbowych – takich paradoksów można przytoczyć więcej.
Czegoś tu w takim razie nie rozumiem: http://www.giodo.gov.pl/560/id_art/4353/j/pl
„każda osoba prowadząca DG powinna mieć lekarza zakładowego”
WTF? Chyba chodziło o duże firmy zatrudniające > 100 pracowników.
I kolejna kwestia odnośnie porównania sklepu tradycyjnego z internetowym. Zaiks i Giodo tak w skrócie można napisać – to dwa pojęcia obce dla większości prowadzących działalność. Zaiks chroni utwory muzyczne, słowno-muzyczne, choreograficzne …. itd. więc jeśli chcesz raczyć swoich klientów muzyką zapłać tantiemy. Okazuje się , że w Internecie też są organizacje, które chronią ale tym razem dane osobowe. Cieszę się, że takie szkolenie jest organizowane, bo niewiedza kosztuje.
Agnieszko: na ebiznesy.pl usuwam linki partnerskie z podpisu autora komentarza. Promuj, proszę, własne serwisy.
ZAIKS tak chroni prawa twórców, artystów. Akurat nie wiem czy jest to doskonałe rozwiązanie. Natomiast ustawa o ochronie danych osobowych, ma chronić osoby prywatne przed handlem ich danymi, nie chcianymi informacjami. Być może gdyby ustawodawca inaczej podszedł do samej ustawy nie byłoby z tym tyle zamieszania
Cytuję: „Natomiast ustawa o ochronie danych osobowych, ma chronić osoby prywatne przed handlem ich danymi…” – ale w jaki sposób ma chronić, skoro do GIODO nie zgłasza się treści bazy? GIODO otrzymuje informację, że ktoś ma bazę i nic więcej – to, powtarzam swoje pytanie – w jaki sposób może ochronić dane? Przyznam, że nie widzę związku i ni chu chu nie kumam o co tu chodzi 🙁
Jeszcze jedna kwestia: GIODO to instytucja powołana do stania na straży ochrony danych osobowych i respektowania ustawy. Internet jest jednym z kanałów przetwarzania danych osobowych. Pamiętać należy, że kontaktując się z klientami, osobami to również przetwarzanie danych osobowych. Dane osobowe pracowników, przechowywane w segregatorze to również przetwarzanie danych osobowych i podlegają ochronie jak w przypadku internetu. Internet ma to do siebie, że może powodować większe ryzyko wydostania się tych danych w ręce osób do tego niepowołanych, to też powinniśmy zwrócić na to szczególną uwagę.
Już nie mogę się doczekać webinaru do zobaczenia wieczorem
MIT 4 – czyli można od razu ukarać wszystkich przedsiębiorców, którzy nie zarejestrowali bazy. Wystarczy że zadzwonią do klienta, lub wyślą projekt do zatwierdzenia.
To chyba jakaś paranoja.
Po pierwsze proszę mi wierzyć są firmy, które mają zarejestrowane bazy. Po drugie, tak niestety to wygląda od strony prawa. Z praktyki mogę powiedzieć, że póki nie trafimy na klienta, który będzie szukał dziury w całym to może i firma może funkcjonować. Jednak charakter biznesu w internecie moim zdaniem obliguje nas do zwiększenia bezpieczeństwa przy pozyskiwaniu danych, z racji większej liczby zagrożeń niż biznes tradycyjny.
Witam, nie prowadzę działalności gospodarczej, miałem taki okres, że nudziło mi się – więc założyłem portal randkowy. korzysta z niego na ten moment około 1000 osób – podają swoje dane osobowe (prawdziwy czy wymyślone w to nie wnikam, w każdym bądź razie email musi być prawdziwy).
Teraz wiem,że rejestracja bazy danych powinna nastąpić przed rozpoczęciem prowadzenia portalu. Ale co mam zrobić w zaistniałej sytuacji?
Pozdrawiam Mitia
PS Jeżeli zgłoszę się na tym etapie – to wydaje mi się, że poniosę jakąś karę, ponieważ nie zarejestrowałem bazy wcześniej :/
Po pierwsze: czy podają swoje dane w ogłoszeniu, czy podają dane do założenia konta. Bo to dwie różne sprawy. Jeżeli podają dane do kontaktów w ogłoszeniu, to Ty na swojej stronie prezentujesz dane osobowe. Przychodzi mi tutaj na myśl takie orzeczenie w stosunku do Naszej klasy, kiedy to jedna osoba żądała usunięcia zdjęcia klasowego, na którym był.
Bazę zarejestrować trzeba. Przecież czy musisz mówić kiedy zacząłeś? Wypisujesz wniosek, wysyłasz, i już. Jednocześnie chcąc mieć spokój sumienia wysyłasz maila do swoich użytkowników z prośbą, potwierdzenia czy chcą być użytkownikami, że to rodzaj aktualizacji, lub masz nowy regulamin portalu, w związku z tym musisz ich o tym poinformować. I niech potwierdzą dalsza obecność na portalu. To co mi tak na szybko przychodzi do głowy. Jeśli ta odpowiedź nie jest wystarczająca dla Ciebie, to możesz się ze mną skontaktować i wspólnie rozwiązać ten problem. I nie bójcie się tak GIODO, tam też pracują ludzie.
Witam.
Artykuł o GIODO istotnie wywołał małe trzęsienie na forach, odwiedziłam trzy i na każdym tematem nr.1 było GIODO. No cóż opinie były różne, ale wynikały one raczej z niewiedzy na dany temat. Dobrze że będzie Webinar, który wyjaśni jak to wygląda w świetle prawa, skończą się domysły i dociekania typu, co by było gdyby itd.
Pozdrawiam Urszula Drumlak.
Mam nadzieję, że z pytaniami wyrobimy się do północy 🙂
Sam korzystam z disquss i przyznam szczerze zrobiłem to celowo, ponieważ disquss nie ma swojej siedziby w Polsce (tak mi się wydaje). I podobnie jak w przypadku facebooka nie podlega pod polskie prawo 🙂
Zastanawiam się jak wygląda prawnie sprawa gdy do obsługi komentarzy używam zewnętrznych usług – chociażby Disqus. Chociaż to administratorzy systemu są odpowiedzialni za zarządzanie bazami danych ale z drugiej strony ja im „napędzam” komentatorów. Podobnie jest gdy korzystam z usługi wordpress.com
Przepraszam, odpowiedź zamieściłem powyżej.
W polityce prywatności swojego serwisu powinno się napisać, że dane (nick, email) są realizowane za pomocą zewnętrznych usług np. Disqus. Że podanie danych przez Internautę jest dobrowolne (jeśli nie chce zostawić danych, to nie komentuje i tyle). Obojętnie z jakiego systemu do zbierania danych osobowych korzystasz, to i tak Ty (jako administrator danych, nie systemu) jesteś za to odpowiedzialny. Administrator systemu ma prawo nie wiedzieć, jakie dane przetwarzasz na serwerze lub w systemie. Jeśli chcesz przekazać część lub całość odpowiedzialności za dane osobowe administratorowi systemu, to musicie podpisać umowę o powierzeniu danych osobowych. Od zapisów tej umowy (ustaleń) zależy kto i za co będzie odpowiedzialny. Tak to wygląda prawnie.
Wszystko ok. Zgadza się, że ADO jest za to odpowiedzialny. Tylko jest taka kwestia, czy GIODO skontroluje Disquss albo Facebook? Nie, bo nie ma takiej mocy prawnej – to raz.
Może to też być przesyłanie danych do państw trzecich – serwis zagraniczny i istnieje przesłanka z art 43.1
Po trzecie, komentarz na blogu to w mojej ocenie jest drobną sprawą dnia codziennego i ma charakter drugorzędny. Zwłaszcza jeżeli prowadzimy blog sklepu internetowego, którego głównym celem jest sprzedaż, a nie zbieranie komentarzy.
Ja rozpatrywałem to pod kątem rejestracji, a nie polityki prywatności, która powinna korespondować z ustawą i polityką bezpieczeństwa informacji firmy.
Masz rację Krzysztofie, że GIODO nie będzie kontrolować firm zagranicznych. Jednak są art. 47. i 48. w ustawie, które mówią o tym, że administrator może przekazać dane osobowe do państwa trzeciego tylko za pisemną zgodą posiadacza danych.
Ponadto tym jeśli kraj, w którym są serwery nie zapewnia ochrony danych co najmniej takich jak Polska, to ADO musi mieć pozwolenie od GIODO na przekazanie danych za granicę oraz musi zapewnić bezpieczeństwo ich przetwarzania.
Masz rację, że ta ustawa jest paranoiczna – jak zresztą ta o podpisie elektronicznym też.
Jednak korzystając z Disqussa na swojej stronie nie musisz być ADO w sensie ustawy. Bo ADO jest na pewno sam Disquss, Ty na swoim serwerze i w swojej bazie nie przechowujesz też tych danych, więc na pewno nie jesteś ADO. Disquss nie podlega pod GIODO, bo nie ma w Polsce przedstawicielstwa, podobnie jak Facebook. Jest to zawiłe. W mojej ocenie, posługując się disqussem jedynie mogę prezentować dane osobowe i osoba taka sama decyduje o tym, czy chce zostawić komentarz czy nie. Była taka sprawa odnośnie NK i zamieszczenia w tym serwisie zdjęcia. GIODO uchylił sprzeciw twierdząc, że jest to tylko prezentacja danych.
Jeszcze jedno: umowa o powierzeniu danych osobowych nie zwalnia Ciebie, jako ADO, z odpowiedzialności za nie, chyba, że posiadacie umowę, że ADO jest jednocześnie właścicielem bazy.
Wyjaśniłem to w tym artykule http://ostium.pl/powierzenie-przetwarzania-danych-osobowych/
Firma, której przetwarzanie powierzono odpowiada na równi z ADO zapewnienia zabezpieczenia danych zgodnie z art. 36 – 39 ustawy oraz spełnić wymagania określone w art. 39a ustawy.
Generalnie mając standardową umowę powierzenia danych nie zwalnia nas z odpowiedzialności, jaka ciąży na ADO.
Witam,
na wstępie gratuluję profesjonalizmu, artykuł oraz Pańskie odpowiedzi do komentarzy dużo rozjaśniają.
Przejdę do swojego przypadku: prowadzę jednoosobową działalność gospodarczą, zajmuję się grafiką komputerową i programowaniem stron i serwisów WWW.
Dane swoich klientów posiadam w kilku miejscach i zastanawiam się, które z nich należy zgłosić podczas rejestracji w GIODO.
Pierwsze miejsce to maile. Z większością swoich klientów kontaktuje się mailowo, a wszelkie dokumenty (umowa, aneksy, rachunki) wysyłam pocztą. Maile ściągam na dysk komputera (Outlook). Czy taki zbiór podlega rejestracji, jeśli nie służy on do kontaktów reklamowych, czy też wysyłania ofert do klientów?
Kolejnym miejscem jest aplikacja internetowa do księgowości, która umożliwia zapisanie danych kontrahenta. To tu generuje i wystawiam rachunki dla klientów. Tu jestem pewien co do konieczności rejestracji, ale proszę o potwierdzenie 🙂
Zastanawiam się jeszcze nad swoim serwerem, jednak na swojej stronie internetowej przedstawiam jedynie opis realizacji, bez danych osobowych klienta. Nie posiadam również newslettera, dlatego na moim serwerze nie ma żadnych danych osobowych klientów.
Z góry dziękuję za pomoc i pozdrawiam
Odnośnie aplikacji do księgowości, wszystko zależy jak jest skonstruowana. Otóż jeżeli są tam tylko dane ogólnie dostępne, to nie trzeba ich rejestrować, czyli osób prowadzących działalność gosp. oraz nazwy spółek bez imion i nazwisk pracowników nie ma takiej potrzeby rejestracji, gdyż zachodzi zwolnienie z art 43.1
Odnośnie wysyłania rachunków pocztą, wszystko zależy, co to za dane. Podejrzewam, że dane firm, więc też nie zachodzi taka konieczność, jednak bez dokładnego przyjrzenia się sprawie nie powiem jednoznacznie.
Odnośnie maili generalnie jeżeli służą one tylko rozliczeniom nie trzeba takiej bazy rejestrować, jeżeli jednak na te maile wysyłasz treści marketingowe lub informacyjne – to już tak. Taki paradoks jak np. kartka świąteczna.
Jeżeli na serwerze nie masz danych osobowych, to nie ma potrzeby rejestracji, gdyż stosowanie ustawy jest bezzasadne.
Czy każdy, newsletter, biuletyn trzeba rejestrować osobno?
Dlaczego w zbiorach baz zarejestrowanych GIODO widoczne są tylko części wniosków: A,B,C,D a E, i F – już nie.
O co tu chodzi?
Nie, nie trzeba rejestrować osobno każdego newslettera. Wszystko zależy kto jest właścicielem bazy, jeżeli ta sama osoba lub firma, to wniosek rejestracyjny jest jeden.
Część E dotyczy opisu środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy, natomiast część F mówi o sposobie wypełnienia warunków technicznych i organizacyjnych, o których mowa w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. Są to informacje dość szczegółowe i nie nadają się do publicznej wiadomości. Czy chciałbyś, aby każdy wiedział jakie zabezpieczenia stosujesz do ochrony swoich baz, oraz jaka jest struktura baz? Wykaz, który jest powszechny w internecie jest tylko wyciągiem z rejestracji i znajdują się tylko dane publicznie dostępne z racji funkcji administratora danych osobowych.
Jeżeli mamy kilka newsletterów czy biuletynów to jak nazwać taką bazę?
Witam,
Mój planowany biznes polega na dostępie do aplikacji do oceny pracowników – dostęp w postaci e-usługi. Firma, która wykupi dostęp do usługi będzie miała dostęp tylko do swojej bazy (aby zapobiec „mieszania” pracowników różnych klientów), gdzie wprowadza dane pracowników (są to dane osobowe a więc podlegają ochronie GIODO) i korzysta z funkcji aplikacji. Stosujemy protokół SSL.
Pytanie czy jest możliwość zdobycia certyfikatu od GIODO, że nasze rozwiązanie jest zgodne z ustawą GIODO ? Co powinnam zrobić aby dostać taki certyfikat, może Pan się zajmuje takimi sprawami ?
pozdrawiam
Irena
Po pierwsze GIODO nie wydaje żadnych certyfikatów. Generalny Inspektor daje jedynie zalecenia i opracowuje wytyczne. Zobacz tutaj http://www.giodo.gov.pl/560/id_art/2652/j/pl.
Aby być zgodnym z Ustawą o ochronie danych osobowych, to należy:
1). opracować i wdrożyć politykę bezpieczeństwa informacji dla swojej firmy
2). opracować i wdrożyć instrukcję zarządzania systemem informatycznym
3). złożyć wniosek rejestracyjny.
4). Wyznaczyć osobę, która będzie pełnić obowiązki Administratora Bezpieczeństwa Informacji (ABI)
Bardzo dobrze, że używasz protokołu SSL – w mojej ocenie z pewnością zapewnia on wysoki stopień bezpieczeństwa, jaki można przeczytać w rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024).
Ja zajmuje się rejestracją baz w GIODO, pełnieniem obowiązków ABI, pisaniem i wdrażaniem polityki bezpieczeństwa itd.
Czy orientujesz się jak Giodo interpretuje publikowanie z imienia, nazwiska, nazwy miejscowości, ulicy, podawanie na stronie www://handeldługami.pl/ danych osobowych osób? Druga sprawa to w końcu jeżeli prowadzę blog z poradami i buduję jakąś listę adresatów, to mam obowiązek zgłoszenia tego do Giodo? Przecież każda zapisana osoba potwierdza swoja wolę otrzymywania korespondencji? Tym samym zdaje sobie chyba sprawę że nawet najlepiej strzeżone dane nie są do końca bezpieczne w necie. A co z polityką prywatności na stronach? Jest tylko dla picu? Jak mam niby zabezpieczyć dane skoro znajdują się na zewnętrznym serwerze i to właściciele serwera mają obowiązek je zabezpieczyć. Czy to kolejny sposób na drenaż kieszeni przez państwo? Hakerzy włamują się do banków, instytucji wojskowych i państwowych a co dopiero do maluczkich.
Poruszyłeś tutaj dużo tematów.
W sprawie handlu długami w Internecie w ocenie obecnego Generalnego Inspektora należy publikować tylko te dane osobowe, które są niezbędne dla skonkretyzowania wierzytelności w celu jej sprzedaży. Według GIODO są to takie dane, jak imię, nazwisko i adres dłużnika, czyli kod pocztowy, miasto i nazwa ulicy, ale bez numeru posesji. Jeżeli będzie tych danych więcej niż te co napisałem to można liczyć że dłużnik złoży swój sprzeciw do GIODO i sprawa będzie rozpatrywana indywidualnie.
Jeżeli prowadzisz blog i jednocześnie prowadzisz newsletter to podlega on rejestracji w GIODO. Wola otrzymania korespondencji to po prostu dobrowolność pozostawienia danych osobowych, o której znajdziemy w ustawie jednak nie zwalnia to z rejestracji bazy. Polityka prywatności nie powinna być dla picu, powinna pokrywać się z polityką bezpieczeństwa firmy. W polityce prywatności zamieszczasz informacje, jakie dane pozyskujesz, w jakim celu, oraz dajesz zapewnienie, że dokonujesz wszelkich starań o zapewnieniu bezpieczeństwa. Tutaj zobacz ten artykuł http://ostium.pl/jak-napisac-polityke-prywatnosci/. W związku z tym, powinieneś zadbać o wybór właściwej firmy hostingowej, która dba o standardy bezpieczeństwa – zobacz ten artykuł http://ostium.pl/hosting-a-rejestracja-w-giodo/. Drenaż kieszeni? Rejestracja nic nie kosztuje. Tak, hakerzy włamują się, jak wiadomo nie istnieje system w 100% bezpieczny. GIODO stoi na straży tego, aby podnieść bezpieczeństwo, jednak nie oczekuje nikt od Ciebie, że zabezpieczysz dane w 101%. Masz po prostu zachować standardy, które są wysokie, oraz pokazać, że wiesz, co robić w sytuacji kryzysowej – czytaj wyciek danych.
Dzięki, wychodzi na to, że nie taki diabeł (GIODO) straszny, jak go malują. Co do handlu długami: mam osobiście z nimi zatarg, publikują te niby nie pełne dane, ale łatwo jest osobę zidentyfikować (nie ma tylko numeru domu i mieszkania). Wiem, że nikomu nic nie zalegam (byłem kilka lat za granicą – stąd były nie zapłacone rachunki, wszystko już uregulowałem, mimo to ta handlarska firma nadal chce sprzedawać moje nie istniejące zadłużenie). Na moje prośby o wyjaśnienie sprawy zbywają mnie byle czym, mam zamiar złożyć doniesienie do prokuratury o podejrzenie próby wyłudzenia.
Możesz wnieść sprzeciw do GIODO kosztuje 10 zł. Zobacz tutaj http://giodo.gov.pl/163/id_art/892/j/pl/ Tutaj znajdziesz wniosek http://giodo.gov.pl/data/filemanager_pl/471.doc Do wniosku dołączasz dowód wpłaty i wysyłasz do GIODO. Z tego co mówisz, są wszelkie przesłanki do tego, gdyż administrator bazy nie reaguje na Twoje prośby. Nie wiem czy sprawa jest ścigana z prokuratury, gdyż bardziej mi to wygląda na oszczerstwa i zniesławienie, co toczy się z powództwa cywilnego. Możesz złożyć pozew do sądu uzasadniając, że firma szkodzi Tobie. Ja złożyłbym tu i tu.
Ja zrobiłbym tak: złożyłbym sprzeciw do GIODO, gdyż są przesłanki ku temu. ADO mimo Twych wezwań do zaprzestania publikacji nie usunął tych danych. Jednocześnie sprawdziłbym, czy Twoje dane nie widnieją w BIK, KRD, jeśli tak, wniósłbym kolejny sprzeciw, wynikiem czego GIODO nakaże usunięcie Twoich danych z baz.
Na temat sprzeciwu odsyłam tutaj http://giodo.gov.pl/163/id_art/892/j/pl/ Wniosek sprzeciwu pobierzesz stąd: http://giodo.gov.pl/data/filemanager_pl/471.doc Koszt to 10 zł od sprzeciwu; dołączasz wpłatę do wniosku i wysyłasz do GIODO.
Odnośnie prokuratury – nie widzę tutaj znamion przestępstwa, bardziej można wnieść sprawę z powództwa cywilnego, co też bym z pewnością zrobił.
Krzysztofie,
odnośnie komentowania na blogach itp pisałeś, że podciągnąłbyś to pod sprawy codzienne,
a jak się według Ciebie ma sprawa zapisywania na RSS?
Powiedz mi, co ma być zapisane na RSS, bo jeżeli artykuł z bloga to bardziej podlega to prawu autorskiemu. Musisz to trochę rozwinąć.
Wycofuje pytanie ad RSS,
ale może wiesz jak ma się ustawa o ochronie danych osobowych do ustawy o świadczeniu usług drogą elektroniczną.
Przerabiałeś to?
Rozdział 4 ustawy o świadczeniu usług drogą elektroniczną jest poświęcony ochronie danych osobowych. Art. 16. 1. Do przetwarzania danych osobowych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926), w związku ze świadczeniem usług drogą elektroniczną, stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej. – co oznacza że UODO koresponduje z tą ustawą. Natomiast w art 18.1 jest wykaz, jakie dane można przetwarzać. Natomiast w art 19.1 jest zapis, że po skończonej usłudze nie masz prawa z nich korzystać. Czyli jeżeli ktoś wypisze się z newslettera, nie możesz dalej wysyłać mu treści. Jednak ta ustawa nie zwalnia z konieczności rejestracji.
a newsletter nie może być usługą?
(po skończonej…)
pozdrawiam
Oni w tym giodo chyba za mało rejestracji mają… Majewskiego, Krzywego, Michalaka, kołodzieja nie idzie znaleźć w wyszukiwarce…. http://egiodo.giodo.gov.pl/ A jako że za mało rejestracji, to trzeba wymyśleć ze lista mailingowa to też lista danych osobowych, a co z tym idzie będą mieli prace w giodo 🙂 Mam wrażenie, że jak mniej wniosków do giodo leci, straszą tu i uwdzie i znowu maja kilka wniosków… i tak się kręci biznes.
Witaj Krzysztofie,
dzięki za świetny artykuł. Co prawda jakiś czas temu słyszałem o rejestracji danych osobowych, ale usłyszałem żeby się nie przejmować, bo i tak nikt tego nie robi. A widzę że jednak warto.
Od pewnego czasu prowadzę sklep internetowy i jakąś bazę z danymi już mam. Chciałbym teraz zgłosić się do GIODO.
Czy jest szansa zrobienia tego bez ponoszenia konsekwencji za wcześniejsze niedopatrzenie?
Czy zgłoszenie będzie równoznaczne z otrzymaniem kary ??
Z góry dziękuję.
Mariusz
Wydaje mi się, że szansa jest. Wszystko da się zrobić, po prostu zarejestruj, nie musisz przecież wspominać o tym, że sklep masz od dłuższego czasu.
Zgłoszenie nie jest równoznaczne z otrzymaniem kary, często dawane są zalecenia pokontrolne, a w przypadku ich braku zastosowania – kara. Mogę Tobie pomóc – skontaktuj się ze mną mailowo.
Ty jako ADO sam decydujesz, kiedy się rejestrować. Poza tym znam trzy sposoby na prowadzenie sklepu internetowego bez konieczności rejestracji, jednak będzie to sklep w pewnym stopniu „ułomny”. Chcę to przedstawić na webinarze, który przygotowuję.
Dzięki za informacje, poczekam na wasze szkolenie. Pytanie czy wysyłając uczniom chorym, dyslektykom i dyzgrafom, notatki z lekcji za pomocą autorespondera freebot też muszę zgłaszać się do giodo?
Drugie czy opłata jst od każdej posiadanej listy?
Opłata jest za potwierdzenie rejestracji. Natomiast rejestracja jest na firmę lub osobę – to ile baz posiada nie jest istotne.
Jeżeli korzystasz z freebot’a do wysyłania notatek z lekcji to są to uczniowie, natomiast baza danych osobowych uczniów jest zwolniona z obowiązku rejestracji uczniów. Dokładniej mógłbym odpowiedzieć jeżeli podasz mi kilka informacji. Czy prowadzisz jakieś kursy, czy notatki wysyłasz dla jakiejś grupy formalnej itd. Ale może już porozmawiajmy przez mail.
Jeżeli w szkole są uczniowie i materiały dydaktyczne wysyłamy im w formie mailingu to ja powołałbym się na art. 43.1 UODO
Równie dobrze na podstawie twarzy, odcisku buta, który ktoś pozostawił w danej chwili i w danym czasie na ulicy da się ustalić dane osobowe… A co dopiero np. miejsca toaleta… kamera przemysłowa… widok za oknem z samochodami i rejestracjami, widok twarzy, odciski palców…
No ale to jest dokładnie to samo co z ip i emailem, policja wykorzystując nadmierny czas i koszty jest w stanie dojść do tego kto się pod tym kryje. A przedsiębiorca może dojść do tego bez żadnego problemu, bo na przedsiębiorcy zarabiają prawnicy. Na policji niestety prawnicy nie zarabiają, więc policja ma utrudnienie.
Przedstawiłem interpretację ustawy. Równie dobrze taką interpretację przedstawi pracownik biura GIODO, doradca ochrony danych osobowych, Administrator Bezpieczeństwa Informacji (ABI) jakiejkolwiek firmy. Możemy się z tym nie zgodzić, ale prawo jest takie i nie mamy wpływu na jego zmianę.
Krzysztofie, wszystkie te instytucje zarabiają na takiej interpretacji ustawy!!! Czy one legalnie zajmują się interpretowaniem ustaw w tym kraju?
Ja przedstawiłem interpretację własną i nie wziąłem za to ani grosza. GIODO to instytucja państwowa utrzymywana przez państwo.
Ja się zgadzam, że ustawa nie jest doskonała, ale co możemy zrobić? Moim zdaniem, albo przyzwyczaić się do życia w kraju absurdu, albo zmienić kraj.
Na forum wielu ludzi chwaliło się, że nigdy nie rejestrowało ani nie ma zamiaru rejestrować swoich baz. A jak wygląda proces rejestracji? Czy osoby prywatne także mogą mieć taką bazę? A jeśli tak, to jaki byłby tego cel?
Sama rejestracja może nie jest skomplikowana, lecz te dwa dodatkowe załączniki to już trudne do przejścia jak nie jest się specjalistą, ponieważ nieprawidłowe napisanie tych dokumentów pociąga za sobą najczęściej kontrole i dociekliwe pytania – w stylu prokuratora, jakbyś już był potencjalnym przestępcą. Pozdrawiam
Nie przesadzajmy.
Nowelizacja ustawy spowodowała, że GIODO nie miesza już prokuratury do tych spraw. W przypadku odmowy rejestracji wydają oni decyzję odmowną oraz nakazują nanieść zmiany. Wiem, że to budzi lęk, ale tam też pracują ludzie. Przede wszystkim nie bać się.
Rozumiem też oburzenie ludzi, ponieważ osobiście mam zdanie, że ustawa nie jest doskonała.
A może podasz kilka sugestii dla już istniejących list, a nie zgłoszonych. Jak najprościej, a skutecznie bez narażania się dokonać rejestracji i „nie budzić lwa”
W połowie września zrobię na ten temat webinar. Paweł i ja powiadomimy wszystkich na swoich stronach.
Mam jednak sporo wątpliwości do interpretacji zawartej w artykule.
1. Brak konieczności rejestracji nie oznacza braku konieczności stosowania odpowiednich sposobów zabezpieczania zbioru danych (polecam zajrzeć do załącznika do rozporządzenia ministra).
2. W ustawie (art43.1) są zapisane wyjątki dotyczące zwolnienia z obowiązku rejestracji zbioru danych i tak (przykładowo):
punkt 1) mówi, że w przypadku danych niejawnych (a co to oznacza?, czy nie można pozwolić wpisującemu (mail?) na nadanie statusu braku jawności?)
punkt 4) (…) dotyczących osób u nich zrzeszonych lub uczących się, przecież zamiast wysyłać newsletter można wysyłać kurs, lekcje, porady czyli wiedzę do nauczania, a dlaczego nie można zrzeszać na liście adresowej sympatyków danej tematyki (uważam, że komentowanie też pod to trochę podchodzi)?
a jeszcze wracając do punktu 4) mamy tutaj umowy cywilnoprawne, zakupy to też rodzaj umowy przecież? zatem konieczność rejestracji danych gromadzonych w sklepach nie do końca jest oczywista
Póki co nie czuję się przekonany, ale sporo wątpliwości zostaje (nie jestem prawnikiem).
Pozdrawiam
Skoro nie przekonują Ciebie moje wyjaśnienia, masz możliwość złożenia zapytania przez elektroniczną skrzynkę podawczą w GIODO. Czas oczekiwania na odpowiedź około 2-3 miesiące.
Natomiast Ad1) Chodziło mi o to, że jeżeli w ocenie ADO nie ma konieczności rejestracji, ponieważ można się powołać na jeden z punktów art 43.1 to nie oznacza, że nie musimy odpowiednio zabezpieczyć danych przed wyciekiem lub niepowołanymi osobami. Albo podaj załącznik rozporządzenia. Natomiast w UODO masz zapis każdy ma prawo do ochrony danych osobowych
Ad2)Informacja niejawna to w kwestii ochrony informacji niejawnej jest ustawa o ochronie informacji niejawnej Dz.U. z 2010 nr 182 poz. 1228. Email nie może być informacją niejawną. Gdybyś chciał mieć dostęp do informacji niejawnych należy mieć certyfikat lub poświadczenie dopuszczające do informacji niejawnych wydawane przez MSWiA, więc to nie jest takie proste.
Ad4)Oczywiście możesz stwierdzić, że jest to kurs czy coś takiego jednak czy nie sądzisz, że w wyniku kontroli GIODO może zarzucić Tobie, że na taki kurs powinna być jakaś forma zapisu. Drugą sprawą powinieneś założyć też taką możliwość, że uczestnik takiego kursu otrzymujący od Ciebie informację o charakterze handlowym może taki zniesmaczony złożyć swój sprzeciw do GIODO i wynikiem czego będzie kontrola. Jeżeli ma to być kurs to nie mailing nie może mieć formy reklamowej.
Na stronie GIODO masz też wyjaśnienie czy baza abonentów newslettera podlega rejestracji.
Nie bardzo też rozumiem dlaczego umowa cywilnoprawna ma jednocześnie powodować zwolnienie z obowiązku rejestracji. Umowy cywilnoprawne mogą zawierać podmioty gospodarcze, których dane osobowe są powszechnie dostępne, jak i osoby fizyczne, których dane osobowe podlegają ochronie.
„Nie bardzo też rozumiem dlaczego umowa cywilnoprawna ma jednocześnie powodować zwolnienie z obowiązku rejestracji.” – bo tak jest w ustawie
A można prosić o nr artykułu?
Znalazłem art 43.1 pkt 4, który brzmi: „4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na
podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub
uczących się,”
Osoba kupująca w sklepie nie jest ani zatrudniona w sklepie, ani nie świadczy usług, ani też nie jest uczniem czy zrzeszona.
Krzysztofie,
odnośnie braku konieczności rejestracji i jednoczesnej konieczności zabezpieczenia to powiedzieliśmy to samo (mój pierwszy komentarz chyba nieprecyzyjnie napisałem),
odnośnie umów cywilnoprawnych jestem bliski przyznać Ci rację – kluczowe jest słowo 'im’, relacja jest od osoby do administratora a nie odwrotnie, a to wydaje się kluczowe (nie prawnik nie widzi tego od razu),
ciekawy jestem tych 3 sposobów, ja mam w głowie bodajże dwa sposoby na sklep bez konieczności rejestracji
odnośnie kursów zamiast newslettera to wydaje mi się, że spokojnie tak można gromadzić i prowadzić swoje listy adresowe, newsletter to przesyłanie newsów czyli stricte reklamowa korespondencja (marketingowa), przy wiedzy, kursie etc można moim zdaniem utrzymać się bez rejestracji (nawet przesłanie linku partnerskiego może być podzieleniem się wiedzą, ale nie musi 🙂 )
Pozdrawiam
O jizas masakra z wami,
zupełnie gdzie indziej, na samym początku ustawy, osoba kupująca w sklepie internetowy nie jest zbiorem danych tylko jest jedną osobą!
Adam,
gdzie jest w ustawie (podaj namiar dokładny) informacja, że osoba kupująca w sklepie internetowym nie jest zbiorem danych etc?
Adam po prostu źle odczytał pewien zapis ale sprawę już wyjaśniliśmy 🙂
A czy jak na fecebooku założę sobie „stronę” i będę miał fanów, do których w przyszłości poślę mass mailing, to co? Rejestrować?
Z facebookiem sprawa jest tego typu, że jest on poza granicami Polski, w związku z czym nie podlega on GIODO. Pytanie brzmi czy ten mass mailing będzie poprzez FB, czy jakiś autoresponder. Jeżeli FB to nie, autoresponder – tak.
FB nie jest poza granicami, ma serwery w Polsce. Chyba, że mówimy o FB jako o firmie zarejestrowanej poza granicami RP.
Jeśli tak, to rozwiązanie problemów GIODO jest proste: rejestrujcie firmy poza RP 🙂
Tak jeżeli Twoja firma będzie poza granicami Polski nie podlegasz pod polskie prawo. Jednak weź pod uwagę czy to będzie się opłacać? Mam na myśli koszty. We wszystkich krajach UE obowiązuje ustawa o ochronie danych osobowych i w każdym kraju jest odpowiednik naszego Generalnego Inspektora Ochrony Danych Osobowych.
Krzysztof, super ważny artykuł!
Powiedz mi tylko tak:
1 – czy korzystając z impleBota muszę swoją listę rejestrować
2 – ile to kosztuje 🙂
Pozdrawiam i dziękuję!
Rafał
Odp1. W mojej ocenie tak, bo implebot to narzędzie (program) natomiast baza adresowa jest Twoja
Odp.2. Zależy kto ma to zrobić jeśli chcesz zlecić to mi to proszę o maila.
Natomiast w połowie września będę robił webinar na ten temat, może warto poczekać
Dzięki za porady,
Rozumiem, ze jeśli zamierzam wysyłać newslettery , mailingi, to najpierw zgłaszam się do GIODO o rejestrację. Rejestracja jest tylko na zasadzie zgłoszenia faktu, nie wymaga zgody? czy jest płatna?
pozdrawiam
Dokładnie tak. Jeżeli nie pozyskujesz danych „wrażliwych” czyli takich, które sugerują wyznanie religijne, orientację seksualną stan zdrowia itd. To nie trzeba czekać na zgodę.
Potwierdzenie rejestracji kosztuje 17 zł
bardzo dziękuję, Krzysiu, znów u Pawła temat jak na moje zamówienie:) „Sekret” w czystej postaci:) Pozdrawiam i życzę wszystkim dalszych sukcesów!
Jeżeli mogłem komukolwiek pomóc to jest mi niezmiernie miło, że mnóstwo czasu spędzonego przy analizowaniu różnych postów na forach oraz godzin spędzonych na czytaniu i interpretowaniu ustaw nie poszedł na marne.
Sekret oczywiście, że działa 😉
Czy ja dobrze rozumiem?
1) W przypadku braku danych wrażliwych wysyłam zgłoszenie i sobie działam. GIODO zaś sprawdza czy wszystko jest ok. Jeśli jest ok. – przysyłają informację, a ja muszę zapłacić za rejestrację. Jeśli zaś każą coś poprawić – muszę wstrzymać działalność i niewykluczona jest kara.
2) Czy też jest tak? Wysyłam wniosek, który jest wrzucany do bazy i sobie tam leży, nikt go nie sprawdza, do czasu aż się coś nie stanie: skarga, kontrola itp.
Ad1) Po pierwsze rejestracja jest darmowa. Jeżeli chcesz, aby GIODO wydało Tobie odpis z rejestracji musisz zapłacić 17 zł, dowód wpłaty dołączasz do wniosku. Jeżeli będzie odmowa rejestracji, to będzie podany powód i może być wydana decyzja zaprzestania zbierania danych osobowych do czasu poprawienia błędów – jednak dane zebrane możesz posiadać. Możesz dostać decyzję usunięcia danych ze zbioru. Możesz też dostać pozwolenie i jednoczesne poprawienie uchybień do określonego czasu. Kara nie musi być od razu. Kara na pewno zostanie nałożona, jeżeli będziesz się uchylał od nakazów wydanych przy odmowie rejestracji, czyli zakażą zbieranie danych, a Ty mimo wszystko dalej zbierasz.
Ad2) Każdy wniosek jest sprawdzany. Jest to pierwsza kontrola na podstawie nadesłanych dokumentów. Oprócz samego wniosku wysyłasz politykę bezpieczeństwa informacji, instrukcję zarządzania systemem informatycznym. Tam jest zawartych dużo istotnych informacji o Twojej działalności. Jeżeli pojawi się skarga, to otrzymasz zawiadomienie na tydzień przed kontrolą, że przyjedzie do Ciebie inspektor do siedziby firmy i na pewno ABI ma wtedy co robić.
Czy ma tutaj znaczenie, jaki autoresponder wykorzystujemy?
Np. Getresponse jest wpisany do GIODO,
czy dodatkowo musimy sami się rejestrować korzystając z ich usług?
Na pewno ma. Getresponse ma zarejestrowaną bazę w GIODO, lecz może to dotyczyć ich bazy klientów. Jednak to bardzo dobrze, bo z pewnością będą chętni udzielić pomocy. Ja wysłałbym zapytanie do nich z pytaniem, czy oni będą moim ABI? Czy oni są moim ADO?
W wolnej chwili sam do nich napiszę maila.
Czy kara może być nałożona od razu za nie zarejestrowanie listy, czy też po upomnieniu inspektora GIODO?
Tutaj czytam, że musi być zalecenie inspektora:
http://mojafirma.infor.pl/aktualnosci/127649/GIODO-Kary-za-nieprawidlowe-przetwarzanie-danych-osobowych.html
Kara może być nałożona podczas wykrycia tego faktu; może to być podczas kontroli inspektora, albo ktoś życzliwy poda do GIODO i oni przyjdą z kontrolą
Ciekawe ile list internetowych jest zarejestrowanych?
Krótko: podejrzewam, że 90% e-biznesów zagrożonych jest karą 50 tyś. zł.
W tym kraju nie da się normalnie funkcjonować.
Rejestracja nie jest skomplikowana, aczkolwiek ustawa nie jest doskonała.
I jeszcze jedna rzecz związana z dobrowolnością pozostawiania danych osobowych lub potwierdzaniem różnych regulaminów. Należy zwrócić uwagę na to, aby opcja np. „wyrażam zgodę na przetwarzanie danych osobowych…” nie była domyślnie zaznaczona.
Nie opisałeś jeszcze jednej istotnej rzeczy. O ile mi wiadomo, można bez rejestracji gromadzić wszystkie dane (oczywiście poza tzw. danymi wrażliwymi) pod dwoma warunkami, że wszystkie gromadzone dane pozostawione przez właściciela tych danych:
1. są pozostawione dobrowolnie
2. są publicznie dostępne (widoczne dla wszystkich)
Dane publicznie dostępne to dane firm. Dobrowolność informacji nie zwalnia z obowiązku rejestracji.
Miałem na myśli następujący teoretyczny przypadek:
Prowadzisz ogólnie dostępną bazę osób pragnących nawiązać kontakty hobbystyczne w jakiejś dziedzinie. Można w twojej bazie zarejestrować imię, nazwisko i email (oczywiście osób fizycznych nie prowadzących działalności gospodarczej). Wszystkie zarejestrowane dane widoczne są publicznie na Twojej stronie zaraz po rejestracji a osoba rejestrująca świadomie umieściła w bazie swoje dane. Czy takie dane również wymagają rejestracji w GIODO?
To trochę wygląda jak serwis ogłoszeniowy. Dane które są publikowane nie są przez Ciebie przetwarzane, a prezentowane. Jakiś czas temu pewna osoba pozwała serwis nasza-klasa, że ktoś bez jej zgody opublikował zdjęcie klasowe oraz opisał, kto gdzie się znajduje. Jedna osoba nie życzyła tego sobie i żądała usunięcia zdjęcia od admina NK. Bez skutku, w związku z czym wniosła sprzeciw do GIODO. Sprawa została uchylona tłumacząc, że w tym przypadku jest to prezentowanie danych, a nie przetwarzanie. Musisz w takim przypadku mieć regulamin, który użytkownik zaakceptuje. Istotna jest klauzula, że właściciel serwisu nie odpowiada za treści publikowanych ogłoszeń. Natomiast jeżeli chcesz komunikować się z użytkownikami i przesyłać im treści marketingowe, handlowe, reklamowe itd., to musisz taką bazę zarejestrować.
A prezentowanie nie jest przetwarzaniem danych w kontekście UOODO Art 7 pkt 2 ? Mam na myśli zwrot „udostępnianie”
(Ilekroć w ustawie jest mowa o przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Dane zwolnione z rejestracji znajdziesz w ustawie o ochronie danych osobowych art 43 ust. 1
Polecam też zajrzeć tutaj http://ostium.pl/czy-musze-sie-rejestrowac-w-giodo/
A co z danymi (takimi jak imię, nazwisko, email dostępny na blogu danej osoby) w przypadku osób publicznych (mam na myśli posłów, senatorów itp.)?
Jeżeli ktoś, kto jest właścicielem strony sam publikuje swoje dane, to w jego ocenie to działanie mu nie szkodzi. Sam upublicznia te dane. Przecież nie napiszesz skargi do GIODO na samego siebie. Jednak nie możesz podać danych innej osoby, która sobie tego nie życzy.
Chodziło mi o to, czy jeżeli dane (imię, nazwisko, email) np. posła znajdują się na jego stronie / blogu i są publicznie dostępne to czy ja również mogę je publikować u siebie na stronie bez zgody tej osoby. Nie gromadzę ich w formie zbioru danych rozumieniu UOODO (Art 7 pkt 1)
Można by odnieść część Twojego artykułu do list mailngowych np. związanych z bezpłatnymi kursami tak popularnymi na wielu blogach.
Problem jest jednak większy. Komentowanie na blogu również wiąże się z pozostawianiem adresu email i tu pojawia się trudne pytanie do rozważenia przez każdego blogera, czy w związku z tym każdy blog z komentarzami powinien być zarejestrowany w GIODO?
I jeszcze jedna rzecz związana z dobrowolnością pozostawiania danych osobowych lub potwierdzaniem różnych regulaminów. Należy zwrócić uwagę na to, aby opcja np. „wyrażam zgodę na przetwarzanie danych osobowych…” nie była domyślnie zaznaczona.
Z komentarzami jest tak, że można to podciągnąć pod „drobne bieżące sprawy życia codziennego”.
Kwestia tego, co z tymi mailami chcesz zrobić. Jeżeli mają służyć tylko do komentarzy, to nie, a jeżeli te maile wykorzystasz do tworzenia bazy – to już wychodzi poza ten zapis.
Panie Krzysztofie ja wiem, że wizja zarobku na zastraszonych jest fajna, ale maile w komentarzach na blogach są zbiorem danych osobowych! Trzymając się wersji ze lista mailingowa jest zbiorem danych osobowych. Maile przechowywane są w bazie bloga i przetwarzane za każdym razem gdy ktoś robi kopie zapasowa danych z boga, chce dodać kolejny formularz, poza tym przetwarzane np. przy podbieraniu obrazka z gravatara. więc są zbiorem danych osobowych i można je wykraść więc powinno się je chronić.
Oczywiście jeżeli trzymać się wersji że lista mailingowa jest, to komentarze na blogu też są.
Nikogo nie straszę ani nie mam zamiaru zastraszać. Odpowiedzmy sobie na pytanie, po czemu ma służyć mailing, a czemu komentowanie tekstów na blogu.
Czy tworzymy blog, którego celem mają być komentarze? Czy tworzymy bloga po to, aby pisać ciekawie i odbiorcy nas czytali. Komentowanie ma charakter drugorzędny.
Zawsze można skorzystać z elektronicznej skrzynki podawczej i zadać pytanie u źródła (GIODO). Gdyby było tak jak Pan pisze, czyli gdybym chciał zarabiać na zastraszaniu, to zrobiłbym to w zupełnie inny sposób np. stowarzyszenie eterna, mi zależy bardziej na zapobieganiu takich sytuacji.
Odnośnie konieczności rejestracji mailingu mogę odesłać również do mojego artykułu: http://ostium.pl/czy-mailing-podlega-rejestracji-w-giodo/. W którym podałem też uzasadnienie GIODO
Ja bym zadzwonił do gugla i zapytał jak oni tę sprawę rozwiązali, bo nie wierzę aby każdą bazę adresów rejestrowali, np: code.google.com, groups.google.com, mail.google.com
A nawet jeśli, zaraz po tym jak sobie u nich (gugle) założę grupę mailową (na groups.google.com), zarejestrują tę bazę w GIODO to co my mamy z tego? Czy GIODO nas ochroni? Jaki jest w ogóle cel? Ochrona czy kontrola?
Nie wierzę w żadne aparaty ochronne moich danych osobowych.
Ktoś ma inne zdanie?
Po pierwsze Google nie jest firmą polską. A transfer danych osobowych do Państw trzecich nie podlega rejestracji.
Uwierz mi, że wszystkie duże polskie firmy takie jak allegro, onet, wp, nk, o2 itp posiadają zarejestrowane bazy w GIODO.
Instytucja GIODO nie nadaje ochrony w sensie fizycznym. Jednak jeżeli czujesz się pokrzywdzony w kwestii niewłaściwej ochrony Twoich danych osobowych zawsze możesz wnieść sprzeciw kosztuje 10 zł. GIODO zajmie się tą sprawą po czym może nakazać ADO podniesienie kwestii bezpieczeństwa, zakazać dalszego pozyskiwania danych osobowych.
Gdyby nie było GIODO to spamerstwo byłoby dozwolone i bezkarne. Handel danymi osobowymi kwitłby w niesamowitym tempie.
Wszelkie agencje typu Claritas i tym podobne dalej naciągałyby ludzi.
Jeżeli nie wierzysz w aparat obronny Twoich danych osobowych, Ok, w dużej mierze zależy to od Ciebie, gdzie zostawiasz swoje dane osobowe, komu je powierzasz itd. Czy wolisz je zostawić u kogoś kto ma opracowaną politykę bezpieczeństwa i zarejestrował swoją bazę w GIODO a co za tym idzie, jest tam stopień bezpieczeństwa podwyższony czy u kogoś kto nie przywiązuje do tego wagi i faktury czy zamówienia wyrzuca do kosza, a wiatr roznosi je po mieście – to jest tylko przykład 🙂 Z punktu widzenia konsumenta powinniśmy być zadowoleni, że ktoś dba o nasze prawo do prywatności i bezpieczeństwa danych, które zostawiamy.
Spamerstwo nie zniknęło, zmieniło tylko formę z: „Mamy super ofertę dla Ciebie” na: „Czy chcesz otrzymać super ofertę… bo zgodnie z ustawą o ODO…” 🙂
Jednak masz prawo do odmowy lub usunięcia swoich danych z takiej bazy. Jeżeli Twoja prośba będzie ignorowana ze strony ADO. Piszesz sprzeciw do GIODO. Pytanie: czy tylko większość ludzi to zrobi, czy po prostu mrucząc pod nosem skasuje kolejnego maila ze spamem. Bo tak jest łatwiej, szybciej, prościej. Potem też ludzie mówią, że ustawa jest martwa.
Robert specjalnie dla Ciebie znalazłem artykuł o kontroli GIODO w polskim oddziale GOOGLE. Jednocześnie wynika, że Google ma w Polsce zarejestrowane zbiory danych osobowych. Uchybienia były jednak nieduże zobacz artykuł http://wyborcza.biz/biznes/1,100896,9822704,GIODO_skontrolowal_usluge_Google_Street_View.html