Wysłane przezEkspert DaneSklepu.pl

Kogo dotyczy RODO 2018?

przez Ekspert DaneSklepu.pl dnia Lut 9, 2018 w kategorii GIODO sklep internetowy | 0 komentarzy

Najprostszą odpowiedzią na to pytanie Kogo dotyczy RODO jest odpowiedź, że dotyczy wszystkich, którzy na terenie Unii Europejskiej przetwarzają dane osobowe. Oczywiście chodzi o podmioty, które robią to w celach inne niż osobiste, czy domowe.     RODO 2018, a sprzedawcy internetowi Czyli tak, Sprzedawco – RODO dotyczy także Ciebie. Nie ma tutaj znaczenia rozmiar Twojego sklepu ani wielkość bazy danych osobowych, którą posiadasz. Przetwarzasz dane – podlegasz pod RODO. Oczywiście kłamstwem byłoby stwierdzenie, że RODO dotyczy wszystkich podmiotów tak samo, rzeczą jasną, że nieco inne przygotowania, a potem ewentualne konsekwencje będą wyciągane wobec ogromnej, międzynarodowej korporacji, a inne wobec małego sklepiku online, który zatrudnia dwie osoby. Niemniej każdy musi być gotowym 25 maja 2018 roku, gdyż właśnie w tym dniu zapisy RODO zaczną obowiązywać na całym terenie Unii Europejskiej.   RODO – najistotniejsze zmiany Ale które zmiany, które przyniesie RODO są najistotniejsze z perspektywy sprzedawcy internetowego? Na co zwrócić szczególną uwagę? Po pierwsze – poszerzenie definicji danych osobowych, którą od wejścia w życie RODO każda informacja, dzięki której można będzie ustalić tożsamość danej osoby. Oznacza to, że w poczet tych danych dochodzą takie informacje jak: dane genetyczne, stan zdrowia, lokalizacja, a nawet adresy IP, czy pliki cookies. Po drugie – likwidacja obowiązku zgłaszania zbioru danych osobowych do GIODO oraz większa swoboda, przy dokonywaniu zabezpieczeń danych osobowych. Aktualnie każdy podmiot przetwarzający dane osobowe, w tym oczywiście także sklepy internetowe były zobowiązane, by zgłaszać do GIODO zbiory danych osobowych. Wiązało się to z formalnościami, które nieraz przysparzały problemy różnym podmiotom. RODO zmienia to diametralnie, gdyż obowiązek taki likwiduje, a dokumenty takie, jak polityka bezpieczeństwa, czy instrukcja zarządzania systemem informatycznym. W zamian powstanie tzw. rejestr czynności przetwarzania, w których udokumentowane powinny być kwestie środków, które zabezpieczać będą dane osobowe oraz ocena ryzyka, jakiemu podlegają przetwarzane danych. To wszystko będzie w gestii sprzedawcy, który ma tutaj sporą swobodę działania. Po trzecie – zwiększenie uprawnień osób, których dane przetwarzamy. Pojawienie się nowego rozporządzenia powoduje, że już na wstępie, gdy jako podmiot pozyskujemy dane klienta jesteśmy zobowiązani, by poinformować go nie tylko o celu, dla którego go pozyskujemy, jak było do tej pory, ale także o czasie w jakim dane jego będą przetwarzane, skąd posiadamy jego dane, jeżeli uzyskane one zostały od firm trzecich...

przez Ekspert DaneSklepu.pl dnia Lip 17, 2017 w kategorii Bez kategorii, GIODO sklep internetowy | 0 komentarzy

Jakie są najpopularniejsze zbiory danych osobowych w sklepie internetowym i czy można je zgłosić razem?   Obowiązek ochrony przetwarzanych danych osobowych ciąży na każdym właścicielu e-sklepu, który taki zbiór danych gromadzi. Wiąże się to nie tylko z koniecznością jego rejestracji u Głównego Inspektora Ochrony Danych Osobowych (GIODO), ale też wdrożenia dokumentacji i odpowiedniego zabezpieczenia danych.   Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych administratora danych do zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków zwalniających go z tego obowiązku, o których mowa w art. 43 ust. 1 ustawy.   W rozumieniu ustawy, zbiór danych to „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie” (art. 7 pkt 1 ustawy).   Jedno zgłoszenie – jeden zbiór   Ustawa o ochronie danych osobowych wskazuje, iż jedno zgłoszenie zbioru danych powinno obejmować tylko jeden zbiór danych osobowych (art. 41 ustawy). Każdy zbiór danych osobowych, który jest zgłaszany przez Administratora danych różni się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą prawną prowadzenia zbioru.   W żadnym wypadku wypełnienie jednego zgłoszenia dla kilku zbiorów danych osobowych nie pozwoli w sposób właściwy scharakteryzować poszczególnych zbiorów objętych tym zgłoszeniem.   Tym samym zgłoszenie kilku zbiorów w jednym wniosku uniemożliwi wskazanie elementów decydujących o jego tożsamości, tj. np. podstawy prawnej przetwarzania danych, zakresu przetwarzanych danych, celu przetwarzania danych w zbiorze. A co za tym idzie nie będzie możliwe stwierdzenie, jaki zakres informacji, o którym mowa w art. 41 ust. 1 ustawy, dotyczy każdego ze zbiorów.   Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawierać: 1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, 2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub 14 miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania, 2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w...

Czy firma może przetwarzać dane osobowe swoich klientów w celu promocji produktów lub usług innej firmy?

przez Ekspert DaneSklepu.pl dnia Gru 15, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

Marketing własnych produktów i usług Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych reguluje, kiedy firmy mogą przesyłać swoim klientom oferty marketingowe. Jeśli w ten sposób promują własne produkty lub usługi – nie mają obowiązku pozyskiwania zgody klienta. Podstawą wykorzystywania ich danych osobowych będzie bowiem prawnie usprawiedliwiony interes administratora danych (czyli firmy), o którym mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.   Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych Prawnie usprawiedliwionym celem administratora danych jest marketing bezpośredni własnych produktów i usług. Można więc wykorzystywać dane w tym celu, pod warunkiem że nie narusza to praw i wolności osoby, której dane dotyczą.   Marketing produktów i usług obcej firmy Przesyłanie klientom ofert marketingowych innej firmy będzie możliwe jedynie za ich zgodą. Nie istnieją bowiem przepisy prawa, które pozwalałyby na uznanie, że przesyłanie oferty marketingowej innego podmiotu jest działaniem dopuszczalnym jako prawnie usprawiedliwiony interes administratora danych. Nie pomoże w tym również wzajemna umowa w sprawie wzajemnej promocji produktów i usług.   Podsumowanie Jeśli zamierzamy wysyłać swoim klientom oferty marketingowe celem promocji własnej marki – nic nie stoi na przeszkodzie. Jeśli natomiast chcemy legalnie promować produkty innej firmy – musimy pamiętać by w tym celu pozyskać od klienta...

Sklep internetowy w mieszkaniu – szansa na spełnienie wymogów ochrony danych osobowych.

przez Ekspert DaneSklepu.pl dnia Gru 7, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

Każdy Administrator danych, w tym właściciel sklepu internetowego, aby przetwarzać dane osobowe zgodnie z przepisami ustawy o ochronie danych osobowych, musi wypełnić obowiązki jakie nakłada na niego ustawa. Powinien dopełnić obowiązku zgłoszenia zbioru do rejestracji w prowadzonym przez GIODO ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych i obowiązku informacyjnego, a ponadto we właściwy sposób zabezpieczać zgromadzone dane, dbać o interesy osób, których dane dotyczą i respektować ich prawa gwarantowane ustawą o ochronie danych osobowych.   Jak przetwarzać zgodnie z prawem?   W myśl art. 7 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych: przetwarzanie danych osobowych to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zatem każda czynność związana z przetwarzaniem danych osobowych powinna odbywać się z poszanowaniem zasad wynikających z powszechnie obowiązujących przepisów prawa dotyczących przetwarzania danych osobowych, w tym z przepisów ustawy o ochronie danych osobowych i wydanych na jej podstawie aktów wykonawczych. Z prawnego punktu widzenia przepisów o ochronie danych osobowych najważniejsze jest przede wszystkim to by podmiot decydujący o celach i środkach przetwarzania danych osobowych przetwarzając zarówno dane zwykłe jak np. imię, nazwisko czy adres zamieszkania określone w art. 23 ust 1 pkt 1-5 ustawy o ochronie danych osobowych jak i dane wrażliwe takich jak np. dane o stanie zdrowia czy poglądach politycznych – art. 27 ust. 2 pkt 1-10 ustawy spełnił warunki stanowiące o zgodnym z prawem przetwarzaniu danych osobowych, czyli:   1. dopełnił – ustanowionego w art. 40 ustawy o ochronie danych osobowych – obowiązku zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) – zgłoszenie zbioru danych do rejestracji jest regułą, od której wyjątki wymienione zostały w art. 43 ust. 1 pkt. 1-11 ustawy o ochronie danych osobowych. Katalog tych wyjątków jest zamknięty i nie może być interpretowany rozszerzająco. Oceny tego, czy zbiór należy zgłosić do rejestracji, administrator danych dokonuje sam, przy czym zwolnienie zbioru danych z rejestracji jest możliwe tylko wówczas, gdy przesłanka uprawniająca do odstąpienia od rejestracji dotyczy wszystkich danych zawartych w zbiorze,   2. zastosował odpowiednie zabezpieczenia, o których stanowią przepisy rozdziału 5 ustawy o ochronie danych osobowych oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – administrator jest bowiem zobowiązany zastosować środki techniczne i organizacyjne zapewniające przetwarzanym danym odpowiednią...

Czy każdy sklep internetowy musi być zgłoszony do GIODO?

przez Ekspert DaneSklepu.pl dnia Lis 29, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

Na tak postawione pytaie należy odpowiedzieć PRZECZĄCO:  1. NIE KAŻDY sklep musi być zgłoszony do Generalnego Inspektora Ochrony Danych Osobowych. 2. Co więcej, ustawa o ochronie danych osobowych NIE WYMAGA zgłaszania do GIODO sklepu internetowego a zbiorów danych osobowych, które taki sklep przetwarza. Od razu jednak musimy dodać, że wszystkich sprzedawców internetowych obowiązuje ustawa o ochronie danych osobowych, a większość sprzedawców musi jednak dokonać zgłoszenia zbiorów danych osobowych do GIODO.   To jak to jest z tym zgłoszeniem? Każdy e-sklep w związku z realizacją zamówień gromadzi i przetwarza dane osobowe swoich Klientów. Są to dane t.j. imię i nazwisko, adres zamieszkania, adres e-mail, numer telefonu i tym podobne. W ten sposób staje się administratorem danych osobowych i spada na niego obowiązek zgłoszenia zbiorów danych do Generalnego Inspektora Ochrony Danych Osobowych. Większości sprzedawców wydaje się, że uda się uniknąć rejestracji z uwagi na ART.43.1 pkt. 8 Ustawy o Ochronie Danych Osobowych : “Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: (…) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, (…)” Jednak e-sklep to nie tylko faktury czy rachunki. Dane osobowe Klientów gromadzone są przede wszystkim w celu realizacji zamówień, płatności, w celach marketingowych itp. Administrator danych powinien przeanalizować i wyodrębnić zbiory i cele, w jakich przetwarza dane osobowe klientów i czy zachodzi którakolwiek z przesłanek zwalniająca go z obowiązku rejestracji zbioru u Generalnego Inspektora Ochrony Danych Osobowych (GIODO).   Czy każdy e-sklep musi zarejestrować zbiory danych w GIODO? Od 1 stycznia 2015 roku z obowiązku rejestracji zbioru w GIODO zwolnione będą sklepy internetowe, które powołają Administratora bezpieczeństwa informacji i zgłoszą go do GIODO. Jawny rejestr zbiorów u danego Administratora będzie prowadził ABI. Nie jest to zwolnienie bezwzględne, albowiem jeśli w e-sklepie przetwarzane są dane wrażliwe – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane, które dotyczą skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych wydanych w postępowaniu sądowym lub administracyjnym itp. to taki zbiór będzie podlegał rejestracji. Jest to sytuacja niezmiernie rzadka w praktyce sklepów internetowych, ale trzeba o tym pamiętać. Jeśli administrator danych w sklepie internetowym nie powoła administratora bezpieczeństwa informacji, powinien...