Ostatnio bezpłatny audyt zamówiono minut temu

Zadzwoń do naszego konsultanta
phone
lub napisz email email

Posts Tagged "decyzja giodo"

Decyzja GIODO dot. wniosku w przedmiocie nakazania usunięcia danych osobowych przez właściciela sklepu internetowego

Decyzja GIODO dot. wniosku w przedmiocie nakazania usunięcia danych osobowych przez właściciela sklepu internetowego

przez dnia Lis 3, 2016 w kategorii Bez kategorii | 0 komentarzy

DECYZJA – odmowa GIODO uwzględnienia wniosku w przedmiocie nakazania usunięcia danych osobowych przez właściciela sklepu internetowego. Skarżąca w celu wysyłki zamówionego za pośrednictwem sklepu internetowego produktu, utworzyła w tymże sklepie konto internetowe zawierając jednocześnie umowę o świadczeniu usług drogą elektroniczną. W tym celu udostępniła na rzecz Przedsiębiorcy swoje dane osobowe w zakresie: imienia, nazwiska, adresu korespondencyjnego, adresu poczty elektronicznej, numeru telefonu. Ponadto Skarżąca wyraziła zgodę na przetwarzanie swoich danych w celu przeprowadzenia transakcji zakupu i założenia konta internetowego oraz wyraziła zgodę na przetwarzanie swoich danych w celu przeprowadzenia transakcji zakupu i założenia konta internetowego. Sklep przetwarza przedmiotowe dane w związku z zawartą umową o świadczeniu usług drogą elektroniczną, a także na podstawie udzielonej przez Skarżącą zgody w systemie informatycznym.   Wskazówki GIODO Sklep przetwarza dane Skarżącej na podstawie art. 23 ust. 1 pkt 1, oraz pkt 3, tzn. w związku z wyrażoną przez Skarżącą zgodą, a także zawartą umową o świadczeniu usług drogą elektroniczną – prowadzenie konta internetowego. Tym samym wyrażona zgoda nie jest jedyną przesłanką do usprawiedliwionego realizowania procesu przetwarzania danych osobowych, zatem, cofnięcie zgody,w sytuacji zaistnienia innej przesłanki określonej w art. 23 ust. 1 ustawy, nie oznacza, iż dalsze przetwarzanie danych automatycznie staje się niedopuszczalne. W przypadku usługi świadczonej drogą elektroniczną – stosuje się ustawę z 18.07.2002 r. O świadczeniu usług drogą elektroniczną – są to przepisy szczególne wobec przepisów ogólnych – tj. Ustawy o ochronie danych osobowych. Art. 18 ustawy o świadczeniu usług drogą elektroniczna usługodawca może przetwarzać dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany, rozwiązania stosunku prawnego między nimi, takie jak: nazwisko i imiona usługobiorcy; numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość; adres zameldowania na pobyt stały; adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3; dane służące do weryfikacji podpisu elektronicznego usługobiorcy; adresy elektroniczne usługobiorcy.   Podsumowanie Sklep przetwarza legalnie dane osobowe użytkowników na podstawie zgody Skarżącej oraz w związku z zawartą umową o świadczeniu usług drogą elektroniczną. Spełnienie już jednej z przesłanek legalizujących przetwarzanie danych osobowych jest wystarczające – cofnięcie zgody Skarżącej nie wyklucza zatem zgodnego z prawem przetwarzania danych przez administratora. Skarżąca miała możliwość zapoznania się z regulaminem sklepu przed założeniem konta.  ...

czytaj dalej
Decyzja GIODO nakazująca uchybień w procesie przetwarzania danych w formularzu kontaktowym sklepu internetowego

Decyzja GIODO nakazująca uchybień w procesie przetwarzania danych w formularzu kontaktowym sklepu internetowego

przez dnia Paź 25, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

Decyzja nakazująca usunięcie uchybień w procesie przetwarzania danych osobowych. Podczas kontroli GIODO wykrył, że Spółka wobec osób korzystających z formularza kontaktowego sklepu internetowego nie realizuje obowiązku informacyjnego z art. 24 ustawy o ochronie danych osobowych.    Nierealizowanie wobec osób korzystających z formularza kontaktowego sklepu internetowego, osób zakładających konto użytkownika tego sklepu oraz osób dokonujących zakupów w sklepie internetowym bez zakładania konta użytkownika, obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy, powierza dane osób, korzystających z elektronicznego formularza kontaktu sklepu internetowego kilku podmiotom bez pisemnej umowy powierzenia przetwarzania danych, niezastosowaniu odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych przesyłanych w sieci publicznej w związku z procesami tworzenia konta użytkownika na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia towaru oraz procesem sprzedaży prowadzonej w sklepie internetowym z uwagi na brak środków kryptograficznej ochrony tych danych, niezgłoszeniu Generalnemu Inspektorowi Ochrony Danych Osobowych zmiany informacji zawartych w zgłoszeniu zbioru danych osobowych dotyczących: adresu siedziby administratora danych, przedstawiciela Spółki, o którym mowa w art. 31a ustawy, powierzenia przetwarzania danych osobowych, podstawy prawnej przetwarzania danych osobowych oraz zakresu danych osobowych przetwarzanych w tym zbiorze (art. 41 ust. 2 ustawy).   ZARZUTY nierealizowanie obowiązku informacyjnego z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.) powierzanie danych osób, korzystających z elektronicznego formularza kontaktu sklepu internetowego mimo niezawarcia pisemnej umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), niestosowanie środków kryptograficznej ochrony danych wobec danych osobowych przesyłanych w sieci publicznej w związku z procesami tworzenia konta użytkownika na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia towaru oraz w związku z procesem sprzedaży prowadzonej w sklepie internetowym niezgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych zmiany informacji zawartych w zgłoszeniu zbioru danych osobowych dotyczących: adresu siedziby administratora danych, przedstawiciela Spółki, o którym mowa w art. 31a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych   Do czego zobowiązał GIODO? GIODO nakazał usunięcie uchybień w procesie przetwarzania danych osobowych   Wskazówki GIODO: 1....

czytaj dalej
Decyzja GIODO umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego

Decyzja GIODO umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego

przez dnia Paź 12, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

Decyzja z 27 kwietnia 2016 r. umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, a także braku podstawy prawnej do przetwarzania danych osobowych w celu marketingowym. Kontrola GIODO dotyczyła danych osób, z którymi Spółka kontaktuje się telefonicznie w celach marketingowych, w tym w celu umówienia spotkania dotyczącego przedstawienia oferty marketingowej. Najważniejsze zarzuty GIODO wobec Spółki: nierealizowanie (prawidłowo) obowiązku informacyjnego wynikającego z art. 25 ust. 1 ustawy wobec osób, których numery telefonów zostały wygenerowane przez Spółkę lub zostały zakupione od S. Sp. z o.o. oraz od M. s.k. (art. 25 ust. 1 ustawy); niezapewnienie, aby dane osobowe pochodzące z baz danych udostępnionych Spółce przez S. Sp. z o.o., własnych zbiorów danych o nazwach „N”, „K” i wygenerowanych przez Spółkę nr telefonów były przetwarzane zgodnie z prawem, tj. art. 172 ust. 1 i ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r. poz. 243 ze zm.), tj. poprzez brak zgody ww. osób na otrzymywanie informacji marketingowych poprzez użycie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących na podstawie ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (art. 26 ust. 1 pkt 1 ustawy); brak w polityce bezpieczeństwa informacji o zbiorze danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt 2 i pkt 3 rozporządzenia). W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Spółka złożyła wyjaśnienia i usunęła uchybienia. zaprzestano generowania numerów telefonów oraz zawierania umów, których przedmiotem jest powierzanie danych osobowych Spółce przez tzw. brokerów. oświadczono, że Spółka będzie przetwarzać dane osobowe pochodzące bezpośrednio od osób, które wyrażają zgodę w stosunku do Spółki na przetwarzanie ich danych w celach marketingowych i że Spółka prowadzi działania marketingowe za pośrednictwem telefonu z ograniczeniem do osób, które wyraziły zgodę na taki kontakt np. na bonach prezentowych, umowach (art. 26 ust. 1 pkt 1 ustawy). uzupełniono politykę bezpieczeństwa o informacje dotyczące zbioru danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§...

czytaj dalej