Ostatnio bezpłatny audyt zamówiono minut temu

Zadzwoń do naszego konsultanta
phone
lub napisz email email

Posts Tagged "GIODO"

Jakie są najpopularniejsze zbiory danych osobowych w sklepie internetowym i czy można je zgłosić razem?

przez dnia Lip 17, 2017 w kategorii Bez kategorii, GIODO sklep internetowy | 0 komentarzy

Jakie są najpopularniejsze zbiory danych osobowych w sklepie internetowym i czy można je zgłosić razem?   Obowiązek ochrony przetwarzanych danych osobowych ciąży na każdym właścicielu e-sklepu, który taki zbiór danych gromadzi. Wiąże się to nie tylko z koniecznością jego rejestracji u Głównego Inspektora Ochrony Danych Osobowych (GIODO), ale też wdrożenia dokumentacji i odpowiedniego zabezpieczenia danych.   Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych administratora danych do zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków zwalniających go z tego obowiązku, o których mowa w art. 43 ust. 1 ustawy.   W rozumieniu ustawy, zbiór danych to „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie” (art. 7 pkt 1 ustawy).   Jedno zgłoszenie – jeden zbiór   Ustawa o ochronie danych osobowych wskazuje, iż jedno zgłoszenie zbioru danych powinno obejmować tylko jeden zbiór danych osobowych (art. 41 ustawy). Każdy zbiór danych osobowych, który jest zgłaszany przez Administratora danych różni się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą prawną prowadzenia zbioru.   W żadnym wypadku wypełnienie jednego zgłoszenia dla kilku zbiorów danych osobowych nie pozwoli w sposób właściwy scharakteryzować poszczególnych zbiorów objętych tym zgłoszeniem.   Tym samym zgłoszenie kilku zbiorów w jednym wniosku uniemożliwi wskazanie elementów decydujących o jego tożsamości, tj. np. podstawy prawnej przetwarzania danych, zakresu przetwarzanych danych, celu przetwarzania danych w zbiorze. A co za tym idzie nie będzie możliwe stwierdzenie, jaki zakres informacji, o którym mowa w art. 41 ust. 1 ustawy, dotyczy każdego ze zbiorów.   Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawierać: 1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, 2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub 14 miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania, 2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w...

czytaj dalej
Decyzja GIODO nakazująca uchybień w procesie przetwarzania danych w formularzu kontaktowym sklepu internetowego

Decyzja GIODO nakazująca uchybień w procesie przetwarzania danych w formularzu kontaktowym sklepu internetowego

przez dnia Paź 25, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

Decyzja nakazująca usunięcie uchybień w procesie przetwarzania danych osobowych. Podczas kontroli GIODO wykrył, że Spółka wobec osób korzystających z formularza kontaktowego sklepu internetowego nie realizuje obowiązku informacyjnego z art. 24 ustawy o ochronie danych osobowych.    Nierealizowanie wobec osób korzystających z formularza kontaktowego sklepu internetowego, osób zakładających konto użytkownika tego sklepu oraz osób dokonujących zakupów w sklepie internetowym bez zakładania konta użytkownika, obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy, powierza dane osób, korzystających z elektronicznego formularza kontaktu sklepu internetowego kilku podmiotom bez pisemnej umowy powierzenia przetwarzania danych, niezastosowaniu odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych przesyłanych w sieci publicznej w związku z procesami tworzenia konta użytkownika na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia towaru oraz procesem sprzedaży prowadzonej w sklepie internetowym z uwagi na brak środków kryptograficznej ochrony tych danych, niezgłoszeniu Generalnemu Inspektorowi Ochrony Danych Osobowych zmiany informacji zawartych w zgłoszeniu zbioru danych osobowych dotyczących: adresu siedziby administratora danych, przedstawiciela Spółki, o którym mowa w art. 31a ustawy, powierzenia przetwarzania danych osobowych, podstawy prawnej przetwarzania danych osobowych oraz zakresu danych osobowych przetwarzanych w tym zbiorze (art. 41 ust. 2 ustawy).   ZARZUTY nierealizowanie obowiązku informacyjnego z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.) powierzanie danych osób, korzystających z elektronicznego formularza kontaktu sklepu internetowego mimo niezawarcia pisemnej umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), niestosowanie środków kryptograficznej ochrony danych wobec danych osobowych przesyłanych w sieci publicznej w związku z procesami tworzenia konta użytkownika na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia towaru oraz w związku z procesem sprzedaży prowadzonej w sklepie internetowym niezgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych zmiany informacji zawartych w zgłoszeniu zbioru danych osobowych dotyczących: adresu siedziby administratora danych, przedstawiciela Spółki, o którym mowa w art. 31a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych   Do czego zobowiązał GIODO? GIODO nakazał usunięcie uchybień w procesie przetwarzania danych osobowych   Wskazówki GIODO: 1....

czytaj dalej
Decyzja GIODO dotycząca standardowych klauzul umownych przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich

Decyzja GIODO dotycząca standardowych klauzul umownych przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich

przez dnia Paź 18, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

Decyzja GIODO w sprawie wyrażenia zgody na przekazanie przez A. S.A., z siedzibą w W. danych osobowych do M., Inc., z siedzibą w Stanach Zjednoczonych Ameryki, pod adresem: N., zwanego dalej Odbiorcą, na podstawie zastosowanych standardowych klauzul umownych stanowiących załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. UE L 39, z 12.02.2010), A. S.A., z siedzibą w W., złożyła wniosek do GIODO , zwaną dalej Wnioskodawcą lub Spółką, o przekazanie danych osobowych do M., Inc., z siedzibą w Stanach Zjednoczonych Ameryki, pod adresem: N.. Wnioskodawca jest spółką posiadającą siedzibę na terytorium Rzeczypospolitej Polskiej; Wnioskodawca zawarł z Odbiorcą umowę wzorowaną na standardowych klauzulach umownych stanowiących załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz.UE L 39, z 12.02.2010). 1. Przekazanie danych będzie się odbywało na zasadach ich powierzenia w rozumieniu art. 31 ustawy a będą przekazane dane osobowe, dotyczące następujących kategorii osób: a) Kontrahenci sensu stricto Wnioskodawcy, obejmująca: osoby fizyczne prowadzące działalność gospodarczą lub też nieprowadzące jej, które na mocy zawartych umów cywilnoprawnych świadczą na rzecz Wnioskodawcy, różnego rodzaju usługi niezwiązane bezpośrednio z przedmiotem działalności Wnioskodawcy (np. sprzątanie, pielęgnacja roślin, indywidualne usługi kurierskie, usługi IT); b) Agenci Wnioskodawcy – osoby fizyczne świadczące usługi pośrednictwa przy zbywaniu jednostek uczestnictwa dobrowolnego funduszu emerytalnego w rozumieniu obowiązujących przepisów prawa na podstawie zawartych umów agencyjnych z Wnioskodawcą, które to umowy związane są z przedmiotem działalności Wnioskodawcy; 3. Będą przekazane następujące kategorie danych: podstawowe informacje o osobie, której dane dotyczą (obejmujące: imię, nazwisko, adres zamieszkania, adres poczty elektronicznej, numer telefonu kontaktowego), a także dane związane z realizowaniem płatności (obejmujące numer rachunku bankowego, numer NIP, kwotę oraz rodzaj waluty płatności); 4. Dane będą przekazane...

czytaj dalej
Decyzja GIODO umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego

Decyzja GIODO umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego

przez dnia Paź 12, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

Decyzja z 27 kwietnia 2016 r. umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, a także braku podstawy prawnej do przetwarzania danych osobowych w celu marketingowym. Kontrola GIODO dotyczyła danych osób, z którymi Spółka kontaktuje się telefonicznie w celach marketingowych, w tym w celu umówienia spotkania dotyczącego przedstawienia oferty marketingowej. Najważniejsze zarzuty GIODO wobec Spółki: nierealizowanie (prawidłowo) obowiązku informacyjnego wynikającego z art. 25 ust. 1 ustawy wobec osób, których numery telefonów zostały wygenerowane przez Spółkę lub zostały zakupione od S. Sp. z o.o. oraz od M. s.k. (art. 25 ust. 1 ustawy); niezapewnienie, aby dane osobowe pochodzące z baz danych udostępnionych Spółce przez S. Sp. z o.o., własnych zbiorów danych o nazwach „N”, „K” i wygenerowanych przez Spółkę nr telefonów były przetwarzane zgodnie z prawem, tj. art. 172 ust. 1 i ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r. poz. 243 ze zm.), tj. poprzez brak zgody ww. osób na otrzymywanie informacji marketingowych poprzez użycie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących na podstawie ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (art. 26 ust. 1 pkt 1 ustawy); brak w polityce bezpieczeństwa informacji o zbiorze danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt 2 i pkt 3 rozporządzenia). W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Spółka złożyła wyjaśnienia i usunęła uchybienia. zaprzestano generowania numerów telefonów oraz zawierania umów, których przedmiotem jest powierzanie danych osobowych Spółce przez tzw. brokerów. oświadczono, że Spółka będzie przetwarzać dane osobowe pochodzące bezpośrednio od osób, które wyrażają zgodę w stosunku do Spółki na przetwarzanie ich danych w celach marketingowych i że Spółka prowadzi działania marketingowe za pośrednictwem telefonu z ograniczeniem do osób, które wyraziły zgodę na taki kontakt np. na bonach prezentowych, umowach (art. 26 ust. 1 pkt 1 ustawy). uzupełniono politykę bezpieczeństwa o informacje dotyczące zbioru danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§...

czytaj dalej
Czy do GIODO przesyłam dane osobowe klientów i czy muszę tę listę aktualizować?

Czy do GIODO przesyłam dane osobowe klientów i czy muszę tę listę aktualizować?

przez dnia Sie 30, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

Każdy przedsiębiorca, który przetwarza dane osobowe swoich klientów podlega reżimowi Ustawy o ochronie danych osobowych. W Polsce w dalszym ciągu ciągle króluje nieświadomość w zakresie tego jakie obowiązki nałożył na firmę ustawodawca i z tego powodu większość przedsiębiorców naraża się na przykre konsekwencje prawne. Nie ma co się dziwić, ciężko być specjalistą w każdej dziedzinie. Poniżej pokrótce wyjaśnimy na czym polega obowiązek zgłoszeniowy do GIODO. Kto podlega obowiązkowi rejestracji w GIODO? Każdy przedsiębiorca przetwarzając dane osobowe klientów staje się Administratorem Danych Osobowych i jako ten jest zobowiązany zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 uodo). Art. 40. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. Ważne by obowiązek rejestracji zbiorów danych osobowych spełnić jeszcze przed rozpoczęciem właściwej działalności (art.46 ust.1 uodo ), czyli rozpoczęciem faktycznej sprzedaży towarów. Art. 46. 1. Administrator danych może, z zastrzeżeniem ust. 2, rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku. Jeżeli już działalność rozpoczęto, należy takiego zgłoszenia dokonać jak najszybciej. Co podlega zgłoszeniu do GIODO? Zgłaszając zbiór nie wysyła się żadnych danych osobowych klientów. Rejestracja w GIODO obejmuje jedynie konkretne zbiory ze wskazaniem na cel i zakres przetwarzania zawartych w nim danych osobowych. Jak wygląda wniosek do GIODO? Wniosek rejestracyjny do GIODO składa się z kilku części. I CZĘŚĆ: określamy, czy jest to nowy wniosek, czy aktualizacja lub też wniosek dotyczący danych wrażliwych (ustawa definiuje cześć danych osobowych jako wrażliwe i ogranicza możliwości ich zbierania, ale nie dotyczy to zdecydowanej większości przypadków). II CZĘŚĆ: określamy Administratora Danych (naszą firmę) i przesłankę, na podstawie której będziemy zbierać dane. III CZĘŚĆ określamy: cel przetwarzania danych (np. realizacja zamówień), kategorie osób, których dane zamierzamy zbierać (np.: klienci i potencjalni klienci sklepu) informację o tym, jakie dane zamierzamy gromadzić (lista przykładowa do zaznaczenia oraz miejsce do wpisania innych) informacje o danych wrażliwych – ustawa o ochronie danych osobowych określa w ten sposób dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, stan zdrowia, kod genetyczny, informacje o nałogach, życiu seksualnym, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, innych orzeczeń...

czytaj dalej