Ostatnio bezpłatny audyt zamówiono minut temu

Zadzwoń do naszego konsultanta
phone
lub napisz email email

Posts Tagged "najlepszy regulamin sklepu"

Dwa sklepy i agencja marketingowa – co należy zgłosić do GIODO?

Dwa sklepy i agencja marketingowa – co należy zgłosić do GIODO?

przez dnia Cze 8, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

      W ramach mojej działalności prowadzę dwa sklepy i agencję marketingową. Czy do GIODO muszę zgłosić też agencję marketingową, czy wystarczą tylko sklepy? Prowadząc własną działalność, należy dostosować ją do wymogów ustawy o ochronie danych osobowych. Czy będąc właścicielem kilku firm, mogę zgłosić tylko te wybrane?   Jeżeli zarówno sklepy internetowe jak i agencja marketingowa są prowadzone w ramach jednej działalności gospodarczej, wówczas wystarczy stworzyć jeden komplet dokumentacji – jest jeden Administrator danych.   W sytuacji natomiast, jeżeli któraś działalność jest prowadzona np. w formie spółki z o.o., to spółka ta będzie już osobnym Administratorem danych i będzie wymagała przygotowania i wdrożenia osobnej dokumentacji. W ramach agencji marketingowej z pewnością również będą przetwarzane dane osobowe, dlatego tu również należałoby zidentyfikować zbiory danych osobowych i dokonać ich rejestracji. Obowiązek rejestracji zbiorów danych osobowych w GIODO został wprost wpisany do art. 40 Ustawy o ochronie danych osobowych, w myśl którego administrator danych ma obowiązek zgłosić zbiór danych do rejestracji GIODO, chyba, że zachodzi jeden z wyjątków określonych w art. 43 ust. 1 UODO. Dodatkowo należy wskazać, że agencja reklamowa i sklepy, będą mogły rozpocząć przetwarzanie danych osobowych zawartych w zbiorze danych dopiero po jego zgłoszeniu do GIODO. Jeśli zaś któraś z powyższych firm będzie planować przetwarzać tzw. dane wrażliwe (np. informacje o stanie zdrowia, przekonaniach religijnych) to, żeby w ogóle móc to robić w sposób legalny, będzie musiała zaczekać aż zbiór taki zostanie zarejestrowany.   Podsumowanie Istotne z punktu widzenia prawa jest samo przetwarzanie danych osobowych, więc jeżeli przedsiębiorca w ramach prowadzonej działalności przetwarza dane osobowe, to jego działania podlegają reżimowi w.w. Ustawy. Prowadząc jedną działalność, a w ramach niej kilka różnych firm, pozostajemy Administratorem danych osobowych dla każdej z nich i tworzymy jeden komplet dokumentacji. Sytuacja komplikuje się, gdy jedna z prowadzonych przez nas firm ma formę np. spółki z o.o. – wówczas spółka jest odrębnym Administratorem danych, w związku z tym należy stworzyć dla niej nową dokumentację i dokonać kolejnego zgłoszenia do...

czytaj dalej
Kto podlega zgłoszeniu do GIODO – sklep czy sprzedawca i analogicznie serwis czy przedsiębiorca?

Kto podlega zgłoszeniu do GIODO – sklep czy sprzedawca i analogicznie serwis czy przedsiębiorca?

przez dnia Cze 4, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

Prowadząc sklep lub serwis w oparciu o działalność wpisaną do CEIDG, do GIODO zgłasza się przedsiębiorcę prowadzącego sklep internetowy. Natomiast w treści wniosku rejestracyjnego wskazuje się już konkretnie sklep (serwis) i jego adres. Jak prawidłowo należy zgłosić zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych? Prawidłowe zgłoszenie polega przede wszystkim na właściwym wypełnieniu przez Administratora danych wniosku rejestracyjnego i przesłaniu go do Generalnego Inspektora Ochrony Danych Osobowych.   Zgodnie z regulacją art. 41 ust.1 ustawy o ochronie danych osobowych wniosek rejestracyjny powinien zawierać m.in.: oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany wraz z podstawą prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania, cel przetwarzania danych, opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych, sposób zbierania oraz udostępniania danych, informacje o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy, informacje o sposobie wypełnienia warunków technicznych i organizacyjnych określonych w przepisach, o których mowa w art. 39a ustawy oochronie danych osobowych. Jeden formularz zgłoszenia zbioru danych do rejestracji w GIODO odnosi się tylko do jednego zbioru danych osobowych. Podsumowanie Przedsiębiorca prowadzący sklep lub serwis internetowy ma obowiązek zarejestrowania wyłącznie zbiorów danych osobowych, dla których jest Administratorem danych osobowych. W przypadku działalności gospodarczej – będzie nim przedsiębiorca, natomiast w przypadku spółki – sama...

czytaj dalej
Z kim należy podpisać umowę powierzenia danych osobowych

Z kim należy podpisać umowę powierzenia danych osobowych

przez dnia Maj 24, 2016 w kategorii GIODO sklep internetowy | 1 komentarz

Z jakimi firmami muszę podpisać umowę powierzenia danych osobowych? Czy z księgową również?   Administrator danych osobowych decydując o celach i środkach przetwarzania danych osobowych, może wykonywać czynności na tych danych samodzielnie bądź zlecić je innemu podmiotowi. Komu mogę powierzyć przetwarzane dane osobowe? Bardzo częstą praktyką przedsiębiorców staje się powierzenie całości lub części czynności związanych z prowadzeniem m.in. polityki kadrowo-płacowej wyspecjalizowanym podmiotom zewnętrznym (outsourcing). Działania tego rodzaju są jak najbardziej dopuszczalne prawnie i gwarantują profesjonalną obsługę, najczęściej jednak realizowane są w sposób naruszający obowiązki ustawowe. Zgodnie z Ustawą o ochronie danych osobowych przedsiębiorca może powierzyć innemu podmiotowi przetwarzanie danych osobowych swoich pracowników, w celu wykonywania na jego rzecz lub w jego imieniu obowiązkowych czynności określonych w szeroko rozumianym prawie pracy. Zlecenie tego rodzaju usługi musi być wynikiem umowy zawartej na piśmie pomiędzy Administratorem danych osobowych a Usługobiorcą – Przetwarzającym dane osobowe (art. 31 ust. 1) Jak powinna wyglądać umowa powierzenia danych osobowych? Umowa powierzenia danych osobowych do przetwarzania, to szczególny rodzaj umowy o świadczeniu usług będących kombinacją czynności prawnych i faktycznych, dlatego też winna ona zawierać takie elementy jak: strony umowy, przedmiot umowy, zabezpieczenia przedmiotu umowy, podwykonawcy, rozwiązanie umowy, zasady odpowiedzialności stron umowy. Umowa winna wskazywać podstawę prawną dopuszczającą powierzenie danych do przetwarzania – art. 31 ust. 1 ustawy o ochronie danych osobowych, Administratora danych osobowych w stosunku do informacji stanowiących przedmiot umowy, oświadczenie o posiadaniu przez przetwarzającego wszystkich niezbędnych uprawnień do wykonywania działalności objętej umową, np. związanych z prowadzeniem ksiąg rachunkowych. Jak opisać przedmiot umowy? Przedmiot umowy powinien zawierać przede wszystkim ustawowy wymóg określenia zakresu i celu powierzenia danych osobowych (art. 31 ust. 2 ), na który powinny się składać: rodzaj powierzanych danych osobowych; cel przetwarzania danych osobowych; zakres dopuszczalnego przetwarzania danych osobowych; forma przetwarzania danych osobowych; czas trwania umowy. W przypadku powierzenia danych osobowych w celu realizacji obowiązków kadrowo-płacowych ciążących na przedsiębiorcy, nie jest konieczne wymienianie wszystkich danych oraz zakresu dopuszczalnych czynności, gdyż zarówno zawartość tego zbioru, jak również procesy kadrowe są jednoznacznie określone przez prawo powszechnie obowiązujące. W umowie powierzenia przetwarzania danych osobowych należy zawrzeć zasady, jakie powinien wdrożyć przedsiębiorca w celu właściwego zabezpieczenia powierzonych danych osobowych zanim podejmie się wykonywania zlecenia. (art. 31 ust. 3). Chodzi o zasady udzielania upoważnień do przetwarzania danych osobowych dla poszczególnych pracowników...

czytaj dalej
Jakie są wymagania przechowywania danych klientów

Jakie są wymagania przechowywania danych klientów

przez dnia Maj 19, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

Czy są jakieś wymagania w jaki sposób dane Klientów muszą być przechowywane, czyli jak często trzeba zmieniać hasło, jakich zabezpieczeń użyć itp. ? Rozporządzanie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 roku określa poziomy bezpieczeństwa infrastruktury informatycznej, jakie należy stosować w zależności od pewnych elementów jej architektury oraz w zależności od tego jakie dane osobowe są przetwarzane w systemach. Wymagania zabezpieczeń zbioru danych osobowych – poziom wysoki Autorzy regulacji jako warunek przyjęli podłączenie systemu informatycznego do sieci publicznej – Internet, które co powoduje, że w praktyce każdy z Administratorów danych osobowych jest zobowiązany do stosowania „wysokiego poziomu bezpieczeństwa”. Zabronione jest aby kolejni następujący po sobie edministratorzy systemów mieli ten sam identy fikator, np. „Admin”. Dostęp do systemu informatycznego, w którym będzie istniała możliwości przetwarzania danych osobowych, musi być zabezpieczony procesem uwierzytelnienia użytkownika, tj. potwierdzeniem tożsamości wskazanej w indywidualnym „identyfikatorze”. Polityka haseł Najpopularniejszą metodą weryfikacji praw dostępu do systemu informatycznego jest użycie „hasła”, tj. unikalnego i poufnego ciągu znaków literowych, cyfrowych lub innych (§2 pkt 3). Siła „hasła” wykorzystywanego do uwierzytelnianie użytkowników w systemie informatycznym jest jedynym szczegółowo określonym wymogiem zabezpieczeń: długość: co najmniej 8 znaków małe i wielkie litery oraz cyfry lub znaki specjalne ważność: maksymalnie 30 dni Nie ma obowiązku, żeby system informatyczny automatycznie wymuszał na użytkownikach te wymagania, jednak taka funkcjonalność pozwala na skuteczne zarządzanie ich realizacją, uniemożliwiając jawne lub przypadkowe łamanie tego nakazu. O poufności hasła nie decyduje wyłącznie jego nieudostępnianie innym osobom, ale również jego treść. Stąd też użytkownik systemu informatycznego ma obowiązek stosować hasła trudne do odgadnięcia. W szczególności nie mogą nimi być • nazwisko, imię, adres, numer rejestracyjny prywatnego samochodu, PESEL, NIP, numer telefonu, itp; • słowo w żadnym popularnym języku; • nazwa geograficzna, termin techniczny lub określenie potoczne; • sekwencja kolejnych znaków na klawiaturze; a także dowolny spośród wymienionych uzupełnionym na początku lub końcu cyfrą lub znakiem specjalnym. Podsumowanie Wymagania bezpieczeństwa dotyczące ochrony danych osobowych, odnoszą się do właściwego sklepu internetowego, nie zaś użytkownika mającego dostęp jedynie do własnych danych, a więc klienta w e-sklepie. To Administrator Danych Osobowych (sklep) w swoich systemach informatycznych – na których pracują pracownicy e-sklepu...

czytaj dalej
Mały sklep internetowy a GIODO – czy trzeba się rejestrować, jakie zbiory, jakie obowiązki?

Mały sklep internetowy a GIODO – czy trzeba się rejestrować, jakie zbiory, jakie obowiązki?

przez dnia Maj 13, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

Przedsiębiorca prowadzący zarówno mały jak i duży sklep internetowy podlega reżimowi ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku, a zatem musi wypełnić wymogi dotyczące ochrony danych osobowych. Czy muszę rejestrować zbiór danych osobowych? Przede wszystkim Administrator danych jeszcze przed rozpoczęciem działalności sklepu internetowego (jak wskazuje art. 46 ust. 1 ustawy o ochronie danych osobowych) ma obowiązek zarejestrować w GIODO zbiory danych osobowych lub powołać Administratora Bezpieczeństwa Informacji i zgłosić go do GIODO. W drugim przypadku trzeba będzie pamiętać jedynie o zgłoszeniu danych osobowych wrażliwych, jeśli takie przetwarza. Przetwarzanie danych obejmuje ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie oraz usuwanie. Każdy sklep internetowy, niezależnie od wielkości, który wykonuje jakiekolwiek operacje na danych osobowych powinien dokonać rejestracji w GIODO. Dane wrażliwe są to zgodnie z art. 27 ustawy o ochronie danych osobowych dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania filozoficzne lub religijne, przynależność związkową, partyjną, wyznaniową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych. Przetwarzanie danych osobowych wrażliwych jest dozwolone gdy osoba, której te dane dotyczą wyrazi na to pisemną zgodę. Administrator danych we wniosku rejestracyjnym do GIODO winien wskazać rodzaj przetwarzanych przez siebie danych oraz cel ich przetwarzania. Jakie zbiory danych powinien zgłosić sklep internetowy? Sklep internetowy przetwarza dane generalnie w celu realizacji zamówień swoich klientów, prowadzi rejestry umów cywilnoprawnych a niekiedy decyduje się na wysyłkę newslettera oraz tworzenie baz statystycznych. Zgłoszenie do GIODO może dotyczyć więc kilku zbiorów, a zatem będzie konieczne wypełnienie kilku wniosków rejestracyjnych, albowiem każdy zbiór danych jest zgłaszany odrębnie na oddzielnym formularzu. Nie można niestety wskazać jednej uniwersalnej listy zbiorów, które w przypadku każdego sklepu internetowego podlegałyby zgłoszeniu, albowiem każdy podmiot jest inny i działa na innych zasadach. Należy pamiętać, że często (choć nie zawsze, bo i tu znajdą się wyjątki) z mocy ustawy (art. 43) niektóre zbiory danych będą podlegać zwolnieniu od rejestracji w GIODO np. Zbiór danych pracowników (przyszłych, obecnych i byłych). Jakie obowiązki ma właściciel sklepu internetowego? 1. Przygotowanie Polityki bezpieczeństwa informacji oraz instrukcji zarzadzania systemem informatycznym Administrator danych osobowych ma ustawowy obowiązek opracowania, wdrożenia i prowadzenia dokumentacji systemu ochrony danych osobowych (art. 36 ust. 2). Należy pamiętać, że na sam wymóg prowadzenia dokumentacji nie ma...

czytaj dalej