Ostatnio bezpłatny audyt zamówiono minut temu

Zadzwoń do naszego konsultanta
phone
lub napisz email email

Posts Tagged "sklep internetowy giodo"

Czy każdy sklep internetowy musi być zgłoszony do GIODO?

Czy każdy sklep internetowy musi być zgłoszony do GIODO?

przez dnia Lis 29, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

Na tak postawione pytaie należy odpowiedzieć PRZECZĄCO:  1. NIE KAŻDY sklep musi być zgłoszony do Generalnego Inspektora Ochrony Danych Osobowych. 2. Co więcej, ustawa o ochronie danych osobowych NIE WYMAGA zgłaszania do GIODO sklepu internetowego a zbiorów danych osobowych, które taki sklep przetwarza. Od razu jednak musimy dodać, że wszystkich sprzedawców internetowych obowiązuje ustawa o ochronie danych osobowych, a większość sprzedawców musi jednak dokonać zgłoszenia zbiorów danych osobowych do GIODO.   To jak to jest z tym zgłoszeniem? Każdy e-sklep w związku z realizacją zamówień gromadzi i przetwarza dane osobowe swoich Klientów. Są to dane t.j. imię i nazwisko, adres zamieszkania, adres e-mail, numer telefonu i tym podobne. W ten sposób staje się administratorem danych osobowych i spada na niego obowiązek zgłoszenia zbiorów danych do Generalnego Inspektora Ochrony Danych Osobowych. Większości sprzedawców wydaje się, że uda się uniknąć rejestracji z uwagi na ART.43.1 pkt. 8 Ustawy o Ochronie Danych Osobowych : “Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: (…) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, (…)” Jednak e-sklep to nie tylko faktury czy rachunki. Dane osobowe Klientów gromadzone są przede wszystkim w celu realizacji zamówień, płatności, w celach marketingowych itp. Administrator danych powinien przeanalizować i wyodrębnić zbiory i cele, w jakich przetwarza dane osobowe klientów i czy zachodzi którakolwiek z przesłanek zwalniająca go z obowiązku rejestracji zbioru u Generalnego Inspektora Ochrony Danych Osobowych (GIODO).   Czy każdy e-sklep musi zarejestrować zbiory danych w GIODO? Od 1 stycznia 2015 roku z obowiązku rejestracji zbioru w GIODO zwolnione będą sklepy internetowe, które powołają Administratora bezpieczeństwa informacji i zgłoszą go do GIODO. Jawny rejestr zbiorów u danego Administratora będzie prowadził ABI. Nie jest to zwolnienie bezwzględne, albowiem jeśli w e-sklepie przetwarzane są dane wrażliwe – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane, które dotyczą skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych wydanych w postępowaniu sądowym lub administracyjnym itp. to taki zbiór będzie podlegał rejestracji. Jest to sytuacja niezmiernie rzadka w praktyce sklepów internetowych, ale trzeba o tym pamiętać. Jeśli administrator danych w sklepie internetowym nie powoła administratora bezpieczeństwa informacji, powinien...

czytaj dalej
Decyzja GIODO nakazująca uchybień w procesie przetwarzania danych w formularzu kontaktowym sklepu internetowego

Decyzja GIODO nakazująca uchybień w procesie przetwarzania danych w formularzu kontaktowym sklepu internetowego

przez dnia Paź 25, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

Decyzja nakazująca usunięcie uchybień w procesie przetwarzania danych osobowych. Podczas kontroli GIODO wykrył, że Spółka wobec osób korzystających z formularza kontaktowego sklepu internetowego nie realizuje obowiązku informacyjnego z art. 24 ustawy o ochronie danych osobowych.    Nierealizowanie wobec osób korzystających z formularza kontaktowego sklepu internetowego, osób zakładających konto użytkownika tego sklepu oraz osób dokonujących zakupów w sklepie internetowym bez zakładania konta użytkownika, obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy, powierza dane osób, korzystających z elektronicznego formularza kontaktu sklepu internetowego kilku podmiotom bez pisemnej umowy powierzenia przetwarzania danych, niezastosowaniu odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych przesyłanych w sieci publicznej w związku z procesami tworzenia konta użytkownika na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia towaru oraz procesem sprzedaży prowadzonej w sklepie internetowym z uwagi na brak środków kryptograficznej ochrony tych danych, niezgłoszeniu Generalnemu Inspektorowi Ochrony Danych Osobowych zmiany informacji zawartych w zgłoszeniu zbioru danych osobowych dotyczących: adresu siedziby administratora danych, przedstawiciela Spółki, o którym mowa w art. 31a ustawy, powierzenia przetwarzania danych osobowych, podstawy prawnej przetwarzania danych osobowych oraz zakresu danych osobowych przetwarzanych w tym zbiorze (art. 41 ust. 2 ustawy).   ZARZUTY nierealizowanie obowiązku informacyjnego z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.) powierzanie danych osób, korzystających z elektronicznego formularza kontaktu sklepu internetowego mimo niezawarcia pisemnej umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), niestosowanie środków kryptograficznej ochrony danych wobec danych osobowych przesyłanych w sieci publicznej w związku z procesami tworzenia konta użytkownika na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia towaru oraz w związku z procesem sprzedaży prowadzonej w sklepie internetowym niezgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych zmiany informacji zawartych w zgłoszeniu zbioru danych osobowych dotyczących: adresu siedziby administratora danych, przedstawiciela Spółki, o którym mowa w art. 31a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych   Do czego zobowiązał GIODO? GIODO nakazał usunięcie uchybień w procesie przetwarzania danych osobowych   Wskazówki GIODO: 1....

czytaj dalej
Zgłoszenie sklepu internetowego do GIODO krok po kroku.

Zgłoszenie sklepu internetowego do GIODO krok po kroku.

przez dnia Paź 6, 2016 w kategorii Bez kategorii, GIODO sklep internetowy | 0 komentarzy

Obowiązek rejestracji zbiorów danych osobowych pojawił się wraz z ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Sklep internetowy może rozpocząć przetwarzanie danych osobowych zawartych w zbiorach danych dopiero po dokonaniu zgłoszenia takiego zbioru w GIODO. Jeśli zaś e-sklep przetwarza dane osobowe wrażliwe (art. 27 ust. 1 uodo; np. dane ujawniające stan zdrowia, poglądy polityczne, nałogi), po zgłoszeniu zbioru należy odczekać aż zbiór zostanie faktycznie zarejestrowany przez GIODO. Dopiero wtedy przetwarzanie takich danych będzie legalne. Zbiór może zostać wpisany do rejestru jeżeli postępowanie rejestracyjne wykaże, że nie zachodzi żadna z przesłanek odmawiających rejestracji, zgodnie z art. 44 ust. 1 ustawy o ochronie danych osobowych. Art. 44. 1. Generalny Inspektor wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli: 1) nie zostały spełnione wymogi określone w art. 41 ust. 1, 2) przetwarzanie danych naruszałoby zasady określone w art. 23-30, 2) przetwarzanie danych naruszałoby zasady określone w art. 23-28, 3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a. Plan działania dla sprzedawcy: 1. Zebranie informacji o przetwarzanych przez e-sklep danych na podstawie określonych w art. 23 ust. 1 uodo przesłanek zgoda osoby, której dane dotyczą realizacja prawa lub obowiązku wynikającego z przepisów prawa realizacja umowy realizacja zadań dla dobra publicznego prawnie usprawiedliwiony cel administratora 1. Dopełnienie obowiązków informacyjnych (art. 24 i 25 uodo) przy zbieraniu danych od osoby, której one dotyczą o: adresie swojej siedziby i pełnej nazwie/miejscu swojego zamieszkania oraz imieniu i nazwisku celu zbierania danych/odbiorcach lub kategoriach odbiorców danych prawie dostępu do treści swoich danych oraz ich poprawiania dobrowolności/podstawie prawnej obowiązku podania danych. 1. Podjęcie środków technicznych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36 ust. 1 UODO oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych) 2. Podjęcie środków organizacyjnych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36, art. 37, art. 38, art. 39 oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych...

czytaj dalej
Inspekcje pracy a kontrola GIODO

Inspekcje pracy a kontrola GIODO

przez dnia Lip 30, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

To, czy przedsiębiorcy i inne instytucje przestrzegają przepisów Kodeksu pracy oraz przepisów z zakresu ochrony danych osobowych będzie mogło być sprawdzane podczas jednej kontroli prowadzonej albo przez pracowników Biura GIODO, albo Państwowej Inspekcji Pracy (PIP). Warunkiem połączenia kontroli jest dobra znajomość szczególnych przepisów prawa i jego interpretacji przez inspektorów obydwu instytucji.   Porozumienie GIODO – PIP 14 grudnia 2012 roku zawarte zostało porozumienie pomiędzy Państwową Inspekcją Pracy a Biurem Generalnego Inspektora Ochrony Danych Osobowych, w treści którego określone zostały zasady współpracy tych organów: Porozumienie określa zasady współdziałania PIP i GIODO w realizacji ustawowych zadań dla podniesienia skuteczności działań na rzecz przestrzegania przepisów o ochronie danych osobowych w stosunkach pracy. Porozumienie zobowiązuje PIP do zawiadomenia GIODO o „stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Realizowanie kontroli przez inspektorów PIP było dotychczas znacznie utrudnione z uwagi na ich ograniczoną wiedzę w zakresie ochrony danych osobowych. Jak twierdzi dr Wojciech Wiewiórowski (GIODO) „W przypadku instytucji publicznych często zawarcie oficjalnego porozumienia po prostu ułatwia działania organizacyjne”. Celem porozumienia była w związku z tym wymiana doświadczeń z kontroli oraz podnoszenie kwalifikacji pracowników PIP i GIODO po to by mogły wspólnie prowadzić kontrole w zakresie przestrzegania ochrony danych osobowych. Zakres porozumienia wskazano w: § 2, który mówi: 1. Państwowa Inspekcja Pracy zawiadamia GIODO o stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. GIODO informuje Państwową Inspekcję Pracy o wynikach postępowania w sprawie nieprawidłowości określonych w zdaniu pierwszym. 2. GIODO zawiadamia Państwową Inspekcję Pracy o stwierdzonych w czasie kontroli naruszeniach przepisów prawa pracy. § 3 Współdziałanie stron realizowane jest również poprzez: 1. wzajemną wymianę doświadczeń wynikających z kontroli realizowanych przez każdą ze Stron w ramach swoich kompetencji, w zakresie spraw objętych współdziałaniem, 2. działania mające na celu podnoszenie kwalifikacji pracowników PIP i GIODO, w tym współpracę przy opracowywaniu programów szkoleń, wymianę wykładowców, zapewnienie pracownikom, w miarę zgłaszanych potrzeb i możliwości, udziału w kursach i szkoleniach organizowanych przez Strony, 3. prowadzenie wspólnie kontroli w uzgodnionym zakresie tematycznym, 4. konsultacje w zakresie doskonalenia metodyki prowadzenia kontroli w zakresie przestrzegania ochrony danych osobowych przez podmioty kontrolowane. Więcej kontroli? Porozumienie PIP – GIODO oznacza większą ilość kontroli procesów przetwarzania danych osobowych. W całej Polsce, w jednym...

czytaj dalej
Dwa sklepy i agencja marketingowa – co należy zgłosić do GIODO?

Dwa sklepy i agencja marketingowa – co należy zgłosić do GIODO?

przez dnia Cze 8, 2016 w kategorii GIODO sklep internetowy | 0 komentarzy

      W ramach mojej działalności prowadzę dwa sklepy i agencję marketingową. Czy do GIODO muszę zgłosić też agencję marketingową, czy wystarczą tylko sklepy? Prowadząc własną działalność, należy dostosować ją do wymogów ustawy o ochronie danych osobowych. Czy będąc właścicielem kilku firm, mogę zgłosić tylko te wybrane?   Jeżeli zarówno sklepy internetowe jak i agencja marketingowa są prowadzone w ramach jednej działalności gospodarczej, wówczas wystarczy stworzyć jeden komplet dokumentacji – jest jeden Administrator danych.   W sytuacji natomiast, jeżeli któraś działalność jest prowadzona np. w formie spółki z o.o., to spółka ta będzie już osobnym Administratorem danych i będzie wymagała przygotowania i wdrożenia osobnej dokumentacji. W ramach agencji marketingowej z pewnością również będą przetwarzane dane osobowe, dlatego tu również należałoby zidentyfikować zbiory danych osobowych i dokonać ich rejestracji. Obowiązek rejestracji zbiorów danych osobowych w GIODO został wprost wpisany do art. 40 Ustawy o ochronie danych osobowych, w myśl którego administrator danych ma obowiązek zgłosić zbiór danych do rejestracji GIODO, chyba, że zachodzi jeden z wyjątków określonych w art. 43 ust. 1 UODO. Dodatkowo należy wskazać, że agencja reklamowa i sklepy, będą mogły rozpocząć przetwarzanie danych osobowych zawartych w zbiorze danych dopiero po jego zgłoszeniu do GIODO. Jeśli zaś któraś z powyższych firm będzie planować przetwarzać tzw. dane wrażliwe (np. informacje o stanie zdrowia, przekonaniach religijnych) to, żeby w ogóle móc to robić w sposób legalny, będzie musiała zaczekać aż zbiór taki zostanie zarejestrowany.   Podsumowanie Istotne z punktu widzenia prawa jest samo przetwarzanie danych osobowych, więc jeżeli przedsiębiorca w ramach prowadzonej działalności przetwarza dane osobowe, to jego działania podlegają reżimowi w.w. Ustawy. Prowadząc jedną działalność, a w ramach niej kilka różnych firm, pozostajemy Administratorem danych osobowych dla każdej z nich i tworzymy jeden komplet dokumentacji. Sytuacja komplikuje się, gdy jedna z prowadzonych przez nas firm ma formę np. spółki z o.o. – wówczas spółka jest odrębnym Administratorem danych, w związku z tym należy stworzyć dla niej nową dokumentację i dokonać kolejnego zgłoszenia do...

czytaj dalej