Witam

Chciałbym założyć pewien portal z informacjami i chciałbym poznać wasze opinie o zbieraniu danych osobowych, wysyłanie wniosków do GIODO itd. Wiem, że mógłbym do nich napisać, czy dane, które chce wykorzystywać muszą być zarejestrowane czy nie, ale chciałbym poznać wasze opinie.

Jakie dane można zbierać bez zgłaszania tego do GIODO? (tutaj jest spis dla których nie trzeba zakładać wniosku: http://www.giodo.gov.pl/530/id_art/2659/)
Czy nie zgłaszając danych można narazić się na poważne konsekwencje?
Czy takie dane jak e-mail, nr IP potrzebne podczas rejestracji trzeba zgłaszać? Czy dane, które będą umieszczane przez użytkowników we własnym zakresie - np imię , nazwisko, numer telefonu - (nie mając na to bezpośredniego wpływu) też muszą być zgłaszano - zapisane?
Co się dzieje w przypadku, gdy np. jakieś dane zostaną wykradzione? Wina spada na właściciela hostingu, czy właściciela portalu?

Jak masz zamiar dane przetwarzac, np wysylac maile z oferta to musisz zglosic. Generalnie wszystkie zbiory danych osobowych powinno sie zglaszac. Nie wazne, czy to tylko imie i nazwisko, czy informacje o stanie zdrowia, kolorze oczu... Kary za brak zgloszenia zbioru danych sa dla przecietnego czlowieka kosmiczne No ale nikt przecietnego czlowieka nie gania, natomiast serwis internetowy juz bardziej. Dobrze, jakbys sie zapoznal z ustawa o ochronie danych osobowych- co mozna pokazywac, a co nie. Masz tam tez napisane jakie warunki techniczne musisz spelnic, by moc gromadzic dane osobowe. Jesli nastapi wyciek/kradziez, to zazwyczaj jest prowadzone sledztwo ktorego wynikiem jest ocena, czy wina lezy po stronie systemow informatycznych, zlej administracji czy zwyklej kradziezy (ktos moze przeciez wykrasc dysk z baza danych i Ty za to nie mozesz odpowiadac). Jezeli serwer na ktorym gromadzone sa dane jest polaczony z internetem, to te wymogi sa dosyc restrykcyjne z tego co slyszalem, no ale to juz do poczytania, wszystko jest w ustawie : ] Adres e-mail tez jest forma danych osobowych i takie zbiory musza byc zgloszone. Adres IP nie pod warunkiem, ze to sucha lista adresow ip nie przypisana do zadnego czlowieka.

Z tego co wiem, tylko wtedy, gdy pozwala na jednoznaczną identyfikację użytkownika (czyt: zawiera imię, nazwisko, unikatową ksywkę).


Chyba nie dotyczy danych o firmach.

Generalnie:

• listy dostępu kto i do jakich danych miał dostęp
• logowanie modyfikacji
• KASOWANIE danych, a nie oznaczanie ich jako usunięte
• z tego powodu, silniki indeksujące typu Sphinx odpadają do przyspieszania wyszukiwarek

Jestem tylko ciekaw, czy osoby pracujące w GIODO będą pomocne przy załatwieniu takiej sprawy, czy też (jak na urzędników przystało) będą robić fochy?
Czy mogę napisać swój własny regulamin (z uwzględnieniem jakiś tam zasad i prawa)?

ale Ty nie zglaszasz adresow jakie posiadasz, tylko fakt, ze dane adresy magazynujesz. A wnich juz moga byc adresy truskaweczka@xx.pl jak i michal.michal@xx.pl. I z tego powodu adres e-mail wedlug ustawy jest traktowany jako dane osobowe.

//EDIT
@up
Regulamin czego? Zapoznaj sie z ustawa o ochronie danych osobowych a pozniej po prostu zloz wniosek, ze chcesz takie dane gromadzic.
Mysle, ze beda pomocne : > Napisz, to sie przekonasz. Na pewno beda pomocne w kwestiach spornych, wiec tak czy siak z ustawa powinienes sie zaznajomic.

No właśnie. A z tego, co ja wiem, to masz obowiązek zgłosić, jeśli przetwarzasz dane osób fizycznych, opcjonalnie - jeśli przetwarzasz dane osób prawnych i firm. Ręki sobie nie dam uciąć, ale w przypadku przedsiębiorców jest łatwiej.

Czyli praktycznie utworzenie każdego serwisu, w którym jakiś użytkownik musi się zarejestrować trzeba zgłaszać do GIODO? Trochę to spowalnia rozwój. Rozumiem duże serwisy, które zbierają takie dane, ale np portale informacyjne, albo z luźną tematyką + forum? ... :/

Generalnie zgłasza się każdy zbiór danych osobowych. Zwolnione z rejestracji są tylko zbiory pracowników, uczniów lub przetwarzane na własne potrzeby niezwiązane z działalnością. Zbiór klientów sklepu internetowego jak najbardziej trzeba zgłosić. Tak samo zbiór marketingowy. Trzeba też pamiętać, że by uzyskać zgodę od przyszłego klienta. Jeśli ktoś dodkonuje zakupu to przetwarza dane w celu realizacji umowy (art. 23 ust. 1 pkt 2 UoDO) i zgody nie trzeba pobierać ale na działalnia marketingowe już tak. Trzeba też odróżnić zgodę na otrzynywanie informacji handlowych od zgody na przetwarzanie w celach marketingowych (dwie różne ustawy - o ochronie danych osobowych i o świadczeniu usług drogą elektroniczną. Jeśli wysyłasz newslettery (masz zbiór adresów mailowych) to nie podlega on rejestracji (są to tzw. drobne bieżące sprawy dnia codziennego art. 43 ust. 1 pkt 11 UoDO). Adres mailowy może być daną osobową. Co to są dane osobowe możesz przeczytać np. tutaj definicja danych osobowych . Musisz też pamiętać o tym, że sam sklep trzeba zabezpieczyć. Musisz też posiadać regulamin (ustawa świadczeniu usług drogą elektroniczną), plitke bezpieczestwa i instrukcję zarządzania systemami informatycznymi (Roporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych). Wbrew pozorom nie jest to wcale takie skomplikowane i spokojnie da się zrobić. Problem w tym, że przepisy są z 1997 r. i mało który przystaje do rzeczywistości jeśli chodzi o internet Z tego co słyszałem ma się to zmienić ale wiadomo jak to jest z tymi zmianami... Sklepy muszą też mieć dokumentację opisującą strukturę danych w bazie. Zabezpieczyć dane musi ten kto administruje sklepem ale też ten czy jest sklep. Ostatnio słyszałem o serwisie terazpraca z którego wyciekły CV i teraz mają duży problem bo jest GIODO i prokuratura. Lepiej dmuchac na zimne.
Dane osób prowadzących działalność podlegają od 1 stycznia 2012 ustawie o ochronie danych osobowych. GIODO zmiana przepisów