Po publikacji informacji dotyczącej zalecenia rejestracji bazy e-maili pojawiło się sporo pytań na wszelkiego rodzaju forach. W związku z tym skontaktowaliśmy się telefonicznie z pracownikami GIODO aby uzyskać odpowiedź na na te pytania, które pojawiają się najczęściej.
Czy w takim razie np. forum internetowe z bazą użytkowników gdzie podane są maile jest w rozumieniu GIODO taką bazą? Większość aplikacji internetowych w takim razie posiada takie bazy. W wielu aplikacjach mail np. jest loginem, aplikacje posiadają bazy użytkowników gdzie podane są ich maile, inny przykład baza newsletter (taka baza np. zmienia się codziennie)... Ciekaw jestem jak mamy rozumieć zapis samej "bazy danych e-mail".
Niestety jeżeli dana baza danych zawiera "dane osobowe" powinniśmy ją zarejestrować. Jeżeli będzie to forum internetowe – także powinno być ono zarejestrowane. Oczywiście rejestrując bazę danych nie deklarujemy ilości przetwarzanych danych, a jedynie kategorie danych, które będziemy zbierać i w jaki będzie to następowało sposób (np. poprzez systemy informatyczne, czyli stronę www).
Ile to kosztuje - z punktu widzenia urzędu?
Dla wszystkich zainteresowanych raz jeszcze podkreślę, że samo zarejestrowanie bazy jest bezpłatne. Jedynie jeżeli potrzebujecie zaświadczenia o zarejestrowaniu bazy musicie zapłacić ok. 20 zł.
Więcej informacji na: http://www.giodo.gov.pl/257/
To jak ja w moim programie e-mailowym mam ileś tam adresów moich byłych i obecnych klientów to powinienem zarejestrować te dane?
Jeżeli wykorzystujemy kontakty do celów biznesowych, formalnie powinniśmy zarejestrować taką bazę danych. Co ciekawe, jeżeli używamy laptopa mamy poważny problem, gdyż wymogi ochrony fizycznej takiego komputera – na którym znajdują się dane osobowe – są praktycznie nie do spełnienia w przypadku laptopa ;)
Jeden serwis – kilka baz SQL
Nie ma znaczenia na ilu bazach SQL będzie przechowywany nasz zbór danych. Zatem jeżeli nasz serwis internetowy stoi na kilku bazach SQL, ale co do zasady zbiór danych osobowych jest taki sam – rejestrujemy go tylko raz. Oczywiście na wniosku zaznaczamy, że dane są przechowywane w architekturze rozproszonej.
Ciekawe jak misie chcą rozwiązać kwestie lokalizacyjne. Np. serwis działający na VPS z USA albo forum hostowane w Holandii....
Obecna ustawa o ochronie danych osobowych dokładnie określa jakie wymogi muszą zostać spełnione w przypadku przechowywania danych na serwerach znajdujących się poza granicami Polski.
Jeżeli serwer znajduje się w Kraju należącym do EOG nie ma najmniejszego problemu i możemy tam przechowywać dane.
Jeżeli znajduje się w innym kraju musi zostać spełnione dodatkowe warunki.
Dokładne informacje na ten temat znajdziemy w rozdziale 7 ww. ustawy, a także na: http://www.giodo.gov.pl/377/
paranoja zupelna.
Czy ten wymóg rejestracji dotyczy tylko firm, czy także osób fizycznych?
Firm oraz osób fizycznych
Artykuł 3
2)Ustawę stosuje się również do osób fizycznych i prawnych oraz jednostek
organizacyjnych nie mających osobowości prawnej, które przetwarzają dane w związku z
działalnością zarobkową, zawodową lub dla realizacji celów statutowych
4). Ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach
osobistych lub domowych
Rozumiem, że wszystkie punkty handlowe w kraju, które kiedykolwiek odważyły się wystawić fakturę zawierającą dane osobowe zobowiązane są do zarejestrowania swojej bazy, zbudowania serwerowni i zamknięcia tam własnych serwerów (których zazwyczaj nie mają)?
Paranoja....
@Rados
Są pewne wyjątki. Należy do nich na pewno ten, związany z fakturą.
Art.43 Ustawy o ochronie danych osobowych mówi:
1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
1. Czy korzystając z freshmaila trzeba podpisywać z firmą Opcom umowę o przekazaniu przetwarzania danych osobowych z zakresem np. hostowanie w systemie do wysyłki e-maili, backupowanie?
Zwykły transport danych osobowych wymaga uprawnienia dostępu do danych, tym bardziej przechowywanie tych danych w systemach podwykonawców np. we Freshmailu.
2. Idąc dalej, w dokumentacji wew. wymaganej przez rozporządzenie trzeba umieścić procedury bezpieczeństwa, architekturę bazy, systemy zabezpieczeń, listę osób mających dostęp itd. To, że korzystam z freshmaila oznacza, że przekazuję do freshmaila dane osobowe i jestem odpowiedzialny za to, co freshmail zrobi z tymi danymi.
Co z dokumentacją do wymaganą rozporządzeniem?
W jaki sposób freshmail gwarantuje, że dane są bezpieczne tzn. w jakim stopniu na podstawie umowy klient - freshmail można przenieść odpowiedzialność na freshmail?
nie popadajcie w paranoje, istnieją wyłączenia od stosowania pewnych przepisów ustawy, wystarczy ją poczytać to nie boli, a kwestia ochrony danych osobowych w dzisiejszych czasach jest bardzo istotna
mam pytanie gdzie jest ten formularz do wypełnienia bo szukałem i nie mogę znaleźć.
Formularz zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi oraz praktyczne wskazówki dotyczące jego wypełnienia znajdziemy tutaj:
http://www.giodo.gov.pl/389/j/pl/
http://www.giodo.gov.pl/389/j/pl/
Zastanawia to, co już można nazwać bazą danych a co jeszcze nie. W szczególności interesuje mnie:
1) Jeśli mam program pocztowy zainstalowany na komputerze - czy muszę rejestrować mój komputer jako bazę danych osobowych?
2) Na telefonie komórkowym mam książkę adresową - imię, nazwisko, firma, telefon, email itp - czy to też muszę rejestrować (telefon używany także do celów bieznesowych, jeśli tak można określić)?
3) Korzystam z poczty przez www (gmail) - czy i jesli tak, to jak mam to zarejestrować?
4) Jeśli założę serwis korzystający z OpenID (lub innej metody zewnętrznej autentykacji), to czy muszę go rejestować?