Rejestracja list adresowych w Giodo

[Tomasz Fabiszak]

sensownym rozwiązaniem dla sklepu internetowego jest platforma istore.pl, która bierze na siebie funkcję Administratora Bezpieczeństwa Informacji (ABI), właściciel sklepu powierza przetwarzanie danych i na wniosku wskazuje się firmę Allegro właściciela iStore.pl

Cenna informacja dla właścicieli sklepów internetowych I wygodne rozwiązanie.

Trzeba jednak pamiętać, że nawet powyższe rozwiązanie nie zwalnia właściciela sklepu z odpowiedzialności za dane osobowe Klientów. Dostaje się know-how od Allegro, przekazując upoważnienie do przetwarzania danych osobowych w imieniu administratora danych (firmy/właściciela sklepu), a tym samym część zadań zabezpieczających dane (ale nie odpowiedzialność). Nadal jednak trzeba kontrolować Allegro i mieć pieczę nad ich działalnością.
Oczywiście na platformie sklepowej można sprawdzić mniej, niż na własnym hostingu, więc weryfikuje się głównie dokumenty i procedury.

[autofolie]

Podczas weekendu miałem okazję porozmawiać z osobą, która jest ABI w jednej z firm hostingowych i pokazałem jej artykuł z bloga istore o GIODO
http://blog.istore.pl/2010/04/19/ochron ... rnetowych/
Jednak zauważył on, że pomija on że pomija on istotnych aspektów wskazanych przez ustawę i wprowadza czytelników w błędy.

Oczywiście oprogramowanie prawdopodobnie spełnia wymogi nakładane przez ustawę.

Artykuł prezentuje treści niezgodne z ustawą oto kilka przykładów:
1. Adminstrator danych w świetle ustawy ma jedynie obowiązek wyznaczyć Administratora Bezpieczeństwa Informacji lub sam może pełnić jego funkcję ( Rozdział 5, Art.36 punkt 3) - proszę zapytać, skoro mówią o wyznaczeniu adminsitratora czy będzie on obecny i będzie odpowiadał karnie za niedopełnienie w Pana firmie regulacji ustawowych bo na tym polega funkcja ABI m.in.
2. W artykule nie ma wspomniane ani słowem, że Administrator Danych ma obowiązek prowadzić odpowiednią dokumentację. ( Rozdział 5, Art. 36 Ustawy, punkt 2)
3. Fakt pobierania danych do realizacji zamówienia nie zwalnia z obowiązku rejestracji ( lista zwolnień z rejestracji : Rozdział 5 Ustawy, Art.43)

Ponadto nie zwalnia to naszej firmy z posiadania Polityki Bezpieczeństwa Informacji i Instrukcji Zarządzania Systemem Informatycznym, a w całym tym zamieszaniu z rejestracją to właśnie te dwa dokumenty stanowią trudność lub koszt jeżeli chcemy go stworzyć sami lub wynająć firmę, która to zrobi. Jednocześnie wybierając oprogramowanie sklepu internetowego warto zapytać czy spełnia ono wymogi ustawy nakładane przez ustawę

[Krzysztof Krawczyk]

Być może to nie ładnie przyjść tutaj i od razu reklamować się. Zauważyłem jednak, że są tutaj osoby, które interesują się tematem ochrony danych osobowych. Na to forum trafiłem poprzez jednego z moich Klientów, któremu doradzałem w tej kwestii. Jeżeli ktoś szuka informacji na temat ochrony danych osobowych i GIODO to zapraszam na mój blog o ochronie danych osobowych. Chętnie pomogę i odpowiem na nurtujące Was pytania

[tommek111]

Witam,
czy ma jakieś znaczenie to, że adresy emailowe będą zapisane w bazie w zaszyfrowanej formie? Czy w takiej formie będą to dalej dane osobowe?

[Tomasz Fabiszak]

Witam,
czy ma jakieś znaczenie to, że adresy emailowe będą zapisane w bazie w zaszyfrowanej formie? Czy w takiej formie będą to dalej dane osobowe?

Hej Tommek,
Na sam fakt obowiązku zgłoszenia nie ma to znaczenia. Zbierasz i przechowujesz dane osobowe.
To, że chcesz je przechowywać w formie zaszyfrowanej, może być plusem (zależy jeszcze od algorytmów szyfrowania i sposobów transmisji między serwerem bazy a serwerem www oraz między serwerem www, a użytkownikami).
Forma i sposób przechowywania danych osobowych (które powinieneś opisać w Polityce Bezpieczeństwa) może zwiększyć zaufanie do Ciebie i poczucie bezpieczeństwa Twoich Klientów.

[Krzysztof Krawczyk]

Witam,
czy ma jakieś znaczenie to, że adresy emailowe będą zapisane w bazie w zaszyfrowanej formie? Czy w takiej formie będą to dalej dane osobowe?

Na pewno będą to dalej dane osobowe. Szyfrując dane po prostu je lepiej zabezpieczasz. Ochrona kryptograficzna jest wskazana na poziomie bezpieczeństwa wysokim, który ma zastosowanie kiedy posługujemy się do przetwarzania serwerem zdalnym