Serwis internetowy, a GIODO

[sentinel]

Witam

Planuję stworzenie większego serwisu z ogłoszeniami. Serwis nie będzie posiadać rejestracji, natomiast w przypadku dodawania ogłoszeń - będzie można podać e-mail, imię, telefon i miejscowość (wszystkie dane oprócz e-maila będą widoczne na podstronie ogłoszenia). Z tego co mi się wydaje, to taki serwis powinien rejestrować bazę w GIODO, a dane podlegające rejestracji to takie, po których można zidentyfikować osobę. Próbuję dostosować serwis w taki sposób, aby nie było to konieczne - może istnieją jakieś sprawdzone metody (np. punkty w regulaminie), które zwalniają z obowiązku rejestracji bazy do giodo? Bądź może ktoś udzieliłby wskazówki co do serwisu z ogłoszeniami jak go zorganizować w tej kwestii ?
Jeżeli natomiast jest to konieczne, to prawnik powiedział, że może mi napisać formularz zgłoszenia, politykę bezpieczeństwa oraz
instrukcję zarządzania systemem informatycznym, natomiast nie wiem co dalej Czy mógłby ktoś mi "na chłopski rozum" napisać jak wyglądałaby moja rola w przypadku zarejestrowania zbioru danych osobowych w giodo? Zaznaczam, że jestem osobom prywatną.

[damtox_pl]

Jeżeli prowadzisz serwis w którym gromadzone są wszelkie dane kontaktowe, to musisz ich o tym poinformować Wydaje mi się, że tego nie ominiesz...

[MGS]

Obowiązek rejestracji to tylko jeden z wielu, które spoczywają na administratorze danych osobowych, jeśli przetwarzasz jakiekolwiek dane osobowe w systemie informatycznym to masz bezwzględny ustawowy obowiązek zabezpieczyć je zgodnie z wymaganiami ustawy a zatem bez względu na rejestrację nie ominie Cie chociażby stworzenie dokumentacji : polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym lub pozyskanie zgód i dopełnienie obowiązku informacyjnego.
Jeśli chodzi o dane, o których piszesz a które będą publikowane na podstronie z ogłoszeniem to można by było doszukać się podstawy zwolnienia z obowiązku rejestracji na podstawie art.43 ust.1 pkt 9 ( zbiór danych powszechnie dostępnych nie podlega obowiązkowi rejestracji) zakładając, że wszystkie dane osobowe, które podaje ogłoszeniodawca zostaną w ogłoszeniu wyemitowane a zatem upublicznione (uwaga, na upublicznienie danych potrzebna jest zgoda osób, których dane dotyczą i niezbędne będzie uzyskanie zgody na samo przetwarzanie takich danych osobowych!). Sprawa się komplikuje, jeśli któraś z danych osobowych upubliczniana nie będzie - tak jak adres email. Tutaj nasuwa się pytanie w jakim celu zbierasz te adresy email, czy podlegają archiwizacji, czy ogłoszenia będą publikowane w jakimś określonym przedziale czasu i potem usuwane czy będą jakoś potem archiwizowane. Kluczową sprawą jest w sumie mechanizm zamieszczania tych ogłoszeń w portalu i ich tzw. żywotności.
Za mało informacji podałeś żeby w sposób jednoznaczny wskazać czy istnieje przesłanka do zwolnienia wszystkich zbiorów z obowiązku rejestracji, ja rzucam tylko sugestię że możliwe że tak.

Bez wątpienia adminsitratorem danych osobowych będziesz więc powinieneś przygotować: politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym, klauzule zgód i informacyjne, upoważnienia dla osób które dopuszczasz do przetwarzania danych osobowych z Twoich zbiorów, ewidencję tychże upoważnień...ufff..na początek tyle..Po przygotowaniu dokumentacji Twoja rola będzie polegała głównie na sprawdzaniu skuteczności zabezpieczeń opisanych w instrukcji zarządzania systemem ( w praktyce : skanowanie antywirusowe, aktualizacje oprogramowania, zmiana haseł minimum co 30 dni etc.), prowadzaniu ewidencji upoważnień i wydawaniu upoważnień, usuwaniu danych na życzenie osób których dotyczą.

Aa... jeszcze jedno osoby, których dane dotyczą muszą mieć możliwość dostępu do nich i możliwość ich poprawiania - edycji, to jeszcze przypominam.

[sentinel]

Dziękuję za odpowiedź.

Mam jeszcze takie pytania:

1. Jeżeli otworzę serwis ogłoszeniowy dla firm to chyba nie będzie trzeba go rejestrować w GIODO? (z uwagi, że dane firm są danymi publicznie dostępnymi), jednak co się stanie, kiedy w takim serwisie osoba prywatna doda ogłoszenie podając swój prywatny e-mail, który nie będzie opublikowany?

2. Jak wygląda sprawa z adresami IP? Praktycznie każdy serwis internetowy przechowuje numer IP użytkowników. Ze strony GIODO nie wynika jasno, czy jest on daną osobową, gdyż trzeba wziąć pod uwagę, że sporo osób może używać zmiennego IP lub serwerów proxy.

[MGS]

Dziękuję za odpowiedź.

Mam jeszcze takie pytania:

1. Jeżeli otworzę serwis ogłoszeniowy dla firm to chyba nie będzie trzeba go rejestrować w GIODO? (z uwagi, że dane firm są danymi publicznie dostępnymi), jednak co się stanie, kiedy w takim serwisie osoba prywatna doda ogłoszenie podając swój prywatny e-mail, który nie będzie opublikowany?

2. Jak wygląda sprawa z adresami IP? Praktycznie każdy serwis internetowy przechowuje numer IP użytkowników. Ze strony GIODO nie wynika jasno, czy jest on daną osobową, gdyż trzeba wziąć pod uwagę, że sporo osób może używać zmiennego IP lub serwerów proxy.

Ad. 1.
Od dnia 1.01.2012 dane przedsiębiorców prowadzących jednoosobowe działalności gospodarcze podlegają już regulacjom Ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych.

Ad.2.
Międzynarodowa komisja europejska pracująca na europejskim prawem ODO uznała, iż zarówno adres IP jak też pliki cookies należy traktować jako dane osobowe. Nasz GIODO musiał więc także przyjąć takie stanowisko.
Ogólnie tendencja jest taka, że jeśli istnieje jakiekolwiek prawdopodobieństwo, że dzięki danej informacji będziemy mogli zidentyfikować człowieka to już taki typ informacji trzeba uznać za daną osobową.

[sentinel]

Dziękuję za odpowiedź

Zastanawia mnie również jedna kwestia - pewien prawnik powiedział mi, że kluczową rolę odgrywa również czas przechowywania danych. Czy zatem zmieniłoby się coś, jeżeli serwis przechowywałby dane o użytkowniku np. przez miesiąc? (przykładowo użytkownik dodaje ogłoszenie, które wygasa po miesiącu)

[Subduer]

A jak to jest z osobami bez działalności?
Prowadzę serwis, w którym powiedzmy są zbierane dane osobowe do newslettera, cokolwiek...

No i co dalej? Bo przy zgłaszaniu elektronicznie dostaje takie info, że wymagają ode mnie:
[...]wydruk zgłoszenia przesłanego elektronicznie podpisem i pieczątką wnioskodawcy, i przesłać pocztą lub złożyć w siedzibie Generalnego Inspektora Ochrony Danych Osobowych[...]

Osoba bez działalności nie ma pieczątki

[Krzysztof80]

Byłem ostatnio na szkoleniu dotyczącym zgłaszania baz do GIODO i o dziwo osoba prowadząca twierdziła, że dane typu Imię, nazwisko, telefon, email nie wymagają zgłoszenia do GIODO. Jeżeli cechy są indywidualne takie jak wzrost, pesel, data urodzenia to wtedy takowa baza musi być zgłoszona. Więc większość z nas nie musi takowych baz zgłaszać.

[Tomekp77]

dane typu Imię, nazwisko, telefon, email nie wymagają zgłoszenia do GIODO

To w końcu jak? Bo tez chce uruchomic serwis ogłoszeniowy. Wszystkie dane które bede pobierał od uzytkownika bede upubliczniał w ogłoszeniu (telefon, mail, miejscowosc - obowiazkowe, reszta opcjonalne). I nie wiem czy mam zgłaszać taką baze. Ponadto jeśli mam zgłaszać to jak utworzyć dokument typu polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym?

[Karek]

Trzeba zgłaszać do GIODO bazy zawierające dane osobowe, czyli informacje umożliwiające identyfikację osoby.

aaaa@wp.pl to nie są dane ale kowalski.adam@nazwafirmy.pl już tak.

Oj coś te szkolenia były mało warte.

Adresy e-mail to też dane osobowe podlegające ochronie
http://www.rp.pl/artykul/514327.html

dostęp niestety płatny

http://ostium.pl/czy-email-to-dane-osobowe/