Skocz do zawartości


 

Sklep internetowy, GIODO

Sklep internetowy, GIODO

  • Proszę się zalogować aby odpowiedzieć
11 odpowiedzi na ten temat

Sklep internetowy, GIODO

#1 Gość_mariaczi_*

Gość_mariaczi_*
  • Goście

Napisany 15 czerwiec 2016 - 07:24

Cześć.

 

Czy chcąc prowadzić sklep internetowy czy to na jakimś otwartym CMSie czy szytym na miarę wymagana jest rejestracja w GIODO? Czy wystarczy, że serwerownia ma podpisane takie dokumenty?


  • 0

#2 strefapc

strefapc

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 608 postów
  • Skąd:Białystok
  • Firma:PHU StrefaPC
  • Imię:Piotr
  • Nazwisko:Wyszyński

Napisany 15 czerwiec 2016 - 07:28

Co ma serwerownia do sklepu klienta? Właściciel sklepu przetwarza dane osobowe klientów nie serwerownia i on ma obowiązek zarejestrowania tego w GIODO.


  • 0

#3 N0Name

N0Name

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 849 postów
  • Skąd:PL / DE
  • Firma:STYL-SPORT.pl
  • Imię:Szymon

Napisany 15 czerwiec 2016 - 08:17

Oczywiście że ty jako właściciel zgłaszasz sklep do giodo bo to twoja firma będzie przetwarzać dane, ty jedynie z firmą hostingową możesz podpisać umowę o bezpieczne powierzenie tych danych. Nie zgłoszenie sklepu może być naprawdę nieprzyjemne w skutkach zwłaszcza jak ktoś ma duże obroty.


Edytowany przez N0Name, 15 czerwiec 2016 - 08:19.

  • 0

#4 blfr

blfr

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 1208 postów

Napisany 15 czerwiec 2016 - 10:13

Co ma serwerownia do sklepu klienta?


Serwerowni powierzasz dane, więc nie tylko sam musisz bazę zgłosić, ale jeszcze mieć umowę ze swoim hostingodawcą odpowiednią. O ile dobrze rozumiem, taka umowa jest konieczna, a nie opcjonalna.

Edytowany przez blfr, 15 czerwiec 2016 - 10:14.

  • 0

#5 strefapc

strefapc

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 608 postów
  • Skąd:Białystok
  • Firma:PHU StrefaPC
  • Imię:Piotr
  • Nazwisko:Wyszyński

Napisany 15 czerwiec 2016 - 10:42

Kiedy wymagane jest podpisanie "Umowy o powierzeniu danych osobowych".

Podpisanie umowy niezbędne jest :
W przypadku, gdy z natury świadczonej przez dostawcę usługi wynika iż posiądzie on wiedzę o zgromadzonych w systemie danych.
- Administracja bazą danych lub aplikacją służącą do przetwarzania danych.
- Administracja całym systemem operacyjnym i aplikacjami.
- Odzyskiwanie danych.
- inne o ile z zawartej umowy o świadczenie usługi wynika iż usługodawca ma wykonywać działania na danych osobowych.

Podpisanie umowy nie jest konieczne:
W przypadku, gdy dostawca dostarcza jedynie platformę sprzętową, bądź systemową, a umowa o usługi nie definiuje charakteru danych, ani nie obliguje usługodawcy do działań na nich.
- Hosting (bez administracji)
- Serwer dedykowany (bez administracji)
- Konta shellowe
- Sewer VPS (bez administracji)

Czyli umowa jest niezbędna, gdy usługodawca ma wykonywać logiczne i świadome operacje na zgromadzonym zbiorze.

Dodatkowo należy pamiętać, że podpisanie "Umowy powierzenia przetwarzania danych osobowych" nie zmniejsza ani odpowiedzialności , ani obowiązków "Administratora", którym zawsze z mocy Ustawy pozostaje podmiot zleceniodawca.

 


  • 0

#6 blfr

blfr

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 1208 postów

Napisany 15 czerwiec 2016 - 11:22

Kiedy wymagane jest podpisanie "Umowy o powierzeniu danych osobowych".


Co to za informacja? Kto tak twierdzi i na jakiej podstawie?
  • 0

#7 strefapc

strefapc

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 608 postów
  • Skąd:Białystok
  • Firma:PHU StrefaPC
  • Imię:Piotr
  • Nazwisko:Wyszyński

Napisany 15 czerwiec 2016 - 11:46

Co to za informacja? Kto tak twierdzi i na jakiej podstawie?

 

Wytyczne GIODO (źródło http://www.giodo.gov.pl/) :

"Zgodnie z art. 31 ust. 1 ustawy powierzenie przetwarzania danych osobowych musi być dokonane w formie umowy, która określi m.in. jego zakres oraz zadania i obowiązki podmiotu, któremu przetwarzanie zostaje powierzone. Nie każda zatem umowa hostingu stron internetowych może być uznana za umowę powierzenia przetwarzania danych osobowych. Z sytuacją powierzenia przetwarzania danych osobowych będziemy mieli do czynienie tylko wtedy, gdy zawarta umowa spełniać będzie wymagania określone w art. 31 ustawy. Oznacza to, że musi być ona sporządzona w formie pisemnej i wskazywać cel oraz zakres przetwarzania. Jeżeli usługa hostingu sprowadza się wyłącznie do dzierżawy miejsca na serwerze, to w zakresie przetwarzania danych powinien się znaleźć co najmniej obowiązek odpowiedniego zabezpieczenia przetwarzanych danych przed nieupoważnionymi zmianami lub zniszczeniem. Ponadto, jeżeli powierzający przetwarzanie nie wykonuje kopii zapasowej przetwarzanego zbioru danych u siebie, to obowiązek ten musi być wykonywany przez podmiot hostujący, co również powinno być zawarte w umowie.
Jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy, to podlega on postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12-15 tej ustawy."


  • 0

#8 blfr

blfr

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 1208 postów

Napisany 15 czerwiec 2016 - 12:09

Czyli nawet wynajęcie tylko miejsca pod dane wymaga umowy
 

Jeżeli usługa hostingu sprowadza się wyłącznie do dzierżawy miejsca na serwerze, to w zakresie przetwarzania danych powinien się znaleźć co najmniej obowiązek odpowiedniego zabezpieczenia przetwarzanych danych przed nieupoważnionymi zmianami lub zniszczeniem.


sprzecznie z tym, co wklejałeś wyżej
 

Podpisanie umowy nie jest konieczne:
W przypadku, gdy dostawca dostarcza jedynie platformę sprzętową, bądź systemową, a umowa o usługi nie definiuje charakteru danych, ani nie obliguje usługodawcy do działań na nich.
- Hosting (bez administracji)
- Serwer dedykowany (bez administracji)
- Konta shellowe
- Sewer VPS (bez administracji)

Czyli umowa jest niezbędna, gdy usługodawca ma wykonywać logiczne i świadome operacje na zgromadzonym zbiorze.


  • 0

#9 strefapc

strefapc

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 608 postów
  • Skąd:Białystok
  • Firma:PHU StrefaPC
  • Imię:Piotr
  • Nazwisko:Wyszyński

Napisany 15 czerwiec 2016 - 12:49

Wynajmując serwer w DC bez administracji sam musisz zapewnić sobie zabezpieczenie danych przed niepowołanym dostępem, zmianami czy tez zniszczeniem. DC nie zapewnia w 100%, że np dysk padnie i przez to utracisz dane.

Każde DC(chyba, że w garażu) ma odpowiednie zapisy w regulaminie odnośnie dostępu do wynajmowanych urządzeń więc nie ma potrzeby podpisywania dodatkowych umów, gdyż nie przetwarza ani nie administruje danymi znajdującymi się na serwerze.

W naszym kraju nie dość, że są "pomerdane" przepisy to dodatkowo sami próbujemy jeszcze je sobie zagmatwać.


  • 0

#10 Hekko.pl

Hekko.pl

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 1730 postów
  • Skąd:Gdynia
  • Firma:H88 S.A.

Napisany 15 czerwiec 2016 - 17:07

Naszym zdaniem samo DC nie potrzebuje takich zapisów, ale już Klient - owszem. Chodzi o to, że właściciel sklepu jest administratorem danych, natomiast firma hostingowa jest ich procesorem w rozumieniu przepisów o ochronie danych osobowych.

 

Fakt: 

Nie każda umowa na hosting (kolokację, dedyka, vps) jest umową powierzenia danych osobowych. Można przetwarzać dane nie mając w ogóle świadomości, że są danymi osobowymi, albo po prostu dane, które nimi faktycznie nie są. Jako Klient nie potrzebujesz pisemnej umowy powierzenia przetwarzania jeśli danych takich nie przetwarzasz.

 

Mit:

Data center jest "zgodne z GIODO" i to wystarczy. ABSOLUTNIE NIE WYSTARCZY. Jako Klient, na przykład właściciel sklepu, musisz spełnić szereg prawnych wymogów związanych z legalnym, zgodnym przepisami administrowaniem danymi osobowymi. To, że serwer kupujesz w jakiejś firmie oznacza, że pewne operacje na danych są przez tą firmę wykonywane, np. backupowanie, wymiana dysków itp. Co za tym idzie - Ty jako administrator danych musisz mieć zawartą w tym zakresie umowę powierzenia przetwarzania danych osobowych. Tak więc "serwerownia zgodna z GIODO" i tym podobne zapisy nic nie znaczą. To TY masz być zgodny z przepisami, a nie operator, bo to Ty jesteś administratorem danych. Technicznie tylko w pewnym zakresie powierzyłeś je firmie hostingowej (na podst. umowy powierzenia zawartej na piśmie). Akurat w naszym zespole są osoby, które uczestniczyły już w kontrolach GIODO, więc "nie zgadujemy".

 

Pisemna umowa powierzenia nie zwalnia Cię w żaden sposób z pozostałych obowiązków administratora danych.

Ponieważ wielu Klientów, podobnie jak Ty, o te zagadnienia pyta, to nieco więcej informacji znajdziesz na naszym blogu tutaj:

http://blog.hekko.pl...na-stronie-www/

 

Przyjemnej lektury!

 


  • 0

#11 siebek

siebek

    Nowy użytkownik

  • Użytkownicy
  • 10 postów
  • Skąd:Gołdap
  • Imię:Sebastian
  • Nazwisko:Liwak

Napisany 16 czerwiec 2016 - 08:34

Tak dopełniając nieco z innej perspektywy - nie musisz zgłaszać zbioru jeśli powołasz ABI i a zbiór nie zawiera danych wrażliwych.


  • 0

#12 Hekko.pl

Hekko.pl

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 1730 postów
  • Skąd:Gdynia
  • Firma:H88 S.A.

Napisany 16 czerwiec 2016 - 13:27

Dokładne tak, jak mówi siebek - w przytoczonym artykule też wspominamy o tej nowelizacji z 2015 roku, która wprowadziła takie możliwości dla powołujących ABI.

 

@mariaci - Pamiętaj tylko, że zgłoszenie dokumentacji to jedno, a jej rzetelne prowadzenie to drugie. Nawet jeśli nie musisz zgłaszać - musi być ona prowadzona, żeby w razie płaczu nie było kontroli. Tu kłania się odpowiedzialność ABI, ale nie ma co chyba rozwijać już tak bardzo tych zagadnień. Najważniejsze: piłeczka jest głównie u Ciebie i taka umowa jest w Twoim interesie. Zgodność operatora hostingu z przepisami nie "przenosi się" automatycznie na Klientów firmy hostingowej, a dopiski typu "Serwerownia zgodna z GIODO" nijak się mają do ewentualnej wizyty dwóch smutnych panów pytających Cię nie tylko o umowę powierzenia przetwarzania, ale o całą dokumentację związaną z przetwarzaniem danych osobowych (więcej  o tym w przytoczonym wyżej wpisie z naszego bloga).

 

PS - Jeśli potrzebujesz pomocy z przygotowaniu takiej dokumentacji - daj znać na priv, możemy polecić specjalistyczne kancelarie, które się na tym znają.


  • 0





0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników