GIODIO i ochrona danych osobowych

[PeterRiley 0]

No i sprawa ssl. Nie bez powodu home w swojej podstawowej ofercie oferuje ssl dla domyślnego konta. Skoro jest w opcji umożliwienie urochomienia sklepu to i musi być ssl. Zgodnie z przepisami o przechowywaniu i gromadzeniu danych osobowych klientów.

Możesz podać podstawę prawną?

[kviat 0]

Btw. taki maly hint, do wszystkich... Od tego jest helpdesk, a nie ten watek. To nic nie przyspieszy - mamy swoj rytm pracy, nie traktujemy zgloszen z WHT priorytetowo. Jak ktos bedzie zadowolony lub niezadowolony to i tak to napisze tu czy w innym miejscu. Nie ma wiekszego sensu zadawac tu pytan - jest helpdesk / infolinia.

 

To nie było pytanie tylko stwierdzenie faktu. I nie napisałem, że jestem niezadowolony.

Nie takie były moje intencje. Na tym forum ludzie wystawiają swoją opinię o hostingach i ja przekazuję swoje pierwsze wrażenia ze zmiany hostingu z home do progreso (zgodnie z tematem zresztą). I w żadnym razie nie miało to spowodować przyśpieszenia czegoś, czego się nie da. Nie każdy pracuje po nocach jak ja i zdaję sobie z tego sprawę. Jednak niezrozumiałym jest dla mnie jest fakt uzależnienia zmiany techinicznej od pracy księgowości. Tym bardziej, że chodzi o konto testowe i jeszcze nie ma mowy o jakichkolwiek płatnościach i cenach. Jaka będzie cena to zależy od tego które konto wybiorę, a nie od tego jaką dostanę fakturę proforma od księgowości.

 

CYTAT(kviat @ 27.09.2006, 04:28) *

No i sprawa ssl. Nie bez powodu home w swojej podstawowej ofercie oferuje ssl dla domyślnego konta. Skoro jest w opcji umożliwienie urochomienia sklepu to i musi być ssl. Zgodnie z przepisami o przechowywaniu i gromadzeniu danych osobowych klientów.

 

Możesz podać podstawę prawną?

 

Proszę:

Dz.U.02.101.926 USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

 

a w szczególności:

Art. 3 pkt 2

Ustawę stosuje się również do osób fizycznych i prawnych oraz jednostek organizacyjnych niemających osobowości prawnej, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

 

Art. 7 Ilekroć w ustawie jest mowa o:

2) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,

 

Art 7

2a) systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,

 

2b) zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,

 

W/g mnie stosownym środkiem technicznym (pewnie nie jedynym) jest właśnie protokół ssl i pewnie celowo ustawa nie precyzuje jakie to konkretnie środki techniczne ze względu na szybke zmiany w tej dziedzinie.

 

Jeżeli nie ma ssl to jak *zapewnić* ochronę przed nieuprawnionym przetwarzaniem jeżeli dane osobowe z www lecą do serwera otwartym tekstem przez licho wie ile kabli po drodze?

[PeterRiley 0]

W/g mnie stosownym środkiem technicznym (pewnie nie jedynym) jest właśnie protokół ssl i pewnie celowo ustawa nie precyzuje jakie to konkretnie środki techniczne ze względu na szybke zmiany w tej dziedzinie.

 

Jeżeli nie ma ssl to jak *zapewnić* ochronę przed nieuprawnionym przetwarzaniem jeżeli dane osobowe z www lecą do serwera otwartym tekstem przez licho wie ile kabli po drodze?

Mowa jest o przechowywaniu danych po ich otrzymaniu. Dane leca po kablu bo uzytkownik je wlasnorecznie wysyla, ale sklep odpowiada za nie dopiero w momencie gdy je otrzyma.

Twierdzenie, ze przepisy nakazuja sklepom uzywanie protokolu SSL jest ogromnym naduzyciem. Po prostu wprowadzasz ludzi w blad i tyle.

 

Rzadko ktory sklep czy uslugodawca internetowy uzywa SSL do wysylania danych klienta. Wskaz moze jakas sprawe, w ktorej sąd czy jakiś urząd nakazal sklepowi takie postepowanie.

[kviat 0]

Mowa jest o przechowywaniu danych po ich otrzymaniu. Dane leca po kablu bo uzytkownik je wlasnorecznie wysyla, ale sklep odpowiada za nie dopiero w momencie gdy je otrzyma.

Twierdzenie, ze przepisy nakazuja sklepom uzywanie protokolu SSL jest ogromnym naduzyciem. Po prostu wprowadzasz ludzi w blad i tyle.

 

Twierdzenie, że tak nie jest jest lekkomyślnością. Ustawa odróżnia proces przetwarzania i proces przechowywania. I oba procesy mają być bezpieczne.

Użytkownik je wpisuje i własnoręcznie klika "wyślij" ale to na tobie ciąży obowiązek zapewnienia tym danym bezpieczeństwo podczas przesyłania.

 

Skoro nie chce ci się poszukać to zrobię to za ciebie. Dla potomności, bo jeszcze ktoś kto będzie chciał otworzyć slep uwierzy w to co piszesz, a resztę forumowiczów przepraszam za OT.

 

Rzadko ktory sklep czy uslugodawca internetowy uzywa SSL do wysylania danych klienta. Wskaz moze jakas sprawe, w ktorej sąd czy jakiś urząd nakazal sklepowi takie postepowanie.

 

Nie znam takiej sprawy osobiście, ale jak w końcu komuś wlepią karę za lekceważenie danych osobowych klientów to znając realia i tak będzie za mała żeby niektórzy zrozumieli.

To, że rzadko który sklep używa oznacza w/g ciebie że jest to niepotrzebne? Jeżeli masz takie podejście do swoich klientów to niechciałbym być twoim klientem.

 

Przeczytałeś chociaż tę ustawę? Proces przetwarzania to nie tylko przechowywanie.

Nieznajomość prawa szkodzi. Wystarczy wpisać w google "wyniki kontroli sklepów internetowych" i już możesz perzeczytać raport, z którego wynika, że na 200 kontrolowanych sklepów tylko 3 (słownie: trzy) spełniały wszystkie warunki kontroli.

 

http://tinyurl.com/p7fdj

 

fragmenty raportu ze str.23 dla nieklikaczy:

Powszechną praktyką jest obowiązek rejestracji i podania przez konsumenta swoich

danych, jeśli zamierza się zrobić zakupy. Pożądane byłoby, gdyby pasek gdzie

wpisuje się adres internetowy, zaczynał się od https:// (a nie od http://). Zwiększa

to bezpieczeństwo przesyłanych danych oraz jest wyrazem poważnego traktowania

przez e-przedsiębiorcę kwestii bezpieczeństwa danych klientów.

Niestety, na ogół przesyłanie danych podczas rejestracji nowego klienta nie jest

szyfrowane.

oraz

Ciekawostką był jeden przypadek witryny, gdzie symbol kłódki, owszem, był

umieszczony, ale tylko jako ilustracja na stronie.

 

A tu inny link z bardziej świeżymi danymi:

http://www.federacja-konsumentow.org.pl/story.php?story=452

# Ponad połowa stron e-sklepów nie wspomina ani słowem o bezpieczeństwie dostarczanych przez konsumenta danych w ramach przekazywania danych i płacenia za towary/usługi,

# Rzadkością jest, aby przesyłanie danych podczas rejestracji nowego klienta było szyfrowane,

# 43% stron sklepów internetowych nie informuje, mimo ustawowego wymogu, o tym, że konsument ma dostęp do swoich danych: możliwość wglądu, poprawiania, aktualizacji i usunięcia,

 

Resztę sam sobie poczytaj.

 

Wiele tematów na forach jest o nastolatkach oferujących usługi hostingowe bez możliwości wystawienia faktury. Dziwią się strasznie, że po założeniu działalności trzeba jakieś zusy płacić, PITy rozliczać, a VAT to czarna magia.

I tak samo jest ze sklepami. Myślą, że skoro warzywniak za rogiem nie musi mieć ssl to sklep internetowy też nie. Naczyta się gdzieś, że "rzadko który sklep używa ssl" i jest dobrze (nie mówiąc o wystawieniu faktury czy paragonu) ale już nie przeczyta, że sklep nie przeżył nawet pół roku.

Bo jak ktoś zaczyna od braku szacunku dla swoich klientów to tak właśnie kończy. Pomijając nawet spełnienie wymogów prawnych.

 

I dlatego (wracając do tematu) uważam, że ktoś kto reklamuje swój hosting jako nadający się do prowadzenia sklepu internetowego, powinien udostępniać ssl w standardzie. Nie jako "opcja". W przeciwnym wypadku - gdy ssl z przyczyn technicznych nie jest możliwy - powinien być dopisek, coś w rodzaju "oferta nie spełnia wszystkich wymogów do zainstalowania sklepu internetowego".

Wiem, wiem to mało marketingowe

Ale zawsze można to odwrócić i w ofercie, która ma ssl zrobić dopisek, "oferta spełnia wymogi dla sklepu internetowego".

[Piotr Mikołajski 0]

Powszechną praktyką jest obowiązek rejestracji i podania przez konsumenta swoich

danych, jeśli zamierza się zrobić zakupy. Pożądane byłoby, gdyby pasek gdzie

wpisuje się adres internetowy, zaczynał się od https:// (a nie od http://).

 

Ja tak odrobinę OT - ten cytat nie potwierdza obowiązku, a jedynie informuje, że szyfrowanie byłoby pożądane. Różnica jest zasadnicza.

[kviat 0]

Ja tak odrobinę OT - ten cytat nie potwierdza obowiązku, a jedynie informuje, że szyfrowanie byłoby pożądane. Różnica jest zasadnicza.

 

W/g mnie to jasno wynika z Art.7 pkt 2b) ustawy o ochronie danych osobowych.

 

Pewnie to spór dla prawników wynikający z braku praktyki sądowniczej i niskiej świadomości zagadnień informatycznych wśród "starej" kadry. Czytając pl.internet.mordplik można się dowiedzieć ile trzeba przejść, żeby pociągnąć kogoś do odpowiedzialności za rozsyłanie spamu w naszym kraju. Termin ten, również nie jest jasno sprecyzowany stąd takie marne efekty, a nikt z nas chyba nie ma wątpliwości, że spam jest łamaniem prawa.

Dobrym przykładem są również opisy ludzi próbujących zgłosić na policję przestępstwa związane z Allegro i spotykają się tam z kompletnym niezrozumieniem.

Z bezpieczeństwem danych osobowych jest tak samo - przepisy są, środki techniczne też, a świadomość i praktyka marniutka.

Ludzie w naszym kraju jeszcze się nie nauczyli szacunku do swoich danych osobowych. Przepisy wprowadzono żeby gonić bardziej rozwiniętych, ale zapomniano powiedzieć po co. I dopóki potrzeba ochrony danych nie będzie wynikać z wewnętrznej potrzeby klientów i sprzedawców (i organów ścigania), tak długo przepis będzie martwy.

 

Filtr antyspamowy jest zabezpieczeniem skrzynki pocztowej i porządny hostingodawca taki filtr zapewnia, a czy ktoś z tego korzysta to jego sprawa. I tak samo powinno być z ssl.

 

I żeby nie być całkiem OT to właśnie home ma ssl w standardzie dla wszystkich planów hostingowych, a progreso nie.

[PeterRiley 0]

Ustawa odróżnia proces przetwarzania i proces przechowywania.

A przesyłanie danych przez klienta to "przetwarzanie" czy "przechowywanie"?

Ani jedno ani drugie. Podane przez Ciebie przykłady to tylko zalecenia - "dobrze byłoby", "pożądane jest" itd. Podkreślmy jeszcze raz - przepisy nie nakazują sklepom stosowania SSL. Tylko Ty interpretujesz w ten sposób przepisy.

 

Użytkownik je wpisuje i własnoręcznie klika "wyślij" ale to na tobie ciąży obowiązek zapewnienia tym danym bezpieczeństwo podczas przesyłania.

Bzdura. Jak mogę być odpowiedzialny za dane, które do mnie nie dotarły? Podaj konkretny przepis, który mówi, że odpowiadam za dane od chwili wysłania ich przez użytkownika, a nie od chwili otrzymania ich przeze mnie. Jeśli nie znasz takiego przepisu, pozostaje "przechowywanie" i "przetwarzanie" które może zachodzić jedynie w przypadku posiadanych danych.

 

Nie znam takiej sprawy osobiście, ale jak w końcu komuś wlepią karę za lekceważenie danych osobowych klientów to znając realia i tak będzie za mała żeby niektórzy zrozumieli.

To może porozmawiamy kiedy pojawi się taka sprawa? Bo na razie Ty twierdzisz jedno, a wszystkie sądy i urzędy w Polsce co innego (skoro nikt nie został ukarany i nikomu nie nakazano używania SSL).

 

To, że rzadko który sklep używa oznacza w/g ciebie że jest to niepotrzebne? Jeżeli masz takie podejście do swoich klientów to niechciałbym być twoim klientem.

Nie twierdze ze jest niepotrzebne. Bardzo dobrze kiedy jest stosowane. Mowie tylko, ze zadne polskie przepisy nie nakazuja tego robic, co probujesz nam wmowic. Nie rozstrzygam teraz czy powinny to robic czy nie, mowie tylko ze na chwile obecna nie nakazuja i nie potrzeba prawnika zeby to zobaczyc.

 

Przeczytałeś chociaż tę ustawę?

Wielokrotnie. Nie ma tam słowa na temat szyfrowania danych na etapie przesyłania od klienta do firmy.

 

"wyniki kontroli sklepów internetowych" i już możesz perzeczytać raport, z którego wynika, że na 200 kontrolowanych sklepów tylko 3 (słownie: trzy) spełniały wszystkie warunki kontroli.

Czysta manipulacja. Oprócz szyfrowania wspomniano w tym raporcie również o szybkości odpowiedzi mailem - mamy rozumiec, ze to rowniez jest ujete w przepisach? Tam sa opisane wymagania co do idealnego sklepu, a to cos wiecej niz sklep dzialajacy zgodnie z prawem.

 

Dziwią się strasznie, że po założeniu działalności trzeba jakieś zusy płacić, PITy rozliczać, a VAT to czarna magia.

I tak samo jest ze sklepami. Myślą, że skoro warzywniak za rogiem nie musi mieć ssl to sklep internetowy też nie.

Roznica jest taka ze ksiegowosc prowadzic trzeba, bo nakazuja to przepisy, a sady i urzedy moga ukarac za jej nie stosowanie, natomiast prawo nie nakazuje uzywania SSL.

 

Podsumowujac, wymog prawny stosowania SSL jest Twoim poboznym zyczeniem. Fajnie jesli sklep go uzywa i na pewno bedzie to docenione przez klientow, ale nie jest to obowiazkiem. Pisanie wobec tego, ze firma nie ma prawa sprzedawac hostingu pod sklep bez SSL jest nieuczciwe w stosunku do tej firmy.

[kviat 0]

Podsumowujac, wymog prawny stosowania SSL jest Twoim poboznym zyczeniem. Fajnie jesli sklep go uzywa i na pewno bedzie to docenione przez klientow, ale nie jest to obowiazkiem. Pisanie wobec tego, ze firma nie ma prawa sprzedawac hostingu pod sklep bez SSL jest nieuczciwe w stosunku do tej firmy.

 

Napisałem, że "musi" być ssl w kontekście sklepu internetowego. Że "jeżeli już ktoś się zdecyduje to w pakiecie podstawowym progreso będzie to niezgodne z przepisami" w domyśle, że niezgodne z przepisami będzie gromadzenie danych osobowych w sklepie internetowym korzystającym z hostingu, który nie oferuje ssl.

Nigdzie nie napisałem, że nie ma prawa sprzedawać hostingu bez ssl.

To właściciel sklepu powinien zadbać o ochronę danych. Jeżeli hostingodawca w ramach konta udostępnia swój "silnik sklepu", a nie udostępnia protokołu https to kupujący hosting na własne ryzyko korzysta z takiego sklepu. I dobrą praktyką byłoby udostępnienie ssl, tak jak to czyni home (skoro już porównujemy te dwa hostingi)

 

A tutaj są te moje "pobożne życzenia".

Np. jedno z opracowań dla GIODO

http://tinyurl.com/gx4o3

Administratorzy stron internetowych, którzy w

jakikolwiek sposób za ich pośrednictwem próbują pozyskiwać informacje o odwiedzających je osobach

szczególną uwagę powinni zwrócić na obowiązek informacyjny wynikający z art. 32 ustawy o ochronie

danych osobowych. Administratorzy zaś, którzy wprost wykorzystują Internet do pozyskiwania danych

osobowych zobowiązani są przede wszystkim do:

−Stosowania kryptograficznej ochrony danych podczas transmisji,

−Zapewnienia autoryzacji źródła ich pozyskania,

−Skutecznego zabezpieczenia pozyskanych danych przed nieautoryzowanym dostępem,

ujawnieniem lub zniszczeniem.

 

A tu oficjalne stanowisko GIODO w tej sprawie:

http://www.giodo.gov.pl/327/id_art/1342/j/pl/

Podstawowymi, wynikającymi z ustawy o ochronie danych osobowych, obowiązkami ciążącymi na administratorze danych, warunkującymi legalność ich przetwarzania, są:

[...ciach...]

4. obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, o którym mowa w rozdziale 5 ustawy o ochronie danych osobowych, zaś w przypadku przetwarzania danych w systemie informatycznym - w przepisach wyżej powołanego rozporządzenia,

itd. jest tego więcej ale nie będę zaśmiecał forum.

 

A to, że nie znam żadnej sprawy sądowej w tym zakresie, nie oznacza, że takiej sprawy nie bylo. Może oznaczać, że ja nie potrafię znaleźć.

A jeżeli nie było, to jest to ewidentny przykład na to jakiej jakości mamy ustawodawstwo, które nie potrafi wyegzekować wprowadzonych przez siebie praw.

Z mojej strony EOT

[Piotr Mikołajski 0]

A tutaj są te moje "pobożne życzenia".

No niestety, to właśnie są pobożne życzenia...

 

Np. jedno z opracowań dla GIODO

http://tinyurl.com/gx4o3

To jest opracowanie dla GIODO, a nie opracowanie GIODO. Trzy literki, a różnica zasadnicza. Ponadto wyciąłeś fragment, który leci zaraz za zacytowanym przez Ciebie, a który dość jasno wyjaśnia stan prawny:

 

Pomimo, że Polska ustawa o ochronie danych osobowych [5]ani wydane do niej rozporządzenia

wykonawcze nie precyzują wprost warunków, jakie powinny spełniać systemy informatyczne służące do

przetwarzania danych w Internecie, to większość wynika z ogólnych zapisów ustawy oraz

rozporządzenia.

Dalej są cytaty zaleceń sformułowanych przez Radę Europy i OECD oraz opracowania rzeczników ochrony danych osobowych Kanady i Australii - zainteresowani niech rzucą okiem.

 

A tu oficjalne stanowisko GIODO w tej sprawie:

http://www.giodo.gov.pl/327/id_art/1342/j/pl/

Tylko że to stanowisko nie dotyczy zbierania danych - zadane pytanie brzmi:

 

Do spełnienia jakich obowiązków wynikających z ustawy o ochronie danych osobowych zobowiązana jest firma (zajmująca się profesjonalnie wydzierżawianiem swoim klientom miejsca na serwerze), która wydzierżawia innej firmie miejsce na swoim serwerze, w celu przechowywania na nim danych osobowych i oprogramowania służącego do ich przetwarzania?

 

 

Stanowisko GIODO dotyczy dostępu do już zebranych i posiadanych danych, czyli (mówiąc wprost) omawia problem zabezpieczenia serwera, na którym składowane są dane osobowe.

[kviat 0]

Miało być EOT ale zostałem wywołany do tablicy

 

Tylko że to stanowisko nie dotyczy zbierania danych - zadane pytanie brzmi:

 

Do spełnienia jakich obowiązków wynikających z ustawy o ochronie danych osobowych zobowiązana jest firma (zajmująca się profesjonalnie wydzierżawianiem swoim klientom miejsca na serwerze), która wydzierżawia innej firmie miejsce na swoim serwerze, w celu przechowywania na nim danych osobowych i oprogramowania służącego do ich przetwarzania?

 

Pytanie to jedno, a odpowiedź to drugie.

Zacytuję inne fragmenty odpowiedzi GIODO (z tego samego pytania, żeby wątpliwości nie było):

"W celu ustalenia, czy podmiot korzystający z usługi hostingu jest administratorem danych osobowych w rozumieniu art. 7 pkt 4 ustawy o ochronie danych osobowych, niezbędne jest dokonanie analizy umowy zawartej z podmiotem świadczącym tę usługę. Umowa hostingu może bowiem stanowić umowę powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ustawy o ochronie danych osobowych. "

 

Może stanowić umowę powierzenia danych, ale nie musi. To może być również umowa ze sklepem internetowym, który również mieści się w zakresie art.7 pkt 4 ustawy:

"Art. 7. Ilekroć w ustawie jest mowa o:

[..ciach...]

4) administratorze danych - rozumie się przez to organ, instytucję, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ust. 1 i 2, decydujące o celach i środkach przetwarzania danych osobowych,"

 

"Art. 3.

2. Ustawę stosuje się również do osób fizycznych i prawnych oraz jednostek organizacyjnych niemających osobowości prawnej, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych."

 

Idalej czytamy w odpowiedzi:

"Ustawa o ochronie danych osobowych nakłada inny rodzaj obowiązków na administratora danych - pod którym to pojęciem zgodnie art. 7 pkt 4 ustawy - rozumie się organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w jej art. 3, decydujące o celach i środkach przetwarzania danych osobowych, oraz inny na podmiot, któremu przetwarzanie danych zostało powierzone na mocy art. 31 ustawy o ochronie danych osobowych."

 

I te obowiązki są wymienione niżej. Cytowałem je już więc nie będę powtarzał.

 

Stanowisko GIODO dotyczy dostępu do już zebranych i posiadanych danych, czyli (mówiąc wprost) omawia problem zabezpieczenia serwera, na którym składowane są dane osobowe.

 

Nnieprawda.

więc jednak zacytuję jeszcze raz:

"4. obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, o którym mowa w rozdziale 5 ustawy o ochronie danych osobowych, zaś w przypadku przetwarzania danych w systemie informatycznym - w przepisach wyżej powołanego rozporządzenia,"

 

A w rozdziale 5 ustawy czytamy:

"Art. 38. Administrator danych przetwarzanych w systemie informatycznym jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, zwłaszcza gdy przekazuje się je za pomocą urządzeń teletransmisji danych. "

 

Przetwarzanie to również przekazywanie, a nie tylko przechowywanie.

A system informatyczny (http://pl.wikipedia.org/wiki/System_informatyczny - zaraz ktoś się przyczepi, że wiki nie jest źródłem ) to również witryna WWW sklepu.

 

Czy można mieć kontrolę bez ssl nad tym, kto te dane osobowe czyta albo gdzie jeszcze trafiają jako otwarty tekst "gdy przekazuje się je za pomocą urządzeń teletransmisji danych" ze strony WWW do bazy danych właściciela sklepu? Która to dana baza nierzadko jest u hostingodawcy i z tej bazy potem te dane jeszcze raz są transmitowane do właściciela sklepu w celu wystawienia np. faktury?

[tomasz.b 0]

Hi!

 

Wniosek jest bardzo prosty, jesli prowadzisz sklep i zbierasz, przetwarzasz, przechowujesz i przekazujesz dane osobowe powinienes zadbac o ochrone tych danych. Jesli system informatyczny ( serwer) nie nalezy do ciebie, nie jestes jego administratorem powinienes podpisac specjalna umowe z dostawca systemu, nie tylko aby byc zabezpieczony prawnie - to nalezy do twoich obowiazkow. A czy szyfrowanie wystarcza i czy jest potrzebne ? Jesli prowadzisz profesjonalny biznes i podchodzisz do klientow profesjonalnie to jak najbardziej. Jakie warunki musi spelnic system informatyczny? Zwykle konto www to za malo, no chyba, ze twoj dostawca systemu podpisze umowe i zagwarantuje system zgodny z ustawa. Napisz oficjalne pismo do dostawcow systemow informatycznych, zapytaj sie czy zagwarantuja bezpieczenstwo danych i czy ich systemy sa zgodne z przytoczana ustawa, i odpowiednie dla administratorow danych.

 

Wczesniej na oscommerce.pl toczyla sie dyskusja na podobny temat. Pytanie bylo czy prowadzac sklep typu oscommerce musisz zbior danych (stworzony przez sklep) zarejestrowac w GIODO. Nawet ja zdziwilem sie odpowiedzi, brzmiala: TAK. Wnioski moze kazdy wyciagnac samodzielnie

 

Z pozdrowieniami

Tomasz Benert