Witam. Dziś dopiero przypomniało mi się o GIODO w połowie projektu. Chciałbym zapytać Was - ludzi doświadczonych, może ktoś miał już styczność z tą instytucją, czy zgłaszanie zbioru danych osobowych samemu jest trudne? Widziałem wiele razy ogłoszenia, że ktoś zapłaci za zgłoszenie do GIODO, i były to kwoty 1-2 tyś. zł. Czytam sobie teraz w necie, niby fajnie ok, a tu jakieś dokumenty trzeba - polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, jakiś audyt musi firma przeprowadzić (także $$$). Aż ręce mi opadły... Ledwo uda mi się jakieś drobne pieniądze załatwić na start projektu a tu jakieś GIODO z 1-2 tyś. zł trzeba by mieć. Na stronie mojej z takich danych to użytkownik musi przy rejestracji podać swoje Imię, Nazwisko oraz wybrać z listy swoje Miasto/Miejscowość, a także może ustawić sobie zdjęcie profilowe. Poradźcie coś proszę bo nie mam pojęcia co zrobić - myślałem niedawno, że lipa będzie z zakładaniem firmy gdyby była potrzeba, ale to GIODO jest gorsze (droższe) niż ten cały porypany ZUS...
Ale co tu poradzić? Zaciskasz zęby i wypełniasz rubryki, albo płacisz komuś tego tysiaka i zrobi to za ciebie...
Załatwiałem kiedyś w urzędzie coś, co wymagało złożenia trzydziestu różnych dokumentów pobranych z różnych urzędów w różnych miastach.
Cześć,
faktycznie - powinieneś posiadać politykę bezpieczeństwa i instrukcję zarządzania systemem tel-inf. To dosyć zindywidualizowane dokumenty - powinny odpowiadać realiom Twojego przedsięwzięcia i jeśli nie masz w tym doświadczenia może być Ci trudno coś takiego stworzyć.
Co do zgłoszenia zbioru - to czynność "techniczna" i jeśli nie będziesz przetwarzać tzw. danych wrażliwych (np. o zdrowiu), to przygotowanie zgłoszenia zajmuje 1-3h (w zależności od stopnia skomplikowania projektu).
Co do audytu - to mit. Nikt nie musi Cię audytować.
Wracając do zgłoszenia - niedługo zmienią się przepisy i będzie można zamiast zgłaszać zbiory powołać tzw. Administratora Bezpieczeństwa Informacji, który czuwać będzie nad przestrzeganiem przepisów (teraz możesz wykonywać obowiązki ABI samemu). Moim zdaniem - przy małych przedsiębiorstwach zgłoszenie zbioru będzie lepszą opcją (tańszą).
Pozdrawiam!
P.S. jeśli korzystasz z zewnętrznego serwera - powinieneś też mieć umowę powierzenia przetwarzania danych osobowych. To dodatkowy koszt - ok. 100-150zł netto, w zależności od dostawcy.
napisałem do jednego z hostingów i odpisali że trzeba tą umowę powierzenia przetwarzania danych osobowych podpisać z nimi, płacę im 100zł, i dają mi także dokumenty potrzebne do zgłoszenia, którego dołączam do wniosku do GIODO - czy w tym przypadku muszę jeszcze coś przygotowywać (te dokumenty) oprócz druku?
Nie wiem co dostaniesz od dostawcy - natomiast najpewniej będzie to tylko instrukcja zarządzania systemem teleinformatycznym dostawcy. Oprócz tego, aby działać zgodnie z przepisami - to w praktyce powinieneś posiadać swoją własną politykę bezpieczeństwa oraz instrukcję zarządzania systemem. Dostawca hostingu wykonuje bowiem dla Ciebie tylko część przetwarzania danych (przechowywanie).
Zastanów się tylko czy rzeczywiście musisz przetwarzać dane osobowe. Samo nazwisko i imię to nie są jeszcze dane osobowe w świetle ustawy. Jeżeli zrezygnujesz ze zdjęcia i miejscowości (jeżeli jest to możliwe) to nie będziesz przetwarzał danych osobowych i GIODO Cię wtedy nie interesuje.
cw napisał(a):
Zastanów się tylko czy rzeczywiście musisz przetwarzać dane osobowe. Samo nazwisko i imię to nie są jeszcze dane osobowe w świetle ustawy. Jeżeli zrezygnujesz ze zdjęcia i miejscowości (jeżeli jest to możliwe) to nie będziesz przetwarzał danych osobowych i GIODO Cię wtedy nie interesuje.
cw, niestety jesteś w błędzie. Imię i nazwisko to jak najbardziej dane osobowe. Obecnie wg. GIODO i Komisji Europejskiej daną osobową jest nawet adres IP.
Dana osobowa to taka informacja, która pozwala (choćby pośrednio) zidentyfikować daną osobę fizyczną. Jeśli więc nasz serwis choćby zbiera adresy e-mail, to choćby część tych adresów będzie stanowiła również dane osobowe. Dla przykładu adres: [email protected].
Czasem nawet informacje, które w innych okolicznościach nie stanowiłyby danych osobowych w konkretnym serwisie mogą się nimi stać. Ale to temat rzeka.
@Legal Geek chyba przesadzasz. Adresy e-mail owszem ale nie takie jaki podałeś. Tylko na przykład "[email protected]". Bo taki adres faktycznie jednoznacznie pozwala zidentyfikować jakąś osobę. Samo imie i nazwisko to o wiele za mało.
@Shalom tu nie ma żadnej przesady, tylko suche fakty wynikające z ustawowej definicji danych osobowych. Zgodnie z ustawą, ale też przepisami UE - dana osobowa to każda informacja, która dotyczy możliwej do zidentyfikowania osoby fizycznej. Nie musi identyfikować osoby fizycznej sama w sobie. Tak naprawdę to nawet adres typu [email protected] może być daną osobową - jeśli po wrzuceniu adresu np. w google uzyskasz informacje o użytkowniku tego adresu.
Imię i nazwisko traktowane jako dane osobowe :) , na czym opierasz swoje opinie, na miejskich legendach czy orzecznictwie sądów. Ja znam co najmniej jeden wyrok gdzie sąd uznał, że skorowidz osób (nazwisko i imię) prowadzone w formie zeszytu jako urządzenie pomocnicze nie jest zbiorem danych w świetle ustawy. Owszem jeżeli ktoś ma jedno jedyne niepowtarzalne nazwisko w Polsce to jego ujawnienie może traktowanie jako naruszenie ustawy, ale jeżeli w bazie masz zapisane Jan Kowalski to o którego Jana Kowalskiego mieszkającego w Polsce chodzi ?
Zgodnie z ustawą, ale też przepisami UE - dana osobowa to każda informacja, która dotyczy możliwej do zidentyfikowania osoby fizycznej
Należy tutaj przytoczyć bardzo ważną rzecz, cytuję z ustawy: "Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań." Ważne jest to np. w kontekście adresu IP, bo o ile operator telekomunikacyjny może powiązać adres IP z konkretnym abonentem to ja tego zrobić nie mogę.
@cw: na ustawie, orzecznictwie i doświadczeniu zawodowym. Musisz odróżnić pojęcia "dane osobowe" i "zbiór danych osobowych". Skorowidz, który zawiera dane osobowe nie musi być zbiorem danych osobowych. Zbiór ma postać usystematyzowaną - jego ustawowa definicja jest dosyć precyzyjna.
Dana osobowa to jedna zmienna/rekord, zbiór to baza danych. Jedna zmienna nie zawsze będzie bazą danych (ale może być), jak cały zestaw zmiennych zapiszesz w zeszycie czy na luźnej kartce - to też nie będzie jeszcze baza danych.
A jeśli masz wątpliwości, że zawsze imię i nazwisko stanowić będą dane osobowe - no cóż, masz prawo mieć własne zdanie. Ja nie mam żadnych wątpliwości.