nazwa.pl - Ważne zmiany w przepisach o ochronie danych osobowych

[Mion]

Przed chwilą, theqkash napisał:

Musisz zacząć czytać ze zrozumieniem, wtedy wszystko stanie się jaśniejsze.

Musisz zrozumieć, że jedno zaprzecza drugiemu

1 minutę temu, theqkash napisał:

Dowodzi to o tym, że nie potrzebujesz zgody na przetwarzanie prowadząc sklep, jeżeli nie prowadzisz profilowania albo jakichś rozbudowanych działań marketingowych. 

 

 

 

[theqkash]

Przed chwilą, Mion napisał:

Musisz zrozumieć, że jedno zaprzecza drugiemu

Moim zdaniem nic niczemu nie zaprzecza.

 

Prowadzisz zwykłą sprzedaż = nie musisz prosić klienta o zgodę

Prowadzisz działania marketingowe w oparciu o zebrane dane w ramach swojego sklepu = musisz prosić klienta o zgodę i wskazać co będziesz przetwarzał i w jaki sposób

[SzlafRock]

30 minut temu, kdu1974 napisał:

nie trzeba zbierać w szczególności wtedy, gdy:

 

Poniekąd masz rację ale gdy przekazujesz dane klientó podmiotom trzecim musisz mieć zgodę. Podmiot trzeci np. firma hostingowa lub księgowa.

 

6 minut temu, Mion napisał:

przechowywanie danych

 

Brawo, wreszcie załapałeś że przechowywanie to też przetwarzanie.

 

7 minut temu, Herkules napisał:

, czyli księgarnia musi teraz wykasować moje dane od razu po transakcji, udowodnić iż do tego doszło

 

Nie

 

 

[Mion]

4 minuty temu, SzlafRock napisał:

Brawo, wreszcie załapałeś że przechowywanie to też przetwarzanie

Zgadza się .... przedtem budziło, to duże niejasności, bo trudno było mi pogodzić samo "statyczne przechowywanie" z pojęciem przetwarzania 

[theqkash]

8 minut temu, Mion napisał:

"statyczne przechowywanie" z pojęciem przetwarzania 

Przetwarzanie = dostęp do danych w ramach posiadanych przez siebie zasobów

[SzlafRock]

Dlatego bez złośliwości proponowałem zainteresować się szkoleniami. Większości rozmówców podaje zasłyszane bzdury. Inny jeszcze mniej wiedzący przyjmują bzdury za pewnik. Podobnie działa nasz rząd.

4 minuty temu, theqkash napisał:

Przetwarzanie = dostęp do danych w ramach posiadanych przez siebie zasobów

 

Patrz mój wpis wyżej.

[theqkash]

5 minut temu, SzlafRock napisał:

Dlatego bez złośliwości proponowałem zainteresować się szkoleniami.

Tymi szkoleniami też bym sie nie podniecał. Pewna "profesjonalna" szkoleniowo-audytowa firma została przeze mnie uświadomiona podczas prowadzenia audytu, że w infrastrukturze występuje coś takiego jak backup w formie snapshotów, który w razie czego można przywrócić i szybko cofnąć zmiany takie jak kasowanie danych. Nie bardzo wiedzieli jak się do tego odnieść ;-)

Nie twierdzę oczywiście, że wszystkie szkolenia są złe i że nie warto się na nie wybrać. Po prostu to jest tak szeroki zakres ustaleń korygujący dotychczas znane nam reguły, że nawet firmy które profesjonalnie się tym zajmują nie mają pełnej wiedzy na ten temat. Zasadniczo zatem wszystko w zakresie wdrażania RODO powinno się oprzeć przede wszystkim na zdrowym rozsądku, brak rażących i kategorycznych naruszeń raczej nikomu nie uczyni problemów. 

 

 

7 minut temu, SzlafRock napisał:

Patrz mój wpis wyżej.

Widziałem, starałem się jedynie opracować kompletną definicję :-) 

[SzlafRock]

37 minut temu, theqkash napisał:

Nie bardzo wiedzieli jak się do tego odnieść

 

37 minut temu, theqkash napisał:

. Zasadniczo zatem wszystko w zakresie wdrażania RODO powinno się oprzeć przede wszystkim na zdrowym rozsądku

 

Nie na zdrowym rozsądku a na wdrożonych procedurach. Trzeba oszacować zagrożenia i wdrożyć procedury.  Ciągle powtarzam jak mantrę, że kto odrobił wcześniej lekcję z giodo ten z rodo ma mniej roboty. Teraz wychodzi na to że mało kto ogarnął wcześniejszy obowiązek giodo.

[theqkash]

35 minut temu, SzlafRock napisał:

Nie na zdrowym rozsądku a na wdrożonych procedurach.

 

To swoją drogą. Mam tu na myśli raczej wszechobecny strach i wdrażanie wszystkiego naraz i wszędzie, co widać zwłaszcza w ostatnich dniach. Często wystarczą proste zmiany.

[qazy]

widzę, że jesteście tu w temacie dość dobrze "oblatani" To krótkie pytanie: czy zatem tzw. "mikroprzedsiębiorca" (osob. fiz. prowadząca DG) mający za klientów wyłącznie firmy (w tym również osob. fiz. prowadzące DG) i posiadający ich dane wyłącznie na potrzeby fakturowania i kontaktu z nimi musi cokolwiek w temacie robić?

[Finan]

Jak na potrzeby fakturowania to nie musisz nic w praktyce robić.Krótko mówiąc aby wystawić fakturę musisz mieć dane do jej wystawienia.

[kdu1974]

Dokładnie tak jak powyżej,

 

jak jest np sklep internetowy i osoba kupująca zostawia swoje dane tylko na potrzeby sprzedaży - to RODO nic do tego nie ma ponieważ zgodnie z obowiązującymi przepisami (rachunkowość), trzeba przechowywać dane przez 5lat. W takim przypadku trzeba jedynie zwrócić uwagę na jeden model, czyli płatność. Gdy używa się zewnętrznej firmy do płatności online np payu,dotpay itp to dobrze jest zabezpieczyć się odpowiednim aneksem z taką firmą, ponieważ w takim przypadku należy wykazać taka czynnosc w Umowie powierzenia przetwarzania danych osobowych podmiotom zewnętrznym. Natomiast jeżeli zapłata jest bezpośrednio od kupującego do sprzedającego, to nic nie trzeba robić

 

Jednak jak administrator danych (właściciel sklepu), użyje tych danych do celów marketingowych to jest już naruszenie i wtedy osoba pokrzywdzona może złożyć wniosek o wykasowanie tych danych, jeżeli administrator danych tego nie zrobi to może dostać karę.

[Nikonem]

21 godzin temu, qazy napisał:

dane wyłącznie na potrzeby fakturowania

 

Korzystam z księgowości on-line, oni dbają o RODO w związku z wprowadzaniem danych klientów do systemu w celu wystawienia faktury. Coś poza tym muszę robić? Wszystkie kontakty z www mam na potrzeby mojej firmy, około 80%  moich klientów to firmy.

[kdu1974]

Raczej nie, ale dla własnej wygody zapytaj osobę prowadzącą księgowość, czy dostaniesz odpowiedni aneks do umowy współpracy "Umowie powierzenia przetwarzania danych osobowych podmiotom zewnętrznym" - to głównie w przypadku jak masz pracowników i przekazujesz dane kadrowo-płacowe. W pozostałych zakresach nic Ci nie grozi jeżeli nie ma ryzyka utraty danych osobowych. 

 

RODO w odróżnieniu do obowiązującego jeszcze "GIODO" zmienia sposób podejścia. Ogólnie do 25maja2018 masz obowiązek prowadzenia polityki bezpieczeństwa, zgłoszenia danych do GIODO itp, itd (jako administrator danych, czyli właściciel firmy), natomiast pod 25maja te obowiązki przestają obowiązywać jednak aby nie było za kolorowo to RODO narzuca na administratora danych osobowych (właściciel firmy) oszacownie ryzyka ewentualnej utraty danych osobowych. Czyli sam musisz zdecydować czy taka ewentualność wystepuje - jeżeli tak to powinieneś wdrożyć odpowiednie procedury zgodnie z wytycznymi RODO w pełnym zakresie, a to już kilka papierków i zmian w ogólnym funkcjonowaniu firmy. dla przykładu podam kilka rodzajów instytucji/działalności gospodarczych, które beda miały "pod górkę"; szkoły, uczelnie, przedszkola itp, szpitale i placówki zdrowia, urzędy miejskie itp - ciekawe co zrobi US i ZUS :)) sklepy internetowe, które wykorzystują dane do celów marketingowych w tym do profilowania --> czyli np podpowiadają Ci reklamy na podstawie tego co oglądałeś, kupowałeś wcześniej itp. 

 

Reasumując, jeżeli oszacujesz że nie ma ryzyka utraty danych to 26 maja możesz spokojnie iść do pracy  - tylko to sobota

 

cytat z poradnika przygotowanego przez pracowników GIODO:

"Zasada podejścia opartego na ryzyku (risk based approach) jest ważną, perspektywiczną koncepcją, stanowiącą trzon ogólnego rozporządzenia o ochronie danych. Zasada ta uzależnia sposób realizacji obowiązków nałożonych na administratora od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz od ryzyka naruszenia praw i wolności osób, których dane dotyczą, a także ryzyka naruszenia interesów administratora. Wartościami, na jakie RODO kładzie szczególny nacisk w zakresie szacowania ryzyka, są zatem prawa i wolności osób, których dane dotyczą i te wartości należy mieć przede wszystkim na uwadze, oceniając ryzyko związane z przetwarzaniem danych osobowych. Zgodnie z motywem 2 preambuły RODO, zasady i przepisy dotyczące ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych nie mogą – niezależnie od obywatelstwa czy miejsca zamieszkania takich osób – naruszać ich podstawowych praw i wolności, w szczególności prawa do ochrony danych osobowych. Prawo to jest bowiem prawem podstawowym gwarantowanym art. 8 Karty Praw Podstawowych i musi być respektowane w przypadku prowadzania każdej bez wyjątku operacji przetwarzania danych."

[SzlafRock]

1 godzinę temu, kdu1974 napisał:

dla przykładu podam kilka rodzajów instytucji/działalności gospodarczych, które beda miały "pod górkę"; szkoły, uczelnie, przedszkola itp, szpitale i placówki zdrowia, urzędy miejskie itp - ciekawe co zrobi US i ZUS :))

 

25 maja wchodzi w życie (ma wejść) nowa ustawa o ochronie danych osobowych. Zakładam, że instytucje państwowe będą miały złagodzone obowiązki a duże  firmy zaostrzone.