GIODO, a dane osobowe

[joketown]

Hej,

Zapewne wielu z was słyszało o nowelizacji ustawy o danych osobowych.. co o tym myślicie (pytanie głównie do osób, które przechowują takie dane, a nie zarejestrowały póki co swoich baz). Przecież to jakaś paranoja.. taka biurokracja tylko zżera rynek IT w tym kraju.. nie chodzi mi o firmy, które faktycznie przechowują dane osobowe, na które i tak użytkownicy wyrażają na to zgodę, ale co ma powiedzieć np.:

- uczeń/student, który hobbystycznie założył forum/stronkę o jakiś tam serialu, grze i dodał autoryzację, która wymaga jedynie adresu e-mail? Taki uczeń nie wie pewnie nawet co to giodo (ja wiem, że nieznajomość prawa nie chroni, no ale bez jaj). Taki gość będzie uważany za przestępce jeśli nie zgłosi swojej bazy? Z tego co się dowiedziałem, nie jest to takie hop siup bo cała papierkowa robota to jakaś masakra jest

- co z ludźmi kreatywnymi? Teraz co druga strona wymaga rejestracji (z wielu powodów), zakładając że wymagany jest tylko e-mail.. jest sobie jakiś gość ma pełno pomysłów na zrobienie jakiegoś start-upu, ale nie wie czy na tym zarobi, czy nie więc póki co firmy nie zakłada, strona sobie wisi.. tak czy inaczej musi zgłosić taką bazę, co jak się okazuje nie jest takie proste (dokumentacja)

Co o tym myślicie? Rejestrujecie? Czekacie?

Do tych, którzy zarejestrowali.. to faktycznie jest taka masakra z tym przygotowaniem dokumentacji?

[MMP]

Sam adres e-mail nie stanowi ochronie.

[joketown]

Sam adres e-mail nie stanowi ochronie.

Nie byłbym tego taki pewien, gdzieś znalazłem kilka dni temu wypowiedź pracowników giodo na temat emaili, twierdzą co innego..

Kilka linków:

https://www.freshmail.pl/blog/praktyczne-ra...mailowe-w-giodo

https://www.freshmail.pl/blog/more/odpowied...anych-osobowych

"Adres poczty elektronicznej bez żadnych dodatkowych informacji umożliwiających ustalenie tożsamości osoby, co do zasady nie stanowi danej osobowej w rozumieniu powołanej wyżej definicji. Natomiast w wyjątkowych przypadkach, jeżeli elementy treści adresu poczty elektronicznej pozwalają bez nadmiernych kosztów, czasu lub działań na ustalenie na ich podstawie tożsamości danej osoby, można uznać go za daną osobową."

Czyli np. jeśli ktoś podał adres jacek@brzytwa.pl i ten ktoś ma stronę na której można znaleźć coś więcej, to już podchodzi to pod ochronę.

[MMP]

Kwestia skali i do czego taka baza jest wykorzystywana.

[joketown]

Kwestia skali i do czego taka baza jest wykorzystywana.

No tak, pytanie co decyduje o tym, co wchodzi w skalę i na jakich zasadach. Przeglądałem kilka forów i generalnie nikt nic nie wie, nikt nic nie rozumie. mail sliwa@cos.pl jest wg. giodo ok, ale jan@kowalski już nie. Ja sam tego nie rozumiem, chociażby zapisu na stronie giodo https://www.giodo.gov.pl/319/id_art/1426/j/pl/ gdzie jest napisane:

"Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3 powołanej ustawy).", a poniżej:

"W świetle cytowanej definicji, za dane osobowe uznaje się zarówno takie informacje, które pozwalają bezpośrednio na określenie tożsamości konkretnej osoby, jak również takie, które nie pozwalają na jej natychmiastową identyfikację, są jednakże przy pewnym nakładzie kosztów, czasu lub działań wystarczające do jej ustalenia."

I teraz gdzie leży granica między pewnymi kosztami a nadmiernymi?

[MMP]

> No tak, pytanie co decyduje o tym, co wchodzi w skalę i na jakich zasadach.

Urzędnik.

[MOUKETTA]

Witam, ja proponowałbym przenieść ten wątek do działu "Sieciowy marketing..." bo to nie pogaduchy tylko poważne sprawy.

Takie pytanie mam, czy któryś z forumowiczów posiada bazę newsletterową/mailingową ze zgodą użytkownika na wysyłkę materiałów reklamowych (adres email, przedział wiekowy, dochody..., ale bez imienia i nazwiska i adresu - tylko początek adresu IP) i sieć reklamowa typu adnet czy arbo, kazała mu zarejestorwać taką bazę?

Jak patrzę na tyle odmownych decyzji https://www.giodo.gov.pl/299/j/pl/ to chyba nie jest to takie proste. W ogóle to taki wniosek jest płatny?

[b2rt0sz]

Będzie pewnie tak samo jak z rejestrowaniem stron jako dzienników.

[jez]

MMP, e-mail stanowi dane osobowe. Nie jestem w stanie Ci podać źródeł bo mam gorączkę, ale jestem tego pewien. Inna sprawa, czy ktoś Cię złapie. Są ludzie którzy mają podejście "ja mam tylko 50 adresów i nikt nie zauważy", ale są też ludzie którzy mają podejście "załatwię i będzie spokój".

Odnośnie GIODO, nie wiem czego unikacie - po prostu raz (nie licząc ew. aktualizacji) rejestrujecie się w bazie, wpisujecie wszystkie dane jakie będą przechowywane (nawet jeżeli którychś nie przechowujecie, aby było na wypadek rozszerzenia działan bez konieczności gorączkowego aktualizowania), wskazujecie wszystkie firmy które mają do tego dostęp (to do tych z nas, którzy mają po kilka firm), wysyłacie i po sprawie. Da się tak załatwić, że sprawę robicie raz i macie spokój. Jak z NIPem, REGONem, czy resztą dokumentów firmowych.

To że należy danym zapewnić stosowną ochronę to jest sprawa normalna. Polecam wszystkim interpretację informatyczną odnośnie sposobu przechowywania danych (jak ustawa się ma do szyfrowania danych, co oznacza wypisanie listy - czyli fizyczne usunięcie/nadpisanie rekordu, a nie ustawienie flagi nieaktywnej, itp).

Odpowiadając któremuś z przedmówców, czy to paranoja że studencina z setką adresów musi to zgłaszać? Dlaczego? Przecież ten studencina może zrobić dużo przykrości, choćby dodać adresy do rosyjskich pornolist, czy (porównywalna skala przewinienia), zamówić płatnych morderców do uśmiercenia tych biedaków. ;-)

Pozdrawiam, J.

[joketown]

Dzięki Jeż, trzeba było trochę czasu aby otrzymać normalną odpowiedź..

[jez]

To tylko dlatego że mam gorączkę. Pozycjonerzy z 36,6º mają tendencję do mówienia od rzeczy.

[shad]

Paranoja się robi, a czy jeżeli rejestrują się roboty też mam to zgłaszać . A tak na poważnie to chyba lepiej pole logowania dać nick i password, które nie zawiera nawet emaila.

[jez]

Nigdzie nie stosuję takiego rozwiązania, ale tak się zastanawiam, czy przypadkiem to też nie jest przechowywanie danych osobowych (nick+hasło). Tylko, że... W takiej sytuacji po co Ci przechowywać dane?

Wymuszenie logowania (od strony komercyjnej, nie mylić z techniczną) jest po to, żeby user był NASZYM Użytkownikiem, tzn. abyśmy mogli w sposób cykliczny traktować go reklamami. Ci którzy przez ostatnie lata zbudowali bazy po naście-, dziesiąt- i set- tysięcy Użytkowników, wiedzą, jakie z tego są korzyści.

Pozdrawiam, J.

Paranoja się robi, a czy jeżeli rejestrują się roboty też mam to zgłaszać

Cytując słowa które mi się strasznie spodobały: Ja Cię nie podkabluję, ale za Kolegów nie ręczę.

Pozdrawiam, J.

[MOUKETTA]

Czy zgodnie z polskim prawem użytkownik zamawiający newsletter bądz rejestrujący się na stronie musi zostać zweryfikowany?

[gizmoo3]

nie jestem prawnikiem ale wydaje sie to logiczne

tylko opcja double opt-in pozwala na upewnienie się czy wpisywany do bazy adres, rzeczywiscie nalezy do wpisujacego