peter007
09.12.13,17:54
Ahojte Poradáci.
vypĺňam práve formulár pre službu na tvorbu eshopov BiznisWeb.sk na Úrad na ochranu osobných údajov podľa nového zákona č. 122/2013 Z. z. o ochrane osobných údajov. Vypĺňam "Formulár registrácie informačného systému" (http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=1116)
Prosím viete poradiť?
1. Treba ako tretiu stranu uviesť aj poskytovateľa webhostingu, či eshopoveho riešenia?
Poskytovateľ webhostingu nemá prístup k osobným údajom, tie sú pred ním kryptované a nemá prístup (meno/heslo) k informačnému systému. Osobné údaje sú zakryptované na serveri poskytovateľa.
Toto vlastne je otázka aj pre všetkých prevádzkovateľov eshopu. Majú si prevádzkovatelia eshopov ako tretiu stranu uviesť rovno dve firmy - (a) poskytovateľa eshopového riešenia aj (b) prevádzkovateľa webhostingu?
2. Zamyslam sa nad tym ze prevadzkujeme vlastne 2 systemy osobných údajov. Máme zaregistrovat oba systémy cez dve samostatné registrácie?
a) Prvý systém je samotný eshop, kde sú osobné údaje klientov ktorí nakupujú v eshope. K tomuto systému majú prístup majitelia eshopov a spravujú v ňom údaje svojich klientov. My sa k týmto údajom vieme dostať ak treba pomôcť majiteľovi eshopu. Pri 500 zakaznikoch mame vlastne 500 takychto oddelenych databaz, treba registrovat kazdu databazu zvlast?
b) Druhý systém je interný platobný systém kde fakturujeme našich klientov - majiteľov eshopov.
3. Je vážne pravda že my ako poskytovateľ eshopového riešenia musíme mať zmluvu so všetkými našimi klientami?
Toto je celkom sranda lebo keď si zoberiete podobnú situáciu že napr. väčší webhosting má 10tisíc zákazníkov ktorí majú databázu s osobnými údajmi svojich klientov tak teraz musí taký webhosting dať dokopy vytlačiť a rozposlať 10tisíc zmlúv? Nemáte vzor takejto zmluvy medzi prevádzkovateľom informačného systému a sprostredkovateľom informačného systému?
4. Oprávnená osoba - sú oprávnenou osobou všetci zamestnanci našej firmy ktorí majú prístup k osobným údajom?
5. Prosím máte vzor bezpečnostnej smernice (ak správne chápem, musím ju mať) + záznam o poučení oprávnenej osoby.
VĎAKA
vypĺňam práve formulár pre službu na tvorbu eshopov BiznisWeb.sk na Úrad na ochranu osobných údajov podľa nového zákona č. 122/2013 Z. z. o ochrane osobných údajov. Vypĺňam "Formulár registrácie informačného systému" (http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=1116)
Prosím viete poradiť?
1. Treba ako tretiu stranu uviesť aj poskytovateľa webhostingu, či eshopoveho riešenia?
Poskytovateľ webhostingu nemá prístup k osobným údajom, tie sú pred ním kryptované a nemá prístup (meno/heslo) k informačnému systému. Osobné údaje sú zakryptované na serveri poskytovateľa.
Toto vlastne je otázka aj pre všetkých prevádzkovateľov eshopu. Majú si prevádzkovatelia eshopov ako tretiu stranu uviesť rovno dve firmy - (a) poskytovateľa eshopového riešenia aj (b) prevádzkovateľa webhostingu?
2. Zamyslam sa nad tym ze prevadzkujeme vlastne 2 systemy osobných údajov. Máme zaregistrovat oba systémy cez dve samostatné registrácie?
a) Prvý systém je samotný eshop, kde sú osobné údaje klientov ktorí nakupujú v eshope. K tomuto systému majú prístup majitelia eshopov a spravujú v ňom údaje svojich klientov. My sa k týmto údajom vieme dostať ak treba pomôcť majiteľovi eshopu. Pri 500 zakaznikoch mame vlastne 500 takychto oddelenych databaz, treba registrovat kazdu databazu zvlast?
b) Druhý systém je interný platobný systém kde fakturujeme našich klientov - majiteľov eshopov.
3. Je vážne pravda že my ako poskytovateľ eshopového riešenia musíme mať zmluvu so všetkými našimi klientami?
Toto je celkom sranda lebo keď si zoberiete podobnú situáciu že napr. väčší webhosting má 10tisíc zákazníkov ktorí majú databázu s osobnými údajmi svojich klientov tak teraz musí taký webhosting dať dokopy vytlačiť a rozposlať 10tisíc zmlúv? Nemáte vzor takejto zmluvy medzi prevádzkovateľom informačného systému a sprostredkovateľom informačného systému?
4. Oprávnená osoba - sú oprávnenou osobou všetci zamestnanci našej firmy ktorí majú prístup k osobným údajom?
5. Prosím máte vzor bezpečnostnej smernice (ak správne chápem, musím ju mať) + záznam o poučení oprávnenej osoby.
VĎAKA
Mária1412
10.12.13,11:37
aké osobné údaje do systému zákazníci vyplňajú??? aj rodné číslo alebo číslo OP?
Ing. Ľubomír Janoška
10.12.13,11:41
Upresnite prosím, v akej ste pozícii:
a) poskytovateľ služby webhosting?
b) poskytovateľ aplikácie e-shop prevádzkovateľom?
c) používateľ aplikácie e-shop?
Rovnako prosím uveďte, ktorá vrstva/služba zabezpečuje šifrovanie a či ide iba o šifrovanie na úložisku alebo aj pri prenose.
a) poskytovateľ služby webhosting?
b) poskytovateľ aplikácie e-shop prevádzkovateľom?
c) používateľ aplikácie e-shop?
Rovnako prosím uveďte, ktorá vrstva/služba zabezpečuje šifrovanie a či ide iba o šifrovanie na úložisku alebo aj pri prenose.
peter007
10.12.13,11:44
nie zakaznici do systemu nevyplnaju ani rodne cislo ani cislo OP. Klienti vyplnaju: Meno a priezvisko, kontaktná adresa, telefónne číslo, emailová adresa.
peter007
10.12.13,11:48
Dobry den,
a) Som poskytovatel eshopoveho riesenia (nie webhosting, webhosting si prenajimame). Ale chceli by sme poradit aj pohladu eshopu ci tam maju napisat ako tretiu stranu poskytovatela eshopoveho riesenia a aj webhosting.
b) nerozumiem
c) Ano z nasho pohladu je pouzivatel aplikacie majitel eshopu.
Na poslednu otazku mi kolega odpovedal: HTTPS
VDAKA
a) Som poskytovatel eshopoveho riesenia (nie webhosting, webhosting si prenajimame). Ale chceli by sme poradit aj pohladu eshopu ci tam maju napisat ako tretiu stranu poskytovatela eshopoveho riesenia a aj webhosting.
b) nerozumiem
c) Ano z nasho pohladu je pouzivatel aplikacie majitel eshopu.
Na poslednu otazku mi kolega odpovedal: HTTPS
VDAKA
Ing. Ľubomír Janoška
10.12.13,13:41
Tak to najprv zhrniem:
Prevádzkovateľ e-shopu si u Vás prenajíma aplikáciu. Tá beží nad webhostingom, ktorý poskytuje niekto ďalší.
Teraz všetko závisí od toho, či dáta sú kryptované e-shopovou aplikáciou (a v tom prípade ich "nevidíte" ani Vy) alebo sú kryptované Vašimi prostriedkami (a nevidí ich dodávateľ web-hostingu, ale vy ich vidíte).
Upresním, že nejde o tretie strany, ale o sprostredkovateľov (§ 8 zákona 122/2013). Zastávam názor, že ak sú dáta pred niekým zašifrované/zakryptované, tak nemôže ohroziť ich dôvernosť ani ich správnosť a prikláňam sa k názoru, že v tomto prípade nie je sprostredkovateľom.
*
Poskytovateľ webhostingu teda nie je sprostredkovateľom a osobitné zmluvy s ním nie sú potrebné. Ak ste v takej istej pozícii, že šifrované/kryptované dáta sú chránené aj pred vami, tak ste tiež mimo týchto povinností. Ak ale tie osobné údaje vidíte a vy ich šifrujete, aby ich nevidel poskytovateľ webhostingu, tak ste sprostredkovateľ a s vami musia mať používatelia e-shopov formálne zmluvy podľa citovaného § 8.
*
Registrácia je povinnosť prevádzkovateľa, vy ako sprostredkovateľ nemáte povinnosť registrovať systém.
*
Oprávnené osoby sú všetci, ktorí prídu do kontaktu s osobnými údajmi.
*
Či musíte mať bezpečnostnú smernicu alebo projekt, to závisí od toho, či spracúvate osobné údaje osobitnej kategórie (napríklad rodné čísla). Tie nie sú nutné pre e-shop, ale v mzdách za bez nich nezaobídete.
Prevádzkovateľ e-shopu si u Vás prenajíma aplikáciu. Tá beží nad webhostingom, ktorý poskytuje niekto ďalší.
Teraz všetko závisí od toho, či dáta sú kryptované e-shopovou aplikáciou (a v tom prípade ich "nevidíte" ani Vy) alebo sú kryptované Vašimi prostriedkami (a nevidí ich dodávateľ web-hostingu, ale vy ich vidíte).
Upresním, že nejde o tretie strany, ale o sprostredkovateľov (§ 8 zákona 122/2013). Zastávam názor, že ak sú dáta pred niekým zašifrované/zakryptované, tak nemôže ohroziť ich dôvernosť ani ich správnosť a prikláňam sa k názoru, že v tomto prípade nie je sprostredkovateľom.
*
Poskytovateľ webhostingu teda nie je sprostredkovateľom a osobitné zmluvy s ním nie sú potrebné. Ak ste v takej istej pozícii, že šifrované/kryptované dáta sú chránené aj pred vami, tak ste tiež mimo týchto povinností. Ak ale tie osobné údaje vidíte a vy ich šifrujete, aby ich nevidel poskytovateľ webhostingu, tak ste sprostredkovateľ a s vami musia mať používatelia e-shopov formálne zmluvy podľa citovaného § 8.
*
Registrácia je povinnosť prevádzkovateľa, vy ako sprostredkovateľ nemáte povinnosť registrovať systém.
*
Oprávnené osoby sú všetci, ktorí prídu do kontaktu s osobnými údajmi.
*
Či musíte mať bezpečnostnú smernicu alebo projekt, to závisí od toho, či spracúvate osobné údaje osobitnej kategórie (napríklad rodné čísla). Tie nie sú nutné pre e-shop, ale v mzdách za bez nich nezaobídete.
avalik
10.12.13,13:59
s tym webhostingom pri sifrovanych datach si dovolim nesuhlasit ... v zakone som nenasla ustanovenie, ktore by vynimalo sifrovane data z pojmu "spracuvanie osobnych udajov - uchovavanie"
Ing. Ľubomír Janoška
10.12.13,14:17
Ja viem, zákon to priamo neupravuje, je to zložitejšie...
Na druhej strane ale je zrejmé, že ten, kto sa dostane iba k šifrovaným údajom, nemôže podľa nich identifikovať fyzickú osobu, takže údaje, ktoré spracúva, nie sú podľa definície osobnými údajmi.
Na súd by som si s týmto argumentom trúfol.
PS - aj vyhláška 164 hovorí o ochrane údajov šifrovaním, takže mám za to, že ten, kto sa dostane to kontaktu so informáciami chránenými šifrovaním, nespracúva osobné údaje.
Na druhej strane ale je zrejmé, že ten, kto sa dostane iba k šifrovaným údajom, nemôže podľa nich identifikovať fyzickú osobu, takže údaje, ktoré spracúva, nie sú podľa definície osobnými údajmi.
Na súd by som si s týmto argumentom trúfol.
PS - aj vyhláška 164 hovorí o ochrane údajov šifrovaním, takže mám za to, že ten, kto sa dostane to kontaktu so informáciami chránenými šifrovaním, nespracúva osobné údaje.
Mária1412
11.12.13,09:12
Myslím, že my sme c) používateľ aplikácie e-shop.......teda na základe nejakej zmluvy s dodávateľom máme e-shop, kde ponúkame na predaj jeho tovar.
Vôbec tomu nerozumiem ............... musíme registrovať IS alebo nie??? Ďakujem za radu
Vôbec tomu nerozumiem ............... musíme registrovať IS alebo nie??? Ďakujem za radu
avalik
11.12.13,10:27
ano prevadzkovatel eshopu musi registrovat IS + mat zmluvy so sprostredkovatelmi + poucit opravnene osoby + bezpecnostna smernica - podla vyjadrenia uradu
Mária1412
11.12.13,12:51
prepáčte, ale chcem si byť istá............. my teda nemusíme registrovať e-shop ako IS??? Ďakujem
ešte upresnenie............e-shop čo máme - ako kontakt je uvedené naše sídlo
ešte upresnenie............e-shop čo máme - ako kontakt je uvedené naše sídlo
Erika-ežka
17.12.13,19:58
Registrácia informačného systému osobných údajov e - shop
Oznam
Informačný systém osobných údajov e – shop podlieha registračnej povinnosti na základe § 34 ods. 1 zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, ak prevádzkovateľ nemá písomne poverenú zodpovednú osobu, v takom prípade je potrebné o ňom viesť iba evidenciu. Evidenčný list prevádzkovateľ úradu nezasiela, necháva si ho u seba.
17. 12. 2013
http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=92
Oznam
Informačný systém osobných údajov e – shop podlieha registračnej povinnosti na základe § 34 ods. 1 zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, ak prevádzkovateľ nemá písomne poverenú zodpovednú osobu, v takom prípade je potrebné o ňom viesť iba evidenciu. Evidenčný list prevádzkovateľ úradu nezasiela, necháva si ho u seba.
17. 12. 2013
http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=92
Mária1412
18.12.13,07:46
čiže ak nemám poverenú zodpovednú osobu tak, taj iba evidujem IS a nemusím registrovať a platiť poplatok,či?
avalik
18.12.13,09:00
Maria1412, eviduje IS len ten eshop, ktory ma pisomne poverenu zodpovednu osobu - ta moze byt poverena len ak je 20 a viac opravnenych osob u prevadzkovatela ... takze vacsina eshopov MUSI registrovat IS a platit poplatok.
Erika-ežka
18.12.13,10:44
týka sa to aj prevádzkovateľov, ktorí zasielajú fa odberateľom - nepodnikateľom elektronicky? (t.z. majú PC pripojený na internet) - napr. prevádzkovatelia internetov ... ? stačí tu smernica či projekt?
Mária1412
19.12.13,04:14
Ďakujem krásne