Zavrieť

Porady

Ochrana osobných údajov a ESHOP - ako vyplniť?

Ahojte Poradáci.

vypĺňam práve formulár pre službu na tvorbu eshopov BiznisWeb.sk na Úrad na ochranu osobných údajov podľa nového zákona č. 122/2013 Z. z. o ochrane osobných údajov. Vypĺňam "Formulár registrácie informačného systému" (http://www.dataprotection.gov.sk/bux...p?page_id=1116)

Prosím viete poradiť?

1. Treba ako tretiu stranu uviesť aj poskytovateľa webhostingu, či eshopoveho riešenia?
Poskytovateľ webhostingu nemá prístup k osobným údajom, tie sú pred ním kryptované a nemá prístup (meno/heslo) k informačnému systému. Osobné údaje sú zakryptované na serveri poskytovateľa.

Toto vlastne je otázka aj pre všetkých prevádzkovateľov eshopu. Majú si prevádzkovatelia eshopov ako tretiu stranu uviesť rovno dve firmy - (a) poskytovateľa eshopového riešenia aj (b) prevádzkovateľa webhostingu?

2. Zamyslam sa nad tym ze prevadzkujeme vlastne 2 systemy osobných údajov. Máme zaregistrovat oba systémy cez dve samostatné registrácie?
a) Prvý systém je samotný eshop, kde sú osobné údaje klientov ktorí nakupujú v eshope. K tomuto systému majú prístup majitelia eshopov a spravujú v ňom údaje svojich klientov. My sa k týmto údajom vieme dostať ak treba pomôcť majiteľovi eshopu. Pri 500 zakaznikoch mame vlastne 500 takychto oddelenych databaz, treba registrovat kazdu databazu zvlast?
b) Druhý systém je interný platobný systém kde fakturujeme našich klientov - majiteľov eshopov.

3. Je vážne pravda že my ako poskytovateľ eshopového riešenia musíme mať zmluvu so všetkými našimi klientami?
Toto je celkom sranda lebo keď si zoberiete podobnú situáciu že napr. väčší webhosting má 10tisíc zákazníkov ktorí majú databázu s osobnými údajmi svojich klientov tak teraz musí taký webhosting dať dokopy vytlačiť a rozposlať 10tisíc zmlúv? Nemáte vzor takejto zmluvy medzi prevádzkovateľom informačného systému a sprostredkovateľom informačného systému?

4. Oprávnená osoba - sú oprávnenou osobou všetci zamestnanci našej firmy ktorí majú prístup k osobným údajom?

5. Prosím máte vzor bezpečnostnej smernice (ak správne chápem, musím ju mať) + záznam o poučení oprávnenej osoby.

VĎAKA
4 komentárov     zbaliť
Mária1412 aké osobné údaje do systému zákazníci vyplňajú??? aj rodné číslo alebo číslo OP?
peter007 nie zakaznici do systemu nevyplnaju ani rodne cislo ani cislo OP. Klienti vyplnaju: Meno a priezvisko, kontaktná adresa, telefónne číslo, emailová adresa.
Ing. Ľubomír Janoška Upresnite prosím, v akej ste pozícii:
a) poskytovateľ služby webhosting?
b) poskytovateľ aplikácie e-shop prevádzkovateľom?
c) používateľ aplikácie e-shop?
Rovnako prosím uveďte, ktorá vrstva/služba zabezpečuje šifrovanie a či ide iba o šifrovanie na úložisku alebo aj pri prenose.
peter007 Dobry den,

a) Som poskytovatel eshopoveho riesenia (nie webhosting, webhosting si prenajimame). Ale chceli by sme poradit aj pohladu eshopu ci tam maju napisat ako tretiu stranu poskytovatela eshopoveho riesenia a aj webhosting.
b) nerozumiem
c) Ano z nasho pohladu je pouzivatel aplikacie majitel eshopu.
Na poslednu otazku mi kolega odpovedal: HTTPS

VDAKA
Pravidlá a tipy
  • Každý móže napísať len 1 odpoveď. Neskor mozete svoju odpoveď vylepšiť.
  • Odpoveď má priniesť riešenie na otázku, vyvarujte sa hodnotenia otázky.
  • Odpoveď má byť viac o faktoch ako o názoroch.
Dalšie pravidla a tipy
    Ak potrebujete v otázke niečo upresniť, najskôr sa spýtajte na podrobnosti.
    Koncept slúži na uloženie rozpracovanej odpovede, koncept sa zobrazuje len Vám, až kým ho nezverejníte.
    Ak máte podobnú otázku, založte Novú otázku alebo Súvisiacu otázku.
    ❤ Buďte priateľskí ❤
    Sme súčasťou jednej komunity, ktorá si chce vzájomne pomáhať, rozdieľnosť je vítaná ak neubližuje!
    Usporiadať podľa bodov
    Ing. Ľubomír Janoška
    Tak to najprv zhrniem:
    Prevádzkovateľ e-shopu si u Vás prenajíma aplikáciu. Tá beží nad webhostingom, ktorý poskytuje niekto ďalší.
    Teraz všetko závisí od toho, či dáta sú kryptované e-shopovou aplikáciou (a v tom prípade ich "nevidíte" ani Vy) alebo sú kryptované Vašimi prostriedkami (a nevidí ich dodávateľ web-hostingu, ale vy ich vidíte).
    Upresním, že nejde o tretie strany, ale o sprostredkovateľov (§ 8 zákona 122/2013). Zastávam názor, že ak sú dáta pred niekým zašifrované/zakryptované, tak nemôže ohroziť ich dôvernosť ani ich správnosť a prikláňam sa k názoru, že v tomto prípade nie je sprostredkovateľom.

    *
    Poskytovateľ webhostingu teda nie je sprostredkovateľom a osobitné zmluvy s ním nie sú potrebné. Ak ste v takej istej pozícii, že šifrované/kryptované dáta sú chránené aj pred vami, tak ste tiež mimo týchto povinností. Ak ale tie osobné údaje vidíte a vy ich šifrujete, aby ich nevidel poskytovateľ webhostingu, tak ste sprostredkovateľ a s vami musia mať používatelia e-shopov formálne zmluvy podľa citovaného § 8.

    *
    Registrácia je povinnosť prevádzkovateľa, vy ako sprostredkovateľ nemáte povinnosť registrovať systém.

    *
    Oprávnené osoby sú všetci, ktorí prídu do kontaktu s osobnými údajmi.

    *
    Či musíte mať bezpečnostnú smernicu alebo projekt, to závisí od toho, či spracúvate osobné údaje osobitnej kategórie (napríklad rodné čísla). Tie nie sú nutné pre e-shop, ale v mzdách za bez nich nezaobídete.
    Naposledy upravil Ing. Ľubomír Janoška : 10.12.13 at 13:42 Dôvod: oprava
    10 komentáre - rozbaľ     zbaliť
    avalik s tym webhostingom pri sifrovanych datach si dovolim nesuhlasit ... v zakone som nenasla ustanovenie, ktore by vynimalo sifrovane data z pojmu "spracuvanie osobnych udajov - uchovavanie"
    Ing. Ľubomír Janoška Ja viem, zákon to priamo neupravuje, je to zložitejšie...
    Na druhej strane ale je zrejmé, že ten, kto sa dostane iba k šifrovaným údajom, nemôže podľa nich identifikovať fyzickú osobu, takže údaje, ktoré spracúva, nie sú podľa definície osobnými údajmi.
    Na súd by som si s týmto argumentom trúfol.
    PS - aj vyhláška 164 hovorí o ochrane údajov šifrovaním, takže mám za to, že ten, kto sa dostane to kontaktu so informáciami chránenými šifrovaním, nespracúva osobné údaje.
    Mária1412 Myslím, že my sme c) používateľ aplikácie e-shop.......teda na základe nejakej zmluvy s dodávateľom máme e-shop, kde ponúkame na predaj jeho tovar.
    Vôbec tomu nerozumiem ............... musíme registrovať IS alebo nie??? Ďakujem za radu
    avalik ano prevadzkovatel eshopu musi registrovat IS + mat zmluvy so sprostredkovatelmi + poucit opravnene osoby + bezpecnostna smernica - podla vyjadrenia uradu
    Mária1412 prepáčte, ale chcem si byť istá............. my teda nemusíme registrovať e-shop ako IS??? Ďakujem

    ešte upresnenie............e-shop čo máme - ako kontakt je uvedené naše sídlo
    Erika-ežka Registrácia informačného systému osobných údajov e - shop

    Oznam

    Informačný systém osobných údajov e – shop podlieha registračnej povinnosti na základe § 34 ods. 1 zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, ak prevádzkovateľ nemá písomne poverenú zodpovednú osobu, v takom prípade je potrebné o ňom viesť iba evidenciu. Evidenčný list prevádzkovateľ úradu nezasiela, necháva si ho u seba.


    17. 12. 2013

    http://www.dataprotection.gov.sk/bux...php?page_id=92
    Mária1412 čiže ak nemám poverenú zodpovednú osobu tak, taj iba evidujem IS a nemusím registrovať a platiť poplatok,či?
    avalik Maria1412, eviduje IS len ten eshop, ktory ma pisomne poverenu zodpovednu osobu - ta moze byt poverena len ak je 20 a viac opravnenych osob u prevadzkovatela ... takze vacsina eshopov MUSI registrovat IS a platit poplatok.
    Erika-ežka týka sa to aj prevádzkovateľov, ktorí zasielajú fa odberateľom - nepodnikateľom elektronicky? (t.z. majú PC pripojený na internet) - napr. prevádzkovatelia internetov ... ? stačí tu smernica či projekt?
    Mária1412 Ďakujem krásne
      zbaliť

    Ochrana osobných údajov a ESHOP - ako vyplniť?

    Porady, ktoré by vás mohli zaujímať

    Prihláste sa a sledujte len tie Porady, ktoré Vás zaujímajú.