Temat: obowiązek rejestracji bazy danych serwisu randkowego, a...

Witam, jestem twórcą serwisu internetowego, dokładnie serwis randkowego(erotycznego) w którym będą umieszczane ogłoszenia osób szukających wrażeń. Serwis będzie zawierał dane wrażliwe, bo m.in. dotyczące preferencji seksualnych.

Spędziłem dziś kilka godzin na czytaniu tematów na tym forum oraz tekstów na stronie GIODO. Trafiłem na treść
"Zgodnie z art. 43 ust. 1 pkt 9 ustawy z obowiązku rejestracyjnego zwolnieni są administratorzy danych powszechnie dostępnych. Przesłanka ta jest spełniona, jeżeli z danymi zawartymi w zbiorze może się zapoznać – bez szczególnego nakładu sił i środków – nieograniczony krąg podmiotów (np. dane zostały opublikowane w Internecie, gazecie, książce). Podkreślić należy, że administrator danych zwolniony jest z obowiązku rejestracji zbioru tylko wtedy, jeżeli powszechnie dostępne są wszystkie, a nie tylko niektóre zawarte w nim dane."
Zastanawiam się, czy jeśli wszystkie dane będą publikowane(z wyjątkiem zahashowanego hasła) to czy uniknę obowiązku rejestracji zbioru i innych z tym związanych problemów(jak stworzenie PB itp.)?

Po lekturze wątku: http://www.goldenline.pl/forum/abi/1085506 nie jestem pewien, czy w ogóle można prowadzić taki serwis zgodnie z prawem? Czy zwyczajnie jestem skazany na ryzyko?

Liczę na wskazówki od fachowców :)

Temat: obowiązek rejestracji bazy danych serwisu randkowego, a...

Tomasz Bagniewski:

Zastanawiam się, czy jeśli wszystkie dane będą publikowane(z wyjątkiem zahashowanego hasła) to czy uniknę obowiązku rejestracji zbioru i innych z tym związanych problemów(jak stworzenie PB itp.)?

Brak obowiązku rejestracji zbioru danych nie jest równoznaczny ze zwolnieniem z pozostałych obowiązków określonych w przepisach o ochronie danych osobowych.

Temat: obowiązek rejestracji bazy danych serwisu randkowego, a...

Tak, można a nawet należy go prowadzić zgodnie z prawem. Wymaga to uzyskania pisemnej zgody osoby której dane są przetwarzane Art. 27 pkt 2 podpunkt 1 opcjonalnie można wyposażyć system w zgodę na publiczne zamieszczenie w/w informacji Art. 27 pkt 2 p.pkt 8 jako alternatywę do pisemnej zgody (ale nie ma gwarancji że DIODO się nie przyczepi).

Jak wspomniał przedmówca, brak obowiązku rejestracja nie zwalnia z konieczności stosowania odpowiednich zabezpieczeń oraz posiadania PBI i Instrukcji.

Temat: obowiązek rejestracji bazy danych serwisu randkowego, a...

Dziękuję za odpowiedzi

Temat: obowiązek rejestracji bazy danych serwisu randkowego, a...

Uzupełniając moją poprzednią wypowiedź chciałbym stwierdzić, że problem zasadności tworzenia polityki bezpieczeństwa w przypadku, gdy przetwarzane dane osobowe są powszechnie dostępne jest dosyć ciekawy (można zastanawiać się po co polityka i inne, jak je nazwano wyżej "związane z tym problemy", jeśli dane są dostępne dla każdego i bez żadnych ograniczeń?).

Nie natknąłem się jednak na żaden przepis, który explicite zwalniałby z tworzenia polityki nawet w takim przypadku.

Co więcej polityka bezpieczeństwa jest dokumentem nie tylko określającym środki ochrony danych osobowych w rozumieniu potocznym, czyli odnoszącym się do środków mających zapewnić dostęp do danych osobowych tylko i wyłącznie osobom upoważnionym. Polityka bezpieczeństwa jest dokumentem, który określa również środki niezbędne dla zapewnienia integralności i rozliczalności przetwarzania danych.
Nawet w przypadku, gdy dane osobowe byłyby powszechnie dostępne, konieczna jest ich ochrona. Ochrona taka nie będzie wtedy związana z ograniczaniem dostępu osobom nieupoważnionym (bo każdy jest "upoważniony"), ale z zapewnieniem integralności takich danych.
Proszę sobie wyobrazić, że dane, które są powszechnie dostępne poprzez serwis, o którym mowa wyżej byłyby swobodnie modyfikowane przez nieupoważnione osoby. Mogłoby się okazać, że zmieniono je w sposób niezgodny z intencją osoby, której dane dotyczą.
Nawet jeżeli ta osoba wyraziła wcześniej pisemną zgodę na przetwarzanie swoich danych "wrażliwych". Doszłoby wtedy do naruszenia praw tej osoby, a odpowiedzialność za taki stan ponosiłby administrator danych.