Temat: Prośba do fachowców

W imieniu mojego kolegi (początkujący w branży)

"Mam do zrobienia dosyć prostą stronę (konkurs fotograficzny), na którą będą rejestrować się użytkownicy.
W celu weryfikacji, konieczne jest podanie emaila co powoduje konieczność zgłoszenia bazy do GIODO.

Idąc dalej, jeżeli już GIODO to warto by było zbierać też inne dane użytkownika np: imię, nazwisko, adres – które są konieczne do wysłania nagród dla zwycięzców.

Opis działania:
Użytkownik w celu rejestracji podaje email i zatwierdza zgodę na przetwarzanie danych osobowych w celu „udziału w konkursie”
Po otrzymaniu emaila z loginem i hasłem ma możliwość wprowadzenia w swoim profilu pozostałych danych (imię, nazwisko, adres)

Dane nie będą użyte do innych celów.

Autentykacja mechanizmami ASP.NET
Serwer z danymi: hosting Webio.pl

Administratorem danych ma być firma zlecająca mi wykonanie i zarządzanie stroną.

Jak to zrobić?

Są jakieś szczególne warunki do spełnienia i informacje do zdobycia jeżeli baza będzie na serwerze hostingowym a nie w mojej serwerowni?""

Z góry dzięki za pomoc

Temat: Prośba do fachowców

Panie Marku,

Bardzo ogólne pytanie Pan zadał. Dlatego trudno jest opisać "jak to zrobić".

Należy zgłosić bazę do GIODO. W zgłoszeniu administrator danych osobowych (firma zlecająca badanie) określa miejsce przetwarzania danych, komu je powierza, zgłasza cel itp.

Ze strony Pana znajomego powinien on dołożyć starań w następujących kwestiach:

1. Należy zadbać o obowiązek informacyjny i o uzyskanie ("klikalnej") zgody na przetwarzanie danych osobowych. Ta zgoda (fakt odklikania wraz z czasem) powinna znajdować się w bazie danych.

2. Zadbać o to, by w umowie zlecenia z firmą zlecającą były określone zapisy regulujące powierzenie bazy danych osobowych.

3. Zadbać o to, by dostęp informatyczny do bazy d.o. miały osoby uprawnione (pracujące w firmie pana znajomego).

To tyle na początek.
Gdyby pojawiły się dalsze wątpliwości - niech znajomy zakłada profil na GL i pyta o konkrety. :-)

Temat: Prośba do fachowców

Niewątpliwie dane należy zabezpieczyć zgodnie z rozdziałem 5 ( Art.36-39 ) Ustawy o Ochronie Danych Osobowych i jak wspominał Przedmówca zadbać także o regulacje formalne związane z powierzeniem przetwarzania tych danych (- tu na pewno firmie hostingowej), uzyskaniem odpowiednich zgód etc.
Pan także mając dostęp do zbioru danych osobowych powinien być osobą posiadającą upoważnienie od Administratora Danych Osobowych ( organizatora konkursu).

Jeśli jednak chodzi o sam obowiązek rejestracji zbioru tworzonego na potrzeby konkursu to tutaj sprawa też nie jest taka oczywista.
Gdyby dane osobowe były zbierane wyłącznie w celu przeprowadzenia konkursu, nie były w żaden sposób upubliczniane (typu publikacja danych osobowych zwycięzców na stronie www) a po zakończeniu konkursu od razu usuwane lub poddane anonimizacji to można taki zbiór potraktować jako doraźny, co stanowiłoby podstawę do wyłączenia go z obowiązku rejestracji ( Art.2 pkt 3 UODO).

Oczywiście, jeśli te dane osobowe pozyskane w konkursie będą wykorzystywane jeszcze do innych celów niż tylko sam konkurs (o czym należy poinformować uczestników) lub będą przetwarzane po zakończeniu konkursu to będzie obowiązek rejestracji takiego zbioru.

Zdecydowanie za mało szczegółów Pan podał, żeby udzielić konkretnej informacji.

Temat: Prośba do fachowców

Przy konkursach warto zwrócić uwagę (oprócz tego co napisano powyżej) co najmniej jeszcze na trzy rzeczy:
1) czy jedynym celem przetwarzania danych jest realizacja konkursu (bardzo często konkursy wykorzystywane są do tego, by napełniać bazę marketingową, a więc realizowany jest jeszcze jeden cel - marketing)
2) czy mamy do czynienia z konkursem, który będzie powtarzalny tzn. będą kolejne edycje, zmieniają się tylko dane osobowe (taki zbiór nie może być uznany za doraźny)
3) należy pamiętać o danych laureatów, które będą przetwarzane także po zakończeniu konkursu jeśli powstanie obowiązek podatkowy

Krótko mówiąc - sprawa wcale nie jest prosta i trzeba odpowiedzieć sobie na kilka pytań zanim ostatecznie będzie wiadomo jak postąpić w danym przypadku.

Temat: Prośba do fachowców

Wiecej informacji

Pomysł bazy danych doraźnych bardzo mi się spodobał.

Poniżej dodatkowe informacje, może da się to zrobić tak jak rozpisałem, proszę o uwagi, jeżeli jeszcze coś pominąłem.

Do minimalizacji zakresu prac potrzebuję zapisać adres email w celu weryfikacji i informowania uczestnika podczas trwania konkursu o ewentualnych zmianach czy wygranej.
Dane zwycięzców nie będą publikowane, pokażemy tylko zdjęcia, które dostały największą ilość głosów.

Głosowanie będzie możliwe tylko po zalogowaniu i tylko raz na każde zdjęcie – do bazy będzie zapisana informacja o fakcie oddania głosu (il. Punktów, login i czas oddania głosu)

Do odbioru nagród będzie konieczne podanie danych adresowych – to można zrealizować przez wysłanie prośby o dane do osób które wygrały – czyli dane te nie będą w bazie.

Z tego co do tej pory się dowiedziałem, to firma home.pl może wystawić zaświadczenie o spełnieniu przez Nich wymagań GIODO.
Jednak nie wiem dokładnie czy wystarczy wykupić hosting (asp.net + mssql) czy muszę mieć usługę serwera wirtualnego

1. Dane (adres email) będą zbierane wyłącznie w celu wzięcia udziału w konkursie, nie będą upubliczniane, i zostaną skasowane po jego zakończeniu – jako baza danych doraźnych
2. Przy rejestracji użytkownika klikana zgoda na przetwarzanie danych (adresu email) w celu potwierdzenia rejestracji i uzyskania hasła
3. Druga klikana zgoda na otrzymywanie na ten adres (w czasie konkursu) informacji organizacyjnych i przypomnień.
4. Firma zlecająca przygotuje umowę, która będzie zawierała informacje:
a. Komu zleca wykonanie mechanizmów konkursowych do rejestracji i głosowania (tu wskazanie na wykonawcę – działalność jednoosobowa)
b. Gdzie będą fizycznie, na jakich kontach hostingowych, znajdować się dane. (tu home.pl wystawia zaświadczenie o zgodności z UODO)
i. czy to wystarczy do spełnienia warunków art .36-39?
ii. Home.pl występuje jako dostawca miejsca hostingowego i bazy danych – czy tu na pewno trzeba jakieś umowy czy wystarczy powierzenie przetwarzania danych wykonawcy?
c. Kto jest upoważniony do przetwarzania danych (tu wskazanie imienne + login)
d. Powód wyłączenia z obowiązku zgłaszania bazy do GIODO: Art. 2 pkt 3

Czy umowa powinna zawierać szczegółowe rozwiązania techniczne takie jak metody autentykacji, sposoby generowania loginów i haseł, nazwy baz i adresy serwerów?

Mam nadzieję że wszystko tu zebrałem

Temat: Prośba do fachowców

Michał Sztąberek:

2) czy mamy do czynienia z konkursem, który będzie powtarzalny tzn. będą kolejne edycje, zmieniają się tylko dane osobowe (taki zbiór nie może być uznany za doraźny)

Z tą doraźnością to nie jest niestety tak pięknie - GIODO w swojej praktyce przyjmuje, że wystarczy opublikowanie listy zwycięzców i już nie mamy zbioru doraźnego (Sprawozdanie GIODO za rok 2001, str. 256).

Temat: Prośba do fachowców

Witam, w końcu się zarejestrowałem.
Dziękuję wszystkim za pomoc.

Tak jak pisałem wcześniej, nie będziemy pokazywać KTO wygrał, pokażemy tylko zdjęcia wygranych osób a o wygranej poinformujemy drogą mailową.

Konkurs nie jest planowany cyklicznie tylko jednorazowo.

Mam nadzieję, że to co opisałem, jest wystarczające do zrealizowania projektu.Mariusz Pyśk edytował(a) ten post dnia 28.04.11 o godzinie 16:21

Temat: Prośba do fachowców

Witam ponownie.

Pojawiły się kolejne pytania:

Zleceniodawca (administrator danych) wolałby nie podpisywać umowy z firmą hostingową i wszystko zlecić przez moją firmę.

Czy można w takim przypadku zrobić umowy w następujący sposób:

1. Umowa między mną a zleceniodawcą - przyjmuję dane do przetwarzania i przechowywania w ramach prowadzonego projektu. Oświadczam również, że posiadam warunki określone w art 5, które zapewnia mi druga umowa:
2. Umowa między mną a a Webio - przechowuję dane na serwerach hostingowych Webio. W umowie zawarte będzie "przetwarzanie danych przez przechowywanie" oraz zapewnienie o spełnieniu warunków art 5 ustawy.

Temat: Prośba do fachowców

Witam,

ADO nie musi podpisywać umowy PPDO z firmą hostingową o ile w Umowie podpisanej przez ADO z Pana firmą będzie zapis jednoznacznie wskazujący, że Pana firma powierza te dane osobowe do przetwarzania innemu podmiotowi - w tym wypadku firmie hostingowej Webio.