Аллегро и уведомление генерального инспектора ОДО

  1. Сообщение об учетной записи allegro в GIODO
  2. Репортаж о коллекции аллегро в GIODO
  3. Как соответствовать требованиям GIODO, продавая на Allegro
  4. Уникальный логин
  5. Смена пароля и защита личных данных
  6. Другие технические обязательства, касающиеся защиты персональных данных (ОДО)
  7. PayU платежи и защита личных данных (ОДО)
  8. Allegro и интеграция с собственным интернет-магазином в контексте ОДО
  9. Аллегро и менеджер по продажам
  10. Резюме: allegro и приложение для GIODO

Автор: - Дата: 30 сентября 2016 г. Автор: - Дата: 30 сентября 2016 г

Должна ли компания уведомлять GIODO при продаже только на allegro? Что делать, если продажи через веб-сайт allegro являются одним из многих каналов продаж, то есть у компании также есть интернет-магазин или стационарный магазин.

Чтобы выполнить обязательства по Закону о защите данных, контролер персональных данных ( ADO ) должен предоставить файл персональных данных, если он не назначил администратора информационной безопасности ( ABI ) или сбор не подлежит регистрации.

Подробнее об освобождении от обязательств по регистрации можно прочитать в статье.
GIODO освобождение от регистрации

Если компания продает через Allegro, она должна предоставить набор личных данных. К сожалению, этот сбор не подлежит освобождению от обязанности регистрироваться, поскольку персональные данные обрабатываются в ИТ-системах (в электронном виде), и, кроме того, персональные данные используются, например, в процессе доставки товара покупателю, возврата (изъятия из договора продажи) , В первом случае персональные данные предоставляются курьерской компании, польскому почтовому отделению или компании, которая управляет посылочными автоматами. Во втором случае персональные данные предоставляются финансовому учреждению (банку), через которое производится возврат платежа, или польской почте, если платеж возвращается посредством почтового перевода. Другой аспект, о котором следует помнить, - это проблема учета. Если компания использует ИТ-систему для расчетов по бухгалтерскому учету или расчеты по продажам осуществляются через бухгалтерскую фирму, где мы имеем дело с классическим доверием личных данных, этот факт также следует учитывать в аспекте соответствующего описания в документации компании в Политике защиты личных данных.

Сообщение об учетной записи allegro в GIODO

Первым основным вопросом, который необходимо проанализировать на этом этапе, является вопрос о необходимости представить коллекцию как таковую, а не учетную запись allegro. У компании может быть много учетных записей в allegro, под которой она осуществляет продажи, но, наконец, по смыслу Закона мы имеем дело с одним набором персональных данных, обслуживаемых разными учетными записями пользователей. Количество аккаунтов на Allegro здесь не имеет значения. Набор данных должен сообщаться, а не учетная запись.

Репортаж о коллекции аллегро в GIODO

Если компания продает только через веб-сайт Allegro, она должна предоставить хотя бы один набор личных данных, то есть набор клиентов. Второй необязательный сборник может представлять собой сборник жалоб.

Коллекция клиентов будет содержать личные данные физических лиц, покупающих товары, предлагаемые через Allegro.

О сборе жалоб следует сообщать только в том случае, если компания ведет реестр жалоб, в том числе в электронной форме. На практике, если компания принимает жалобы от клиентов в форме бумажных документов и только в этой форме ведет реестр жалоб, такой сбор не подлежит регистрации. Разумеется, это не меняет необходимости описывать такой набор в документации, т. Е. В Политике безопасности защиты личных данных в компании. Вы должны включить эту коллекцию, но не обязаны сообщать об этом. Если компания, помимо бумажного реестра, также поддерживает электронный реестр в рамках жалобы, то она обязана зарегистрировать такой файл в GIODO.

В нашем блоге мы подробно описали процесс заполнения заявки в GIODO.

Подробную процедуру сообщения в GIODO можно найти в статье.
Сообщение о наборе персональных данных в GIODO ,

Как соответствовать требованиям GIODO, продавая на Allegro

Первым основным вопросом является подготовка документации в области защиты персональных данных, т. Е. Политики безопасности и Инструкции по управлению ИТ-системами. Эта документация должна включать описание процедур и процессов обработки персональных данных в компании. Следующим элементом является представление набора или коллекции в GIODO.

В дополнение к вышеупомянутым формальностям, должны быть выполнены дополнительные требования. Постановление Министерства внутренних дел и администрации, касающееся защиты персональных данных, определяет требования, которые должны соблюдаться ADO в области обработки персональных данных и их безопасности. Если компания использует свои собственные решения, многие аспекты могут быть защищены и автоматизированы. К сожалению, в случае продажи на allegro это не так просто и включает в себя практическое создание процедур, которые, к сожалению, должны выполняться вручную.

Уникальный логин

Первой наиболее распространенной проблемой при выполнении требований законодательства является уникальный вход пользователя. Правила указывают, что каждый человек, уполномоченный обрабатывать персональные данные в компании, должен иметь свой собственный идентификатор (читай логин) для ИТ-системы. В случае продажи на allegro, если несколько человек занимаются обработкой заказов, техническая возможность выполнить это требование отсутствует. Каждый сотрудник входит в систему под одним и тем же пользователем и дает общеизвестный (на уровне компании) пароль доступа к учетной записи allegro.

Смена пароля и защита личных данных

Вторая проблема - выполнение обязательства по частоте смены пароля доступа к учетной записи allegro, а также контроль его сложности. В регламенте указано, что пароль следует менять не реже одного раза в 30 дней и должен содержать не менее 8 символов, где должны использоваться прописные и строчные буквы, цифры и специальные символы. К сожалению, если ADO не вводит дисциплину, то есть он не изменит пароль доступа сам по себе, при этом учитывая его сложность, это требование не будет выполнено. Служба Allegro не заменяет ADO в этих действиях, например, управляя сложностью пароля и частотой его смены.

Другие технические обязательства, касающиеся защиты персональных данных (ОДО)

Персональные данные клиентов, совершивших покупку, хранятся в ИТ-системе allegro, которая заботится о своей безопасности, как физической, так и логической (например, системы брандмауэра, антивирус и т. Д.). В результате продавец на allegro уверен, что allegro гарантирует, что данные клиента должным образом защищены от несанкционированного доступа, выполняются копии защиты, т. Е. Резервное копирование базы данных, а личные данные передаются через зашифрованное соединение, т. Е. SSL. Точно так же вход в систему происходит через зашифрованное соединение SSL. Таким образом, эти требования Регламента соблюдены.

PayU платежи и защита личных данных (ОДО)

В случае использования электронных платежей, которые поддерживаются и предоставляются самой платформой Allegro, необходимо включить их как в документацию, так и в приложение GIODO. Это связано с тем, что продавец на Allegro определяет, доступны ли платежи от PayU или нет. В случае доступности платежа компания PayU действует в пользу продавца, позволяя клиентам совершать платежи через эту систему. Это не будет обязательным, если сайт Allegro предоставит такую ​​форму оплаты каждому покупателю по умолчанию, а продавец предоставит только информацию о произведенной оплате. Обязательство включить PayU в документацию и заявку не будет существовать, если эта форма оплаты будет частью услуги, предоставляемой allegro.

На практике это должно быть продемонстрировано при заполнении заявки, на этапе, где необходимо указать субъекты, которым предоставляются персональные данные, только компанию PayU или обратиться к категории субъектов, то есть субъектов, которые выступают в качестве посредника в обслуживании электронных платежей.

Allegro и интеграция с собственным интернет-магазином в контексте ОДО

Распространенная бизнес-модель, действующая на рынке, состоит в том, что компания управляет своим интернет-магазином и дополнительно или в основном продает на Allegro, но заказы, размещенные на Allegro, обслуживаются с уровня интернет-магазина. Это достигается за счет интеграции с платформой Allegro, где данные из заказов передаются в базу данных магазина через API, доступный в Allegro, и модуль интеграции с уровня онлайн-магазина.

В этом случае такой набор можно рассматривать как один, обработанный в распределенной архитектуре, т. Е. Вся база клиентов находится в базе данных магазина - здесь личные данные клиентов, размещающих заказы в магазине, и allegro хранятся в хостинговой компании, где работает интернет-магазин, - и частичная копия Эти данные находятся на сайте Allegro, где хостинг-провайдером является Allegro, и есть только личные данные клиентов, заказывающих через allegro.

Затем вы можете отправить один набор персональных данных в GIODO, но в представленной заявке, в части, относящейся к субъектам, на которые возложена обработка персональных данных, вы должны указать как хостинговую компанию, где расположен интернет-магазин, так и Allegro. В обмен персональными данными должны быть включены все компании, ответственные за доставку товаров как для клиентов интернет-магазина, так и для allegro, а также все компании, которые поддерживают платежи как в магазине, так и в PayU на Allegro, если компания использует этот канал платежей на этом сайте.

Аллегро и менеджер по продажам

Менеджер по продажам allegro, несомненно, является удобным инструментом, который облегчает продажу allegro. Использование менеджера по продажам в Allegro не влияет на аспекты защиты персональных данных. Из точки Просмотр нормативных актов - это просто еще один интерфейс, еще одна форма доступа к персональным данным. Услуга предоставляется в одной ИТ-инфраструктуре и одним и тем же юридическим лицом.

Резюме: allegro и приложение для GIODO

Компания, продающая через allegro, должна зарегистрироваться в GIODO и иметь документацию в области защиты персональных данных, которая будет учитывать набор персональных данных клиентов allegro. В Руководстве по управлению ИТ-системой должна учитываться процедура смены пароля и контроля его сложности, а сам предприниматель должен заключить договор о передаче личных данных компании allegro.