Najprostszą odpowiedzią na to pytanie Kogo dotyczy RODO jest odpowiedź, że dotyczy wszystkich, którzy na terenie Unii Europejskiej przetwarzają dane osobowe. Oczywiście chodzi o podmioty, które robią to w celach inne niż osobiste, czy domowe.
RODO 2018, a sprzedawcy internetowi
Czyli tak, Sprzedawco – RODO dotyczy także Ciebie. Nie ma tutaj znaczenia rozmiar Twojego sklepu ani wielkość bazy danych osobowych, którą posiadasz. Przetwarzasz dane – podlegasz pod RODO. Oczywiście kłamstwem byłoby stwierdzenie, że RODO dotyczy wszystkich podmiotów tak samo, rzeczą jasną, że nieco inne przygotowania, a potem ewentualne konsekwencje będą wyciągane wobec ogromnej, międzynarodowej korporacji, a inne wobec małego sklepiku online, który zatrudnia dwie osoby. Niemniej każdy musi być gotowym 25 maja 2018 roku, gdyż właśnie w tym dniu zapisy RODO zaczną obowiązywać na całym terenie Unii Europejskiej.
RODO – najistotniejsze zmiany Ale które zmiany, które przyniesie RODO są najistotniejsze z perspektywy sprzedawcy internetowego? Na co zwrócić szczególną uwagę?
Po pierwsze – poszerzenie definicji danych osobowych, którą od wejścia w życie RODO każda informacja, dzięki której można będzie ustalić tożsamość danej osoby. Oznacza to, że w poczet tych danych dochodzą takie informacje jak: dane genetyczne, stan zdrowia, lokalizacja, a nawet adresy IP, czy pliki cookies.
Po drugie – likwidacja obowiązku zgłaszania zbioru danych osobowych do GIODO oraz większa swoboda, przy dokonywaniu zabezpieczeń danych osobowych. Aktualnie każdy podmiot przetwarzający dane osobowe, w tym oczywiście także sklepy internetowe były zobowiązane, by zgłaszać do GIODO zbiory danych osobowych. Wiązało się to z formalnościami, które nieraz przysparzały problemy różnym podmiotom. RODO zmienia to diametralnie, gdyż obowiązek taki likwiduje, a dokumenty takie, jak polityka bezpieczeństwa, czy instrukcja zarządzania systemem informatycznym. W zamian powstanie tzw. rejestr czynności przetwarzania, w których udokumentowane powinny być kwestie środków, które zabezpieczać będą dane osobowe oraz ocena ryzyka, jakiemu podlegają przetwarzane danych. To wszystko będzie w gestii sprzedawcy, który ma tutaj sporą swobodę działania.
Po trzecie – zwiększenie uprawnień osób, których dane przetwarzamy. Pojawienie się nowego rozporządzenia powoduje, że już na wstępie, gdy jako podmiot pozyskujemy dane klienta jesteśmy zobowiązani, by poinformować go nie tylko o celu, dla którego go pozyskujemy, jak było do tej pory, ale także o czasie w jakim dane jego będą przetwarzane, skąd posiadamy jego dane, jeżeli uzyskane one zostały od firm trzecich i komu zamierzamy je w przyszłości przesłać. Klient oprócz prawa do usunięcia swoich danych z naszej bazy otrzymuje dodatkowe uprawnienia jak: możliwość transferu swoich danych do innej firmy, opcja wglądu w historię przetwarzania swoich danych osobowych oraz „bycia zapomnianym” – czyli całkowitym usunięciu danych, o ile przetwarzanie ich nie jest konieczne ze względów publicznych.
Po czwarte – obowiązek wyznaczenia IODO, czyli Inspektora Ochrony Danych Osobowych. Wraz z wejściem w życie RODO znika ABI, czyli Administrator Bezpieczeństwa Informacji i lukę po nim wypełnia właśnie IODO, którego zadaniami będzie doradztwo administratorowi w kwestiach zarzadzania danymi, jak i ciągły monitoring jego poczynań.
Po piąte – dojdzie do wycieku danych lub innych naruszeń? Musisz o tym poinformować. W takim wypadku zdarzenie takie należy jak najszybciej zgłosić organom nadzorczym oraz administratorowi danych. Ponad to pojawia się obowiązek przekazania takiej informacji klientom, których fakt ten dotyczy.
Po szóste – profilujesz klientów stosując zautomatyzowane przetwarzanie ich danych? Konieczna jest ich zgoda. Ta zmiana wywołuje wiele kontrowersji, zwłaszcza wśród sprzedawców, bo może mieć spory wpływ na spadki konwersji. Od maja, by powstał profil klient bazujący na jego zachowaniu w Sieci, potrzebna jest jego zgoda.
Po siódme – zmiany w zapisach z umów z zewnętrznymi firmami. To także bardzo istotna sprawa z punktu widzenia sprzedawcy internetowego. Większość z nich korzysta z zewnętrznej firmy do spraw księgowości, hostingu, czy systemów do marketingu, czy CRM. Umowy będą musiały zostać zaktualizowane o informacje dotyczące rodzaju danych, czas trwania powierzania, czy jaki jest jego charakter. Dodatkowo potrzebna będzie dokumentacja, która uzasadniać będzie istotę przekazywania danych konkretnej firmie zewnętrznej. Plusem tego jest fakt, że umowa będzie mogła być sporządzona tylko w wersji elektronicznej.
Po ósme – rejestr czynności przetwarzania. Jak wspomniane było już w punkcie drugim RODO wprowadzi i taką nowość. Rejestr ten jest o tyle istotny, że odciąża sprzedawcę z obowiązku zgłaszania zbioru danych do GIODO. Przede wszystkim powinny być w nim określone: rodzaje działań, jakie podejmowane będą przy przetwarzaniu danych, ryzyka zagrażające bezpieczeństwu tych danych oraz środki, które przeciwdziałać będą zagrożeniom naruszenia bezpieczeństwa danych.
Jak widać trochę zmieni się w kwestii przetwarzania danych osobowych. RODO dotyczy także sprzedawców internetowych przed którymi sporo pracy, jeżeli nie zaczęli się jeszcze przygotowywać do jego nadejścia.
Najważniejsze, by pamiętać o:
– powołaniu Inspektora Ochrony Danych Osobowych;
– zaktualizowaniu umów z firmami zewnętrznymi;
– stworzeniu rejestru czynności przetwarzaniu;
– zaktualizowani formularzy, którymi pozyskuje się dane osobowe klientów, by wymogi informacyjne były spełnione;
– dodatkowych informacjach dla klientów odnośnie usunięcia ich danych, czy przeniesienia ich do innego podmiotu;
– zgodzie, którą klient musi wyrazić, by móc go profilować;
Sprzedawco, RODO wchodzi w życie już 25 maja 2018 roku. Zrób wszystko, by być gotowym na jego przyjście.
Jakie są najpopularniejsze zbiory danych osobowych w sklepie internetowym i czy można je zgłosić razem?
Obowiązek ochrony przetwarzanych danych osobowych ciąży na każdym właścicielu e-sklepu, który taki zbiór danych gromadzi. Wiąże się to nie tylko z koniecznością jego rejestracji u Głównego Inspektora Ochrony Danych Osobowych (GIODO), ale też wdrożenia dokumentacji i odpowiedniego zabezpieczenia danych.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych administratora danych do zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków zwalniających go z tego obowiązku, o których mowa w art. 43 ust. 1 ustawy.
W rozumieniu ustawy, zbiór danych to
„każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie” (art. 7 pkt 1 ustawy).
Jedno zgłoszenie – jeden zbiór
Ustawa o ochronie danych osobowych wskazuje, iż jedno zgłoszenie zbioru danych powinno obejmować tylko jeden zbiór danych osobowych (art. 41 ustawy). Każdy zbiór danych osobowych, który jest zgłaszany przez Administratora danych różni się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą prawną prowadzenia zbioru.
W żadnym wypadku wypełnienie jednego zgłoszenia dla kilku zbiorów danych osobowych nie pozwoli w sposób właściwy scharakteryzować poszczególnych zbiorów objętych tym zgłoszeniem.
Tym samym zgłoszenie kilku zbiorów w jednym wniosku uniemożliwi wskazanie elementów decydujących o jego tożsamości, tj. np. podstawy prawnej przetwarzania danych, zakresu przetwarzanych danych, celu przetwarzania danych w zbiorze. A co za tym idzie nie będzie możliwe stwierdzenie, jaki zakres informacji, o którym mowa w art. 41 ust. 1 ustawy, dotyczy każdego ze zbiorów.
Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawierać: 1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, 2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub 14 miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania, 2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania, 3) cel przetwarzania danych, 3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych, 4) sposób zbierania oraz udostępniania danych, 4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane, 5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39, 6) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a, 7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
A zatem skoro dane osobowe klientów sklepu internetowego przetwarzane są w różnych celach, jak np. realizacja zamówień klientów sklepu internetowego, prowadzenie statystyk, marketing, prowadzenie bazy umów cywilnoprawnych, to dla ich realizacji potrzebny będzie różny zakres danych osobowych.
Zatem taka baza danych osobowych sklepu internetowego zawiera faktycznie kilka zbiorów danych prowadzonych w różnych celach. Każdy zbiór powinien zostać zgłoszony na oddzielnym formularzu zgłoszeniowym, w którym zostanie uwzględniony odpowiedni zakres danych osobowych oraz cel, dla jakiego są one przetwarzane.
Zbiory danych w e-sklepie
Pamiętając o zasadzie jeden zbiór – jeden cel przetwarzania należy wyodrębnić zbiory danych osobowych w e-sklepie.
Zbiór danych powinien posiadać strukturę. Dane powinny być uporządkowane np. alfabetycznie, wg daty lub numerów identyfikacyjnych.
Zbiór danych powinien być dostępny według określonych kryteriów – chodzi o możliwość przeszukiwania zbiorów, np. wg daty dokonania zakupu, adresu zamieszkania klienta itp.
Zbiór danych może być rozproszony lub podzielony funkcjonalnie. Dane osobowe klientów e-sklepu mogą znaleźć się również poza tzw. bazą danych e-sklepu, czyli np. jeśli sklep korzysta z zewnętrznej obsługi księgowej – dane znajdą się również w oprogramowaniu księgowym; jeśli e-sklep korzysta z zewnętrznego oprogramowania do rozsyłania mailingu, dane pojawią się z pewnością również tam.
Przykładowe zbiory danych w sklepie internetowym:
KLIENCI
Sklep internetowy gromadzi dane klientów takie jak np. ich imiona i nazwiska oraz adresy, gdyż jest to niezbędne do realizacji umowy, a w szczególności do dokonania wysyłki towaru. Dzieje się to podczas składania zamówienia, zakładania przez klienta konta w e-sklepie czy też podczas sprzedaży w sklepie stacjonarnym.
MARKETING
Aby zamówić newsletter Klient musi podać na stronie E-sklepu swój adres e-mail. Niezależnie od tego czy jest to klient zarejestrowany, czy też nie.
Pozyskane w ten sposób adresy e-mail stanowią zbiór danych osobowych, w rozumieniu art. 7 ust. 1 ustawy o ochronie danych osobowych.Jeśli to jedyne działanie marketingowe w e-sklepie – można ów zbiór zatytułować „NEWSLETTER”.
W sytuacji gdy e-sklep organizuje promocje handlowe i promocje dla konsumentów – czyli dociera do konkretnych klientów z rabatami, ofertami specjalnymi, obniżkami – na podstawie różnych metod segmentacji (pojęcie marketingu jest szersze), nazwa zbioru winna mieć bardziej pojemny zakres.
PRACOWNICY
W przypadkach większości e-sklepów zatrudniani są pracownicy.
Na szczęście, obowiązkowi zgodnie z Art. 43 ust. 1 pkt 4 uodo nie podlegają zbiory danych osób zatrudnionych u ADO na podstawie stosunku pracy, o którym mowa wKodeksie pracy, a także dane osób świadczących na rzecz administratora usługi na podstawie umów cywilnoprawnych (umowa-zlecenie, umowa o dzieło), co nie oznacza, że nie podlegają one ochronie.
Taki zbiór należy jednak również wskazać w ewidencji.
Każdy e-sklep może gromadzić dane osobowe z różnych źródeł, dlatego wskazane powyżej zbiory danych osobowych mają jedynie przykładowy charakter.
Nie podlegają rejestracji również zbiory danych osobowych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej (art. 43 pkt. 8 ustawy o ochronie danych osobowych).
Główne cele przetwarzania danych osobowych w sklepach internetowych, na jakie wskazuje GIODO to:
Realizacja zamówień klientów
Marketing (np.wysyłka newslettera)
Prowadzenie bazy umów cywilnoprawnych
Prowadzenie statystyk
Podsumowanie
Zidentyfikowane i wyodrębnione w obrębie e-sklepu zbiory danych należy zgłosić do GIODO. Zgłaszając zbiór nie należy przedkładać żadnej listy dotychczasowych klientów w GIODO a jedynie dany zbiór określając cel przetwarzania zawartych w nim danych osobowych. Wskazane w artykule zbiory danych mają jedynie przykładowy charakter, każdy sklep internetowy może mieć ich mniej lub więcej. Dlatego tak ważne przed przystąpieniem do rejestracji jest wnikliwe przeanalizowanie zakresu przetwarzanych danych i celów, w jakich są one przetwarzane.
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych reguluje, kiedy firmy mogą przesyłać swoim klientom oferty marketingowe. Jeśli w ten sposób promują własne produkty lub usługi – nie mają obowiązku pozyskiwania zgody klienta. Podstawą wykorzystywania ich danych osobowych będzie bowiem prawnie usprawiedliwiony interes administratora danych (czyli firmy), o którym mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.
Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych
Prawnie usprawiedliwionym celem administratora danych jest marketing bezpośredni własnych produktów i usług. Można więc wykorzystywać dane w tym celu, pod warunkiem że nie narusza to praw i wolności osoby, której dane dotyczą.
Marketing produktów i usług obcej firmy
Przesyłanie klientom ofert marketingowych innej firmy będzie możliwe jedynie za ich zgodą.
Nie istnieją bowiem przepisy prawa, które pozwalałyby na uznanie, że przesyłanie oferty marketingowej innego podmiotu jest działaniem dopuszczalnym jako prawnie usprawiedliwiony interes administratora danych.
Nie pomoże w tym również wzajemna umowa w sprawie wzajemnej promocji produktów i usług.
Podsumowanie
Jeśli zamierzamy wysyłać swoim klientom oferty marketingowe celem promocji własnej marki – nic nie stoi na przeszkodzie. Jeśli natomiast chcemy legalnie promować produkty innej firmy – musimy pamiętać by w tym celu pozyskać od klienta zgodę.
Każdy Administrator danych, w tym właściciel sklepu internetowego, aby przetwarzać dane osobowe zgodnie z przepisami ustawy o ochronie danych osobowych, musi wypełnić obowiązki jakie nakłada na niego ustawa. Powinien dopełnić obowiązku zgłoszenia zbioru do rejestracji w prowadzonym przez GIODO ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych i obowiązku informacyjnego, a ponadto we właściwy sposób zabezpieczać zgromadzone dane, dbać o interesy osób, których dane dotyczą i respektować ich prawa gwarantowane ustawą o ochronie danych osobowych.
Jak przetwarzać zgodnie z prawem?
W myśl art. 7 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych:
przetwarzanie danych osobowych to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Zatem każda czynność związana z przetwarzaniem danych osobowych powinna odbywać się z poszanowaniem zasad wynikających z powszechnie obowiązujących przepisów prawa dotyczących przetwarzania danych osobowych, w tym z przepisów ustawy o ochronie danych osobowych i wydanych na jej podstawie aktów wykonawczych.
Z prawnego punktu widzenia przepisów o ochronie danych osobowych najważniejsze jest przede wszystkim to by podmiot decydujący o celach i środkach przetwarzania danych osobowych przetwarzając zarówno dane zwykłe jak np. imię, nazwisko czy adres zamieszkania określone w art. 23 ust 1 pkt 1-5 ustawy o ochronie danych osobowych jak i dane wrażliwe takich jak np. dane o stanie zdrowia czy poglądach politycznych – art. 27 ust. 2 pkt 1-10 ustawy spełnił warunki stanowiące o zgodnym z prawem przetwarzaniu danych osobowych, czyli:
1. dopełnił – ustanowionego w art. 40 ustawy o ochronie danych osobowych – obowiązku zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) – zgłoszenie zbioru danych do rejestracji jest regułą, od której wyjątki wymienione zostały w art. 43 ust. 1 pkt. 1-11 ustawy o ochronie danych osobowych. Katalog tych wyjątków jest zamknięty i nie może być interpretowany rozszerzająco. Oceny tego, czy zbiór należy zgłosić do rejestracji, administrator danych dokonuje sam, przy czym zwolnienie zbioru danych z rejestracji jest możliwe tylko wówczas, gdy przesłanka uprawniająca do odstąpienia od rejestracji dotyczy wszystkich danych zawartych w zbiorze,
2. zastosował odpowiednie zabezpieczenia, o których stanowią przepisy rozdziału 5 ustawy o ochronie danych osobowych oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – administrator jest bowiem zobowiązany zastosować środki techniczne i organizacyjne zapewniające przetwarzanym danym odpowiednią ochronę, a przede wszystkim zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zebraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy o ochronie danych osobowych),
3. wypełnił obowiązki informacyjne ustanowionego w art. 24 ust. 1 oraz art. 25 ust. 1 ustawy o ochronie danych osobowych, chyba że administrator danych jest z niego zwolniony – w przypadku zbierania danych bezpośrednio od osoby, której dotyczą (art. 24) administrator musi poinformować ją o swojej nazwie i adresie, celu zbierania, odbiorcach danych (także tych przewidywanych), prawie dostępu do danych i prawie ich poprawiania, a także o dobrowolności albo obowiązku ich podania (a gdy obowiązek ten istnieje – o jego podstawie prawnej). W przypadku zbierania danych nie od osoby, której one dotyczą (art. 25),administrator – zaraz po utrwaleniu danych – musi poinformować osobę, której one dotyczą, o swojej nazwie i adresie, celu i zakresie zbierania danych, a zwłaszcza o ich odbiorcach, źródle, z którego dane pozyskał, prawie dostępu do danych i prawie ich poprawiania, a także o prawie żądania zaprzestania przetwarzania danych lub wniesienia sprzeciwu wobec przetwarzania danych,
4. dołożył szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, poprzez zapewnienie, aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (o czym stanowi art. 26 ust. 1 pkt. 1 – 4 ustawy o ochronie danych osobowych),
5. respektował prawa osób, których dane dotyczą – prawa te wymienione są w rozdziale 4 ustawy o ochronie danych osobowych i dotyczą kontroli procesu przetwarzania danych.
Naruszenie przepisów o ochronie danych osobowych może narazić administratora danych na odpowiedzialność administracyjną przez GIODO, jak i karną, stosownie do przepisów karnych ustawy o ochronie danych osobowych (art. 49 – art. 54a).
Każdy z tych warunków jest autonomiczny.
Podsumowanie
Bez znaczenia jest z punktu widzenia prawa to, czy sklep internetowy jest prowadzony w mieszkaniu czy w odrębnym biurze. Ustawa nakłada na wszystkich administratorów danych jednakowy obowiązek stosowania odpowiednich do poziomu bezpieczeństwa systemów informatycznych przetwarzających dane osobowe zabezpieczeń.
Każdy administrator musi opracować dokumentację z zakresu ochrony danych osobowych i dokonać zgłoszeń zbiorów danych osobowych do GIODO, o ile nie podlega wyłączeniom w tym zakresie.
Po spełnieniu wszystkich tych przesłanek przetwarzanie danych osobowych w mieszkaniu będzie zgodne z prawem.
Na tak postawione pytaie należy odpowiedzieć PRZECZĄCO:
1. NIE KAŻDY sklep musi być zgłoszony do Generalnego Inspektora Ochrony Danych Osobowych.
2. Co więcej, ustawa o ochronie danych osobowych NIE WYMAGA zgłaszania do GIODO sklepu internetowego a zbiorów danych osobowych, które taki sklep przetwarza.
Od razu jednak musimy dodać, że wszystkich sprzedawców internetowych obowiązuje ustawa o ochronie danych osobowych, a większość sprzedawców musi jednak dokonać zgłoszenia zbiorów danych osobowych do GIODO.
To jak to jest z tym zgłoszeniem?
Każdy e-sklep w związku z realizacją zamówień gromadzi i przetwarza dane osobowe swoich Klientów. Są to dane t.j. imię i nazwisko, adres zamieszkania, adres e-mail, numer telefonu i tym podobne. W ten sposób staje się administratorem danych osobowych i spada na niego obowiązek zgłoszenia zbiorów danych do Generalnego Inspektora Ochrony Danych Osobowych.
Większości sprzedawców wydaje się, że uda się uniknąć rejestracji z uwagi na ART.43.1 pkt. 8 Ustawy o Ochronie Danych Osobowych :
“Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: (…) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, (…)”
Jednak e-sklep to nie tylko faktury czy rachunki.
Dane osobowe Klientów gromadzone są przede wszystkim w celu realizacji zamówień, płatności, w celach marketingowych itp.
Administrator danych powinien przeanalizować i wyodrębnić zbiory i cele, w jakich przetwarza dane osobowe klientów i czy zachodzi którakolwiek z przesłanek zwalniająca go z obowiązku rejestracji zbioru u Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Czy każdy e-sklep musi zarejestrować zbiory danych w GIODO?
Od 1 stycznia 2015 roku z obowiązku rejestracji zbioru w GIODO zwolnione będą sklepy internetowe, które powołają Administratora bezpieczeństwa informacji i zgłoszą go do GIODO. Jawny rejestr zbiorów u danego Administratora będzie prowadził ABI.
Nie jest to zwolnienie bezwzględne, albowiem jeśli w e-sklepie przetwarzane są dane wrażliwe – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane, które dotyczą skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych wydanych w postępowaniu sądowym lub administracyjnym itp. to taki zbiór będzie podlegał rejestracji.
Jest to sytuacja niezmiernie rzadka w praktyce sklepów internetowych, ale trzeba o tym pamiętać.
Jeśli administrator danych w sklepie internetowym nie powoła administratora bezpieczeństwa informacji, powinien zanim rozpocznie faktyczną sprzedaż, dokonać rejestracji zbiorów danych w GIODO.
Art. 43 ustawy o ochronie danych wskazuje przypadki wyłączeń obowiązku rejestracji zbiorów danych osobowych:
1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 1) zawierających informacje niejawne; 1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności; 2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym; 2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej; 2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym; 2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej; 3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego; 4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się; 5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta; 6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego; 7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności; 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej; 9) powszechnie dostępnych; 10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; 11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego; 12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 przetwarzanie niektórych kategorii danych ust. 1. 1a. Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 przetwarzanie niektórych kategorii danych ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ponowne zgłoszenia do rejestracji powołania administratora bezpieczeństwa informacji ust. 2. 2. W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 zadania Generalnego Inspektora pkt 2, art. 14 uprawnienia inspektorów pkt 1 i 3-5 oraz art 15-18.
Obowiązuje zasada: jeśli zbiór nie mieści się w tym artykule – podlega rejestracji.
Podsumowanie
Prowadząc sklep internetowy trzeba pamiętać o wszystkich obowiązkach, jakie nakłada na sprzedawcę prawo. Prawo nie nakazuje rejestracji sklepu internetowego w GIODO. Ustawa o ochronie danych osobowych przewiduje dwie możliwości dla sprzedawców – powołać ABI-ego albo zarejestorwać zbiory danych osobowych w GIODO samodzielnie.
Nieznajomość prawa szkodzi, także w e-biznesie. Dobry sprzedawca to taki, który zna regulacje prawne lub korzysta z pomocy specjalistów i w oparciu o to racjonalizuje biznesowe działania, budując tym samym wizerunek rzetelnego sprzedawcy.
