Zgłoszenie sklepu internetowego do GIODO krok po kroku.

Zgłoszenie sklepu internetowego do GIODO krok po kroku.

utworzone przez | paź 6, 2016 | Bez kategorii, GIODO sklep internetowy

Obowiązek rejestracji zbiorów danych osobowych pojawił się wraz z ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 r.

Sklep internetowy może rozpocząć przetwarzanie danych osobowych zawartych w zbiorach danych dopiero po dokonaniu zgłoszenia takiego zbioru w GIODO.

Jeśli zaś e-sklep przetwarza dane osobowe wrażliwe (art. 27 ust. 1 uodo; np. dane ujawniające stan zdrowia, poglądy polityczne, nałogi), po zgłoszeniu zbioru należy odczekać aż zbiór zostanie faktycznie zarejestrowany przez GIODO. Dopiero wtedy przetwarzanie takich danych będzie legalne.

Zbiór może zostać wpisany do rejestru jeżeli postępowanie rejestracyjne wykaże, że nie zachodzi żadna z przesłanek odmawiających rejestracji, zgodnie z art. 44 ust. 1 ustawy o ochronie danych osobowych.

Art. 44. 1. Generalny Inspektor wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli:
1) nie zostały spełnione wymogi określone w art. 41 ust. 1, 2) przetwarzanie danych naruszałoby zasady określone w art. 23-30, 2) przetwarzanie danych naruszałoby zasady określone w art. 23-28, 3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a.

Plan działania dla sprzedawcy:

1. Zebranie informacji o przetwarzanych przez e-sklep danych na podstawie określonych w art. 23 ust. 1 uodo przesłanek

  • zgoda osoby, której dane dotyczą
  • realizacja prawa lub obowiązku wynikającego z przepisów prawa
  • realizacja umowy
  • realizacja zadań dla dobra publicznego
  • prawnie usprawiedliwiony cel administratora

1. Dopełnienie obowiązków informacyjnych (art. 24 i 25 uodo) przy zbieraniu danych od osoby, której one dotyczą o:

  • adresie swojej siedziby i pełnej nazwie/miejscu swojego zamieszkania oraz imieniu i nazwisku
  • celu zbierania danych/odbiorcach lub kategoriach odbiorców danych
  • prawie dostępu do treści swoich danych oraz ich poprawiania
  • dobrowolności/podstawie prawnej obowiązku podania danych.

1. Podjęcie środków technicznych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36 ust. 1 UODO oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)

2. Podjęcie środków organizacyjnych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36, art. 37, art. 38, art. 39 oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)

3. zawarcie umów powierzenia przetwarzania danych osobowych, jeżeli e-sklep zawiera umowy z podmiotami zewnętrznymi (np. hosting, księgowość)

 

Rejestracja wniosku – krok po kroku

  1. określić czy rejestracja dotyczy nowego zbioru, w którym przetwarzać będziemy tylko dane zwykłe (zgłoszenie na podstawie art. 40 uodo) czy też wrażliwe (zgłoszenie danych przetwarzanych na podstawie jednej z przesłanek wskazanych w art. 27 uodo).
    Aktualizacja – zaznaczyć opcję nr 2 art. 41 ust. 2 uodo
  2. nazwać zgłaszany zbiór np. marketing, newsletter itp.
  3. wskazać administratora danych, a więc przedsiębiorcę prowadzącego zbiór, który dokonuje zgłoszenia
  4. określić nazwę administratora, adres siedziby oraz podać nr REGON.
  5. Część B wniosku: wypełnić gdy mamy do czynienia z przedstawicielstwem firmy mającej siedzibę za granicą, a ściślej w tzw. państwie trzecim, czyli państwie, które nie należy do Europejskiego Obszaru Gospodarczego.
  6. określić podmioty, którym powierzamy dane z rejestrowanego zbioru danych.
    Wpisać ich nazwy oraz adres siedziby.
  7. wskazać przesłankę (podstawę), zgodnie z którą przetwarzamy dane osobowe z rejestrowanego zbioru.
  8. część C wniosku: określić cel, dla którego przetwarzane będą dane osobowe
    np. wysyłka newslettera
  9. określić osoby, których dane przetwarzamy np. Klienci, osoby składające reklamację
  10. określić, jakie dane będą przetwarzane w obrębie zgłaszanego zbioru np: e-mail, IP
  11. kolejne pytania dotyczą danych wrażliwych – wypełnić, jeśli e-sklep je przetwarza:
    wskazać jakie dane będą przetwarzane w ramach zgłaszanego zbioru np. informacja o nałogach pracownika albo stanie zdrowia.
  12. część D wniosku: określić, w jaki sposób zbieramy dane:
    – od osoby, której dane dotyczą (np. Klient sam podaje swoje dane, rejestrując się w e-sklepie)
    – z innego źródła (np. z zakupionej legalnie bazy danych).
  13. określić „inne podmioty uprawnione
    Innym podmiotem może być firma, z którą administrator danych współpracuje, przy czym należy pamiętać o tym, by takie udostępnianie odbywało się w sposób legalny.
  14. wskazać podmioty, którym będą udostępniane dane
    wpisać nazwę i siedzibę firmy/kategorie podmiotów np. partnerzy biznesowi.
  15. określić, czy administrator danych przekazuje dane z rejestrowanego zbioru do państw trzecich: wpisać nazwy państw trzecich
  16. Część E wniosku: wskazać czy dane przetwarzane są centralnie (upraszczając: w jednym miejscu np. w siedzibie e-sklepu) czy w tzw. architekturze rozproszonej (np. e-sklep ma kilka lokalizacji, a dodatkowo dane są powierzone do przetwarzania innym podmiotom).
  17. zaznaczyć, czy dane przetwarzane będą wyłącznie w wersji papierowej, czy też przy wykorzystaniu systemów informatycznych.
  18. wskazać, czy komputer służący do przetwarzania danych połączony jest z Internetem
  19. wskazać zabezpieczenia:
    typowo fizyczne (np. monitoring, agencja ochrony), środki sprzętowe (np. hasła i loginy, automatyczne wygaszanie monitora), ochrona baz danych (np. kwestie związane z uwierzytelnianiem), środki organizacyjne (np. Szkolenie pracowników).
  20. wskazać, czy został powołany administrator bezpieczeństwa informacji tzw. ABI
  21. wskazać, czy wdrożono dokumenty – m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.
  22. część F wniosku: wskazać poziom stosowanych zabezpieczeń
    Rozporządzenie wymienia trzy poziomy: podstawowy, podwyższony i wysoki (trzeba wybrać jeden). Tutaj e-sklep powinien wybrać poziom wysoki, gdyż z racji swej specyfiki działania zawsze spełni kryterium połączenia z Internetem.
  23. wysłać wypełniony wniosek do GIODO:
    – w sposób tradycyjny (za pośrednictwem poczty listem poleconym, w celu otrzymania dowodu nadania)
    osobiście w biurze GIODO wraz z egzemplarzem do otrzymania prezentaty.
    – przy użyciu kwalifikowanego certyfikatu (podpis elektroniczny) – przez Internet

Podsumowanie

Zgłoszenie zbioru danych, na pozór proste, niejednokrotnie nastręcza sprzedawcom wielu trudności. Niniejszy artykuł ma na celu ułatwienie e-sklepom przebrnięcia przez żmudną procedurę rejestracji. Jeśli w trakcie wypełniania wniosku pojawią się wątpliwości interpretacyjne, warto sięgnąć po poradę specjalisty, który po wykonaniu audytu e-sklepu, wykona to profesjonalnie i zapewni gwarancję zachowania procedur wymaganych przez ustawę.

O czym należy pamiętać przetwarzając dane osobowe klientów w firmie?

O czym należy pamiętać przetwarzając dane osobowe klientów w firmie?

utworzone przez | wrz 14, 2016 | GIODO sklep internetowy

Przedsiębiorcy prowadząc własną firmę, często nieświadomie, biorą udział w procesie przetwarzania danych osobowych. Ma to miejsce już w przypadku zawierania umów handlowych czy prowadzenia różnego typu działań marketingowych. Kilkakrotnie już nowelizowana Ustawa o ochronie danych osobowych z 1997 r. wprowadziła szereg obowiązków po stronie przedsiębiorców w zakresie przetwarzania danych osobowych.

Jak wyodrębnić zbiór danych osobowych?

Zbiory danych osobowych podlegają obowiązkowi zgłoszenia do Generalnego Inspektora Ochrony Danych Osobowych, czyli GIODO. Zanim przedsiębiorca wyodrębni poszczególne zbiory danych powinien pamiętać, że nie każde zestawienie danych osobowych będzie zbiorem.

 

Zbiór danych osobowych to, zgodnie z art. 7 pkt 1 ustawy o ochronie danych osobowych:
„każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.

 

Cechą wyróżniającą zbiór danych od innego zestawu danych będzie zatem struktura, czyli takie uporządkowanie, które daje możliwość wyszukania konkretnych danych według określonego kryterium.

 

Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.
Tylko będący zbiorem danych osobowych usystematyzowany zestaw danych powinien być zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, o ile nie zachodzi żadna z przesłanek określonych w art. 43 ustawy o ochronie danych osobowych zwalniająca administratorów danych z tego obowiązku.

 

Zgodnie z art. 43 ust. 1 ustawy z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

  1. objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę   życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
    1. które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
  2. przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
    1. przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
  3. dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
  4.  przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
  5.  dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
  6. tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
  7. dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
  8.  przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
  9. powszechnie dostępnych,
  10. przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
  11. przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

 

Często przedsiębiorcom wydaje się, że nie podlegają obowiązkom regulowanym przez ustawę o ochronie danych osobowych z uwagi na wyłączenie z art. z art. 43 ust. 1 pkt 8 tj. gdy przetwarzają dane wyłącznie w celu wystawienia faktury lub rachunku.

 

Warto jednak pamiętać, że jeśli obok wspomnianego celu wykorzystuje się te dane osobowe np. dla celów marketingowych, realizacji umowy itp. to przedsiębiorca będzie musiał je zgłosić do GIODO.

Rejestracji zbioru danych osobowych dokonuje GIODO na wniosek przedsiębiorcy złożony przed przystąpieniem do ich przetwarzania.

Na szczęście nie wszystkie dane są objęte obowiązkiem rejestracji w GIODO.

Wyłączenie obejmuje np.:
dane znajdujące się u przedsiębiorcy, które są przetwarzane w związku z zatrudnieniem osób fizycznych, świadczeniem usług na podstawie umów cywilnoprawnych czy w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Nie podlegają również zgłoszeniu np. dane powszechnie dostępne lub przetwarzane w zakresie drobnych bieżących spraw życia codziennego.
Należy zwrócić szczególną uwagę na dane wrażliwe np. o stanie zdrowia – takie dane mogą być przetwarzane dopiero po zarejestrowaniu zbioru przez GIODO.
Obowiązek zgłoszenia do GIODO dotyczy wyłącznie rodzaju przetwarzanych danych np. e-mail, nazwisko, imię itp. a nie konkretnych danych – nie należy wysyłać imion i nazwisk Klientów.

Jak należy rozumieć przetwarzanie danych osobowych?

Przetwarzanie danych osobowych oznacza jakąkolwiek operację (czy też zestaw operacji) na danych osobowych, na przykład: gromadzenie, rejestracja, porządkowanie, przechowywanie, modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez przekazanie, rozpowszechnianie lub udostępnianie w inny sposób.

 

Zgłoszenia zbioru danych osobowych dokonuje się poprzez złożenie wypełnionego formularza. Wniosek można wysłać pocztą, złożyć osobiście w siedzibie urzędu w Warszawie lub szybciej – złożyć za pomocą specjalnej strony internetowej.

Czy zgłoszenie zbiorów do GIODO to wszystko?

Niestety nie. Ustawa wymaga sporządzenia pisemnej dokumentacji, która będzie określać sposób przetwarzania danych oraz opisywać środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
Każda firma, w której przetwarzane są dane osobowe powinna mieć opracowaną i wdrożoną:

 

Politykę bezpieczeństwa danych osobowych, która opisuje zasady przetwarzania danych osobowych (w formie papierowej i elektronicznej) w organizacji

 

Instrukcję Zarządzania Systemem Informatycznym – to dokument bardziej szczegółowy i koncentrujący się na zapewnieniu bezpieczeństwa danych osobowych, przetwarzanych w infrastrukturze informatycznej firmy.
Zawartość tych dokumentów opisuje Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. – wskazują one minimum, które dokumentacja musi zawierać.

Kto może mieć dostęp do danych osobowych?

Przedsiębiorcy powinni pamiętać, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Upoważnienie takie powinno wskazywać imię i nazwisko osoby upoważnionej, datę nadania, datę ustania oraz zakres upoważnienia – nazwę zbioru danych.

Jakie są sankcje za nielegalne przetwarzanie danych osobowych?

Ustawa o ochronie danych osobowych za przetwarzanie danych osobowych niezgodnie z prawem przewiduje zarówno odpowiedzialność administracyjną i karną, która szczegółowo uregulowana została w art. 49–54a ustawy.
Takie stanowisko zajął również Naczelny Sąd Administracyjny, który w wyroku z 21 listopada 2002 r. (sygn. akt II SA 1682/01), stwierdził, że:

 

„W świetle ustawy naruszenie jej przepisów staje się źródłem odpowiedzialności administracyjnej, prowadzącej w istocie jedynie do obowiązku przywrócenia stanu zgodnego z prawem (art. 18) oraz odpowiedzialności karnej (art. 19, 49-54). Przy czym jedynie ten pierwszy rodzaj odpowiedzialności realizowany jest w drodze wydania decyzji administracyjnej”.

 

Tu warto podkreślić, iż wbrew obiegowej opinii, GIODO nie ma prawa do nakładania kar finansowych po stwierdzeniu uchybienia. Nakładanie jakichkolwiek kar administracyjnych musi być najpierw poprzedzone przeprowadzeniem przez organ do spraw ochrony danych osobowych właściwego postępowania administracyjnego, zakończonego wydaniem decyzji administracyjnej (np. nakazującej określone działanie), a następnie przeprowadzeniem administracyjnego postępowania egzekucyjnego, jeżeli mimo wydanej decyzji, zobowiązany podmiot jej nie wykona.

Innymi słowy, później nałożona grzywna służy wymuszeniu na kontrolowanym wykonania obowiązków o charakterze niepieniężnym.

 

Grzywna ta wynika z przepisów o postępowaniu egzekucyjnym w administracji art. 121 i może wynosić od 10 tys. zł dla osób fizycznych prowadzących działalność gospodarczą do 50 tys. zł dla osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej (w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie może przekraczać odpowiednio 50 tys. zł oraz 200 tys. zł).

Odpowiedzialność karna zaś, jak i kara za naruszenie przepisów o ochronie danych osobowych jest orzekana po przeprowadzeniu postępowania karnego w konkretnej sprawie przez właściwe organy ścigania i wymiaru sprawiedliwości.

Podsumowanie

Przepisy nakładające obowiązki dotyczące danych osobowych mają zastosowanie do większości firm z uwagi na fakt, iż definicja danych osobowych obejmuje szeroki zakres informacji np. klienci sklepu internetowego, klienci otrzymujący newsletter, dostawcy itp.

Trzeba pamiętać, że poza wskazanymi w ustawie przypadkami, rejestracja zbioru danych osobowych jest zazwyczaj konieczna by dane te mogły być w ogóle legalnie przez firmę przetwarzane. Ustawa o ochronie danych osobowych wyraźnie stanowi, że administrator danych osobowych może rozpocząć ich przetwarzanie w zbiorze dopiero po zgłoszeniu tego zbioru do GIODO.

Przedsiębiorca, który ma obowiązek zgłoszenia zbioru danych osobowych a nie dopełni go, powinien liczyć się z koniecznością poniesienia przykrych konsekwencji takiego zaniechania w postaci grzywny, kary ograniczenia wolności czy pozbawienia wolności.

 

Czy do GIODO przesyłam dane osobowe klientów i czy muszę tę listę aktualizować?

Czy do GIODO przesyłam dane osobowe klientów i czy muszę tę listę aktualizować?

utworzone przez | sie 30, 2016 | GIODO sklep internetowy

Każdy przedsiębiorca, który przetwarza dane osobowe swoich klientów podlega reżimowi Ustawy o ochronie danych osobowych. W Polsce w dalszym ciągu ciągle króluje nieświadomość w zakresie tego jakie obowiązki nałożył na firmę ustawodawca i z tego powodu większość przedsiębiorców naraża się na przykre konsekwencje prawne. Nie ma co się dziwić, ciężko być specjalistą w każdej dziedzinie.
Poniżej pokrótce wyjaśnimy na czym polega obowiązek zgłoszeniowy do GIODO.

Kto podlega obowiązkowi rejestracji w GIODO?

Każdy przedsiębiorca przetwarzając dane osobowe klientów staje się Administratorem Danych Osobowych i jako ten jest zobowiązany zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 uodo).
Art. 40. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1.

Ważne by obowiązek rejestracji zbiorów danych osobowych spełnić jeszcze przed rozpoczęciem właściwej działalności (art.46 ust.1 uodo ), czyli rozpoczęciem faktycznej sprzedaży towarów.
Art. 46. 1. Administrator danych może, z zastrzeżeniem ust. 2, rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku.

Jeżeli już działalność rozpoczęto, należy takiego zgłoszenia dokonać jak najszybciej.

Co podlega zgłoszeniu do GIODO?

Zgłaszając zbiór nie wysyła się żadnych danych osobowych klientów. Rejestracja w GIODO obejmuje jedynie konkretne zbiory ze wskazaniem na cel i zakres przetwarzania zawartych w nim danych osobowych.

Jak wygląda wniosek do GIODO?

Wniosek rejestracyjny do GIODO składa się z kilku części.

I CZĘŚĆ: określamy, czy jest to nowy wniosek, czy aktualizacja lub też wniosek dotyczący danych wrażliwych (ustawa definiuje cześć danych osobowych jako wrażliwe i ogranicza możliwości ich zbierania, ale nie dotyczy to zdecydowanej większości przypadków).

II CZĘŚĆ: określamy Administratora Danych (naszą firmę) i przesłankę, na podstawie której będziemy zbierać dane.

III CZĘŚĆ określamy:

  • cel przetwarzania danych (np. realizacja zamówień),
  • kategorie osób, których dane zamierzamy zbierać (np.: klienci i potencjalni klienci sklepu)
  • informację o tym, jakie dane zamierzamy gromadzić (lista przykładowa do zaznaczenia oraz miejsce do wpisania innych)
  • informacje o danych wrażliwych – ustawa o ochronie danych osobowych określa w ten sposób dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, stan zdrowia, kod genetyczny, informacje o nałogach, życiu seksualnym, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

IV CZĘŚĆ: wskazujemy, w jaki sposób zbieramy dane, czyli czy bezpośrednio od danej osoby czy z innego źródła (np. kupionej legalnie bazy danych)
komu będziemy dane udostępniać ( w przypadku sklepu internetowego będzie to zwykle firma kurierska, biuro rachunkowe itp.) oraz czy będziemy je wysyłać za granicę i do państw trzecich.

V CZĘŚĆ: wskazujemy sposób przetwarzania danych (czy tylko na papierze czy tez elektronicznie;  czy na komputerach połączonych z Internetem, czy centralnie czy w architekturze rozproszonej), a także opisu zabezpieczeń stosowanych w związku z przetwarzaniem danych – od czysto fizycznych (typu drzwi, zamki, szafy, sejfy) i sprzętowych (np. niszczarki), poprzez firewalle i uwierzytelnianie, po organizacyjne. Wskazujemy informację o powołaniu Administratora Bezpieczeństwa Informacji oraz o opracowaniu dokumentów z zakresu ochrony danych osobowych (Polityka Bezpieczeństwa Informacji oraz Instrukcja zarządzania systemem informatycznym) – dlatego tak ważne by dokumenty te przed dokonaniem rejestracji przygotować i wdrożyć.

Aby jednak zgłoszony zbiór mógł zostać zarejestrowany jego administrator musi spełnić wszystkie wymagania, jakie nakłada na niego wspomniana ustawa oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Dlatego na koniec należy wskazać poziom stosowanych zabezpieczeń, który ma być adekwatny do sposobu przetwarzania danych.
Najczęściej będzie to poziom wysoki, który stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

Podsumowanie

Podsumowując zaznaczyć należy, iż obowiązek zgłoszenia do GIODO zbioru danych osobowych nie oznacza przesyłania danych osobowych swoich klientów. We wniosku rejestracyjnym jak i aktualizacyjnym wskazuje się konkretne zbiory danych osobowych opisując kategorie przetwarzanych danych oraz cel i zakres ich przetwarzania.

Jaką dokumentację dotyczącą danych osobowych należy mieć prowadząc sklep internetowy

Jaką dokumentację dotyczącą danych osobowych należy mieć prowadząc sklep internetowy

utworzone przez | sie 17, 2016 | GIODO sklep internetowy

Każdy sklep internetowy ma obowiązek prowadzenia dokumentacji z zakresu ochrony danych osobowych, o której będzie mowa w niniejszym artykule. Prowadząc sprzedaż, działania marketingowe, zatrudniając pracowników sklep przetwarza dane osobowe i staje się ich administratorem. Wobec tego ciąży na nim obowiązek zgłoszenia zbiorów danych do GIODO czyli Generalnego Inspektora Ochrony Danych Osobowych.
Co więcej, obowiązek opracowania i wdrożenia dokumentacji z zakresu ochrony danych osobowych jest aktualny nawet w sytuacji wyłączenia obowiązku rejestracji zbioru danych osobowych u danego administratora.
Celem takiego rozwiązania jest stworzenie systemu zapewniającego zgodne z prawem przetwarzanie danych osobowych w każdej firmie.

Sprawdź, jakim obowiązkom podlegasz! Zapytaj o bezpłatny audyt GIODO

Każdy e-sklep musi dbać o to by przetwarzanie danych osobowych np. klientów odbywało się w oparciu o jedną z tzw. przesłanek legalności ich przetwarzania (art. 23 Ustawy o ochronie danych osobowych).

Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych; 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego; 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

2. Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania

Sklep internetowy musi przestrzegać obowiązku informacyjnego – chodzi o informowanie osoby, od której dane są zbierane, o tym, kto jest ich administratorem, o prawie do wniesienia sprzeciwu wobec przetwarzania jej danych w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.

Zgłoś zbiór do GIODO

 

E-sklep winien dokonać zgłoszeń rejestracyjnych do Generalnego Inspektora Ochrony Danych Osobowych za pomocą specjalnego wniosku, dostępnego między innymi w serwisie internetowym GIODO.  

 

Zabezpiecz dane osobowe

W każdym przedsiębiorstwie należy zabezpieczać dane osobowe. Zabezpieczenia te można podzielić na fizyczne oraz organizacyjne. W praktyce to właśnie brak należytych zabezpieczeń danych osobowych stanowi najczęstszą przyczynę nakładania kar na przedsiębiorców.

 

Przygotuj dokumentację z zakresu ochrony danych osobowych

Ustawa wymaga sporządzenia pisemnej dokumentacji, która będzie określać sposób przetwarzania danych oraz opisywać środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.

 

Każdy e-sklep powinien mieć opracowaną i wdrożoną:
Politykę bezpieczeństwa danych osobowych, która opisuje zasady przetwarzania danych osobowych (w formie papierowej i elektronicznej) w organizacji Zgodnie z Rozporządzeniem MSWiA, Polityka powinna zawierać w szczególności (par. 4):

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
  • sposób przepływu danych pomiędzy poszczególnymi systemami
  • określenie środków technicznych i organizacyjnych, niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

 

Instrukcję Zarządzania Systemem Informatycznym – to dokument bardziej szczegółowym i koncentrującym się na zapewnieniu bezpieczeństwa danych osobowych, przetwarzanych w infrastrukturze informatycznej firmy.
Rozporządzenie wymaga, aby znalazły się w niej w szczególności (par. 5):

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy, przeznaczone dla użytkowników systemu;
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  • sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych;
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
  • procedura wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych;
  • sposób odnotowywania informacji o odbiorcach danych.

Zawartość tych dokumentów opisuje Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. – jest to minimum, które dokumentacja musi zawierać. Dokumenty te opisują w jaki sposób ADO przetwarza i chroni dane osobowe. Nie trzeba ich jednak dołączać do wniosków rejestracyjnych do GIODO. Są to dokumenty wewnętrzne, jednak należy je aktualizować w miarę potrzeb. Nie należy ich mylić z regulaminem i polityką prywatności zamieszczanymi na stronie! Opisane w dokumentacji zasady należy przede wszystkim wprowadzić w życie.

 

Ewidencję upoważnień do przetwarzania danych osobowych

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO.
Upoważnienie musi zawierać:

  • imię i nazwisko
  • datę nadania
  • datę ustania
  • zakres upoważnienia – nazwa zbioru bądź elementu zbioru danych.

Wyżej wymienione upoważnienia należy ewidencjonować.
Ewidencja upoważnień powinna zawierać:

  • imię i nazwisko osoby upoważnionej;
  • datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;
  • identyfikator (jeżeli dane są przetwarzane w systemie informatycznym)

Nadzór nad upoważnieniami ułatwi na pewno ich numeracja, którą również warto w ewidencji umieścić.

Po stronie osoby upoważnionej do przetwarzania danych osobowych leży obowiązek zachowania danych, sposobu ich zabezpieczenia toteż w dokumentacji winno znaleźć się również oświadczenie osoby upoważnionej o tym, że została zapoznana z zasadami przetwarzania danych w przedsiębiorstwie i przepisami o ochronie danych osobowych.

 

Umowy powierzenia przetwarzania danych osobowych

Administrator danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi zewnętrznemu w drodze umowy. Pozwala ona administratorowi danych na skorzystanie z usług wyspecjalizowanych podmiotów zewnętrznych.
Najbardziej popularną sytuacją powierzenia danych w przypadku e-sklepu jest korzystanie z usługi hostingu z wykorzystaniem wsparcia technicznego usługodawcy. W takiej sytuacji konieczne jest zawarcie pisemnej umowy powierzenia.
Innym przypadkiem jest np. korzystanie z oprogramowania sklepów internetowych lub aplikacji mailingowych w modelu SaaS. Niezbędnymi elementami tej umowy jest określenie celu, w jakim podmiot, któremu powierzono przetwarzanie danych może je przetwarzać oraz zakresu powierzonych do przetwarzania danych. Podmiot ten może bowiem przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

 

Co z polityką prywatności?

Prawo nie nakazuje posiadania polityki prywatności, lecz z uwagi na to,  że każdy administrator danych powinien dopełnić względem swoich użytkowników obowiązków informacyjnych o danych administratora, celu zbierania danych, odbiorcach, prawie dostępu użytkownika do zbierania danych i ich modyfikacji oraz podstawie prawnej obowiązku podania danych, często praktykuje się sporządzanie takiego dokumentu.

 

Podsumowanie

W każdym e-sklepie dochodzi do przetwarzania danych osobowych, dlatego e-sklep powinien opracować i wdrożyć dokumentację z zakresu ochrony danych osobowych.
Jest to tylko jeden z obowiązków, jaki ciąży na administratorze danych osobowych. Niniejszy artykuł ma na celu wskazanie, jakiego rodzaju dokumenty musi posiadać sklep internetowy by uchronić się przed negatywnymi konsekwencjami w razie ewentualnej kontroli GIODO.

Inspekcje pracy a kontrola GIODO

Inspekcje pracy a kontrola GIODO

utworzone przez | lip 30, 2016 | GIODO sklep internetowy

kontrola giodoTo, czy przedsiębiorcy i inne instytucje przestrzegają przepisów Kodeksu pracy oraz przepisów z zakresu ochrony danych osobowych będzie mogło być sprawdzane podczas jednej kontroli prowadzonej albo przez pracowników Biura GIODO, albo Państwowej Inspekcji Pracy (PIP). Warunkiem połączenia kontroli jest dobra znajomość szczególnych przepisów prawa i jego interpretacji przez inspektorów obydwu instytucji.

 

Porozumienie GIODO – PIP

14 grudnia 2012 roku zawarte zostało porozumienie pomiędzy Państwową Inspekcją Pracy a Biurem Generalnego Inspektora Ochrony Danych Osobowych, w treści którego określone zostały zasady współpracy tych organów:
Porozumienie określa zasady współdziałania PIP i GIODO w realizacji ustawowych zadań dla podniesienia skuteczności działań na rzecz przestrzegania przepisów o ochronie danych osobowych w stosunkach pracy.
Porozumienie zobowiązuje PIP do zawiadomenia GIODO o „stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych.
Realizowanie kontroli przez inspektorów PIP było dotychczas znacznie utrudnione z uwagi na ich ograniczoną wiedzę w zakresie ochrony danych osobowych.
Jak twierdzi dr Wojciech Wiewiórowski (GIODO)

„W przypadku instytucji publicznych często zawarcie oficjalnego porozumienia po prostu ułatwia działania organizacyjne”.

Celem porozumienia była w związku z tym wymiana doświadczeń z kontroli oraz podnoszenie kwalifikacji pracowników PIP i GIODO po to by mogły wspólnie prowadzić kontrole w zakresie przestrzegania ochrony danych osobowych.
Zakres porozumienia wskazano w:

§ 2, który mówi:

1. Państwowa Inspekcja Pracy zawiadamia GIODO o stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. GIODO informuje Państwową Inspekcję Pracy o wynikach postępowania w sprawie nieprawidłowości określonych w zdaniu pierwszym.

2. GIODO zawiadamia Państwową Inspekcję Pracy o stwierdzonych w czasie kontroli naruszeniach przepisów prawa pracy.

§ 3 Współdziałanie stron realizowane jest również poprzez:

1. wzajemną wymianę doświadczeń wynikających z kontroli realizowanych przez każdą ze Stron w ramach swoich kompetencji, w zakresie spraw objętych współdziałaniem,

2. działania mające na celu podnoszenie kwalifikacji pracowników PIP i GIODO, w tym współpracę przy opracowywaniu programów szkoleń, wymianę wykładowców, zapewnienie pracownikom, w miarę zgłaszanych potrzeb i możliwości, udziału w kursach i szkoleniach organizowanych przez Strony,

3. prowadzenie wspólnie kontroli w uzgodnionym zakresie tematycznym,

4. konsultacje w zakresie doskonalenia metodyki prowadzenia kontroli w zakresie przestrzegania ochrony danych osobowych przez podmioty kontrolowane.

Więcej kontroli?

Porozumienie PIP – GIODO oznacza większą ilość kontroli procesów przetwarzania danych osobowych.
W całej Polsce, w jednym tylko roku 2015 PIP przeprowadziła blisko 90 000 kontroli (dane z http://www.pip.gov.pl ) podczas gdy GIODO w tym samym czasie mniej niż 200 (dane z http://www.giodo.gov.pl/) . Z pewnością kontrola PIP w zakresie ochrony danych zawsze będzie bardziej pobieżna niż inspekcja GIODO z uwagi na fakt, że inspektorzy PIP nigdy nie będą specjalistami w dziedzinie ochrony danych. Zatem inspektor PIP sprawdzi np.  czy w kontrolowanym podmiocie funkcjonuje wymagana prawem dokumentacja (Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemami Informatycznymi, upoważnienia do przetwarzania danych, ewidencja upoważnień), ale nie będzie już analizował szczegółowo jej zapisów.
GIODO natomiast przy okazji przeprowadzanych kontroli zweryfikuje respektowanie prawa pracy przez kontrolowaną instytucję. Zapewni to kompleksowość kontroli. Jak wskazuje Dr Wojciech Rafał Wiewiórowski (GIODO):

„Kiedy sprawdzamy działania podejmowane przez przedsiębiorcę, ale również instytucje publiczne, możemy dojść do wniosku, że niektóre z nich nie mają wprawdzie charakteru naruszającego ustawę o ochronie danych osobowych, ale mogą naruszać inne uprawnienia pracowników. W tej sytuacji powinniśmy informować Państwową Inspekcję Pracy. Chodzi nam także o koordynację kontroli, tak żeby nie dochodziło do sytuacji, w której ta sama rzecz jest kontrolowana przez PIP i przez GIODO, raz po razie.”

Dwa urzędy = jednolita wykładnia

Porozumienie ma wpłynąć również na stworzenie jednolitej wykładni przepisów dotyczących prawa do prywatności pracowników przez obydwa urzędy.

Jest to istotne choćby z uwagi na fakt, jaki wskazuje Dr Wojciech Rafał Wiewiórowski (GIODO) iż:
„istnieje przekonanie, że GIODO nie dopuszcza zbierania danych biometrycznych od pracowników, co nie jest do końca prawdą. Nie dopuszczamy tego na potrzeby rozliczenia czasu pracy czy innych obowiązków, wynikających z Kodeksu pracy. Choć mogą też istnieć uzasadnione powody, związane z bezpieczeństwem, które powodują, że jest to możliwe. Jest to dozwolone, na przykład tam, gdzie chodzi o ochronę pomieszczenia albo konkretnego zasobu, który w tym pomieszczeniu się znajduje”

 

Podsumowanie

Zmiana w zakresie porozumienia GIODO i PIP, która weszła niedawno w życie miała na celu zwiększyć bezpieczeństwo danych osobowych przetwarzanych przez polskie przedsiębiorstwa i zlikwidować nadużycia dotyczące danych osobowych pracowników.

Dla przedsiębiorców ta zmiana oznacza, że uchybienia w tym zakresie będą częściej weryfikowane.