W myśl ustawy o ochronie danych osobowych, baza danych sklepu to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Sprzedawca internetowy, prowadząc działalność gospodarczą ma obowiązek zgłoszenia zbioru danych osobowych do rejestru zbiorów prowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zgłoszenie ma na celu właściwe, czyli zgodne z prawem przetwarzanie danych osobowych, jak również kontrolowanie prawidłowości ich przetwarzania.
Kto i kiedy powinien rejestrować zbiór danych osobowych?
Obowiązek zgłoszenia bazy do rejestracji ciąży na administratorze danych osobowych. Nie ma znaczenia, czy administrator przetwarza dane samodzielnie, czy zlecił ich przetwarzanie w drodze umowy innemu podmiotowi. Odpowiedzialność za ewentualne naruszenie przepisów o ochronie danych osobowych ponoszą osoby zarządzające firmą, tj. właściciele sklepu, dyrektorzy przedsiębiorstwa, zarząd spółki.
Ważnym jest, iż taki obowiązek należy spełnić jeszcze przed rozpoczęciem właściwej działalności sklepu, czyli rozpoczęciem faktycznej sprzedaży towarów. Jeżeli jednak już prowadzimy sklep internetowy to powinniśmy jak najszybciej o takie zgłoszenie zadbać – kompleksowy wzór dokumentacji w tym zakresie można otrzymać tutaj: http://centrumsprzedawcy.pl/sklep/prawo-dla-sklepu/kompleksowa-dokumentacja-giodo-dla-sklepu-internetowego-wzor/.
Jakie bazy danych osobowych podlegają rejestracji?
Każda baza danych sklepu powinna być zgłoszona na osobnym formularzu zgłoszeniowym, który będzie zawierał odpowiedni zakres danych oraz cel przetwarzania. Przykładowo sprzedawca internetowy posiada w swoim sklepie listę subskrybentów, którzy zapisali się na newsletter. W tym przypadku sprzedawca przetwarza ich adres poczty elektronicznej w celach marketingowych własnych produktów lub usług administratora (zbiór nr 1), a nie w celu realizacji zamówienia, jak w przypadku osób, które dokonało zakupu towaru w sklepie internetowym sprzedawcy (zbiór nr 2).
Należy zauważyć, iż zgłaszając baza danych sklepu do GIODO sprzedawca internetowy nie przedkłada żadnej listy dotychczasowych klientów. Nie ma również potrzeby aktualizowania zbioru o nowych klientów – w GIODO zgłaszamy dany zbiór określając cel przetwarzania zawartych w nim danych osobowych.
Ustawowe wyjątki, w których nie jest wymagana rejestracja posiadanego zbioru danych osobowych do GIODO
Wyjątkiem od zasady zgłaszania zbiorów jest sytuacja, w której przedsiębiorca jest zwolniony z obowiązku rejestracji zbioru danych. Przepisy wyłączają taki obowiązek między innymi w stosunku do administratorów danych osobowych, którzy przetwarzają dane: swoich pracowników, osób świadczących na ich rzecz usługi na podstawie umów cywilnoprawnych, osób korzystających z ich usług medycznych lub prawnych, a także administratorów przetwarzających dane wyłącznie w celu wystawienia faktury lub rachunku. Szczegółowa regulacja w tym zakresie zawarta jest w art. 43 ust. 1 ustawy o ochronie danych osobowych.
Należy pamiętać, że poza wskazanymi wyżej przypadkami, rejestracja sklepu internetowego w GIODO jest niezbędna, aby dane te mogły być prawidłowo przetwarzane. Ustawa o ochronie danych osobowych wyraźnie stanowi, że administrator danych osobowych może rozpocząć ich przetwarzanie w zbiorze dopiero po zgłoszeniu tego zbioru do GIODO.
Proces rejestracji bazy danych osobowych do GIODO wymaga skompletowania odpowiedniej dokumentacji. Dlatego też, w razie jakichkolwiek pytań oraz wątpliwości, prawnicy naszego portalu oraz partnerzy w zakresie GIODO są do Państwa dyspozycji.
