Jakie są najpopularniejsze zbiory danych osobowych w sklepie internetowym i czy można je zgłosić razem?
Obowiązek ochrony przetwarzanych danych osobowych ciąży na każdym właścicielu e-sklepu, który taki zbiór danych gromadzi. Wiąże się to nie tylko z koniecznością jego rejestracji u Głównego Inspektora Ochrony Danych Osobowych (GIODO), ale też wdrożenia dokumentacji i odpowiedniego zabezpieczenia danych.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych administratora danych do zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków zwalniających go z tego obowiązku, o których mowa w art. 43 ust. 1 ustawy.
W rozumieniu ustawy, zbiór danych to
„każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie” (art. 7 pkt 1 ustawy).
Jedno zgłoszenie – jeden zbiór
Ustawa o ochronie danych osobowych wskazuje, iż jedno zgłoszenie zbioru danych powinno obejmować tylko jeden zbiór danych osobowych (art. 41 ustawy). Każdy zbiór danych osobowych, który jest zgłaszany przez Administratora danych różni się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą prawną prowadzenia zbioru.
W żadnym wypadku wypełnienie jednego zgłoszenia dla kilku zbiorów danych osobowych nie pozwoli w sposób właściwy scharakteryzować poszczególnych zbiorów objętych tym zgłoszeniem.
Tym samym zgłoszenie kilku zbiorów w jednym wniosku uniemożliwi wskazanie elementów decydujących o jego tożsamości, tj. np. podstawy prawnej przetwarzania danych, zakresu przetwarzanych danych, celu przetwarzania danych w zbiorze. A co za tym idzie nie będzie możliwe stwierdzenie, jaki zakres informacji, o którym mowa w art. 41 ust. 1 ustawy, dotyczy każdego ze zbiorów.
Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawierać: 1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, 2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub 14 miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania, 2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania, 3) cel przetwarzania danych, 3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych, 4) sposób zbierania oraz udostępniania danych, 4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane, 5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39, 6) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a, 7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
A zatem skoro dane osobowe klientów sklepu internetowego przetwarzane są w różnych celach, jak np. realizacja zamówień klientów sklepu internetowego, prowadzenie statystyk, marketing, prowadzenie bazy umów cywilnoprawnych, to dla ich realizacji potrzebny będzie różny zakres danych osobowych.
Zatem taka baza danych osobowych sklepu internetowego zawiera faktycznie kilka zbiorów danych prowadzonych w różnych celach. Każdy zbiór powinien zostać zgłoszony na oddzielnym formularzu zgłoszeniowym, w którym zostanie uwzględniony odpowiedni zakres danych osobowych oraz cel, dla jakiego są one przetwarzane.
Zbiory danych w e-sklepie
Pamiętając o zasadzie jeden zbiór – jeden cel przetwarzania należy wyodrębnić zbiory danych osobowych w e-sklepie.
Zbiór danych powinien posiadać strukturę. Dane powinny być uporządkowane np. alfabetycznie, wg daty lub numerów identyfikacyjnych.
Zbiór danych powinien być dostępny według określonych kryteriów – chodzi o możliwość przeszukiwania zbiorów, np. wg daty dokonania zakupu, adresu zamieszkania klienta itp.
Zbiór danych może być rozproszony lub podzielony funkcjonalnie. Dane osobowe klientów e-sklepu mogą znaleźć się również poza tzw. bazą danych e-sklepu, czyli np. jeśli sklep korzysta z zewnętrznej obsługi księgowej – dane znajdą się również w oprogramowaniu księgowym; jeśli e-sklep korzysta z zewnętrznego oprogramowania do rozsyłania mailingu, dane pojawią się z pewnością również tam.
Przykładowe zbiory danych w sklepie internetowym:
KLIENCI
Sklep internetowy gromadzi dane klientów takie jak np. ich imiona i nazwiska oraz adresy, gdyż jest to niezbędne do realizacji umowy, a w szczególności do dokonania wysyłki towaru. Dzieje się to podczas składania zamówienia, zakładania przez klienta konta w e-sklepie czy też podczas sprzedaży w sklepie stacjonarnym.
MARKETING
Aby zamówić newsletter Klient musi podać na stronie E-sklepu swój adres e-mail. Niezależnie od tego czy jest to klient zarejestrowany, czy też nie.
Pozyskane w ten sposób adresy e-mail stanowią zbiór danych osobowych, w rozumieniu art. 7 ust. 1 ustawy o ochronie danych osobowych.Jeśli to jedyne działanie marketingowe w e-sklepie – można ów zbiór zatytułować „NEWSLETTER”.
W sytuacji gdy e-sklep organizuje promocje handlowe i promocje dla konsumentów – czyli dociera do konkretnych klientów z rabatami, ofertami specjalnymi, obniżkami – na podstawie różnych metod segmentacji (pojęcie marketingu jest szersze), nazwa zbioru winna mieć bardziej pojemny zakres.
PRACOWNICY
W przypadkach większości e-sklepów zatrudniani są pracownicy.
Na szczęście, obowiązkowi zgodnie z Art. 43 ust. 1 pkt 4 uodo nie podlegają zbiory danych osób zatrudnionych u ADO na podstawie stosunku pracy, o którym mowa wKodeksie pracy, a także dane osób świadczących na rzecz administratora usługi na podstawie umów cywilnoprawnych (umowa-zlecenie, umowa o dzieło), co nie oznacza, że nie podlegają one ochronie.
Taki zbiór należy jednak również wskazać w ewidencji.
Każdy e-sklep może gromadzić dane osobowe z różnych źródeł, dlatego wskazane powyżej zbiory danych osobowych mają jedynie przykładowy charakter.
Nie podlegają rejestracji również zbiory danych osobowych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej (art. 43 pkt. 8 ustawy o ochronie danych osobowych).
Główne cele przetwarzania danych osobowych w sklepach internetowych, na jakie wskazuje GIODO to:
Realizacja zamówień klientów
Marketing (np.wysyłka newslettera)
Prowadzenie bazy umów cywilnoprawnych
Prowadzenie statystyk
Podsumowanie
Zidentyfikowane i wyodrębnione w obrębie e-sklepu zbiory danych należy zgłosić do GIODO. Zgłaszając zbiór nie należy przedkładać żadnej listy dotychczasowych klientów w GIODO a jedynie dany zbiór określając cel przetwarzania zawartych w nim danych osobowych. Wskazane w artykule zbiory danych mają jedynie przykładowy charakter, każdy sklep internetowy może mieć ich mniej lub więcej. Dlatego tak ważne przed przystąpieniem do rejestracji jest wnikliwe przeanalizowanie zakresu przetwarzanych danych i celów, w jakich są one przetwarzane.
DECYZJA – odmowa GIODO uwzględnienia wniosku w przedmiocie nakazania usunięcia danych osobowych przez właściciela sklepu internetowego.
Skarżąca w celu wysyłki zamówionego za pośrednictwem sklepu internetowego produktu, utworzyła w tymże sklepie konto internetowe zawierając jednocześnie umowę o świadczeniu usług drogą elektroniczną. W tym celu udostępniła na rzecz Przedsiębiorcy swoje dane osobowe w zakresie: imienia, nazwiska, adresu korespondencyjnego, adresu poczty elektronicznej, numeru telefonu. Ponadto Skarżąca wyraziła zgodę na przetwarzanie swoich danych w celu przeprowadzenia transakcji zakupu i założenia konta internetowego oraz wyraziła zgodę na przetwarzanie swoich danych w celu przeprowadzenia transakcji zakupu i założenia konta internetowego.
Sklep przetwarza przedmiotowe dane w związku z zawartą umową o świadczeniu usług drogą elektroniczną, a także na podstawie udzielonej przez Skarżącą zgody w systemie informatycznym.
Wskazówki GIODO
Sklep przetwarza dane Skarżącej na podstawie art. 23 ust. 1 pkt 1, oraz pkt 3, tzn. w związku z wyrażoną przez Skarżącą zgodą, a także zawartą umową o świadczeniu usług drogą elektroniczną – prowadzenie konta internetowego. Tym samym wyrażona zgoda nie jest jedyną przesłanką do usprawiedliwionego realizowania procesu przetwarzania danych osobowych, zatem, cofnięcie zgody,w sytuacji zaistnienia innej przesłanki określonej w art. 23 ust. 1 ustawy, nie oznacza, iż dalsze przetwarzanie danych automatycznie staje się niedopuszczalne.
W przypadku usługi świadczonej drogą elektroniczną – stosuje się ustawę z 18.07.2002 r. O świadczeniu usług drogą elektroniczną – są to przepisy szczególne wobec przepisów ogólnych – tj. Ustawy o ochronie danych osobowych.
Art. 18 ustawy o świadczeniu usług drogą elektroniczna usługodawca może przetwarzać dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany, rozwiązania stosunku prawnego między nimi, takie jak:
nazwisko i imiona usługobiorcy;
numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;
adres zameldowania na pobyt stały;
adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3;
dane służące do weryfikacji podpisu elektronicznego usługobiorcy;
adresy elektroniczne usługobiorcy.
Podsumowanie
Sklep przetwarza legalnie dane osobowe użytkowników na podstawie zgody Skarżącej oraz w związku z zawartą umową o świadczeniu usług drogą elektroniczną. Spełnienie już jednej z przesłanek legalizujących przetwarzanie danych osobowych jest wystarczające – cofnięcie zgody Skarżącej nie wyklucza zatem zgodnego z prawem przetwarzania danych przez administratora.
Skarżąca miała możliwość zapoznania się z regulaminem sklepu przed założeniem konta.
Obowiązek rejestracji zbiorów danych osobowych pojawił się wraz z ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 r.
Sklep internetowy może rozpocząć przetwarzanie danych osobowych zawartych w zbiorach danych dopiero po dokonaniu zgłoszenia takiego zbioru w GIODO.
Jeśli zaś e-sklep przetwarza dane osobowe wrażliwe (art. 27 ust. 1 uodo; np. dane ujawniające stan zdrowia, poglądy polityczne, nałogi), po zgłoszeniu zbioru należy odczekać aż zbiór zostanie faktycznie zarejestrowany przez GIODO. Dopiero wtedy przetwarzanie takich danych będzie legalne.
Zbiór może zostać wpisany do rejestru jeżeli postępowanie rejestracyjne wykaże, że nie zachodzi żadna z przesłanek odmawiających rejestracji, zgodnie z art. 44 ust. 1 ustawy o ochronie danych osobowych.
Art. 44. 1.Generalny Inspektor wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli: 1) nie zostały spełnione wymogi określone w art. 41 ust. 1, 2) przetwarzanie danych naruszałoby zasady określone w art. 23-30, 2) przetwarzanie danych naruszałoby zasady określone w art. 23-28, 3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a.
Plan działania dla sprzedawcy:
1. Zebranie informacji o przetwarzanych przez e-sklep danych na podstawie określonych w art. 23 ust. 1 uodo przesłanek
zgoda osoby, której dane dotyczą
realizacja prawa lub obowiązku wynikającego z przepisów prawa
realizacja umowy
realizacja zadań dla dobra publicznego
prawnie usprawiedliwiony cel administratora
1. Dopełnienie obowiązków informacyjnych (art. 24 i 25 uodo) przy zbieraniu danych od osoby, której one dotyczą o:
adresie swojej siedziby i pełnej nazwie/miejscu swojego zamieszkania oraz imieniu i nazwisku
celu zbierania danych/odbiorcach lub kategoriach odbiorców danych
prawie dostępu do treści swoich danych oraz ich poprawiania
1. Podjęcie środków technicznych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36 ust. 1 UODO oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)
2. Podjęcie środków organizacyjnych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36, art. 37, art. 38, art. 39 oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)
3. zawarcie umów powierzenia przetwarzania danych osobowych, jeżeli e-sklep zawiera umowy z podmiotami zewnętrznymi (np. hosting, księgowość)
Rejestracja wniosku – krok po kroku
określić czy rejestracja dotyczy nowego zbioru, w którym przetwarzać będziemy tylko dane zwykłe (zgłoszenie na podstawie art. 40 uodo) czy też wrażliwe (zgłoszenie danych przetwarzanych na podstawie jednej z przesłanek wskazanych w art. 27 uodo). Aktualizacja – zaznaczyć opcję nr 2 art. 41 ust. 2 uodo
nazwać zgłaszany zbiór np. marketing, newsletter itp.
wskazać administratora danych, a więc przedsiębiorcę prowadzącego zbiór, który dokonuje zgłoszenia
określić nazwę administratora, adres siedziby oraz podać nr REGON.
Część B wniosku: wypełnić gdy mamy do czynienia z przedstawicielstwem firmy mającej siedzibę za granicą, a ściślej w tzw. państwie trzecim, czyli państwie, które nie należy do Europejskiego Obszaru Gospodarczego.
określić podmioty, którym powierzamy dane z rejestrowanego zbioru danych.
Wpisać ich nazwy oraz adres siedziby.
wskazać przesłankę (podstawę), zgodnie z którą przetwarzamy dane osobowe z rejestrowanego zbioru.
część C wniosku: określić cel, dla którego przetwarzane będą dane osobowe np. wysyłka newslettera
określić osoby, których dane przetwarzamy np. Klienci, osoby składające reklamację
określić, jakie dane będą przetwarzane w obrębie zgłaszanego zbioru np: e-mail, IP
kolejne pytania dotyczą danych wrażliwych – wypełnić, jeśli e-sklep je przetwarza:
wskazać jakie dane będą przetwarzane w ramach zgłaszanego zbioru np. informacja o nałogach pracownika albo stanie zdrowia.
część D wniosku: określić, w jaki sposób zbieramy dane:
– od osoby, której dane dotyczą (np. Klient sam podaje swoje dane, rejestrując się w e-sklepie)
– z innego źródła (np. z zakupionej legalnie bazy danych).
określić „inne podmioty uprawnione”
Innym podmiotem może być firma, z którą administrator danych współpracuje, przy czym należy pamiętać o tym, by takie udostępnianie odbywało się w sposób legalny.
wskazać podmioty, którym będą udostępniane dane
wpisać nazwę i siedzibę firmy/kategorie podmiotów np. partnerzy biznesowi.
określić, czy administrator danych przekazuje dane z rejestrowanego zbioru do państw trzecich: wpisać nazwy państw trzecich
Część E wniosku: wskazać czy dane przetwarzane są centralnie (upraszczając: w jednym miejscu np. w siedzibie e-sklepu) czy w tzw. architekturze rozproszonej (np. e-sklep ma kilka lokalizacji, a dodatkowo dane są powierzone do przetwarzania innym podmiotom).
zaznaczyć, czy dane przetwarzane będą wyłącznie w wersji papierowej, czy też przy wykorzystaniu systemów informatycznych.
wskazać, czy komputer służący do przetwarzania danych połączony jest z Internetem
wskazać zabezpieczenia:
– typowo fizyczne (np. monitoring, agencja ochrony), środki sprzętowe (np. hasła i loginy, automatyczne wygaszanie monitora), ochrona baz danych (np. kwestie związane z uwierzytelnianiem), środki organizacyjne (np. Szkolenie pracowników).
wskazać, czy został powołany administrator bezpieczeństwa informacji tzw. ABI
wskazać, czy wdrożono dokumenty – m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.
część F wniosku: wskazać poziom stosowanych zabezpieczeń
Rozporządzenie wymienia trzy poziomy: podstawowy, podwyższony i wysoki (trzeba wybrać jeden). Tutaj e-sklep powinien wybrać poziom wysoki, gdyż z racji swej specyfiki działania zawsze spełni kryterium połączenia z Internetem.
wysłać wypełniony wniosek do GIODO:
– w sposób tradycyjny (za pośrednictwem poczty listem poleconym, w celu otrzymania dowodu nadania)
– osobiście w biurze GIODO wraz z egzemplarzem do otrzymania prezentaty.
– przy użyciu kwalifikowanego certyfikatu (podpis elektroniczny) – przez Internet
Podsumowanie
Zgłoszenie zbioru danych, na pozór proste, niejednokrotnie nastręcza sprzedawcom wielu trudności. Niniejszy artykuł ma na celu ułatwienie e-sklepom przebrnięcia przez żmudną procedurę rejestracji. Jeśli w trakcie wypełniania wniosku pojawią się wątpliwości interpretacyjne, warto sięgnąć po poradę specjalisty, który po wykonaniu audytu e-sklepu, wykona to profesjonalnie i zapewni gwarancję zachowania procedur wymaganych przez ustawę.
