Decyzja GIODO nakazująca uchybień w procesie przetwarzania danych w formularzu kontaktowym sklepu internetowego

Decyzja GIODO nakazująca uchybień w procesie przetwarzania danych w formularzu kontaktowym sklepu internetowego

utworzone przez | paź 25, 2016 | GIODO sklep internetowy

Decyzja nakazująca usunięcie uchybień w procesie przetwarzania danych osobowych. Podczas kontroli GIODO wykrył, że Spółka wobec osób korzystających z formularza kontaktowego sklepu internetowego nie realizuje obowiązku informacyjnego z art. 24 ustawy o ochronie danych osobowych. 

 

Nierealizowanie wobec osób korzystających z formularza kontaktowego sklepu internetowego, osób zakładających konto użytkownika tego sklepu oraz osób dokonujących zakupów w sklepie internetowym bez zakładania konta użytkownika, obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy, powierza dane osób, korzystających z elektronicznego formularza kontaktu sklepu internetowego kilku podmiotom bez pisemnej umowy powierzenia przetwarzania danych, niezastosowaniu odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych przesyłanych w sieci publicznej w związku z procesami tworzenia konta użytkownika na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia towaru oraz procesem sprzedaży prowadzonej w sklepie internetowym z uwagi na brak środków kryptograficznej ochrony tych danych, niezgłoszeniu Generalnemu Inspektorowi Ochrony Danych Osobowych zmiany informacji zawartych w zgłoszeniu zbioru danych osobowych dotyczących: adresu siedziby administratora danych, przedstawiciela Spółki, o którym mowa w art. 31a ustawy, powierzenia przetwarzania danych osobowych, podstawy prawnej przetwarzania danych osobowych oraz zakresu danych osobowych przetwarzanych w tym zbiorze (art. 41 ust. 2 ustawy).

 

ZARZUTY

  1. nierealizowanie obowiązku informacyjnego z art. 24 ust. 1 ustawy
    z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz.
    926 z późn. zm.)
  2. powierzanie danych osób, korzystających z elektronicznego formularza
    kontaktu sklepu internetowego mimo niezawarcia pisemnej umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r.
    o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.),
  3. niestosowanie środków kryptograficznej ochrony danych wobec danych osobowych
    przesyłanych w sieci publicznej w związku z procesami tworzenia konta użytkownika
    na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia
    towaru oraz w związku z procesem sprzedaży prowadzonej w sklepie internetowym
  4. niezgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych zmiany
    informacji zawartych w zgłoszeniu zbioru danych osobowych dotyczących: adresu siedziby administratora danych, przedstawiciela Spółki, o którym mowa w art. 31a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

 

Do czego zobowiązał GIODO?

GIODO nakazał usunięcie uchybień w procesie przetwarzania danych osobowych

 

Wskazówki GIODO:

1. Spółka ma udzielać osobom, od których pozyskuje dane osobowe, tj. osobom korzystającym z formularza kontaktowego, osobom zakładającym konto użytkownika oraz osobom dokonującym zakupów w sklepie internetowym bez zakładania konta użytkownika, informacji, o których mowa w art. 24 ust. 1 ustawy o ochronie danych osobowych:

  1. adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku
  2. celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych
  3. prawie dostępu do treści swoich danych oraz ich poprawiania
  4.  dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

2. Spółka pozyskując za pomocą formularza kontaktowego sklepu internetowego dane osobowe użytkowników w zakresie: imię, nazwisko i adres e-mail sklepu internetowego które przekazuje następnie na skrzynkę poczty elektronicznej będącej własnością innej Spółki powinna z tą Spółką zawrzeć umowę powierzenia przetwarzania danych osobowych – albowiem powierzenie danych osobowych podmiotowi zewnętrznemu może nastąpić tylko i wyłącznie w oparciu o umowę powierzenia wskazującą zakres i cel powierzenia.

3. Spółka przekazując dane osobowe klientów w zakresie imię, nazwisko, nazwa prowadzonej działalności gospodarczej, adres oraz Numer Identyfikacji Podatkowej, znajdujące się na fakturach VAT, księgowej, w związku z umową o prowadzenie księgowości powinna również zawrzeć z księgową umowę powierzenia danych osobowych.

4. Spółka powinna zawrzeć umowę powierzenia również z hostingodawcą z uwagi na fakt, iż baza danych klientów sklepu internetowego znajduje się na serwerze należącym do innego podmiotu. który posiada dostęp do wszystkich danych osobowych przetwarzanych z wykorzystaniem ww. serwera.

5. Spółka powinna zawrzeć umowę powierzenia z zewnętrznym administratorem serwera, na którym znajduje się baza danych klientów sklepu internetowego, z racji, że posiada on dostęp do
wszystkich danych osobowych przetwarzanych na serwerze.

6. Spółka jako administrator danych zgodnie z art. 36 ust. 1 ustawy, jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, a także zgodnie z wymogami części C pkt XIII załącznika do rozporządzenia,
administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do
uwierzytelnienia, które są przesyłane w sieci publicznej.

7. Spółka jako administrator danych powinna zapewnić by procesy tworzenia konta przez klienta na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia towaru, a także cały proces sprzedaży prowadzonej w sklepie internetowym był zabezpieczony za pomocą środków ochrony kryptograficznej, tj. bezpiecznego protokołu https.

8. Spółka powinna zgodnie z art 41 ust. 2 ustawy zgłaszać Generalnemu Inspektorowi każdą zmianę, czyli w terminie 30 dni od dnia dokonania zmiany w zbiorze danych.

 

W zgłoszonym do rejestracji zbiorze Spółka nie ujawniła zmian w zakresie

a) adresu siedziby administratora danych – w zgłoszeniu zbioru do rejestracji wskazano nieaktualny
adres siedziby Spółki

b) przedstawiciela Spółki, o którym mowa w art. 31a ustawy – jak ustalono Spółka jest podmiotem
posiadającym siedzibę na terenie Rzeczypospolitej Polskiej, toteż należy wskazać Prezesa Zarządu

c) powierzenia przetwarzania danych osobowych kilku podmiotom (jw)

d) podstawy prawnej przetwarzania danych osobowych – w zgłoszeniu zbioru do rejestracji Spółka
wskazała, jako podstawę prawną przetwarzania danych osobowych zgodę osoby, której dane
dotyczą oraz fakt, iż przetwarzanie danych jest niezbędne do realizacji uprawnienia lub spełnienia
obowiązku wynikającego z przepisu prawa.

W toku kontroli ustalono jednak, że podstawą prawną przetwarzania danych osobowych jest art. 23 ust. 1 pkt 3 ustawy, który stanowi iż przetwarzanie danych jest dopuszczalne wtedy, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą oraz art. 23 ust. 1 pkt 5 ustawy, który stanowi iż przetwarzanie danych jest dopuszczalne wtedy, gdy jest ono niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych;

e) zakresu przetwarzanych danych osobowych – Spółka powinna wskazać w zgłoszeniu, iż przetwarza także następujące informacje dotyczące klientów: adres e-mail, nazwa prowadzonej działalności gospodarczej, nr użytkownika, nr zamówienia, adres IP.

Podsumowanie

Spółka będąc administratorem danych osobowych powinna usunąć wskazane przez GIODO naruszenia stosując się do opisanych powyżej wskazówek oraz unikać uchybień w procesie administrowania danymi w przyszłości.

 

DIS/DEC-230/14/19293
http://www.giodo.gov.pl/299/id_art/8213/j/pl/

Decyzja GIODO dotycząca standardowych klauzul umownych przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich

Decyzja GIODO dotycząca standardowych klauzul umownych przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich

utworzone przez | paź 18, 2016 | GIODO sklep internetowy

Decyzja GIODO w sprawie wyrażenia zgody na przekazanie przez A. S.A., z siedzibą w W. danych osobowych do M., Inc., z siedzibą w Stanach Zjednoczonych Ameryki, pod adresem: N., zwanego dalej Odbiorcą, na podstawie zastosowanych standardowych klauzul umownych stanowiących załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. UE L 39, z 12.02.2010), A. S.A., z siedzibą w W., złożyła wniosek do GIODO , zwaną dalej Wnioskodawcą lub Spółką, o przekazanie danych osobowych do M., Inc., z siedzibą w Stanach Zjednoczonych Ameryki, pod adresem: N..

Wnioskodawca jest spółką posiadającą siedzibę na terytorium Rzeczypospolitej Polskiej; Wnioskodawca zawarł z Odbiorcą umowę wzorowaną na standardowych klauzulach umownych stanowiących załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz.UE L 39, z 12.02.2010).

1. Przekazanie danych będzie się odbywało na zasadach ich powierzenia w rozumieniu art. 31 ustawy a będą przekazane dane osobowe, dotyczące następujących kategorii osób:
a) Kontrahenci sensu stricto Wnioskodawcy, obejmująca: osoby fizyczne prowadzące działalność gospodarczą lub też nieprowadzące jej, które na mocy zawartych umów cywilnoprawnych świadczą na rzecz Wnioskodawcy, różnego rodzaju usługi niezwiązane bezpośrednio z przedmiotem działalności Wnioskodawcy (np. sprzątanie, pielęgnacja roślin, indywidualne usługi kurierskie, usługi IT);

b) Agenci Wnioskodawcy – osoby fizyczne świadczące usługi
pośrednictwa przy zbywaniu jednostek uczestnictwa dobrowolnego funduszu emerytalnego w rozumieniu obowiązujących przepisów prawa na podstawie zawartych umów agencyjnych z Wnioskodawcą, które to umowy związane są z przedmiotem działalności Wnioskodawcy;

3. Będą przekazane następujące kategorie danych: podstawowe informacje o osobie, której dane dotyczą (obejmujące: imię, nazwisko, adres zamieszkania, adres poczty elektronicznej, numer telefonu kontaktowego), a także dane związane z realizowaniem płatności (obejmujące numer rachunku bankowego, numer NIP, kwotę oraz rodzaj waluty płatności);

4. Dane będą przekazane w celu korzystania z modułu księgowego aplikacji P., która jest narzędziem zaprojektowanym jako długoterminowe rozwiązanie w obszarze księgowości;

Wnioskodawca w piśmie z dnia […] września 2014 r. oświadczył, że Odbiorca należy do programu Bezpiecznej Przystani w węższym zakresie, niż to określono we wniosku, tj. stosuje on zasady tego programu wyłącznie w odniesieniu do danych związanych z zatrudnieniem a nie będą przekazywane dane szczególnie chronione w rozumieniu ustawy;

Wykorzystywane przez Odbiorcę systemy informatyczne co do zasady spełniają wymogi rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024), zwanego dalej rozporządzeniem, jednak system nie zapewnia przewidzianego w § 7 rozporządzenia odnotowania: źródła danych, gdyż są one zbierane od osób, których one dotyczą, jak również sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy, gdyż dane są przetwarzane w celach prowadzenia rachunkowości na podstawie przepisów prawa, tym samym w tym zakresie to uprawnienie nie przysługuje.

Wskazówki GIODO:
Zgodnie z art. 47 ust. 1 ustawy, przekazanie danych osobowych
do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę:
– charakter danych
– cel
– czas trwania proponowanych operacji przetwarzania danych
– kraj pochodzenia
– kraj ostatecznego przeznaczenia danych
– przepisy prawa obowiązujące w danym państwie trzecim
– stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe (art. 47 ust. 1a ustawy).

Przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia takiego poziomu ochrony z zasady może nastąpić tylko wtedy, gdy zostaną spełnione dodatkowe przesłanki określone w art. 47 ust. 2 lub 3 ustawy.

Natomiast, jeżeli w danym przypadku one nie zachodzą, to przekazanie danych osobowych może mieć miejsce tylko po uzyskaniu zgody Generalnego Inspektora, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą (art. 48 ustawy) Państwo trzecie, w którym siedzibę ma Odbiorca z racji braku wystarczających uregulowań prawnych dotyczących ochrony danych osobowych, nie może być uznane za państwo zapewniające odpowiedni poziom ochrony danych osobowych, jak również w świetle zebranych materiałów dowodowych nie zachodzi żadna z przesłanek określonych w art. 47 ust. 2 lub 3 ustawy – w konsekwencji konieczne jest uzyskanie zgody Generalnego Inspektora.

Generalny Inspektor, rozpatrując wniosek o wyrażenie zgody na przekazanie danych do państwa trzeciego, jest zobowiązany ustalić, czy administrator danych zapewnił odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.
Ze względu na to, że zapewnienie odpowiednich zabezpieczeń może wiązać się z przyjęciem odpowiednich zobowiązań umownych, Generalny Inspektor musi również przeanalizować odpowiednie postanowienia umowne.

Biorąc pod uwagę możliwość zastosowania takiego rozwiązania przez Wnioskodawcę należy wskazać na kompetencję Komisji Europejskiej, która na mocy art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L 281, z 23.11.1995), zwanej alej dyrektywą, jest uprawniona do uznania w drodze decyzji, że określone standardowe klauzule umowne zapewniają odpowiednią ochronę danych osobowych oraz praw i wolności jednostek. Decyzje te wymagają, aby państwa członkowskie nie odmawiały uznania zabezpieczeń ustanowionych w standardowych klauzulach umownych określonych w decyzjach za zapewniające odpowiednie gwarancje ochrony prywatności oraz podstawowych praw i wolności osób fizycznych oraz wykonywania odpowiednich praw zgodnie z wymogami art. 26 ust. 2 dyrektywy. Nie wyłącza to jednak obowiązku spełnienia pozostałych wymogów nałożonych przez właściwe przepisy krajowe. Taki charakter ma również przywołana przez Spółkę decyzja Komisji 2010/87/UE.

Zadeklarowane przez Spółkę zastosowanie standardowych klauzul umownych określonych
decyzją Komisji 2010/87/UE powoduje konieczność porównania przez Generalnego Inspektora przyjętych przez Spółkę klauzul ze standardowymi klauzulami umownymi. Analiza ta wykazała, że przedstawione przez Spółkę klauzule są zgodne ze standardowymi klauzulami umownymi.

GIODO wskutek analizy ocenił, iż stosowane przez Spółkę środki organizacyjno-techniczne mające na celu zabezpieczenie przetwarzanych danych osobowych. Art. 48 ustawy wskazuje, że zastosowane przez odbiorcę danych środki organizacyjno-techniczne muszą być „odpowiednie” (adekwatne). Środki te nie muszą być identyczne do tych, które są wymagane na terytorium Rzeczpospolitej Polskiej – powinny one adekwatnie zabezpieczać prywatność oraz prawa i wolności osoby, której dane dotyczą.

Jeżeli środki te różnią się od rozwiązań przyjętych w rozporządzeniu, podlegają one każdorazowo ocenie Generalnego Inspektora. Po dokonaniu ich analizy Generalny Inspektor stwierdził, że przedstawione przez Spółkę środki zapewniają odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.

 

Spółka przekazując dane w ramach powierzenia nie traci przymiotu ich administratora.

Przedmiotowa sprawa dotyczy powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy – odpowiada ona za zgodność z prawem przetwarzanych danych.

Przepisy art. 47 i 48 ustawy wprowadzają dodatkowe wymogi, które należy spełnić, gdy zamierza się przekazać dane osobowe do państwa trzeciego. Konieczność ich wypełnienia nie zwalnia administratora danych z pozostałych obowiązków nałożonych na niego przepisami ustawy.

Decyzja Generalnego Inspektora w przedmiocie wyrażenia zgody na przekazanie danych osobowych do państwa trzeciego nie legalizuje wcześniejszego przekazania danych osobowych do państwa trzeciego, które ewentualnie miałoby miejsce przed datą wydania decyzji w sprawie.

Rozpoczęcie operacji przekazania danych osobowych do państwa trzeciego może nastąpić dopiero po wydaniu stosownej decyzji przez Generalnego Inspektora. Niniejsza decyzja upoważnia Spółkę do przekazania danych osobowych do państw trzecich jedynie na warunkach określonych w złożonym wniosku.

 

Podsumowanie

Nie w każdej sytuacji przekazywania danych osobowych do państw trzecich jest wymagana zgoda GIODO

Administrator, który korzysta z niezmodyfikowanych standardowych klauzul umownych nie musi występować o taką zgodę.

Jeżeli administrator i odbiorca zdecydują się na wprowadzenie modyfikacji do tekstu standardowych klauzul umownych, konieczne będzie uzyskanie zgody GIODO na transfer danych.

Tekst standardowych klauzul umownych można znaleźć na:
Administrator danych: http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32001D0497&from=PL
Przetwarzający: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:PL:PDF

 

DESiWM/DEC-893/14

http://www.giodo.gov.pl/1520045/id_art/8118/j/pl/

Decyzja GIODO umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego

Decyzja GIODO umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego

utworzone przez | paź 12, 2016 | GIODO sklep internetowy

Decyzja z 27 kwietnia 2016 r. umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, a także braku podstawy prawnej do przetwarzania danych osobowych w celu marketingowym.

Kontrola GIODO dotyczyła danych osób, z którymi Spółka kontaktuje się telefonicznie w celach marketingowych, w tym w celu umówienia spotkania dotyczącego przedstawienia oferty marketingowej.

Najważniejsze zarzuty GIODO wobec Spółki:

  1. nierealizowanie (prawidłowo) obowiązku informacyjnego wynikającego z art. 25 ust. 1 ustawy wobec osób, których numery telefonów zostały wygenerowane przez Spółkę lub zostały zakupione od S. Sp. z o.o. oraz od M. s.k. (art. 25 ust. 1 ustawy);
  2. niezapewnienie, aby dane osobowe pochodzące z baz danych udostępnionych Spółce przez S. Sp. z o.o., własnych zbiorów danych o nazwach „N”, „K” i wygenerowanych przez Spółkę nr telefonów były przetwarzane zgodnie z prawem, tj. art. 172 ust. 1 i ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r. poz. 243 ze zm.), tj. poprzez brak zgody ww. osób na otrzymywanie informacji marketingowych poprzez użycie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących na podstawie ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (art. 26 ust. 1 pkt 1 ustawy);
  3. brak w polityce bezpieczeństwa informacji o zbiorze danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt 2 i pkt 3 rozporządzenia).

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Spółka złożyła wyjaśnienia i usunęła uchybienia.

  1. zaprzestano generowania numerów telefonów oraz zawierania umów, których przedmiotem jest powierzanie danych osobowych Spółce przez tzw. brokerów.
  2. oświadczono, że Spółka będzie przetwarzać dane osobowe pochodzące bezpośrednio od osób, które wyrażają zgodę w stosunku do Spółki na przetwarzanie ich danych w celach marketingowych i że Spółka prowadzi działania marketingowe za pośrednictwem telefonu z ograniczeniem do osób, które wyraziły zgodę na taki kontakt np. na bonach prezentowych, umowach (art. 26 ust. 1 pkt 1 ustawy).
  3. uzupełniono politykę bezpieczeństwa o informacje dotyczące zbioru danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt 2 i pkt 3 rozporządzenia).

Podsumowanie

Po zmianie brzmienia art. 172 ustawy Prawo telekomunikacyjne nie wcho­dzi w grę sy­tu­acja, gdy firma kon­tak­tuje się z po­ten­cjal­nym klien­tem i za­czyna roz­mowę od py­ta­nia o zgodę, a w przypadku jej nieuzyskania – rozłącza się.

Dopuszczalna jest na­to­miast sy­tu­acja, gdy np. na­stę­puje kon­takt te­le­fo­niczny z klien­tem w celu usta­le­nia szcze­gó­łów re­ali­za­cji umowy bądź za­mó­wie­nia, a przy oka­zji klient py­tany jest o zgodę na grun­cie art. 172.

Należy pamiętać, że brak dokumentu jakim jest polityka bezpieczeństwa, stanowi przesłankę odmowy rejestracji zbioru danych, określoną w art. 44 ust. 1 pkt 2 w związku z art. 26 ust. pkt 1 ustawy. Każdy przetwarzany przez administratora danych zbiór danych powinien być opisany w dokumentacji przetwarzania danych osobowych oraz w odpowiedni sposób zabezpieczony, nawet jeśli podlega wyłączeniu z obowiązku rejestracji w GIODO. W przeciwnym razie Generalny Inspektor

Ochrony Danych Osobowych wezwie Administratora danych do usunięcia naruszenia.

DEC/DIS-323/16/35657
http://www.giodo.gov.pl/280/id_art/9470/j/pl/

Zgłoszenie sklepu internetowego do GIODO krok po kroku.

Zgłoszenie sklepu internetowego do GIODO krok po kroku.

utworzone przez | paź 6, 2016 | Bez kategorii, GIODO sklep internetowy

Obowiązek rejestracji zbiorów danych osobowych pojawił się wraz z ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 r.

Sklep internetowy może rozpocząć przetwarzanie danych osobowych zawartych w zbiorach danych dopiero po dokonaniu zgłoszenia takiego zbioru w GIODO.

Jeśli zaś e-sklep przetwarza dane osobowe wrażliwe (art. 27 ust. 1 uodo; np. dane ujawniające stan zdrowia, poglądy polityczne, nałogi), po zgłoszeniu zbioru należy odczekać aż zbiór zostanie faktycznie zarejestrowany przez GIODO. Dopiero wtedy przetwarzanie takich danych będzie legalne.

Zbiór może zostać wpisany do rejestru jeżeli postępowanie rejestracyjne wykaże, że nie zachodzi żadna z przesłanek odmawiających rejestracji, zgodnie z art. 44 ust. 1 ustawy o ochronie danych osobowych.

Art. 44. 1. Generalny Inspektor wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli:
1) nie zostały spełnione wymogi określone w art. 41 ust. 1, 2) przetwarzanie danych naruszałoby zasady określone w art. 23-30, 2) przetwarzanie danych naruszałoby zasady określone w art. 23-28, 3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a.

Plan działania dla sprzedawcy:

1. Zebranie informacji o przetwarzanych przez e-sklep danych na podstawie określonych w art. 23 ust. 1 uodo przesłanek

  • zgoda osoby, której dane dotyczą
  • realizacja prawa lub obowiązku wynikającego z przepisów prawa
  • realizacja umowy
  • realizacja zadań dla dobra publicznego
  • prawnie usprawiedliwiony cel administratora

1. Dopełnienie obowiązków informacyjnych (art. 24 i 25 uodo) przy zbieraniu danych od osoby, której one dotyczą o:

  • adresie swojej siedziby i pełnej nazwie/miejscu swojego zamieszkania oraz imieniu i nazwisku
  • celu zbierania danych/odbiorcach lub kategoriach odbiorców danych
  • prawie dostępu do treści swoich danych oraz ich poprawiania
  • dobrowolności/podstawie prawnej obowiązku podania danych.

1. Podjęcie środków technicznych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36 ust. 1 UODO oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)

2. Podjęcie środków organizacyjnych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36, art. 37, art. 38, art. 39 oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)

3. zawarcie umów powierzenia przetwarzania danych osobowych, jeżeli e-sklep zawiera umowy z podmiotami zewnętrznymi (np. hosting, księgowość)

 

Rejestracja wniosku – krok po kroku

  1. określić czy rejestracja dotyczy nowego zbioru, w którym przetwarzać będziemy tylko dane zwykłe (zgłoszenie na podstawie art. 40 uodo) czy też wrażliwe (zgłoszenie danych przetwarzanych na podstawie jednej z przesłanek wskazanych w art. 27 uodo).
    Aktualizacja – zaznaczyć opcję nr 2 art. 41 ust. 2 uodo
  2. nazwać zgłaszany zbiór np. marketing, newsletter itp.
  3. wskazać administratora danych, a więc przedsiębiorcę prowadzącego zbiór, który dokonuje zgłoszenia
  4. określić nazwę administratora, adres siedziby oraz podać nr REGON.
  5. Część B wniosku: wypełnić gdy mamy do czynienia z przedstawicielstwem firmy mającej siedzibę za granicą, a ściślej w tzw. państwie trzecim, czyli państwie, które nie należy do Europejskiego Obszaru Gospodarczego.
  6. określić podmioty, którym powierzamy dane z rejestrowanego zbioru danych.
    Wpisać ich nazwy oraz adres siedziby.
  7. wskazać przesłankę (podstawę), zgodnie z którą przetwarzamy dane osobowe z rejestrowanego zbioru.
  8. część C wniosku: określić cel, dla którego przetwarzane będą dane osobowe
    np. wysyłka newslettera
  9. określić osoby, których dane przetwarzamy np. Klienci, osoby składające reklamację
  10. określić, jakie dane będą przetwarzane w obrębie zgłaszanego zbioru np: e-mail, IP
  11. kolejne pytania dotyczą danych wrażliwych – wypełnić, jeśli e-sklep je przetwarza:
    wskazać jakie dane będą przetwarzane w ramach zgłaszanego zbioru np. informacja o nałogach pracownika albo stanie zdrowia.
  12. część D wniosku: określić, w jaki sposób zbieramy dane:
    – od osoby, której dane dotyczą (np. Klient sam podaje swoje dane, rejestrując się w e-sklepie)
    – z innego źródła (np. z zakupionej legalnie bazy danych).
  13. określić „inne podmioty uprawnione
    Innym podmiotem może być firma, z którą administrator danych współpracuje, przy czym należy pamiętać o tym, by takie udostępnianie odbywało się w sposób legalny.
  14. wskazać podmioty, którym będą udostępniane dane
    wpisać nazwę i siedzibę firmy/kategorie podmiotów np. partnerzy biznesowi.
  15. określić, czy administrator danych przekazuje dane z rejestrowanego zbioru do państw trzecich: wpisać nazwy państw trzecich
  16. Część E wniosku: wskazać czy dane przetwarzane są centralnie (upraszczając: w jednym miejscu np. w siedzibie e-sklepu) czy w tzw. architekturze rozproszonej (np. e-sklep ma kilka lokalizacji, a dodatkowo dane są powierzone do przetwarzania innym podmiotom).
  17. zaznaczyć, czy dane przetwarzane będą wyłącznie w wersji papierowej, czy też przy wykorzystaniu systemów informatycznych.
  18. wskazać, czy komputer służący do przetwarzania danych połączony jest z Internetem
  19. wskazać zabezpieczenia:
    typowo fizyczne (np. monitoring, agencja ochrony), środki sprzętowe (np. hasła i loginy, automatyczne wygaszanie monitora), ochrona baz danych (np. kwestie związane z uwierzytelnianiem), środki organizacyjne (np. Szkolenie pracowników).
  20. wskazać, czy został powołany administrator bezpieczeństwa informacji tzw. ABI
  21. wskazać, czy wdrożono dokumenty – m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.
  22. część F wniosku: wskazać poziom stosowanych zabezpieczeń
    Rozporządzenie wymienia trzy poziomy: podstawowy, podwyższony i wysoki (trzeba wybrać jeden). Tutaj e-sklep powinien wybrać poziom wysoki, gdyż z racji swej specyfiki działania zawsze spełni kryterium połączenia z Internetem.
  23. wysłać wypełniony wniosek do GIODO:
    – w sposób tradycyjny (za pośrednictwem poczty listem poleconym, w celu otrzymania dowodu nadania)
    osobiście w biurze GIODO wraz z egzemplarzem do otrzymania prezentaty.
    – przy użyciu kwalifikowanego certyfikatu (podpis elektroniczny) – przez Internet

Podsumowanie

Zgłoszenie zbioru danych, na pozór proste, niejednokrotnie nastręcza sprzedawcom wielu trudności. Niniejszy artykuł ma na celu ułatwienie e-sklepom przebrnięcia przez żmudną procedurę rejestracji. Jeśli w trakcie wypełniania wniosku pojawią się wątpliwości interpretacyjne, warto sięgnąć po poradę specjalisty, który po wykonaniu audytu e-sklepu, wykona to profesjonalnie i zapewni gwarancję zachowania procedur wymaganych przez ustawę.

O czym należy pamiętać przetwarzając dane osobowe klientów w firmie?

O czym należy pamiętać przetwarzając dane osobowe klientów w firmie?

utworzone przez | wrz 14, 2016 | GIODO sklep internetowy

Przedsiębiorcy prowadząc własną firmę, często nieświadomie, biorą udział w procesie przetwarzania danych osobowych. Ma to miejsce już w przypadku zawierania umów handlowych czy prowadzenia różnego typu działań marketingowych. Kilkakrotnie już nowelizowana Ustawa o ochronie danych osobowych z 1997 r. wprowadziła szereg obowiązków po stronie przedsiębiorców w zakresie przetwarzania danych osobowych.

Jak wyodrębnić zbiór danych osobowych?

Zbiory danych osobowych podlegają obowiązkowi zgłoszenia do Generalnego Inspektora Ochrony Danych Osobowych, czyli GIODO. Zanim przedsiębiorca wyodrębni poszczególne zbiory danych powinien pamiętać, że nie każde zestawienie danych osobowych będzie zbiorem.

 

Zbiór danych osobowych to, zgodnie z art. 7 pkt 1 ustawy o ochronie danych osobowych:
„każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.

 

Cechą wyróżniającą zbiór danych od innego zestawu danych będzie zatem struktura, czyli takie uporządkowanie, które daje możliwość wyszukania konkretnych danych według określonego kryterium.

 

Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.
Tylko będący zbiorem danych osobowych usystematyzowany zestaw danych powinien być zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, o ile nie zachodzi żadna z przesłanek określonych w art. 43 ustawy o ochronie danych osobowych zwalniająca administratorów danych z tego obowiązku.

 

Zgodnie z art. 43 ust. 1 ustawy z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

  1. objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę   życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
    1. które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
  2. przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
    1. przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
  3. dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
  4.  przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
  5.  dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
  6. tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
  7. dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
  8.  przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
  9. powszechnie dostępnych,
  10. przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
  11. przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

 

Często przedsiębiorcom wydaje się, że nie podlegają obowiązkom regulowanym przez ustawę o ochronie danych osobowych z uwagi na wyłączenie z art. z art. 43 ust. 1 pkt 8 tj. gdy przetwarzają dane wyłącznie w celu wystawienia faktury lub rachunku.

 

Warto jednak pamiętać, że jeśli obok wspomnianego celu wykorzystuje się te dane osobowe np. dla celów marketingowych, realizacji umowy itp. to przedsiębiorca będzie musiał je zgłosić do GIODO.

Rejestracji zbioru danych osobowych dokonuje GIODO na wniosek przedsiębiorcy złożony przed przystąpieniem do ich przetwarzania.

Na szczęście nie wszystkie dane są objęte obowiązkiem rejestracji w GIODO.

Wyłączenie obejmuje np.:
dane znajdujące się u przedsiębiorcy, które są przetwarzane w związku z zatrudnieniem osób fizycznych, świadczeniem usług na podstawie umów cywilnoprawnych czy w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Nie podlegają również zgłoszeniu np. dane powszechnie dostępne lub przetwarzane w zakresie drobnych bieżących spraw życia codziennego.
Należy zwrócić szczególną uwagę na dane wrażliwe np. o stanie zdrowia – takie dane mogą być przetwarzane dopiero po zarejestrowaniu zbioru przez GIODO.
Obowiązek zgłoszenia do GIODO dotyczy wyłącznie rodzaju przetwarzanych danych np. e-mail, nazwisko, imię itp. a nie konkretnych danych – nie należy wysyłać imion i nazwisk Klientów.

Jak należy rozumieć przetwarzanie danych osobowych?

Przetwarzanie danych osobowych oznacza jakąkolwiek operację (czy też zestaw operacji) na danych osobowych, na przykład: gromadzenie, rejestracja, porządkowanie, przechowywanie, modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez przekazanie, rozpowszechnianie lub udostępnianie w inny sposób.

 

Zgłoszenia zbioru danych osobowych dokonuje się poprzez złożenie wypełnionego formularza. Wniosek można wysłać pocztą, złożyć osobiście w siedzibie urzędu w Warszawie lub szybciej – złożyć za pomocą specjalnej strony internetowej.

Czy zgłoszenie zbiorów do GIODO to wszystko?

Niestety nie. Ustawa wymaga sporządzenia pisemnej dokumentacji, która będzie określać sposób przetwarzania danych oraz opisywać środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
Każda firma, w której przetwarzane są dane osobowe powinna mieć opracowaną i wdrożoną:

 

Politykę bezpieczeństwa danych osobowych, która opisuje zasady przetwarzania danych osobowych (w formie papierowej i elektronicznej) w organizacji

 

Instrukcję Zarządzania Systemem Informatycznym – to dokument bardziej szczegółowy i koncentrujący się na zapewnieniu bezpieczeństwa danych osobowych, przetwarzanych w infrastrukturze informatycznej firmy.
Zawartość tych dokumentów opisuje Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. – wskazują one minimum, które dokumentacja musi zawierać.

Kto może mieć dostęp do danych osobowych?

Przedsiębiorcy powinni pamiętać, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Upoważnienie takie powinno wskazywać imię i nazwisko osoby upoważnionej, datę nadania, datę ustania oraz zakres upoważnienia – nazwę zbioru danych.

Jakie są sankcje za nielegalne przetwarzanie danych osobowych?

Ustawa o ochronie danych osobowych za przetwarzanie danych osobowych niezgodnie z prawem przewiduje zarówno odpowiedzialność administracyjną i karną, która szczegółowo uregulowana została w art. 49–54a ustawy.
Takie stanowisko zajął również Naczelny Sąd Administracyjny, który w wyroku z 21 listopada 2002 r. (sygn. akt II SA 1682/01), stwierdził, że:

 

„W świetle ustawy naruszenie jej przepisów staje się źródłem odpowiedzialności administracyjnej, prowadzącej w istocie jedynie do obowiązku przywrócenia stanu zgodnego z prawem (art. 18) oraz odpowiedzialności karnej (art. 19, 49-54). Przy czym jedynie ten pierwszy rodzaj odpowiedzialności realizowany jest w drodze wydania decyzji administracyjnej”.

 

Tu warto podkreślić, iż wbrew obiegowej opinii, GIODO nie ma prawa do nakładania kar finansowych po stwierdzeniu uchybienia. Nakładanie jakichkolwiek kar administracyjnych musi być najpierw poprzedzone przeprowadzeniem przez organ do spraw ochrony danych osobowych właściwego postępowania administracyjnego, zakończonego wydaniem decyzji administracyjnej (np. nakazującej określone działanie), a następnie przeprowadzeniem administracyjnego postępowania egzekucyjnego, jeżeli mimo wydanej decyzji, zobowiązany podmiot jej nie wykona.

Innymi słowy, później nałożona grzywna służy wymuszeniu na kontrolowanym wykonania obowiązków o charakterze niepieniężnym.

 

Grzywna ta wynika z przepisów o postępowaniu egzekucyjnym w administracji art. 121 i może wynosić od 10 tys. zł dla osób fizycznych prowadzących działalność gospodarczą do 50 tys. zł dla osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej (w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie może przekraczać odpowiednio 50 tys. zł oraz 200 tys. zł).

Odpowiedzialność karna zaś, jak i kara za naruszenie przepisów o ochronie danych osobowych jest orzekana po przeprowadzeniu postępowania karnego w konkretnej sprawie przez właściwe organy ścigania i wymiaru sprawiedliwości.

Podsumowanie

Przepisy nakładające obowiązki dotyczące danych osobowych mają zastosowanie do większości firm z uwagi na fakt, iż definicja danych osobowych obejmuje szeroki zakres informacji np. klienci sklepu internetowego, klienci otrzymujący newsletter, dostawcy itp.

Trzeba pamiętać, że poza wskazanymi w ustawie przypadkami, rejestracja zbioru danych osobowych jest zazwyczaj konieczna by dane te mogły być w ogóle legalnie przez firmę przetwarzane. Ustawa o ochronie danych osobowych wyraźnie stanowi, że administrator danych osobowych może rozpocząć ich przetwarzanie w zbiorze dopiero po zgłoszeniu tego zbioru do GIODO.

Przedsiębiorca, który ma obowiązek zgłoszenia zbioru danych osobowych a nie dopełni go, powinien liczyć się z koniecznością poniesienia przykrych konsekwencji takiego zaniechania w postaci grzywny, kary ograniczenia wolności czy pozbawienia wolności.

 

Czy do GIODO przesyłam dane osobowe klientów i czy muszę tę listę aktualizować?

Czy do GIODO przesyłam dane osobowe klientów i czy muszę tę listę aktualizować?

utworzone przez | sie 30, 2016 | GIODO sklep internetowy

Każdy przedsiębiorca, który przetwarza dane osobowe swoich klientów podlega reżimowi Ustawy o ochronie danych osobowych. W Polsce w dalszym ciągu ciągle króluje nieświadomość w zakresie tego jakie obowiązki nałożył na firmę ustawodawca i z tego powodu większość przedsiębiorców naraża się na przykre konsekwencje prawne. Nie ma co się dziwić, ciężko być specjalistą w każdej dziedzinie.
Poniżej pokrótce wyjaśnimy na czym polega obowiązek zgłoszeniowy do GIODO.

Kto podlega obowiązkowi rejestracji w GIODO?

Każdy przedsiębiorca przetwarzając dane osobowe klientów staje się Administratorem Danych Osobowych i jako ten jest zobowiązany zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 uodo).
Art. 40. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1.

Ważne by obowiązek rejestracji zbiorów danych osobowych spełnić jeszcze przed rozpoczęciem właściwej działalności (art.46 ust.1 uodo ), czyli rozpoczęciem faktycznej sprzedaży towarów.
Art. 46. 1. Administrator danych może, z zastrzeżeniem ust. 2, rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku.

Jeżeli już działalność rozpoczęto, należy takiego zgłoszenia dokonać jak najszybciej.

Co podlega zgłoszeniu do GIODO?

Zgłaszając zbiór nie wysyła się żadnych danych osobowych klientów. Rejestracja w GIODO obejmuje jedynie konkretne zbiory ze wskazaniem na cel i zakres przetwarzania zawartych w nim danych osobowych.

Jak wygląda wniosek do GIODO?

Wniosek rejestracyjny do GIODO składa się z kilku części.

I CZĘŚĆ: określamy, czy jest to nowy wniosek, czy aktualizacja lub też wniosek dotyczący danych wrażliwych (ustawa definiuje cześć danych osobowych jako wrażliwe i ogranicza możliwości ich zbierania, ale nie dotyczy to zdecydowanej większości przypadków).

II CZĘŚĆ: określamy Administratora Danych (naszą firmę) i przesłankę, na podstawie której będziemy zbierać dane.

III CZĘŚĆ określamy:

  • cel przetwarzania danych (np. realizacja zamówień),
  • kategorie osób, których dane zamierzamy zbierać (np.: klienci i potencjalni klienci sklepu)
  • informację o tym, jakie dane zamierzamy gromadzić (lista przykładowa do zaznaczenia oraz miejsce do wpisania innych)
  • informacje o danych wrażliwych – ustawa o ochronie danych osobowych określa w ten sposób dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, stan zdrowia, kod genetyczny, informacje o nałogach, życiu seksualnym, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

IV CZĘŚĆ: wskazujemy, w jaki sposób zbieramy dane, czyli czy bezpośrednio od danej osoby czy z innego źródła (np. kupionej legalnie bazy danych)
komu będziemy dane udostępniać ( w przypadku sklepu internetowego będzie to zwykle firma kurierska, biuro rachunkowe itp.) oraz czy będziemy je wysyłać za granicę i do państw trzecich.

V CZĘŚĆ: wskazujemy sposób przetwarzania danych (czy tylko na papierze czy tez elektronicznie;  czy na komputerach połączonych z Internetem, czy centralnie czy w architekturze rozproszonej), a także opisu zabezpieczeń stosowanych w związku z przetwarzaniem danych – od czysto fizycznych (typu drzwi, zamki, szafy, sejfy) i sprzętowych (np. niszczarki), poprzez firewalle i uwierzytelnianie, po organizacyjne. Wskazujemy informację o powołaniu Administratora Bezpieczeństwa Informacji oraz o opracowaniu dokumentów z zakresu ochrony danych osobowych (Polityka Bezpieczeństwa Informacji oraz Instrukcja zarządzania systemem informatycznym) – dlatego tak ważne by dokumenty te przed dokonaniem rejestracji przygotować i wdrożyć.

Aby jednak zgłoszony zbiór mógł zostać zarejestrowany jego administrator musi spełnić wszystkie wymagania, jakie nakłada na niego wspomniana ustawa oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Dlatego na koniec należy wskazać poziom stosowanych zabezpieczeń, który ma być adekwatny do sposobu przetwarzania danych.
Najczęściej będzie to poziom wysoki, który stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

Podsumowanie

Podsumowując zaznaczyć należy, iż obowiązek zgłoszenia do GIODO zbioru danych osobowych nie oznacza przesyłania danych osobowych swoich klientów. We wniosku rejestracyjnym jak i aktualizacyjnym wskazuje się konkretne zbiory danych osobowych opisując kategorie przetwarzanych danych oraz cel i zakres ich przetwarzania.