Jakie są wymagania przechowywania danych klientów

Jakie są wymagania przechowywania danych klientów

utworzone przez | maj 19, 2016 | GIODO sklep internetowy

dane osobowe

Czy są jakieś wymagania w jaki sposób dane Klientów muszą być przechowywane, czyli jak często trzeba zmieniać hasło, jakich zabezpieczeń użyć itp. ?

Rozporządzanie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 roku określa poziomy bezpieczeństwa infrastruktury informatycznej, jakie należy stosować w zależności od pewnych elementów jej architektury oraz w zależności od tego jakie dane osobowe są przetwarzane w systemach.

Wymagania zabezpieczeń zbioru danych osobowych – poziom wysoki

Autorzy regulacji jako warunek przyjęli podłączenie systemu informatycznego do sieci publicznej – Internet, które co powoduje, że w praktyce każdy z Administratorów danych osobowych jest zobowiązany do stosowania „wysokiego poziomu bezpieczeństwa”.

Zabronione jest aby kolejni następujący po sobie edministratorzy systemów mieli ten sam identy
fikator, np. „Admin”. Dostęp do systemu informatycznego, w którym będzie istniała możliwości przetwarzania danych osobowych, musi być zabezpieczony procesem uwierzytelnienia użytkownika, tj. potwierdzeniem tożsamości wskazanej w indywidualnym „identyfikatorze”.

Polityka haseł

Najpopularniejszą metodą weryfikacji praw dostępu do systemu informatycznego jest użycie „hasła”, tj. unikalnego i poufnego ciągu znaków literowych, cyfrowych lub innych (§2 pkt 3).

Siła „hasła” wykorzystywanego do uwierzytelnianie użytkowników w systemie informatycznym jest jedynym szczegółowo określonym wymogiem zabezpieczeń:

  1. długość: co najmniej 8 znaków

  2. małe i wielkie litery oraz cyfry lub znaki specjalne

  3. ważność: maksymalnie 30 dni

Nie ma obowiązku, żeby system informatyczny automatycznie wymuszał na użytkownikach te wymagania, jednak taka funkcjonalność pozwala na skuteczne zarządzanie ich realizacją, uniemożliwiając jawne lub przypadkowe łamanie tego nakazu.

O poufności hasła nie decyduje wyłącznie jego nieudostępnianie innym osobom, ale również jego treść. Stąd też użytkownik systemu informatycznego ma obowiązek stosować hasła trudne do

odgadnięcia. W szczególności nie mogą nimi być

nazwisko, imię, adres, numer rejestracyjny prywatnego samochodu, PESEL, NIP, numer telefonu, itp;

słowo w żadnym popularnym języku;

nazwa geograficzna, termin techniczny lub określenie potoczne;

sekwencja kolejnych znaków na klawiaturze;

a także dowolny spośród wymienionych uzupełnionym na początku lub końcu cyfrą lub znakiem specjalnym.

Podsumowanie

Wymagania bezpieczeństwa dotyczące ochrony danych osobowych, odnoszą się do właściwego sklepu internetowego, nie zaś użytkownika mającego dostęp jedynie do własnych danych, a więc klienta w e-sklepie. To Administrator Danych Osobowych (sklep) w swoich systemach informatycznych – na których pracują pracownicy e-sklepu przetwarzający dane osobowe w związku z działalnością zarobkową – musi wprowadzić wymagania bezpieczeństwa określone w Ustawie o ochronie danych osobowych i Rozporządzeniu wykonawczym MSWiA do tej Ustawy z 2004 r.

Mały sklep internetowy a GIODO – czy trzeba się rejestrować, jakie zbiory, jakie obowiązki?

Mały sklep internetowy a GIODO – czy trzeba się rejestrować, jakie zbiory, jakie obowiązki?

utworzone przez | maj 13, 2016 | GIODO sklep internetowy

Przedsiębiorca prowadzący zarówno mały jak i duży sklep internetowy podlega reżimowi ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku, a zatem musi wypełnić wymogi dotyczące ochrony danych osobowych.

Czy muszę rejestrować zbiór danych osobowych?

Przede wszystkim Administrator danych jeszcze przed rozpoczęciem działalności sklepu internetowego (jak wskazuje art. 46 ust. 1 ustawy o ochronie danych osobowych) ma obowiązek zarejestrować w GIODO zbiory danych osobowych lub powołać Administratora Bezpieczeństwa Informacji i zgłosić go do GIODO. W drugim przypadku trzeba będzie pamiętać jedynie o zgłoszeniu danych osobowych wrażliwych, jeśli takie przetwarza.

Przetwarzanie danych obejmuje ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie oraz usuwanie. Każdy sklep internetowy, niezależnie od wielkości, który wykonuje jakiekolwiek operacje na danych osobowych powinien dokonać rejestracji w GIODO.

Dane wrażliwe są to zgodnie z art. 27 ustawy o ochronie danych osobowych dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania filozoficzne lub religijne, przynależność związkową, partyjną, wyznaniową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych. Przetwarzanie danych osobowych wrażliwych jest dozwolone gdy osoba, której te dane dotyczą wyrazi na to pisemną zgodę.

Administrator danych we wniosku rejestracyjnym do GIODO winien wskazać rodzaj przetwarzanych przez siebie danych oraz cel ich przetwarzania.

Jakie zbiory danych powinien zgłosić sklep internetowy?

Sklep internetowy przetwarza dane generalnie w celu realizacji zamówień swoich klientów, prowadzi rejestry umów cywilnoprawnych a niekiedy decyduje się na wysyłkę newslettera oraz tworzenie baz statystycznych. Zgłoszenie do GIODO może dotyczyć więc kilku zbiorów, a zatem będzie konieczne wypełnienie kilku wniosków rejestracyjnych, albowiem każdy zbiór danych jest zgłaszany odrębnie na oddzielnym formularzu.

Nie można niestety wskazać jednej uniwersalnej listy zbiorów, które w przypadku każdego sklepu internetowego podlegałyby zgłoszeniu, albowiem każdy podmiot jest inny i działa na innych zasadach.

Należy pamiętać, że często (choć nie zawsze, bo i tu znajdą się wyjątki) z mocy ustawy (art. 43) niektóre zbiory danych będą podlegać zwolnieniu od rejestracji w GIODO np. Zbiór danych pracowników (przyszłych, obecnych i byłych).

Jakie obowiązki ma właściciel sklepu internetowego?

1. Przygotowanie Polityki bezpieczeństwa informacji oraz instrukcji zarzadzania systemem informatycznym

Administrator danych osobowych ma ustawowy obowiązek opracowania, wdrożenia i prowadzenia dokumentacji systemu ochrony danych osobowych (art. 36 ust. 2).

Należy pamiętać, że na sam wymóg prowadzenia dokumentacji nie ma wpływu rodzaj, cel, sposób przetwarzania ani wielkość przetwarzanych zbiorów danych osobowych.

Obowiązkową dokumentację systemu ochrony danych osobowych stanowi:

  1. Polityka bezpieczeństwa;
  2. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (§3).Nie jest to zbiór zamknięty i powinien być rozszerzony na pozostałe dokumenty określone wprost lub wynikające z przepisów Ustawy:
  3. Upoważnienia do przetwarzania danych osobowych (art. 37);
  4. Ewidencja upoważnień do przetwarzania danych osobowych (art. 39 ust. 1);
  5. Zobowiązania do zachowania poufności (art. 39 ust. 2).

Ważne by dokumentacja była przejrzysta i kompleksowa dla wszystkich osób przetwarzających dane osobowe w organizacji, a także by nie odbiegała od rzeczywistości.

2. Rejestracja zbioru danych osobowych w GIODO

Obowiązek rejestracyjny dotyczy wszelkich zbiorów danych osobowych, bez względu na kategorię przetwarzanych danych osobowych, tj. zwykłe czy wrażliwe, rodzaj przetwarzanych danych osobowych, tj. zawartość informacyjna dla każdej z osób, wielkość zbioru, tj. liczby przetwarzanych w nim informacji.

Aktualnie istnieją dwa sposoby rejestracji zbioru danych sposoby złożenia wniosku o rejestrację zbioru danych osobowych:

  1. wypełnienie elektronicznego formularza wniosku znajdującego się na platformie internetowej GIODO i wstępnego zatwierdzenia jego treści (nie jest konieczne posiadanie podpisu elektronicznego i nie jest formalnym potwierdzeniem złożenia wniosku), wydrukowanie wniosku i podpisanie go przez Administratora danych osobowych i przesłanie wniosku pocztą na adres Biura GIODO
  2. wypełnienie elektronicznego formularza wniosku znajdującego się na platformie internetowej GIODO, zatwierdzenie jego treści poprzez uwierzytelnienie przez Administratora danych osobowych przy użyciu mechanizmów podpisu elektronicznego formalne złożenie wniosku.Należy pamiętać, iż dane osobowe można przetwarzać z chwilą złożenia „Wniosku o rejestrację zbioru”(art. 46 ust. 1), natomiast „wrażliwe” dane osobowe dopiero po uzyskaniu decyzji o zarejestrowaniu zbioru (art. 46 ust. 2 w zw. z art. 42 ust. 4).
  3. Obowiązek informacyjny wypełniany przy zbieraniu danych osobowych (art. 24 i 25 Ustawy o ochronie danych osobowych)

Na ADO ciąży specjalny obowiązek informacyjny albowiem istotnym jest, aby osoba zainteresowana (np. klient, pracownik) miała możliwość realnej oceny sytuacji i podjęcia decyzji co do udostępnienia swoich danych.

Administrator danych osobowych jest zobowiązany poinformować osobę, której to bezpośrednio dotyczy o:

adresie siedziby swojego przedsiębiorstwa i jego pełnej nazwie lub gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku, celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców pozyskiwanych danych; prawie dostępu do treści swoich danych oraz ich prawie do ich poprawiania; dobrowolności albo obowiązku podania danych, a jeśli taki obowiązek istnieje, o jego podstawie prawnej.

Czy Administrator danych ma obowiązek powołania ABI?

Kwestia powołania lub niepowołania Administratora bezpieczeństwa informacji jest indywidualnym wyborem każdego przedsiębiorcy, który w każdej chwili może zostać zmieniony.

ADO może powołać Administratora bezpieczeństwa informacji (ABI) – czyli osobę nadzorującą z jego upoważnienia przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych poprzez powierzenie zadań z zakresu ochrony danych osobowych bądź to swojemu pracownikowi bądź poprzez skorzystanie z usług profesjonalisty mającego doświadczenie w pełnieniu obowiązków Administratora bezpieczeństwa informacji

Podsumowanie

Jednym słowem, nie ma taryfy ulgowej nawet dla małych sklepów internetowych. Ustawa o ochronie danych osobowych traktuje wszystkie podmioty, niezależnie od ich wielkości – jednakowo. Procedura zgłoszenia zbiorów osobowych nie jest nader czasochłonna a pozwoli uniknąć nieprzyjemnych konsekwencji w postaci pociągnięcia do odpowiedzialności z tytułu nieprzestrzegania przepisów ustawy o ochronie danych osobowych.

Jak długo czeka się na rejestrację zbiorów w GIODO?

Jak długo czeka się na rejestrację zbiorów w GIODO?

utworzone przez | sie 7, 2015 | GIODO sklep internetowy

„Ile trwa rejestracja w GIODO? Jak długo muszę czekać?” Jest to pytanie, które nasi klienci zadają praktycznie codziennie. Niezwykle ciężko jednak udzielić jednoznacznej odpowiedzi, gdyż byłoby to czyste zgadywanie. Może się okazać, że zgłoszenie zostanie zaakceptowanie po 2-3 dniach, ale równie dobrze możemy czekać 2-3 miesiące.  Powód jest prosty: nigdzie w przepisach prawa, ni też w rozporządzeniach i decyzjach wydanych przez GIODO nie znajdziemy sprecyzowanego maksymalnego terminu rozpatrzenia wniosku rejestracyjnego. Jeżeli nie przetwarzamy w naszych zbiorach danych wrażliwych*, wówczas nie mamy co liczyć również na informację zwrotną od GIODO po zaakceptowaniu naszego wniosku ( w przypadku przetwarzania danych wrażliwych* GIODO informuje automatycznie o rejestracji tychże zbiorów).

Jeżeli przetwarzamy w naszych zbiorach jedynie zwykłe dane to na całe szczęście nie musimy czekać na dodanie ich do rejestru GIODO. Po przesłaniu wniosku możemy spokojnie i z czystym sumieniem przetwarzać dane osobowe klientów a po kilkudziesięciu dniach wystąpić do GIODO o wydanie zaświadczenia o rejestracji zbiorów. Inaczej ma się sprawa, gdy przetwarzamy dane wrażliwe*. W takiej sytuacji nie jesteśmy uprawnieni do ich przetwarzania na podstawie przesłania wniosku. Musimy czekać na wydanie decyzji przez GIODO.  Na szczęście takie wnioski rozpatrywane są nieco szybciej niż standardowe, a decyzje przesyłane są do nas pocztą.

Informacji na temat statusu rozpatrywania przesłanego przez nas wniosku udziela Departament rejestracji GIODO. Wszelkie dane kontaktowe dostępne są pod tym linkiem .

 

*Dane wrażliwe: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne  lub filozoficzne, przynależność wyznaniowa,  partyjna lub związkowa, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym.

Odpowiedzialność karna administratora danych

Odpowiedzialność karna administratora danych

utworzone przez | sie 6, 2015 | GIODO sklep internetowy

W każdym przedsiębiorstwie Administrator Danych (ADO) sprawuje władztwo nad przetwarzaniem danych i co za tym idzie jest odpowiedzialny za ich bezpieczeństwo. W tym tekście skupimy się właśnie na jego odpowiedzialności. Pouczenie, kara finansowa, a może ograniczenie wolności? Co czeka ADO za nieprzestrzeganie swoich obowiązków?

Zacznijmy od ciekawostki: Ustawa o ochronie danych osobowych nie reguluje wprost cywilnej odpowiedzialności Administratora danych. Wprost to mało powiedziane. Wyrażając się precyzyjniej: ustawa ta nie zawiera żadnych przepisów dotyczących cywilnej odpowiedzialności administratorów danych czy innych podmiotów, które przetwarzają dane. Ustawodawcy uregulowali jednak odpowiedzialności karne za nieprawidłowości w przetwarzaniu danych czy niedopełnienie obowiązków. Ustawa o ochronie danych osobowych listuje trzy główne zaniechania ADO, które wymienimy teraz, a poniżej omówimy szerzej każde z nich. Są to: nieuprawnione przetwarzanie danych, brak odpowiedniego zabezpieczenia danych oraz niespełnienie obowiązku rejestracji zbiorów.

Nieuprawnione przetwarzanie danych 

O karze za bezprawne przetwarzanie danych osobowych stanowi artykuł 49 uodo:

Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia albo pozbawienia wolności do lat 2.

Surowsza kara jest przewidziana w przypadku nieuprawnionego przetwarzania danych wrażliwych (np. przynależność partyjna, wyznaniowa, dane o kodzie genetycznym czy życiu seksualnym). Wówczas sprawca może zostać ukarany pozbawieniem wolności do lat 3.

Zwróćmy szczególną uwagę na fakt, iż artykuł 49 nie skupia się wyłącznie na administratorze danych. Odpowiedzialność karną wynikającą z powyższego artykułu może ponieść każda osoba nieuprawniona do przetwarzania danych. Odpowiedzialności podlegają również podmioty przetwarzające dane na zlecenie administratora (np. podmioty pocztowe, księgowe) jeżeli nie mają umocowania do udostępniania danych osobowych a mimo wszystko to czynią. Podkreślmy, że przestępstwo popełnia wyłącznie osoba, która przetwarza dane w obrębie zbioru, gdyż art. 49 nie zabrania przetwarzania danych poza zbiorami.

Brak odpowiedniego zabezpieczenia danych osobowych

Jest to kolejne przestępstwo o którym stanowi ustawa o ochronie danych osobowych w artykule 52. Brzmi on następująco:

Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, każe pozbawienia, bądź ograniczenia wolności do roku.

Zwróćmy w tym miejscu uwagę na określenie wyciągnięte żywcem z ustawy: administrujący danymi. Jak należy interpretować to określenie? Administrujący danymi to ktoś, kto zarządza danymi, choć niekoniecznie musi być administratorem danych.  Przestępstwo w tym przypadku może więc popełnić każda osoba mająca dostęp do danych przyznany przez administratora (np. pracownik firmy). Inaczej niż w przypadku nieuprawnionego przetwarzania danych, reperkusje ich nieodpowiedniego zabezpieczenia będą obejmowały dane zawarte w zbiorach, jak również te poza zbiorami.

Niespełnienie obowiązku rejestracji zbiorów w GIODO

Przypuśćmy, że administrator danych nie zgłosi zbiorów do GIODO. Co wtedy? Odpowiedzialność karną za brak rejestracji regulują dwa artykuły ustawy, mianowicie:

Art. 53 – Kto będąc do tego zobowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo karze pozbawienia wolności do roku.

Art. 54 – Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji uniemożliwiających korzystanie z praw przyznanych jej w tej ustawie, podlega grzywnie, karze ograniczenia wolności lub pozbawienia wolności do roku 

Obowiązek rejestracji zbiorów wynika z art. 40 tejże ustawy, który nakazuje zgłoszenie przetwarzanych danych do Generalnego Inspektora Ochrony Danych Osobowych. Przestępstwo określone w dwóch powyższych artykułach jest indywidualne. Do odpowiedzialności za ich popełnienie może więc być pociągnięta wyłącznie osoba, która winna uregulować kwestie zgłoszenia zbiorów do GIODO. Mowa tu oczywiście o administratorze danych (ADO).

 

Podsumowanie

Dla zwykłego sprzedawcy internetowego kary, które przewiduje ustawa o ochronie danych osobowych wydają się ogromne. Wielu właścicieli e-przedsiębiorstw do dzisiaj żyje w nieświadomości, często nie mając najmniejszego pojęcia o istnieniu instytucji GIODO, a co dopiero mówić o obowiązku zgłoszenia. Kary faktycznie mogą sprawiać wrażenie wyolbrzymionych, zwłaszcza biorąc pod uwagę zazwyczaj niską szkodliwość (podkreślmy słowo zazwyczaj) niedopełnienia obowiązków przez administratora danych. Czy należy się zatem bać? Na pewno nie należy popadać w panikę. Kary pozbawienia bądź ograniczenia wolności w przypadku tej ustawy są bardzo rzadko stosowane. Zazwyczaj postępowanie kończy się na zobowiązaniu do zaniechania nieprawidłowych praktyk, bądź na karze grzywny. Jeśli, drogi czytelniku, jesteś sprzedawcą internetowym i nie spełniłeś obowiązku rejestracji zbiorów w GIODO jak najszybciej tego dokonaj.

 

Potrzebujesz pomocy przy rejestracji zbiorów, bądź zabezpieczeniu danych osobowych w Twojej firmie? Zgłoś się do nas, a z pewnością ci pomożemy i doradzimy najlepsze rozwiązanie.

GIODO rejestracja – czy faktycznie jest konieczna?

GIODO rejestracja – czy faktycznie jest konieczna?

utworzone przez | maj 27, 2014 | GIODO sklep internetowy

Kto i kiedy powinien zarejestrować zbiory – czyli jak powinna przebiegać prawidłowo wykonana GIODO rejestracja?

Obowiązek zgłoszenia bazy do rejestracji GIODO ciąży na administratorze danych osobowych. Nie ma znaczenia, czy administrator przetwarza dane samodzielnie, czy zlecił ich przetwarzanie w drodze umowy powierzenia podmiotowi trzeciemu. Odpowiedzialność za ewentualne naruszenie przepisów (m.in. dot. ochrony danych osobowych i GIODO rejestracji) spoczywa na osobach zarządzających firmą, tj. właścicielach sklepu internetowego, dyrektorach przedsiębiorstwa, zarządzie spółki. Rejestracja GIODO stanowi więc ważny element funkcjonowania każdego sklepu internetowego.

Zgłoszenia zbioru do rejestracji GIODO należy dokonać przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych, tj. przed pozyskaniem pierwszych danych do zbioru. Zgodnie z art. 46 ust. 1 ustawy o ochronie danych osobowych administrator może rozpocząć ich przetwarzanie w zbiorze po zgłoszeniu go do rejestracji GIODO. Jeśli sprzedawca prowadzi już sprzedaż w swoim sklepie powinien jak najszybciej o takie zgłoszenie zadbać.

 

Czy należy rejestrować nowy zbiór?

Prowadzenie działalności gospodarczej związane jest sporą liczbą regulacji, których przestrzeganie jest warunkiem koniecznym do jej rozpoczęcia oraz prowadzenia. Jednym z dylematów sprzedawców internetowych pojawiających się przy tej okazji jest kwestia obowiązku zgłoszenia zbioru danych osobowych przetwarzanego przez sklep Internetowy do Głównego Inspektora Ochrony Danych Osobowych w związku z przetwarzaniem danych osobowych swoich klientów. Dane, które przetwarzane są przez sprzedawców internetowych w celu prawidłowej realizacji umowy, niewątpliwie mają charakter danych osobowych, o których mowa w ustawie o ochronie danych osobowych. Tym samym bazy danych sklepów internetowych spełniają wszystkie przesłanki wymienione w art. 40 ustawy o ochronie danych osobowych. Wnioskując, rejestracja GIODO w przypadku jest niezbędna.

 

GIODO rejestracja czyli zgłoszenie zbioru danych do rejestru

Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536).

Stosownie do art. 41 ust. 1 ustawy o ochronie danych osobowych, prawidłowe zgłoszenie zbioru danych do rejestracji powinno zawierać:

  1. wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
  2. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
  3. cel przetwarzania danych,
  4. opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
  5. sposób zbierania oraz udostępniania danych,
  6. informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
  7. opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39,
  8. informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a,
  9. informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

 

Sankcje natury karnofinansowej za niezgłoszenie zbioru do GIODO?

Otóż tak, przetwarzanie danych osobowych bez ich zgłoszenia niesie ze sobą liczne negatywne skutki, w tym natury karnoprawnej. Zgodnie z treścią art. 53 ustawy o ochronie danych osobowych przestępstwo to zagrożone jest grzywną, karą ograniczenia wolności albo pozbawienia wolności do roku.

 

Podsumowanie

Podsumowując, GIODO rejestracja jest obowiązkowa do prawidłowego funkcjonowania sklepu internetowego. Choć samo zgłoszenie zbioru danych osobowych do rejestracji GIODO nie jest nader kłopotliwe, to jednak wymaga od przedsiębiorców pewnego nakładu czasu i wysiłku, chociażby w stworzeniu odpowiedniej dokumentacji. Gdy z jakichś powodów nie możecie Państwo zająć się rejestracją danych osobowych, możecie zlecić te zadanie specjalistom naszego portalu.

Nasi prawnicy oraz partnerzy w zakresie GIODO są do Państwa dyspozycji. Zyskujecie wówczas pewność, że wszystkie procedury zostaną należycie dopełnione, a zbiór danych osobowych właściwie zarejestrowany.

Rejestracja sklepu internetowego w GIODO!

Rejestracja sklepu internetowego w GIODO!

utworzone przez | kwi 24, 2014 | GIODO sklep internetowy

Obowiązek zgłoszenia bazy do rejestracji ciąży na administratorze danych osobowych. Nie ma znaczenia, czy administrator przetwarza dane samodzielnie, czy zlecił ich przetwarzanie w drodze umowy powierzenia podmiotowi trzeciemu. Odpowiedzialność za ewentualne naruszenie przepisów o ochronie danych osobowych spoczywa na osobach zarządzających firmą, tj. właścicielach sklepu internetowego, dyrektorach przedsiębiorstwa, zarządzie spółki.

Zgłoszenia zbioru do rejestracja sklepu internetowego w GIODO należy dokonać przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych, tj. przed pozyskaniem pierwszych danych do zbioru. Zgodnie z art. 46 ust. 1 ustawy o ochronie danych osobowych administrator może rozpocząć ich przetwarzanie w zbiorze po zgłoszeniu go do rejestracji Generalnemu Inspektorowi. Jeśli sprzedawca prowadzi już sprzedaż w swoim sklepie powinien jak najszybciej o takie zgłoszenie zadbać.

Czy należy rejestrować nowy zbiór?

Prowadzenie działalności gospodarczej związane jest sporą liczbą regulacji, których przestrzeganie jest warunkiem koniecznym do jej rozpoczęcia oraz prowadzenia. Jednym z dylematów sprzedawców internetowych pojawiających się przy tej okazji jest kwestia obowiązku zgłoszenia zbioru danych osobowych przetwarzanego przez sklep Internetowy do Głównego Inspektora Ochrony Danych Osobowych w związku z przetwarzaniem danych osobowych swoich klientów.

Dane, które przetwarzane są przez sprzedawców internetowych w celu prawidłowej realizacji umowy, niewątpliwie mają charakter danych osobowych, o których mowa w ustawie o ochronie danych osobowych.

Tym samym bazy danych sklepów internetowych spełniają wszystkie przesłanki wymienione w art. 40 i podlegają obowiązkowi rejestracja sklepu internetowego w GIODO.

Zgłoszenie zbioru do rejestracji

Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536).

Stosownie do art. 41 ust. 1 ustawy o ochronie danych osobowych, prawidłowe zgłoszenie zbioru danych do rejestracji powinno zawierać:

  1. wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
  2. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
  3. cel przetwarzania danych,
  4. opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
  5. sposób zbierania oraz udostępniania danych,
  6. informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
  7. opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39,
  8. informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a,
  9. informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Sankcje natury karnofinansowej za niezgłoszenie zbioru do GIODO?

Otóż tak, przetwarzanie danych osobowych bez ich zgłoszenia niesie ze sobą liczne negatywne skutki, w tym natury karnoprawnej. Zgodnie z treścią art. 53 ustawy o ochronie danych osobowych przestępstwo to zagrożone jest grzywną, karą ograniczenia wolności albo pozbawienia wolności do roku.

Podsumowanie

Podsumowując, choć samo zgłoszenie zbioru danych osobowych do GIODO nie jest nader kłopotliwe, to jednak wymaga od przedsiębiorców pewnego nakładu czasu i wysiłku, chociażby w stworzeniu odpowiedniej dokumentacji. Gdy z jakichś powodów nie możecie Państwo zająć się rejestracją danych osobowych, możecie zlecić te zadanie specjalistom naszego portalu. Nasi prawnicy oraz partnerzy w zakresie GIODO są do Państwa dyspozycji. Zyskujecie wówczas pewność, że wszystkie procedury zostaną należycie dopełnione, a zbiór danych osobowych właściwie zarejestrowany.

Pozdrawiam