DECYZJA – odmowa GIODO uwzględnienia wniosku w przedmiocie nakazania usunięcia danych osobowych przez właściciela sklepu internetowego.
Skarżąca w celu wysyłki zamówionego za pośrednictwem sklepu internetowego produktu, utworzyła w tymże sklepie konto internetowe zawierając jednocześnie umowę o świadczeniu usług drogą elektroniczną. W tym celu udostępniła na rzecz Przedsiębiorcy swoje dane osobowe w zakresie: imienia, nazwiska, adresu korespondencyjnego, adresu poczty elektronicznej, numeru telefonu. Ponadto Skarżąca wyraziła zgodę na przetwarzanie swoich danych w celu przeprowadzenia transakcji zakupu i założenia konta internetowego oraz wyraziła zgodę na przetwarzanie swoich danych w celu przeprowadzenia transakcji zakupu i założenia konta internetowego.
Sklep przetwarza przedmiotowe dane w związku z zawartą umową o świadczeniu usług drogą elektroniczną, a także na podstawie udzielonej przez Skarżącą zgody w systemie informatycznym.
Wskazówki GIODO
Sklep przetwarza dane Skarżącej na podstawie art. 23 ust. 1 pkt 1, oraz pkt 3, tzn. w związku z wyrażoną przez Skarżącą zgodą, a także zawartą umową o świadczeniu usług drogą elektroniczną – prowadzenie konta internetowego. Tym samym wyrażona zgoda nie jest jedyną przesłanką do usprawiedliwionego realizowania procesu przetwarzania danych osobowych, zatem, cofnięcie zgody,w sytuacji zaistnienia innej przesłanki określonej w art. 23 ust. 1 ustawy, nie oznacza, iż dalsze przetwarzanie danych automatycznie staje się niedopuszczalne.
W przypadku usługi świadczonej drogą elektroniczną – stosuje się ustawę z 18.07.2002 r. O świadczeniu usług drogą elektroniczną – są to przepisy szczególne wobec przepisów ogólnych – tj. Ustawy o ochronie danych osobowych.
Art. 18 ustawy o świadczeniu usług drogą elektroniczna usługodawca może przetwarzać dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany, rozwiązania stosunku prawnego między nimi, takie jak:
nazwisko i imiona usługobiorcy;
numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;
adres zameldowania na pobyt stały;
adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3;
dane służące do weryfikacji podpisu elektronicznego usługobiorcy;
adresy elektroniczne usługobiorcy.
Podsumowanie
Sklep przetwarza legalnie dane osobowe użytkowników na podstawie zgody Skarżącej oraz w związku z zawartą umową o świadczeniu usług drogą elektroniczną. Spełnienie już jednej z przesłanek legalizujących przetwarzanie danych osobowych jest wystarczające – cofnięcie zgody Skarżącej nie wyklucza zatem zgodnego z prawem przetwarzania danych przez administratora.
Skarżąca miała możliwość zapoznania się z regulaminem sklepu przed założeniem konta.
Decyzja GIODO w sprawie wyrażenia zgody na przekazanie przez A. S.A., z siedzibą w W. danych osobowych do M., Inc., z siedzibą w Stanach Zjednoczonych Ameryki, pod adresem: N., zwanego dalej Odbiorcą, na podstawie zastosowanych standardowych klauzul umownych stanowiących załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. UE L 39, z 12.02.2010), A. S.A., z siedzibą w W., złożyła wniosek do GIODO , zwaną dalej Wnioskodawcą lub Spółką, o przekazanie danych osobowych do M., Inc., z siedzibą w Stanach Zjednoczonych Ameryki, pod adresem: N..
Wnioskodawca jest spółką posiadającą siedzibę na terytorium Rzeczypospolitej Polskiej; Wnioskodawca zawarł z Odbiorcą umowę wzorowaną na standardowych klauzulach umownych stanowiących załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz.UE L 39, z 12.02.2010).
1. Przekazanie danych będzie się odbywało na zasadach ich powierzenia w rozumieniu art. 31 ustawy a będą przekazane dane osobowe, dotyczące następujących kategorii osób: a) Kontrahenci sensu stricto Wnioskodawcy, obejmująca: osoby fizyczne prowadzące działalność gospodarczą lub też nieprowadzące jej, które na mocy zawartych umów cywilnoprawnych świadczą na rzecz Wnioskodawcy, różnego rodzaju usługi niezwiązane bezpośrednio z przedmiotem działalności Wnioskodawcy (np. sprzątanie, pielęgnacja roślin, indywidualne usługi kurierskie, usługi IT);
b) Agenci Wnioskodawcy – osoby fizyczne świadczące usługi
pośrednictwa przy zbywaniu jednostek uczestnictwa dobrowolnego funduszu emerytalnego w rozumieniu obowiązujących przepisów prawa na podstawie zawartych umów agencyjnych z Wnioskodawcą, które to umowy związane są z przedmiotem działalności Wnioskodawcy;
3. Będą przekazane następujące kategorie danych: podstawowe informacje o osobie, której dane dotyczą (obejmujące: imię, nazwisko, adres zamieszkania, adres poczty elektronicznej, numer telefonu kontaktowego), a także dane związane z realizowaniem płatności (obejmujące numer rachunku bankowego, numer NIP, kwotę oraz rodzaj waluty płatności);
4. Dane będą przekazane w celu korzystania z modułu księgowego aplikacji P., która jest narzędziem zaprojektowanym jako długoterminowe rozwiązanie w obszarze księgowości;
Wnioskodawca w piśmie z dnia […] września 2014 r. oświadczył, że Odbiorca należy do programu Bezpiecznej Przystani w węższym zakresie, niż to określono we wniosku, tj. stosuje on zasady tego programu wyłącznie w odniesieniu do danych związanych z zatrudnieniem a nie będą przekazywane dane szczególnie chronione w rozumieniu ustawy;
Wykorzystywane przez Odbiorcę systemy informatyczne co do zasady spełniają wymogi rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024), zwanego dalej rozporządzeniem, jednak system nie zapewnia przewidzianego w § 7 rozporządzenia odnotowania: źródła danych, gdyż są one zbierane od osób, których one dotyczą, jak również sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy, gdyż dane są przetwarzane w celach prowadzenia rachunkowości na podstawie przepisów prawa, tym samym w tym zakresie to uprawnienie nie przysługuje.
Wskazówki GIODO:
Zgodnie z art. 47 ust. 1 ustawy, przekazanie danych osobowych
do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę: – charakter danych – cel – czas trwania proponowanych operacji przetwarzania danych – kraj pochodzenia – kraj ostatecznego przeznaczenia danych – przepisy prawa obowiązujące w danym państwie trzecim – stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe (art. 47 ust. 1a ustawy).
Przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia takiego poziomu ochrony z zasady może nastąpić tylko wtedy, gdy zostaną spełnione dodatkowe przesłanki określone w art. 47 ust. 2 lub 3 ustawy.
Natomiast, jeżeli w danym przypadku one nie zachodzą, to przekazanie danych osobowych może mieć miejsce tylko po uzyskaniu zgody Generalnego Inspektora, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą (art. 48 ustawy) Państwo trzecie, w którym siedzibę ma Odbiorca z racji braku wystarczających uregulowań prawnych dotyczących ochrony danych osobowych, nie może być uznane za państwo zapewniające odpowiedni poziom ochrony danych osobowych, jak również w świetle zebranych materiałów dowodowych nie zachodzi żadna z przesłanek określonych w art. 47 ust. 2 lub 3 ustawy – w konsekwencji konieczne jest uzyskanie zgody Generalnego Inspektora.
Generalny Inspektor, rozpatrując wniosek o wyrażenie zgody na przekazanie danych do państwa trzeciego, jest zobowiązany ustalić, czy administrator danych zapewnił odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.
Ze względu na to, że zapewnienie odpowiednich zabezpieczeń może wiązać się z przyjęciem odpowiednich zobowiązań umownych, Generalny Inspektor musi również przeanalizować odpowiednie postanowienia umowne.
Biorąc pod uwagę możliwość zastosowania takiego rozwiązania przez Wnioskodawcę należy wskazać na kompetencję Komisji Europejskiej, która na mocy art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L 281, z 23.11.1995), zwanej alej dyrektywą, jest uprawniona do uznania w drodze decyzji, że określone standardowe klauzule umowne zapewniają odpowiednią ochronę danych osobowych oraz praw i wolności jednostek. Decyzje te wymagają, aby państwa członkowskie nie odmawiały uznania zabezpieczeń ustanowionych w standardowych klauzulach umownych określonych w decyzjach za zapewniające odpowiednie gwarancje ochrony prywatności oraz podstawowych praw i wolności osób fizycznych oraz wykonywania odpowiednich praw zgodnie z wymogami art. 26 ust. 2 dyrektywy. Nie wyłącza to jednak obowiązku spełnienia pozostałych wymogów nałożonych przez właściwe przepisy krajowe. Taki charakter ma również przywołana przez Spółkę decyzja Komisji 2010/87/UE.
Zadeklarowane przez Spółkę zastosowanie standardowych klauzul umownych określonych
decyzją Komisji 2010/87/UE powoduje konieczność porównania przez Generalnego Inspektora przyjętych przez Spółkę klauzul ze standardowymi klauzulami umownymi. Analiza ta wykazała, że przedstawione przez Spółkę klauzule są zgodne ze standardowymi klauzulami umownymi.
GIODO wskutek analizy ocenił, iż stosowane przez Spółkę środki organizacyjno-techniczne mające na celu zabezpieczenie przetwarzanych danych osobowych. Art. 48 ustawy wskazuje, że zastosowane przez odbiorcę danych środki organizacyjno-techniczne muszą być „odpowiednie” (adekwatne). Środki te nie muszą być identyczne do tych, które są wymagane na terytorium Rzeczpospolitej Polskiej – powinny one adekwatnie zabezpieczać prywatność oraz prawa i wolności osoby, której dane dotyczą.
Jeżeli środki te różnią się od rozwiązań przyjętych w rozporządzeniu, podlegają one każdorazowo ocenie Generalnego Inspektora. Po dokonaniu ich analizy Generalny Inspektor stwierdził, że przedstawione przez Spółkę środki zapewniają odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.
Spółka przekazując dane w ramach powierzenia nie traci przymiotu ich administratora.
Przedmiotowa sprawa dotyczy powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy – odpowiada ona za zgodność z prawem przetwarzanych danych.
Przepisy art. 47 i 48 ustawy wprowadzają dodatkowe wymogi, które należy spełnić, gdy zamierza się przekazać dane osobowe do państwa trzeciego. Konieczność ich wypełnienia nie zwalnia administratora danych z pozostałych obowiązków nałożonych na niego przepisami ustawy.
Decyzja Generalnego Inspektora w przedmiocie wyrażenia zgody na przekazanie danych osobowych do państwa trzeciego nie legalizuje wcześniejszego przekazania danych osobowych do państwa trzeciego, które ewentualnie miałoby miejsce przed datą wydania decyzji w sprawie.
Rozpoczęcie operacji przekazania danych osobowych do państwa trzeciego może nastąpić dopiero po wydaniu stosownej decyzji przez Generalnego Inspektora. Niniejsza decyzja upoważnia Spółkę do przekazania danych osobowych do państw trzecich jedynie na warunkach określonych w złożonym wniosku.
Podsumowanie
Nie w każdej sytuacji przekazywania danych osobowych do państw trzecich jest wymagana zgoda GIODO
Administrator, który korzysta z niezmodyfikowanych standardowych klauzul umownych nie musi występować o taką zgodę.
Jeżeli administrator i odbiorca zdecydują się na wprowadzenie modyfikacji do tekstu standardowych klauzul umownych, konieczne będzie uzyskanie zgody GIODO na transfer danych.
Przedsiębiorcy prowadząc własną firmę, często nieświadomie, biorą udział w procesie przetwarzania danych osobowych. Ma to miejsce już w przypadku zawierania umów handlowych czy prowadzenia różnego typu działań marketingowych. Kilkakrotnie już nowelizowana Ustawa o ochronie danych osobowych z 1997 r. wprowadziła szereg obowiązków po stronie przedsiębiorców w zakresie przetwarzania danych osobowych.
Jak wyodrębnić zbiór danych osobowych?
Zbiory danych osobowych podlegają obowiązkowi zgłoszenia do Generalnego Inspektora Ochrony Danych Osobowych, czyli GIODO. Zanim przedsiębiorca wyodrębni poszczególne zbiory danych powinien pamiętać, że nie każde zestawienie danych osobowych będzie zbiorem.
Zbiór danych osobowych to, zgodnie z art. 7 pkt 1 ustawy o ochronie danych osobowych:
„każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.
Cechą wyróżniającą zbiór danych od innego zestawu danych będzie zatem struktura, czyli takie uporządkowanie, które daje możliwość wyszukania konkretnych danych według określonego kryterium.
Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.
Tylko będący zbiorem danych osobowych usystematyzowany zestaw danych powinien być zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, o ile nie zachodzi żadna z przesłanek określonych w art. 43 ustawy o ochronie danych osobowych zwalniająca administratorów danych z tego obowiązku.
Zgodnie z art. 43 ust. 1 ustawy z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
powszechnie dostępnych,
przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
Często przedsiębiorcom wydaje się, że nie podlegają obowiązkom regulowanym przez ustawę o ochronie danych osobowych z uwagi na wyłączenie z art. z art. 43 ust. 1 pkt 8 tj. gdy przetwarzają dane wyłącznie w celu wystawienia faktury lub rachunku.
Warto jednak pamiętać, że jeśli obok wspomnianego celu wykorzystuje się te dane osobowe np. dla celów marketingowych, realizacji umowy itp. to przedsiębiorca będzie musiał je zgłosić do GIODO.
Rejestracji zbioru danych osobowych dokonuje GIODO na wniosek przedsiębiorcy złożony przed przystąpieniem do ich przetwarzania.
Na szczęście nie wszystkie dane są objęte obowiązkiem rejestracji w GIODO.
Wyłączenie obejmuje np.:
dane znajdujące się u przedsiębiorcy, które są przetwarzane w związku z zatrudnieniem osób fizycznych, świadczeniem usług na podstawie umów cywilnoprawnych czy w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Nie podlegają również zgłoszeniu np. dane powszechnie dostępne lub przetwarzane w zakresie drobnych bieżących spraw życia codziennego.
Należy zwrócić szczególną uwagę na dane wrażliwe np. o stanie zdrowia – takie dane mogą być przetwarzane dopiero po zarejestrowaniu zbioru przez GIODO.
Obowiązek zgłoszenia do GIODO dotyczy wyłącznie rodzaju przetwarzanych danych np. e-mail, nazwisko, imię itp. a nie konkretnych danych – nie należy wysyłać imion i nazwisk Klientów.
Jak należy rozumieć przetwarzanie danych osobowych?
Przetwarzanie danych osobowych oznacza jakąkolwiek operację (czy też zestaw operacji) na danych osobowych, na przykład: gromadzenie, rejestracja, porządkowanie, przechowywanie, modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez przekazanie, rozpowszechnianie lub udostępnianie w inny sposób.
Zgłoszenia zbioru danych osobowych dokonuje się poprzez złożenie wypełnionego formularza. Wniosek można wysłać pocztą, złożyć osobiście w siedzibie urzędu w Warszawie lub szybciej – złożyć za pomocą specjalnej strony internetowej.
Czy zgłoszenie zbiorów do GIODO to wszystko?
Niestety nie. Ustawa wymaga sporządzenia pisemnej dokumentacji, która będzie określać sposób przetwarzania danych oraz opisywać środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
Każda firma, w której przetwarzane są dane osobowe powinna mieć opracowaną i wdrożoną:
Politykę bezpieczeństwa danych osobowych, która opisuje zasady przetwarzania danych osobowych (w formie papierowej i elektronicznej) w organizacji
Instrukcję Zarządzania Systemem Informatycznym – to dokument bardziej szczegółowy i koncentrujący się na zapewnieniu bezpieczeństwa danych osobowych, przetwarzanych w infrastrukturze informatycznej firmy.
Zawartość tych dokumentów opisuje Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. – wskazują one minimum, które dokumentacja musi zawierać.
Kto może mieć dostęp do danych osobowych?
Przedsiębiorcy powinni pamiętać, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Upoważnienie takie powinno wskazywać imię i nazwisko osoby upoważnionej, datę nadania, datę ustania oraz zakres upoważnienia – nazwę zbioru danych.
Jakie są sankcje za nielegalne przetwarzanie danych osobowych?
Ustawa o ochronie danych osobowych za przetwarzanie danych osobowych niezgodnie z prawem przewiduje zarówno odpowiedzialność administracyjną i karną, która szczegółowo uregulowana została w art. 49–54a ustawy.
Takie stanowisko zajął również Naczelny Sąd Administracyjny, który w wyroku z 21 listopada 2002 r. (sygn. akt II SA 1682/01), stwierdził, że:
„W świetle ustawy naruszenie jej przepisów staje się źródłem odpowiedzialności administracyjnej, prowadzącej w istocie jedynie do obowiązku przywrócenia stanu zgodnego z prawem (art. 18) oraz odpowiedzialności karnej (art. 19, 49-54). Przy czym jedynie ten pierwszy rodzaj odpowiedzialności realizowany jest w drodze wydania decyzji administracyjnej”.
Tu warto podkreślić, iż wbrew obiegowej opinii, GIODO nie ma prawa do nakładania kar finansowych po stwierdzeniu uchybienia. Nakładanie jakichkolwiek kar administracyjnych musi być najpierw poprzedzone przeprowadzeniem przez organ do spraw ochrony danych osobowych właściwego postępowania administracyjnego, zakończonego wydaniem decyzji administracyjnej (np. nakazującej określone działanie), a następnie przeprowadzeniem administracyjnego postępowania egzekucyjnego, jeżeli mimo wydanej decyzji, zobowiązany podmiot jej nie wykona.
Innymi słowy, później nałożona grzywna służy wymuszeniu na kontrolowanym wykonania obowiązków o charakterze niepieniężnym.
Grzywna ta wynika z przepisów o postępowaniu egzekucyjnym w administracji art. 121 i może wynosić od 10 tys. zł dla osób fizycznych prowadzących działalność gospodarczą do 50 tys. zł dla osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej (w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie może przekraczać odpowiednio 50 tys. zł oraz 200 tys. zł).
Odpowiedzialność karna zaś, jak i kara za naruszenie przepisów o ochronie danych osobowych jest orzekana po przeprowadzeniu postępowania karnego w konkretnej sprawie przez właściwe organy ścigania i wymiaru sprawiedliwości.
Podsumowanie
Przepisy nakładające obowiązki dotyczące danych osobowych mają zastosowanie do większości firm z uwagi na fakt, iż definicja danych osobowych obejmuje szeroki zakres informacji np. klienci sklepu internetowego, klienci otrzymujący newsletter, dostawcy itp.
Trzeba pamiętać, że poza wskazanymi w ustawie przypadkami, rejestracja zbioru danych osobowych jest zazwyczaj konieczna by dane te mogły być w ogóle legalnie przez firmę przetwarzane. Ustawa o ochronie danych osobowych wyraźnie stanowi, że administrator danych osobowych może rozpocząć ich przetwarzanie w zbiorze dopiero po zgłoszeniu tego zbioru do GIODO.
Przedsiębiorca, który ma obowiązek zgłoszenia zbioru danych osobowych a nie dopełni go, powinien liczyć się z koniecznością poniesienia przykrych konsekwencji takiego zaniechania w postaci grzywny, kary ograniczenia wolności czy pozbawienia wolności.
Idealny sklep pod względem ochrony danych osobowych to jaki?
Działalność sklepu internetowego nierozerwalnie wiąże się z przetwarzaniem danych osobowych, a co za tym idzie – sklep podlega ustawie o ochronie tych informacji oraz obowiązkowi rejestracji zbiorów danych osobowych w GIODO. Nie każdy właściciel sklepu internetowego zdaje sobie do końca jednak sprawę z tego, jakie ciążą na nim obowiązki.
Obowiązki właściciela sklepu internetowego
Każdy administrator danych powinien przede wszystkim przeanalizować, jakie dane osobowe przetwarza by właściwie wyodrębnić zbiory danych osobowych, a następnie zweryfikować, czy powinien zarejestrować swój zbiór w GIODO.
Przy analizie, pomocny będzie poniższy schemat:
kliknij, aby powiększyć
Cały proces rejestracji zbioru danych w GIODO można przejść za pośrednictwem specjalnej platformy internetowej e-giodo, gdzie wypełnia się wniosek online i – jeżeli właściciel nie ma podpisu elektronicznego – powinien wydrukować go, podpisać i wysłać do Biura Generalnego Inspektora Ochrony Danych Osobowych. Jeśli e-sklep przetwarza tylko dane zwykłe – od momentu rejestracji zbioru danych będzie mógł w pełni legalnie działać w internecie.
Oprócz rejestracji zbiorów właściciel powinien opracować jeszcze 2 dokumenty:
Politykę bezpieczeństwa informacji
Instrukcję zarządzania systemem informatycznym
Ustawa wymaga sporządzenia pisemnej dokumentacji, która będzie określać sposób przetwarzania danych oraz opisywać środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
Każdy e-sklep powinien mieć opracowaną i wdrożoną:
Politykę bezpieczeństwa danych osobowych, która opisuje zasady przetwarzania danych osobowych (w formie papierowej i elektronicznej) w organizacji Zgodnie z Rozporządzeniem MSWiA, Polityka powinna zawierać w szczególności (par. 4):
wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
sposób przepływu danych pomiędzy poszczególnymi systemami
określenie środków technicznych i organizacyjnych, niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
Instrukcję Zarządzania Systemem Informatycznym – to dokument bardziej szczegółowym i koncentrującym się na zapewnieniu bezpieczeństwa danych osobowych, przetwarzanych w infrastrukturze informatycznej firmy. Rozporządzenie wymaga, aby znalazły się w niej w szczególności (par. 5):
procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
procedury rozpoczęcia, zawieszenia i zakończenia pracy, przeznaczone dla użytkowników systemu;
procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych;
sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
procedura wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych;
sposób odnotowywania informacji o odbiorcach danych.
Zawartość tych dokumentów opisuje Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. – jest to minimum, które dokumentacja musi zawierać.
Dokumenty te opisują w jaki sposób ADO przetwarza i chroni dane osobowe.
Są to dokumenty wewnętrzne, jednak należy je aktualizować w miarę potrzeb.
Właściciel powinien prowadzić ewidencję upoważnień do przetwarzania danych osobowych
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO. Upoważnienie musi zawierać:
imię i nazwisko
datę nadania
datę ustania
zakres upoważnienia – nazwa zbioru bądź elementu zbioru danych
Właściciel e-sklepu powinien również pamiętać o obowiązku informacyjnym, a zatem:
W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
Adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku
Celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych
Prawie dostępu do treści swoich danych oraz ich poprawiania
Dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej
W przypadku zbierania danych osobowych nie od osoby, której dane dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
Adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku
Celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych
Źródle danych
Prawie dostępu do treści swoich danych oraz ich poprawiania
Uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 (chodzi o prawo do złożenia sprzeciwu wobec przetwarzania danych w celach marketingowych lub przekazywania ich innym podmiotom oraz żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację osoby, której one dotyczą)
Zgodnie z art. 32 ust. 5 ustawy o ochronie danych osobowych, prawo do informacji przysługuje osobie zainteresowanej raz na 6 miesięcy. Obowiązek informacyjny to również udzielenie informacji osobie, której dane dotyczą na podst. art. 32 ust.1 pkt 1-5a ustawy o ochronie danych osobowych, takich jak:
czy zbiór istnieje;
od kiedy dane są przetwarzane;
jakie jest źródło pozyskania danych;
w jaki sposób dane są udostępniane;
jaki jest cel i zakres przetwarzania danych;
w jakim zakresie i komu dane zostały udostępnione.
ABI?
Ustawa o ochronie danych nie wymusza na administratorze danych osobowych (w naszym przypadku chodzi oczywiście o właściciela sklepu) wyznaczenie administratora bezpieczeństwa informacji. W obecnym stanie prawnym jest to prawo a nie obowiązek administratora danych.
ABI to osoba w firmie, która stoi na straży bezpieczeństwa informacji, kontroluje oraz szkoli pracowników pod względem zawartych procedur w polityce bezpieczeństwa.
Podsumowanie
By zbiór danych osobowych pojawił się w GIODO potrzeba trochę czasu. Jednak jeżeli w zbiorze nie znajdują się dane osobowe wrażliwe – nic nie stoi na przeszkodzie by e-sklep już po dokonaniu rejestracji zbioru mógł rozpocząć przetwarzanie danych. Niniejszy artykuł miał na celu wskazać co powinien uczynić przed faktycznym rozpoczęciem działalności właściciel by jego sklep internetowy mógł zyskać miano idealnego pod względem ochrony danych osobowych. Trzeba pamiętać, że rejestracja zbioru w GIODO i przygotowanie dokumentacji to nie wszystko. Każdy z tych dokumentów wymaga aktualizacji, a zasady w nich opisane, wdrożenia w życie i przestrzegania.
W ramach mojej działalności prowadzę dwa sklepy i agencję marketingową. Czy do GIODO muszę zgłosić też agencję marketingową, czy wystarczą tylko sklepy?
Prowadząc własną działalność, należy dostosować ją do wymogów ustawy o ochronie danych osobowych.
Czy będąc właścicielem kilku firm, mogę zgłosić tylko te wybrane?
Jeżeli zarówno sklepy internetowe jak i agencja marketingowa są prowadzone w ramach jednej działalności gospodarczej, wówczas wystarczy stworzyć jeden komplet dokumentacji – jest jeden Administrator danych.
W sytuacji natomiast, jeżeli któraś działalność jest prowadzona np. w formie spółki z o.o., to spółka ta będzie już osobnym Administratorem danych i będzie wymagała przygotowania i wdrożenia osobnej dokumentacji. W ramach agencji marketingowej z pewnością również będą przetwarzane dane osobowe, dlatego tu również należałoby zidentyfikować zbiory danych osobowych i dokonać ich rejestracji.
Obowiązek rejestracji zbiorów danych osobowych w GIODO został wprost wpisany do art. 40 Ustawy o ochronie danych osobowych, w myśl którego administrator danych ma obowiązek zgłosić zbiór danych do rejestracji GIODO, chyba, że zachodzi jeden z wyjątków określonych w art. 43 ust. 1 UODO.
Dodatkowo należy wskazać, że agencja reklamowa i sklepy, będą mogły rozpocząć przetwarzanie danych osobowych zawartych w zbiorze danych dopiero po jego zgłoszeniu do GIODO. Jeśli zaś któraś z powyższych firm będzie planować przetwarzać tzw. dane wrażliwe (np. informacje o stanie zdrowia, przekonaniach religijnych) to, żeby w ogóle móc to robić w sposób legalny, będzie musiała zaczekać aż zbiór taki zostanie zarejestrowany.
Podsumowanie
Istotne z punktu widzenia prawa jest samo przetwarzanie danych osobowych, więc jeżeli przedsiębiorca w ramach prowadzonej działalności przetwarza dane osobowe, to jego działania podlegają reżimowi w.w. Ustawy. Prowadząc jedną działalność, a w ramach niej kilka różnych firm, pozostajemy Administratorem danych osobowych dla każdej z nich i tworzymy jeden komplet dokumentacji. Sytuacja komplikuje się, gdy jedna z prowadzonych przez nas firm ma formę np. spółki z o.o. – wówczas spółka jest odrębnym Administratorem danych, w związku z tym należy stworzyć dla niej nową dokumentację i dokonać kolejnego zgłoszenia do GIODO.