DECYZJA – odmowa GIODO uwzględnienia wniosku w przedmiocie nakazania usunięcia danych osobowych przez właściciela sklepu internetowego. Skarżąca w celu wysyłki zamówionego za pośrednictwem sklepu internetowego produktu, utworzyła w tymże sklepie konto internetowe zawierając jednocześnie umowę o świadczeniu usług drogą elektroniczną. W tym celu udostępniła na rzecz Przedsiębiorcy swoje dane osobowe w zakresie: imienia, nazwiska, adresu korespondencyjnego, adresu poczty elektronicznej, numeru telefonu. Ponadto Skarżąca wyraziła zgodę na przetwarzanie swoich danych w celu przeprowadzenia transakcji zakupu i założenia konta internetowego oraz wyraziła zgodę na przetwarzanie swoich danych w celu przeprowadzenia transakcji zakupu i założenia konta internetowego. Sklep przetwarza przedmiotowe dane w związku z zawartą umową o świadczeniu usług drogą elektroniczną, a także na podstawie udzielonej przez Skarżącą zgody w systemie informatycznym. Wskazówki GIODO Sklep przetwarza dane Skarżącej na podstawie art. 23 ust. 1 pkt 1, oraz pkt 3, tzn. w związku z wyrażoną przez Skarżącą zgodą, a także zawartą umową o świadczeniu usług drogą elektroniczną – prowadzenie konta internetowego. Tym samym wyrażona zgoda nie jest jedyną przesłanką do usprawiedliwionego realizowania procesu przetwarzania danych osobowych, zatem, cofnięcie zgody,w sytuacji zaistnienia innej przesłanki określonej w art. 23 ust. 1 ustawy, nie oznacza, iż dalsze przetwarzanie danych automatycznie staje się niedopuszczalne. W przypadku usługi świadczonej drogą elektroniczną – stosuje się ustawę z 18.07.2002 r. O świadczeniu usług drogą elektroniczną – są to przepisy szczególne wobec przepisów ogólnych – tj. Ustawy o ochronie danych osobowych. Art. 18 ustawy o świadczeniu usług drogą elektroniczna usługodawca może przetwarzać dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany, rozwiązania stosunku prawnego między nimi, takie jak: nazwisko i imiona usługobiorcy; numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość; adres zameldowania na pobyt stały; adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3; dane służące do weryfikacji podpisu elektronicznego usługobiorcy; adresy elektroniczne usługobiorcy. Podsumowanie Sklep przetwarza legalnie dane osobowe użytkowników na podstawie zgody Skarżącej oraz w związku z zawartą umową o świadczeniu usług drogą elektroniczną. Spełnienie już jednej z przesłanek legalizujących przetwarzanie danych osobowych jest wystarczające – cofnięcie zgody Skarżącej nie wyklucza zatem zgodnego z prawem przetwarzania danych przez administratora. Skarżąca miała możliwość zapoznania się z regulaminem sklepu przed założeniem konta. ...
czytaj dalej
Decyzja GIODO w sprawie wyrażenia zgody na przekazanie przez A. S.A., z siedzibą w W. danych osobowych do M., Inc., z siedzibą w Stanach Zjednoczonych Ameryki, pod adresem: N., zwanego dalej Odbiorcą, na podstawie zastosowanych standardowych klauzul umownych stanowiących załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. UE L 39, z 12.02.2010), A. S.A., z siedzibą w W., złożyła wniosek do GIODO , zwaną dalej Wnioskodawcą lub Spółką, o przekazanie danych osobowych do M., Inc., z siedzibą w Stanach Zjednoczonych Ameryki, pod adresem: N.. Wnioskodawca jest spółką posiadającą siedzibę na terytorium Rzeczypospolitej Polskiej; Wnioskodawca zawarł z Odbiorcą umowę wzorowaną na standardowych klauzulach umownych stanowiących załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz.UE L 39, z 12.02.2010). 1. Przekazanie danych będzie się odbywało na zasadach ich powierzenia w rozumieniu art. 31 ustawy a będą przekazane dane osobowe, dotyczące następujących kategorii osób: a) Kontrahenci sensu stricto Wnioskodawcy, obejmująca: osoby fizyczne prowadzące działalność gospodarczą lub też nieprowadzące jej, które na mocy zawartych umów cywilnoprawnych świadczą na rzecz Wnioskodawcy, różnego rodzaju usługi niezwiązane bezpośrednio z przedmiotem działalności Wnioskodawcy (np. sprzątanie, pielęgnacja roślin, indywidualne usługi kurierskie, usługi IT); b) Agenci Wnioskodawcy – osoby fizyczne świadczące usługi pośrednictwa przy zbywaniu jednostek uczestnictwa dobrowolnego funduszu emerytalnego w rozumieniu obowiązujących przepisów prawa na podstawie zawartych umów agencyjnych z Wnioskodawcą, które to umowy związane są z przedmiotem działalności Wnioskodawcy; 3. Będą przekazane następujące kategorie danych: podstawowe informacje o osobie, której dane dotyczą (obejmujące: imię, nazwisko, adres zamieszkania, adres poczty elektronicznej, numer telefonu kontaktowego), a także dane związane z realizowaniem płatności (obejmujące numer rachunku bankowego, numer NIP, kwotę oraz rodzaj waluty płatności); 4. Dane będą przekazane...
czytaj dalej
Przedsiębiorcy prowadząc własną firmę, często nieświadomie, biorą udział w procesie przetwarzania danych osobowych. Ma to miejsce już w przypadku zawierania umów handlowych czy prowadzenia różnego typu działań marketingowych. Kilkakrotnie już nowelizowana Ustawa o ochronie danych osobowych z 1997 r. wprowadziła szereg obowiązków po stronie przedsiębiorców w zakresie przetwarzania danych osobowych. Jak wyodrębnić zbiór danych osobowych? Zbiory danych osobowych podlegają obowiązkowi zgłoszenia do Generalnego Inspektora Ochrony Danych Osobowych, czyli GIODO. Zanim przedsiębiorca wyodrębni poszczególne zbiory danych powinien pamiętać, że nie każde zestawienie danych osobowych będzie zbiorem. Zbiór danych osobowych to, zgodnie z art. 7 pkt 1 ustawy o ochronie danych osobowych: „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Cechą wyróżniającą zbiór danych od innego zestawu danych będzie zatem struktura, czyli takie uporządkowanie, które daje możliwość wyszukania konkretnych danych według określonego kryterium. Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych. Tylko będący zbiorem danych osobowych usystematyzowany zestaw danych powinien być zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, o ile nie zachodzi żadna z przesłanek określonych w art. 43 ustawy o ochronie danych osobowych zwalniająca administratorów danych z tego obowiązku. Zgodnie z art. 43 ust. 1 ustawy z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, przetwarzanych przez Generalnego Inspektora Informacji Finansowej, przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego, przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu,...
czytaj dalej
Idealny sklep pod względem ochrony danych osobowych to jaki? Działalność sklepu internetowego nierozerwalnie wiąże się z przetwarzaniem danych osobowych, a co za tym idzie – sklep podlega ustawie o ochronie tych informacji oraz obowiązkowi rejestracji zbiorów danych osobowych w GIODO. Nie każdy właściciel sklepu internetowego zdaje sobie do końca jednak sprawę z tego, jakie ciążą na nim obowiązki. Obowiązki właściciela sklepu internetowego Każdy administrator danych powinien przede wszystkim przeanalizować, jakie dane osobowe przetwarza by właściwie wyodrębnić zbiory danych osobowych, a następnie zweryfikować, czy powinien zarejestrować swój zbiór w GIODO. Przy analizie, pomocny będzie poniższy schemat: Cały proces rejestracji zbioru danych w GIODO można przejść za pośrednictwem specjalnej platformy internetowej e-giodo, gdzie wypełnia się wniosek online i – jeżeli właściciel nie ma podpisu elektronicznego – powinien wydrukować go, podpisać i wysłać do Biura Generalnego Inspektora Ochrony Danych Osobowych. Jeśli e-sklep przetwarza tylko dane zwykłe – od momentu rejestracji zbioru danych będzie mógł w pełni legalnie działać w internecie. Oprócz rejestracji zbiorów właściciel powinien opracować jeszcze 2 dokumenty: Politykę bezpieczeństwa informacji Instrukcję zarządzania systemem informatycznym Ustawa wymaga sporządzenia pisemnej dokumentacji, która będzie określać sposób przetwarzania danych oraz opisywać środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Każdy e-sklep powinien mieć opracowaną i wdrożoną: Politykę bezpieczeństwa danych osobowych, która opisuje zasady przetwarzania danych osobowych (w formie papierowej i elektronicznej) w organizacji Zgodnie z Rozporządzeniem MSWiA, Polityka powinna zawierać w szczególności (par. 4): wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi sposób przepływu danych pomiędzy poszczególnymi systemami określenie środków technicznych i organizacyjnych, niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych Instrukcję Zarządzania Systemem Informatycznym – to dokument bardziej szczegółowym i koncentrującym się na zapewnieniu bezpieczeństwa danych osobowych, przetwarzanych w infrastrukturze informatycznej firmy. Rozporządzenie wymaga, aby znalazły się w niej w szczególności (par. 5): procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; procedury rozpoczęcia, zawieszenia i zakończenia pracy, przeznaczone dla użytkowników systemu;...
czytaj dalej
W ramach mojej działalności prowadzę dwa sklepy i agencję marketingową. Czy do GIODO muszę zgłosić też agencję marketingową, czy wystarczą tylko sklepy? Prowadząc własną działalność, należy dostosować ją do wymogów ustawy o ochronie danych osobowych. Czy będąc właścicielem kilku firm, mogę zgłosić tylko te wybrane? Jeżeli zarówno sklepy internetowe jak i agencja marketingowa są prowadzone w ramach jednej działalności gospodarczej, wówczas wystarczy stworzyć jeden komplet dokumentacji – jest jeden Administrator danych. W sytuacji natomiast, jeżeli któraś działalność jest prowadzona np. w formie spółki z o.o., to spółka ta będzie już osobnym Administratorem danych i będzie wymagała przygotowania i wdrożenia osobnej dokumentacji. W ramach agencji marketingowej z pewnością również będą przetwarzane dane osobowe, dlatego tu również należałoby zidentyfikować zbiory danych osobowych i dokonać ich rejestracji. Obowiązek rejestracji zbiorów danych osobowych w GIODO został wprost wpisany do art. 40 Ustawy o ochronie danych osobowych, w myśl którego administrator danych ma obowiązek zgłosić zbiór danych do rejestracji GIODO, chyba, że zachodzi jeden z wyjątków określonych w art. 43 ust. 1 UODO. Dodatkowo należy wskazać, że agencja reklamowa i sklepy, będą mogły rozpocząć przetwarzanie danych osobowych zawartych w zbiorze danych dopiero po jego zgłoszeniu do GIODO. Jeśli zaś któraś z powyższych firm będzie planować przetwarzać tzw. dane wrażliwe (np. informacje o stanie zdrowia, przekonaniach religijnych) to, żeby w ogóle móc to robić w sposób legalny, będzie musiała zaczekać aż zbiór taki zostanie zarejestrowany. Podsumowanie Istotne z punktu widzenia prawa jest samo przetwarzanie danych osobowych, więc jeżeli przedsiębiorca w ramach prowadzonej działalności przetwarza dane osobowe, to jego działania podlegają reżimowi w.w. Ustawy. Prowadząc jedną działalność, a w ramach niej kilka różnych firm, pozostajemy Administratorem danych osobowych dla każdej z nich i tworzymy jeden komplet dokumentacji. Sytuacja komplikuje się, gdy jedna z prowadzonych przez nas firm ma formę np. spółki z o.o. – wówczas spółka jest odrębnym Administratorem danych, w związku z tym należy stworzyć dla niej nową dokumentację i dokonać kolejnego zgłoszenia do...
czytaj dalej
