Zgłoszenie sklepu internetowego do GIODO krok po kroku.

Zgłoszenie sklepu internetowego do GIODO krok po kroku.

utworzone przez | paź 6, 2016 | Bez kategorii, GIODO sklep internetowy

Obowiązek rejestracji zbiorów danych osobowych pojawił się wraz z ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 r.

Sklep internetowy może rozpocząć przetwarzanie danych osobowych zawartych w zbiorach danych dopiero po dokonaniu zgłoszenia takiego zbioru w GIODO.

Jeśli zaś e-sklep przetwarza dane osobowe wrażliwe (art. 27 ust. 1 uodo; np. dane ujawniające stan zdrowia, poglądy polityczne, nałogi), po zgłoszeniu zbioru należy odczekać aż zbiór zostanie faktycznie zarejestrowany przez GIODO. Dopiero wtedy przetwarzanie takich danych będzie legalne.

Zbiór może zostać wpisany do rejestru jeżeli postępowanie rejestracyjne wykaże, że nie zachodzi żadna z przesłanek odmawiających rejestracji, zgodnie z art. 44 ust. 1 ustawy o ochronie danych osobowych.

Art. 44. 1. Generalny Inspektor wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli:
1) nie zostały spełnione wymogi określone w art. 41 ust. 1, 2) przetwarzanie danych naruszałoby zasady określone w art. 23-30, 2) przetwarzanie danych naruszałoby zasady określone w art. 23-28, 3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a.

Plan działania dla sprzedawcy:

1. Zebranie informacji o przetwarzanych przez e-sklep danych na podstawie określonych w art. 23 ust. 1 uodo przesłanek

  • zgoda osoby, której dane dotyczą
  • realizacja prawa lub obowiązku wynikającego z przepisów prawa
  • realizacja umowy
  • realizacja zadań dla dobra publicznego
  • prawnie usprawiedliwiony cel administratora

1. Dopełnienie obowiązków informacyjnych (art. 24 i 25 uodo) przy zbieraniu danych od osoby, której one dotyczą o:

  • adresie swojej siedziby i pełnej nazwie/miejscu swojego zamieszkania oraz imieniu i nazwisku
  • celu zbierania danych/odbiorcach lub kategoriach odbiorców danych
  • prawie dostępu do treści swoich danych oraz ich poprawiania
  • dobrowolności/podstawie prawnej obowiązku podania danych.

1. Podjęcie środków technicznych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36 ust. 1 UODO oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)

2. Podjęcie środków organizacyjnych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36, art. 37, art. 38, art. 39 oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)

3. zawarcie umów powierzenia przetwarzania danych osobowych, jeżeli e-sklep zawiera umowy z podmiotami zewnętrznymi (np. hosting, księgowość)

 

Rejestracja wniosku – krok po kroku

  1. określić czy rejestracja dotyczy nowego zbioru, w którym przetwarzać będziemy tylko dane zwykłe (zgłoszenie na podstawie art. 40 uodo) czy też wrażliwe (zgłoszenie danych przetwarzanych na podstawie jednej z przesłanek wskazanych w art. 27 uodo).
    Aktualizacja – zaznaczyć opcję nr 2 art. 41 ust. 2 uodo
  2. nazwać zgłaszany zbiór np. marketing, newsletter itp.
  3. wskazać administratora danych, a więc przedsiębiorcę prowadzącego zbiór, który dokonuje zgłoszenia
  4. określić nazwę administratora, adres siedziby oraz podać nr REGON.
  5. Część B wniosku: wypełnić gdy mamy do czynienia z przedstawicielstwem firmy mającej siedzibę za granicą, a ściślej w tzw. państwie trzecim, czyli państwie, które nie należy do Europejskiego Obszaru Gospodarczego.
  6. określić podmioty, którym powierzamy dane z rejestrowanego zbioru danych.
    Wpisać ich nazwy oraz adres siedziby.
  7. wskazać przesłankę (podstawę), zgodnie z którą przetwarzamy dane osobowe z rejestrowanego zbioru.
  8. część C wniosku: określić cel, dla którego przetwarzane będą dane osobowe
    np. wysyłka newslettera
  9. określić osoby, których dane przetwarzamy np. Klienci, osoby składające reklamację
  10. określić, jakie dane będą przetwarzane w obrębie zgłaszanego zbioru np: e-mail, IP
  11. kolejne pytania dotyczą danych wrażliwych – wypełnić, jeśli e-sklep je przetwarza:
    wskazać jakie dane będą przetwarzane w ramach zgłaszanego zbioru np. informacja o nałogach pracownika albo stanie zdrowia.
  12. część D wniosku: określić, w jaki sposób zbieramy dane:
    – od osoby, której dane dotyczą (np. Klient sam podaje swoje dane, rejestrując się w e-sklepie)
    – z innego źródła (np. z zakupionej legalnie bazy danych).
  13. określić „inne podmioty uprawnione
    Innym podmiotem może być firma, z którą administrator danych współpracuje, przy czym należy pamiętać o tym, by takie udostępnianie odbywało się w sposób legalny.
  14. wskazać podmioty, którym będą udostępniane dane
    wpisać nazwę i siedzibę firmy/kategorie podmiotów np. partnerzy biznesowi.
  15. określić, czy administrator danych przekazuje dane z rejestrowanego zbioru do państw trzecich: wpisać nazwy państw trzecich
  16. Część E wniosku: wskazać czy dane przetwarzane są centralnie (upraszczając: w jednym miejscu np. w siedzibie e-sklepu) czy w tzw. architekturze rozproszonej (np. e-sklep ma kilka lokalizacji, a dodatkowo dane są powierzone do przetwarzania innym podmiotom).
  17. zaznaczyć, czy dane przetwarzane będą wyłącznie w wersji papierowej, czy też przy wykorzystaniu systemów informatycznych.
  18. wskazać, czy komputer służący do przetwarzania danych połączony jest z Internetem
  19. wskazać zabezpieczenia:
    typowo fizyczne (np. monitoring, agencja ochrony), środki sprzętowe (np. hasła i loginy, automatyczne wygaszanie monitora), ochrona baz danych (np. kwestie związane z uwierzytelnianiem), środki organizacyjne (np. Szkolenie pracowników).
  20. wskazać, czy został powołany administrator bezpieczeństwa informacji tzw. ABI
  21. wskazać, czy wdrożono dokumenty – m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.
  22. część F wniosku: wskazać poziom stosowanych zabezpieczeń
    Rozporządzenie wymienia trzy poziomy: podstawowy, podwyższony i wysoki (trzeba wybrać jeden). Tutaj e-sklep powinien wybrać poziom wysoki, gdyż z racji swej specyfiki działania zawsze spełni kryterium połączenia z Internetem.
  23. wysłać wypełniony wniosek do GIODO:
    – w sposób tradycyjny (za pośrednictwem poczty listem poleconym, w celu otrzymania dowodu nadania)
    osobiście w biurze GIODO wraz z egzemplarzem do otrzymania prezentaty.
    – przy użyciu kwalifikowanego certyfikatu (podpis elektroniczny) – przez Internet

Podsumowanie

Zgłoszenie zbioru danych, na pozór proste, niejednokrotnie nastręcza sprzedawcom wielu trudności. Niniejszy artykuł ma na celu ułatwienie e-sklepom przebrnięcia przez żmudną procedurę rejestracji. Jeśli w trakcie wypełniania wniosku pojawią się wątpliwości interpretacyjne, warto sięgnąć po poradę specjalisty, który po wykonaniu audytu e-sklepu, wykona to profesjonalnie i zapewni gwarancję zachowania procedur wymaganych przez ustawę.

Czy prowadzisz sklep internetowy?

 

Czy sprzedajesz produkty online lub na Allegro?