W myśl ustawy o ochronie danych osobowych, baza danych sklepu to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Sprzedawca internetowy, prowadząc działalność gospodarczą ma obowiązek zgłoszenia zbioru danych osobowych do rejestru zbiorów prowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zgłoszenie ma na celu właściwe, czyli zgodne z prawem przetwarzanie danych osobowych, jak również kontrolowanie prawidłowości ich przetwarzania.
Obowiązek zgłoszenia bazy do rejestracji ciąży na administratorze danych osobowych. Nie ma znaczenia, czy administrator przetwarza dane samodzielnie, czy zlecił ich przetwarzanie w drodze umowy innemu podmiotowi. Odpowiedzialność za ewentualne naruszenie przepisów o ochronie danych osobowych ponoszą osoby zarządzające firmą, tj. właściciele sklepu, dyrektorzy przedsiębiorstwa, zarząd spółki.
Jakie bazy danych osobowych podlegają rejestracji?
Każda baza danych sklepu powinna być zgłoszona na osobnym formularzu zgłoszeniowym, który będzie zawierał odpowiedni zakres danych oraz cel przetwarzania. Przykładowo sprzedawca internetowy posiada w swoim sklepie listę subskrybentów, którzy zapisali się na newsletter. W tym przypadku sprzedawca przetwarza ich adres poczty elektronicznej w celach marketingowych własnych produktów lub usług administratora (zbiór nr 1), a nie w celu realizacji zamówienia, jak w przypadku osób, które dokonało zakupu towaru w sklepie internetowym sprzedawcy (zbiór nr 2).
Należy zauważyć, iż zgłaszając baza danych sklepu do GIODO sprzedawca internetowy nie przedkłada żadnej listy dotychczasowych klientów. Nie ma również potrzeby aktualizowania zbioru o nowych klientów – w GIODO zgłaszamy dany zbiór określając cel przetwarzania zawartych w nim danych osobowych.
Ustawowe wyjątki, w których nie jest wymagana rejestracja posiadanego zbioru danych osobowych do GIODO
Wyjątkiem od zasady zgłaszania zbiorów jest sytuacja, w której przedsiębiorca jest zwolniony z obowiązku rejestracji zbioru danych. Przepisy wyłączają taki obowiązek między innymi w stosunku do administratorów danych osobowych, którzy przetwarzają dane: swoich pracowników, osób świadczących na ich rzecz usługi na podstawie umów cywilnoprawnych, osób korzystających z ich usług medycznych lub prawnych, a także administratorów przetwarzających dane wyłącznie w celu wystawienia faktury lub rachunku. Szczegółowa regulacja w tym zakresie zawarta jest w art. 43 ust. 1 ustawy o ochronie danych osobowych.
Należy pamiętać, że poza wskazanymi wyżej przypadkami, rejestracja sklepu internetowego w GIODO jest niezbędna, aby dane te mogły być prawidłowo przetwarzane. Ustawa o ochronie danych osobowych wyraźnie stanowi, że administrator danych osobowych może rozpocząć ich przetwarzanie w zbiorze dopiero po zgłoszeniu tego zbioru do GIODO.
Proces rejestracji bazy danych osobowych do GIODO wymaga skompletowania odpowiedniej dokumentacji. Dlatego też, w razie jakichkolwiek pytań oraz wątpliwości, prawnicy naszego portalu oraz partnerzy w zakresie GIODO są do Państwa dyspozycji.
W dobie dynamicznego rozwoju struktury informacyjnej, wiele społecznych aktywności dotychczas zarezerwowanych dla świata realnego coraz to częściej przenoszone jest do świata wirtualnego. Taka sytuacja ma miejsce również w przypadku handlu, skutkiem czego jest powstawanie coraz to nowych sklepów internetowych.
Prowadzenie sklepu internetowego wiąże się z koniecznością przetwarzania danych osobowych klientów. Osoby prowadzące sprzedaż w tej formie często nie wiedzą jednak, że w związku z przetwarzaniem danych osobowych, przepisy prawa nakładają na nie, w tym zakresie, szereg obowiązków. W szczególności zgodnie z treścią art. 40 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz.U. 2002 Nr 101, poz. 926 ze zm.), mają one obowiązek zgłoszenia zbioru danych Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO), a niedopełnienie tego obowiązku może przynieść dotkliwe konsekwencje prawne.
Co to są dane osobowe?
Na definicję danych osobowych wskazuje art. 6 wyżej wymienionej ustawy, a mianowicie: dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Kolejna regulacja (art. 7 pkt 1) określa pojęcie zbioru danych osobowych. Przez zbiór danych rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Kim właściwie jest GIODO?
Otóż, Generalny Inspektor Ochrony Danych Osobowych to organ do spraw ochrony danych osobowych działający na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Głównym zadaniem GIODO jest kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, dlatego też może on wyciągnąć konsekwencje z nieprzestrzegania obowiązku zgłoszenia zbioru prowadzonego przez sklep Internetowy GIODO.
Czy sprzedawca internetowy ma obowiązek zgłoszenia bazy danych osobowych do GIODO?
Prowadzenie działalności gospodarczej związane jest sporą liczbą regulacji, których przestrzeganie jest warunkiem koniecznym do jej rozpoczęcia oraz prowadzenia. Jednym z dylematów sprzedawców internetowych pojawiających się przy tej okazji jest kwestia obowiązku zgłoszenia zbioru danych osobowych przetwarzanego przez sklep Internetowy GIODO (Głównego Inspektora Ochrony Danych Osobowych) w związku z przetwarzaniem danych osobowych swoich klientów.
Dane, które przetwarzane są przez sprzedawców internetowych w celu prawidłowej realizacji umowy, niewątpliwie mają charakter danych osobowych, o których mowa w ustawie o ochronie danych osobowych.
Tym samym bazy danych sklepów internetowych spełniają wszystkie przesłanki wymienione w art. 40 i podlegają obowiązkowi rejestracji.
Rejestracja bazy danych osobowych do GIODO wymaga skompletowania odpowiedniej dokumentacji. Dlatego też, w razie jakichkolwiek pytań oraz wątpliwości, prawnicy naszego portalu oraz partnerzy w zakresie GIODO są do Państwa dyspozycji.
W branży handlu internetowego, dane klientów gromadzone są niemalże zawsze w systemie informatycznym. W związku z tym, istnieje konieczność stworzenia dokumentu instrukcja zarządzania systemem informatycznym w celu uregulowania oraz określenia sposobu zarządzania danymi w formie elektronicznej.
Posiadanie sklepu internetowego wymusza na sprzedawców stworzenie dokumentu, niezależnie od formy prowadzenia sklepu. Ustawodawca traktuje każdą platformę sklepową jako program informatyczny, którego wykorzystywanie warunkuje posiadanie wspomnianego dokumentu. Wszystkie poboczne programy wykorzystujące dane klientów sklepu np. programy księgujące lub fakturujące również wymagają utworzenia instrukcji zarządzania systemem informatycznym.
Proces tworzenia instrukcji jest szczegółowo opisany w wytycznych z GIODO. Zgodnie z nimi, dokument winien składać się z ośmiu rozdziałów. Pierwszym z nich jest rozdział dotyczący uprawnień do przetwarzania danych osobowych z wykorzystaniem systemu informatycznego. Opisane w nim są procesy nadawania uprawnień oraz cel i zakres tego uprawnienia. Kolejną istotną częścią instrukcji zarządzania systemem informatycznym jest rozdział dotyczący kwestii wykorzystania elektronicznych systemów bezpieczeństwa — sposobu tworzenia kont użytkowników oraz ich bezpieczeństwa.
Kolejny dział dokumentu poświęcony jest procedurze uruchamiania, korzystania oraz wyłączania systemu informatycznego. Ta z pozoru błaha kwestia jest kluczowa do posiadania pełnowartościowego dokumentu instrukcji i nie może zostać pominięta. Dalsze rozdziały obejmują kwestie tworzenia kopii zapasowych, miejsca i sposobu przechowywania danych oraz sposobu zabezpieczenia systemu informatycznego przed złośliwym oprogramowaniem.
Prowadząc sprzedażową działalność w sieci należy ze szczególną uwagą przygotować instrukcję zarządzania systemem informatycznym. W tej branży jest to najistotniejszy dokument związany z ochroną danych. Na podstawie tego dokumentu, podczas kontroli GIODO lub PIP ocenia się zdolność do administracji danymi osobowymi w sposób cyfrowy — czyli powszechnie stosowany przez sprzedawców internetowych. W przypadku błędnego przygotowania dokumentu, GIODO może ograniczyć zarządzanie danymi jedynie do ich przechowywania, w praktyce uniemożliwiając prowadzenia działalności e-sklepu.
Z powodu wysokiej kompleksowości, opisywany dokument należy przygotować z należytą starannością. Można również skorzystać z usług pomocy w zakresie kompleksowego złożenia dokumentów do GIODO.
Każdy administrator danych osobowych według zapisów z ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych ma obowiązek odpowiednio zabezpieczyć proces magazynowania oraz przetwarzania danych osobowych. Właściciele sklepów internetowych, którzy gromadzą bazy swoich klientów muszą utworzyć odpowiednią dokumentację, która określi sposób oraz metody zapewniające ochronę danych osobowych.
Dokumentacja opisująca sposób przetwarzania danych to:
polityka bezpieczeństwa
instrukcja zarządzania systemem informatycznym
Polityka bezpieczeństwa danych osobowych — zawartość i rola
Polityka bezpieczeństwa to jeden z najważniejszych dokumentów, które wymagane są przy procesie składania wniosku o rejestracje zbiorów danych w GIODO. To dokument, który winien stanowić zbiór reguł związanych z procesem przetwarzanie danych osobowych, które obowiązują u administratora danych osobowych.
Zadaniem dokumentu jest szczegółowe opisanie procesów które związane są z przetwarzaniem danych personalnych. Stanowi również informację dla klientów sklepu, które ich dane są gromadzone oraz w jakim celu są przetwarzane. Profesjonalnie przygotowana polityka bezpieczeństwa zawiera m.in. następujące dane:
objaśnienie pojęcia bezpieczeństwa informacji, jej celu oraz zakresu
oświadczenie dotyczące celu oraz intencji gromadzenia danych przez podmiot upoważniony
wyjaśnienie polityki bezpieczeństwa informacji obowiązującej w danej firmie, wyszczególnienie ich standardów oraz informacja o zgodności procedur z literą prawa
informacja o obowiązkach związanych z zarządzaniem danymi osobowymi przez osoby upoważnione
wykaz budynków raz pomieszczeń w których dokonuje się proces gromadzenia i przetwarzania danych, a także dane o nośnikach na których zbierane są informacje (istotne w przypadku działalności sklepu internetowego)
Rzetelnie przygotowany dokument polityki bezpieczeństwa gwarantuje pewność, iż jest ona zgodna z wymaganiami określonymi w ustawie o ochronie danych osobowych. Możesz powierzyć jego utworzenie ekspertom w dziedzinie prawa e-commerce lub przygotować dokument samemu, za pomocą dostępnych wzorów.
Generalny Inspektor Ochrony Danych Osobowych, bo tak brzmi pełne rozwinięcie skrótu, to organ, który ma za zadanie kompleksowo analizować oraz kontrolować zgodność procesu przetwarzania danych osobowych z ustawowymi regulacjami o ich ochronie. Ponadto, do obowiązków GIODO należy rozpatrywanie skarg oraz wydawanie decyzji dotyczących respektowania przepisów prawnych o ochronie danych osobowych. Prowadzi również publiczną ewidencję zbiorów danych osobowych.
Jako ekspercki organ doradczy, Generalny Inspektor Ochrony Danych Osobowych opiniuje projekty ustaw oraz rozporządzeń, które mają bezpośredni wpływ na kształt przepisów dotyczących ochrony danych personalnych.
Zakres praw i obowiązków GIODO ma bezpośredni wpływ na branżę e-commerce. Bardzo często pod lupą GIODO są prawne kwestie sklepów internetowych, takie jak polityka prywatności sklepu internetowego oraz instrukcja zarządzania systemem informatycznym w sklepie internetowym. Do obowiązku sprzedawców internetowych należy odpowiednie przygotowanie powyższych dokumentów na podstawie dostępnych wzorów, lub powierzenie całego procesu wykwalifikowanej firmie. Bardzo często upoważnione organy dokonują kontroli właśnie w tym zakresie.
Kontrole Generalnego Inspektora Ochrony Danych Osobowych
Zgodnie z wymienionymi wcześniej kompetencjami, GIODO ma funkcjonalny obowiązek dokonywania okresowych kontroli przestrzegania zasad ustawy o ochronie danych osobowych przez podmioty owe dane przetwarzające. Taka kontrola obejmuje pełną analizę procesu zbierania, gromadzenia, przetwarzania, a także usuwania i magazynowania danych osobowych. Kontrola jest zazwyczaj zapowiedziana i zgodnie z jej zasadami, upoważnionym organom przysługuje prawo do wstępu do pomieszczenia w którym znajdują się zbiory danych (w godzinach od 6:00 do 22:00, za okazaniem legitymacji), przesłuchiwania osób odpowiedzialnych za zbiory, wglądu do wszystkich dokumentów mających związek z kontrolą — w tym dokumentów objętych klauzulą poufności.
Obecnie, największy nacisk podczas kontroli kładzie się na analizę systemów informatycznych, które odpowiedzialne są za gromadzenie oraz przetwarzanie danych osobowych. W przypadku sklepu internetowego, jest to bardzo ważne, gdyż w większości przypadków takie zbiory znajdują się na serwerach firmy zewnętrznej. Należy pamiętać, aby w odpowiednim czasie — jeszcze przed pozyskaniem pierwszego klienta, wykonać zgłoszenie odpowiedniej dokumentacji oraz zbiorów danych osobowych w GIODO, aby podczas kontroli nie obawiać się pouczeń i kar.
