Mały sklep internetowy a GIODO – czy trzeba się rejestrować, jakie zbiory, jakie obowiązki?

utworzone przez Ekspert DaneSklepu.pl | maj 13, 2016 | GIODO sklep internetowy

Przedsiębiorca prowadzący zarówno mały jak i duży sklep internetowy podlega reżimowi ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku, a zatem musi wypełnić wymogi dotyczące ochrony danych osobowych.

Czy muszę rejestrować zbiór danych osobowych?

Przede wszystkim Administrator danych jeszcze przed rozpoczęciem działalności sklepu internetowego (jak wskazuje art. 46 ust. 1 ustawy o ochronie danych osobowych) ma obowiązek zarejestrować w GIODO zbiory danych osobowych lub powołać Administratora Bezpieczeństwa Informacji i zgłosić go do GIODO. W drugim przypadku trzeba będzie pamiętać jedynie o zgłoszeniu danych osobowych wrażliwych, jeśli takie przetwarza.

Przetwarzanie danych obejmuje ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie oraz usuwanie. Każdy sklep internetowy, niezależnie od wielkości, który wykonuje jakiekolwiek operacje na danych osobowych powinien dokonać rejestracji w GIODO.

Dane wrażliwe są to zgodnie z art. 27 ustawy o ochronie danych osobowych dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania filozoficzne lub religijne, przynależność związkową, partyjną, wyznaniową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych. Przetwarzanie danych osobowych wrażliwych jest dozwolone gdy osoba, której te dane dotyczą wyrazi na to pisemną zgodę.

Administrator danych we wniosku rejestracyjnym do GIODO winien wskazać rodzaj przetwarzanych przez siebie danych oraz cel ich przetwarzania.

Jakie zbiory danych powinien zgłosić sklep internetowy?

Sklep internetowy przetwarza dane generalnie w celu realizacji zamówień swoich klientów, prowadzi rejestry umów cywilnoprawnych a niekiedy decyduje się na wysyłkę newslettera oraz tworzenie baz statystycznych. Zgłoszenie do GIODO może dotyczyć więc kilku zbiorów, a zatem będzie konieczne wypełnienie kilku wniosków rejestracyjnych, albowiem każdy zbiór danych jest zgłaszany odrębnie na oddzielnym formularzu.

Nie można niestety wskazać jednej uniwersalnej listy zbiorów, które w przypadku każdego sklepu internetowego podlegałyby zgłoszeniu, albowiem każdy podmiot jest inny i działa na innych zasadach.

Należy pamiętać, że często (choć nie zawsze, bo i tu znajdą się wyjątki) z mocy ustawy (art. 43) niektóre zbiory danych będą podlegać zwolnieniu od rejestracji w GIODO np. Zbiór danych pracowników (przyszłych, obecnych i byłych).

Jakie obowiązki ma właściciel sklepu internetowego?

1. Przygotowanie Polityki bezpieczeństwa informacji oraz instrukcji zarzadzania systemem informatycznym

Administrator danych osobowych ma ustawowy obowiązek opracowania, wdrożenia i prowadzenia dokumentacji systemu ochrony danych osobowych (art. 36 ust. 2).

Należy pamiętać, że na sam wymóg prowadzenia dokumentacji nie ma wpływu rodzaj, cel, sposób przetwarzania ani wielkość przetwarzanych zbiorów danych osobowych.

Obowiązkową dokumentację systemu ochrony danych osobowych stanowi:

1. Polityka bezpieczeństwa;
2. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (§3).Nie jest to zbiór zamknięty i powinien być rozszerzony na pozostałe dokumenty określone wprost lub wynikające z przepisów Ustawy:
3. Upoważnienia do przetwarzania danych osobowych (art. 37);
4. Ewidencja upoważnień do przetwarzania danych osobowych (art. 39 ust. 1);
5. Zobowiązania do zachowania poufności (art. 39 ust. 2).

Ważne by dokumentacja była przejrzysta i kompleksowa dla wszystkich osób przetwarzających dane osobowe w organizacji, a także by nie odbiegała od rzeczywistości.

2. Rejestracja zbioru danych osobowych w GIODO

Obowiązek rejestracyjny dotyczy wszelkich zbiorów danych osobowych, bez względu na kategorię przetwarzanych danych osobowych, tj. zwykłe czy wrażliwe, rodzaj przetwarzanych danych osobowych, tj. zawartość informacyjna dla każdej z osób, wielkość zbioru, tj. liczby przetwarzanych w nim informacji.

Aktualnie istnieją dwa sposoby rejestracji zbioru danych sposoby złożenia wniosku o rejestrację zbioru danych osobowych:

1. wypełnienie elektronicznego formularza wniosku znajdującego się na platformie internetowej GIODO i wstępnego zatwierdzenia jego treści (nie jest konieczne posiadanie podpisu elektronicznego i nie jest formalnym potwierdzeniem złożenia wniosku), wydrukowanie wniosku i podpisanie go przez Administratora danych osobowych i przesłanie wniosku pocztą na adres Biura GIODO
2. wypełnienie elektronicznego formularza wniosku znajdującego się na platformie internetowej GIODO, zatwierdzenie jego treści poprzez uwierzytelnienie przez Administratora danych osobowych przy użyciu mechanizmów podpisu elektronicznego – formalne złożenie wniosku.Należy pamiętać, iż dane osobowe można przetwarzać z chwilą złożenia „Wniosku o rejestrację zbioru”(art. 46 ust. 1), natomiast „wrażliwe” dane osobowe dopiero po uzyskaniu decyzji o zarejestrowaniu zbioru (art. 46 ust. 2 w zw. z art. 42 ust. 4).
3. Obowiązek informacyjny wypełniany przy zbieraniu danych osobowych (art. 24 i 25 Ustawy o ochronie danych osobowych)

Na ADO ciąży specjalny obowiązek informacyjny albowiem istotnym jest, aby osoba zainteresowana (np. klient, pracownik) miała możliwość realnej oceny sytuacji i podjęcia decyzji co do udostępnienia swoich danych.

Administrator danych osobowych jest zobowiązany poinformować osobę, której to bezpośrednio dotyczy o:

adresie siedziby swojego przedsiębiorstwa i jego pełnej nazwie lub gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku, celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców pozyskiwanych danych; prawie dostępu do treści swoich danych oraz ich prawie do ich poprawiania; dobrowolności albo obowiązku podania danych, a jeśli taki obowiązek istnieje, o jego podstawie prawnej.

Czy Administrator danych ma obowiązek powołania ABI?

Kwestia powołania lub niepowołania Administratora bezpieczeństwa informacji jest indywidualnym wyborem każdego przedsiębiorcy, który w każdej chwili może zostać zmieniony.

ADO może powołać Administratora bezpieczeństwa informacji (ABI) – czyli osobę nadzorującą z jego upoważnienia przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych poprzez powierzenie zadań z zakresu ochrony danych osobowych bądź to swojemu pracownikowi bądź poprzez skorzystanie z usług profesjonalisty mającego doświadczenie w pełnieniu obowiązków Administratora bezpieczeństwa informacji

Podsumowanie

Jednym słowem, nie ma taryfy ulgowej nawet dla małych sklepów internetowych. Ustawa o ochronie danych osobowych traktuje wszystkie podmioty, niezależnie od ich wielkości – jednakowo. Procedura zgłoszenia zbiorów osobowych nie jest nader czasochłonna a pozwoli uniknąć nieprzyjemnych konsekwencji w postaci pociągnięcia do odpowiedzialności z tytułu nieprzestrzegania przepisów ustawy o ochronie danych osobowych.