Zgłoszenie sklepu internetowego do GIODO krok po kroku.

Zgłoszenie sklepu internetowego do GIODO krok po kroku.

Obowiązek rejestracji zbiorów danych osobowych pojawił się wraz z ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 r.

Sklep internetowy może rozpocząć przetwarzanie danych osobowych zawartych w zbiorach danych dopiero po dokonaniu zgłoszenia takiego zbioru w GIODO.

Jeśli zaś e-sklep przetwarza dane osobowe wrażliwe (art. 27 ust. 1 uodo; np. dane ujawniające stan zdrowia, poglądy polityczne, nałogi), po zgłoszeniu zbioru należy odczekać aż zbiór zostanie faktycznie zarejestrowany przez GIODO. Dopiero wtedy przetwarzanie takich danych będzie legalne.

Zbiór może zostać wpisany do rejestru jeżeli postępowanie rejestracyjne wykaże, że nie zachodzi żadna z przesłanek odmawiających rejestracji, zgodnie z art. 44 ust. 1 ustawy o ochronie danych osobowych.

Art. 44. 1. Generalny Inspektor wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli:
1) nie zostały spełnione wymogi określone w art. 41 ust. 1, 2) przetwarzanie danych naruszałoby zasady określone w art. 23-30, 2) przetwarzanie danych naruszałoby zasady określone w art. 23-28, 3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a.

Plan działania dla sprzedawcy:

1. Zebranie informacji o przetwarzanych przez e-sklep danych na podstawie określonych w art. 23 ust. 1 uodo przesłanek

  • zgoda osoby, której dane dotyczą
  • realizacja prawa lub obowiązku wynikającego z przepisów prawa
  • realizacja umowy
  • realizacja zadań dla dobra publicznego
  • prawnie usprawiedliwiony cel administratora

1. Dopełnienie obowiązków informacyjnych (art. 24 i 25 uodo) przy zbieraniu danych od osoby, której one dotyczą o:

  • adresie swojej siedziby i pełnej nazwie/miejscu swojego zamieszkania oraz imieniu i nazwisku
  • celu zbierania danych/odbiorcach lub kategoriach odbiorców danych
  • prawie dostępu do treści swoich danych oraz ich poprawiania
  • dobrowolności/podstawie prawnej obowiązku podania danych.

1. Podjęcie środków technicznych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36 ust. 1 UODO oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)

2. Podjęcie środków organizacyjnych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36, art. 37, art. 38, art. 39 oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)

3. zawarcie umów powierzenia przetwarzania danych osobowych, jeżeli e-sklep zawiera umowy z podmiotami zewnętrznymi (np. hosting, księgowość)

 

Rejestracja wniosku – krok po kroku

  1. określić czy rejestracja dotyczy nowego zbioru, w którym przetwarzać będziemy tylko dane zwykłe (zgłoszenie na podstawie art. 40 uodo) czy też wrażliwe (zgłoszenie danych przetwarzanych na podstawie jednej z przesłanek wskazanych w art. 27 uodo).
    Aktualizacja – zaznaczyć opcję nr 2 art. 41 ust. 2 uodo
  2. nazwać zgłaszany zbiór np. marketing, newsletter itp.
  3. wskazać administratora danych, a więc przedsiębiorcę prowadzącego zbiór, który dokonuje zgłoszenia
  4. określić nazwę administratora, adres siedziby oraz podać nr REGON.
  5. Część B wniosku: wypełnić gdy mamy do czynienia z przedstawicielstwem firmy mającej siedzibę za granicą, a ściślej w tzw. państwie trzecim, czyli państwie, które nie należy do Europejskiego Obszaru Gospodarczego.
  6. określić podmioty, którym powierzamy dane z rejestrowanego zbioru danych.
    Wpisać ich nazwy oraz adres siedziby.
  7. wskazać przesłankę (podstawę), zgodnie z którą przetwarzamy dane osobowe z rejestrowanego zbioru.
  8. część C wniosku: określić cel, dla którego przetwarzane będą dane osobowe
    np. wysyłka newslettera
  9. określić osoby, których dane przetwarzamy np. Klienci, osoby składające reklamację
  10. określić, jakie dane będą przetwarzane w obrębie zgłaszanego zbioru np: e-mail, IP
  11. kolejne pytania dotyczą danych wrażliwych – wypełnić, jeśli e-sklep je przetwarza:
    wskazać jakie dane będą przetwarzane w ramach zgłaszanego zbioru np. informacja o nałogach pracownika albo stanie zdrowia.
  12. część D wniosku: określić, w jaki sposób zbieramy dane:
    – od osoby, której dane dotyczą (np. Klient sam podaje swoje dane, rejestrując się w e-sklepie)
    – z innego źródła (np. z zakupionej legalnie bazy danych).
  13. określić „inne podmioty uprawnione
    Innym podmiotem może być firma, z którą administrator danych współpracuje, przy czym należy pamiętać o tym, by takie udostępnianie odbywało się w sposób legalny.
  14. wskazać podmioty, którym będą udostępniane dane
    wpisać nazwę i siedzibę firmy/kategorie podmiotów np. partnerzy biznesowi.
  15. określić, czy administrator danych przekazuje dane z rejestrowanego zbioru do państw trzecich: wpisać nazwy państw trzecich
  16. Część E wniosku: wskazać czy dane przetwarzane są centralnie (upraszczając: w jednym miejscu np. w siedzibie e-sklepu) czy w tzw. architekturze rozproszonej (np. e-sklep ma kilka lokalizacji, a dodatkowo dane są powierzone do przetwarzania innym podmiotom).
  17. zaznaczyć, czy dane przetwarzane będą wyłącznie w wersji papierowej, czy też przy wykorzystaniu systemów informatycznych.
  18. wskazać, czy komputer służący do przetwarzania danych połączony jest z Internetem
  19. wskazać zabezpieczenia:
    typowo fizyczne (np. monitoring, agencja ochrony), środki sprzętowe (np. hasła i loginy, automatyczne wygaszanie monitora), ochrona baz danych (np. kwestie związane z uwierzytelnianiem), środki organizacyjne (np. Szkolenie pracowników).
  20. wskazać, czy został powołany administrator bezpieczeństwa informacji tzw. ABI
  21. wskazać, czy wdrożono dokumenty – m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.
  22. część F wniosku: wskazać poziom stosowanych zabezpieczeń
    Rozporządzenie wymienia trzy poziomy: podstawowy, podwyższony i wysoki (trzeba wybrać jeden). Tutaj e-sklep powinien wybrać poziom wysoki, gdyż z racji swej specyfiki działania zawsze spełni kryterium połączenia z Internetem.
  23. wysłać wypełniony wniosek do GIODO:
    – w sposób tradycyjny (za pośrednictwem poczty listem poleconym, w celu otrzymania dowodu nadania)
    osobiście w biurze GIODO wraz z egzemplarzem do otrzymania prezentaty.
    – przy użyciu kwalifikowanego certyfikatu (podpis elektroniczny) – przez Internet

Podsumowanie

Zgłoszenie zbioru danych, na pozór proste, niejednokrotnie nastręcza sprzedawcom wielu trudności. Niniejszy artykuł ma na celu ułatwienie e-sklepom przebrnięcia przez żmudną procedurę rejestracji. Jeśli w trakcie wypełniania wniosku pojawią się wątpliwości interpretacyjne, warto sięgnąć po poradę specjalisty, który po wykonaniu audytu e-sklepu, wykona to profesjonalnie i zapewni gwarancję zachowania procedur wymaganych przez ustawę.

O czym należy pamiętać przetwarzając dane osobowe klientów w firmie?

O czym należy pamiętać przetwarzając dane osobowe klientów w firmie?

Przedsiębiorcy prowadząc własną firmę, często nieświadomie, biorą udział w procesie przetwarzania danych osobowych. Ma to miejsce już w przypadku zawierania umów handlowych czy prowadzenia różnego typu działań marketingowych. Kilkakrotnie już nowelizowana Ustawa o ochronie danych osobowych z 1997 r. wprowadziła szereg obowiązków po stronie przedsiębiorców w zakresie przetwarzania danych osobowych.

Jak wyodrębnić zbiór danych osobowych?

Zbiory danych osobowych podlegają obowiązkowi zgłoszenia do Generalnego Inspektora Ochrony Danych Osobowych, czyli GIODO. Zanim przedsiębiorca wyodrębni poszczególne zbiory danych powinien pamiętać, że nie każde zestawienie danych osobowych będzie zbiorem.

 

Zbiór danych osobowych to, zgodnie z art. 7 pkt 1 ustawy o ochronie danych osobowych:
„każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.

 

Cechą wyróżniającą zbiór danych od innego zestawu danych będzie zatem struktura, czyli takie uporządkowanie, które daje możliwość wyszukania konkretnych danych według określonego kryterium.

 

Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.
Tylko będący zbiorem danych osobowych usystematyzowany zestaw danych powinien być zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, o ile nie zachodzi żadna z przesłanek określonych w art. 43 ustawy o ochronie danych osobowych zwalniająca administratorów danych z tego obowiązku.

 

Zgodnie z art. 43 ust. 1 ustawy z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

  1. objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę   życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
    1. które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
  2. przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
    1. przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
  3. dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
  4.  przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
  5.  dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
  6. tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
  7. dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
  8.  przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
  9. powszechnie dostępnych,
  10. przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
  11. przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

 

Często przedsiębiorcom wydaje się, że nie podlegają obowiązkom regulowanym przez ustawę o ochronie danych osobowych z uwagi na wyłączenie z art. z art. 43 ust. 1 pkt 8 tj. gdy przetwarzają dane wyłącznie w celu wystawienia faktury lub rachunku.

 

Warto jednak pamiętać, że jeśli obok wspomnianego celu wykorzystuje się te dane osobowe np. dla celów marketingowych, realizacji umowy itp. to przedsiębiorca będzie musiał je zgłosić do GIODO.

Rejestracji zbioru danych osobowych dokonuje GIODO na wniosek przedsiębiorcy złożony przed przystąpieniem do ich przetwarzania.

Na szczęście nie wszystkie dane są objęte obowiązkiem rejestracji w GIODO.

Wyłączenie obejmuje np.:
dane znajdujące się u przedsiębiorcy, które są przetwarzane w związku z zatrudnieniem osób fizycznych, świadczeniem usług na podstawie umów cywilnoprawnych czy w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Nie podlegają również zgłoszeniu np. dane powszechnie dostępne lub przetwarzane w zakresie drobnych bieżących spraw życia codziennego.
Należy zwrócić szczególną uwagę na dane wrażliwe np. o stanie zdrowia – takie dane mogą być przetwarzane dopiero po zarejestrowaniu zbioru przez GIODO.
Obowiązek zgłoszenia do GIODO dotyczy wyłącznie rodzaju przetwarzanych danych np. e-mail, nazwisko, imię itp. a nie konkretnych danych – nie należy wysyłać imion i nazwisk Klientów.

Jak należy rozumieć przetwarzanie danych osobowych?

Przetwarzanie danych osobowych oznacza jakąkolwiek operację (czy też zestaw operacji) na danych osobowych, na przykład: gromadzenie, rejestracja, porządkowanie, przechowywanie, modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez przekazanie, rozpowszechnianie lub udostępnianie w inny sposób.

 

Zgłoszenia zbioru danych osobowych dokonuje się poprzez złożenie wypełnionego formularza. Wniosek można wysłać pocztą, złożyć osobiście w siedzibie urzędu w Warszawie lub szybciej – złożyć za pomocą specjalnej strony internetowej.

Czy zgłoszenie zbiorów do GIODO to wszystko?

Niestety nie. Ustawa wymaga sporządzenia pisemnej dokumentacji, która będzie określać sposób przetwarzania danych oraz opisywać środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
Każda firma, w której przetwarzane są dane osobowe powinna mieć opracowaną i wdrożoną:

 

Politykę bezpieczeństwa danych osobowych, która opisuje zasady przetwarzania danych osobowych (w formie papierowej i elektronicznej) w organizacji

 

Instrukcję Zarządzania Systemem Informatycznym – to dokument bardziej szczegółowy i koncentrujący się na zapewnieniu bezpieczeństwa danych osobowych, przetwarzanych w infrastrukturze informatycznej firmy.
Zawartość tych dokumentów opisuje Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. – wskazują one minimum, które dokumentacja musi zawierać.

Kto może mieć dostęp do danych osobowych?

Przedsiębiorcy powinni pamiętać, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Upoważnienie takie powinno wskazywać imię i nazwisko osoby upoważnionej, datę nadania, datę ustania oraz zakres upoważnienia – nazwę zbioru danych.

Jakie są sankcje za nielegalne przetwarzanie danych osobowych?

Ustawa o ochronie danych osobowych za przetwarzanie danych osobowych niezgodnie z prawem przewiduje zarówno odpowiedzialność administracyjną i karną, która szczegółowo uregulowana została w art. 49–54a ustawy.
Takie stanowisko zajął również Naczelny Sąd Administracyjny, który w wyroku z 21 listopada 2002 r. (sygn. akt II SA 1682/01), stwierdził, że:

 

„W świetle ustawy naruszenie jej przepisów staje się źródłem odpowiedzialności administracyjnej, prowadzącej w istocie jedynie do obowiązku przywrócenia stanu zgodnego z prawem (art. 18) oraz odpowiedzialności karnej (art. 19, 49-54). Przy czym jedynie ten pierwszy rodzaj odpowiedzialności realizowany jest w drodze wydania decyzji administracyjnej”.

 

Tu warto podkreślić, iż wbrew obiegowej opinii, GIODO nie ma prawa do nakładania kar finansowych po stwierdzeniu uchybienia. Nakładanie jakichkolwiek kar administracyjnych musi być najpierw poprzedzone przeprowadzeniem przez organ do spraw ochrony danych osobowych właściwego postępowania administracyjnego, zakończonego wydaniem decyzji administracyjnej (np. nakazującej określone działanie), a następnie przeprowadzeniem administracyjnego postępowania egzekucyjnego, jeżeli mimo wydanej decyzji, zobowiązany podmiot jej nie wykona.

Innymi słowy, później nałożona grzywna służy wymuszeniu na kontrolowanym wykonania obowiązków o charakterze niepieniężnym.

 

Grzywna ta wynika z przepisów o postępowaniu egzekucyjnym w administracji art. 121 i może wynosić od 10 tys. zł dla osób fizycznych prowadzących działalność gospodarczą do 50 tys. zł dla osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej (w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie może przekraczać odpowiednio 50 tys. zł oraz 200 tys. zł).

Odpowiedzialność karna zaś, jak i kara za naruszenie przepisów o ochronie danych osobowych jest orzekana po przeprowadzeniu postępowania karnego w konkretnej sprawie przez właściwe organy ścigania i wymiaru sprawiedliwości.

Podsumowanie

Przepisy nakładające obowiązki dotyczące danych osobowych mają zastosowanie do większości firm z uwagi na fakt, iż definicja danych osobowych obejmuje szeroki zakres informacji np. klienci sklepu internetowego, klienci otrzymujący newsletter, dostawcy itp.

Trzeba pamiętać, że poza wskazanymi w ustawie przypadkami, rejestracja zbioru danych osobowych jest zazwyczaj konieczna by dane te mogły być w ogóle legalnie przez firmę przetwarzane. Ustawa o ochronie danych osobowych wyraźnie stanowi, że administrator danych osobowych może rozpocząć ich przetwarzanie w zbiorze dopiero po zgłoszeniu tego zbioru do GIODO.

Przedsiębiorca, który ma obowiązek zgłoszenia zbioru danych osobowych a nie dopełni go, powinien liczyć się z koniecznością poniesienia przykrych konsekwencji takiego zaniechania w postaci grzywny, kary ograniczenia wolności czy pozbawienia wolności.

 

Czy do GIODO przesyłam dane osobowe klientów i czy muszę tę listę aktualizować?

Czy do GIODO przesyłam dane osobowe klientów i czy muszę tę listę aktualizować?

Każdy przedsiębiorca, który przetwarza dane osobowe swoich klientów podlega reżimowi Ustawy o ochronie danych osobowych. W Polsce w dalszym ciągu ciągle króluje nieświadomość w zakresie tego jakie obowiązki nałożył na firmę ustawodawca i z tego powodu większość przedsiębiorców naraża się na przykre konsekwencje prawne. Nie ma co się dziwić, ciężko być specjalistą w każdej dziedzinie.
Poniżej pokrótce wyjaśnimy na czym polega obowiązek zgłoszeniowy do GIODO.

Kto podlega obowiązkowi rejestracji w GIODO?

Każdy przedsiębiorca przetwarzając dane osobowe klientów staje się Administratorem Danych Osobowych i jako ten jest zobowiązany zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 uodo).
Art. 40. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1.

Ważne by obowiązek rejestracji zbiorów danych osobowych spełnić jeszcze przed rozpoczęciem właściwej działalności (art.46 ust.1 uodo ), czyli rozpoczęciem faktycznej sprzedaży towarów.
Art. 46. 1. Administrator danych może, z zastrzeżeniem ust. 2, rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku.

Jeżeli już działalność rozpoczęto, należy takiego zgłoszenia dokonać jak najszybciej.

Co podlega zgłoszeniu do GIODO?

Zgłaszając zbiór nie wysyła się żadnych danych osobowych klientów. Rejestracja w GIODO obejmuje jedynie konkretne zbiory ze wskazaniem na cel i zakres przetwarzania zawartych w nim danych osobowych.

Jak wygląda wniosek do GIODO?

Wniosek rejestracyjny do GIODO składa się z kilku części.

I CZĘŚĆ: określamy, czy jest to nowy wniosek, czy aktualizacja lub też wniosek dotyczący danych wrażliwych (ustawa definiuje cześć danych osobowych jako wrażliwe i ogranicza możliwości ich zbierania, ale nie dotyczy to zdecydowanej większości przypadków).

II CZĘŚĆ: określamy Administratora Danych (naszą firmę) i przesłankę, na podstawie której będziemy zbierać dane.

III CZĘŚĆ określamy:

  • cel przetwarzania danych (np. realizacja zamówień),
  • kategorie osób, których dane zamierzamy zbierać (np.: klienci i potencjalni klienci sklepu)
  • informację o tym, jakie dane zamierzamy gromadzić (lista przykładowa do zaznaczenia oraz miejsce do wpisania innych)
  • informacje o danych wrażliwych – ustawa o ochronie danych osobowych określa w ten sposób dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, stan zdrowia, kod genetyczny, informacje o nałogach, życiu seksualnym, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

IV CZĘŚĆ: wskazujemy, w jaki sposób zbieramy dane, czyli czy bezpośrednio od danej osoby czy z innego źródła (np. kupionej legalnie bazy danych)
komu będziemy dane udostępniać ( w przypadku sklepu internetowego będzie to zwykle firma kurierska, biuro rachunkowe itp.) oraz czy będziemy je wysyłać za granicę i do państw trzecich.

V CZĘŚĆ: wskazujemy sposób przetwarzania danych (czy tylko na papierze czy tez elektronicznie;  czy na komputerach połączonych z Internetem, czy centralnie czy w architekturze rozproszonej), a także opisu zabezpieczeń stosowanych w związku z przetwarzaniem danych – od czysto fizycznych (typu drzwi, zamki, szafy, sejfy) i sprzętowych (np. niszczarki), poprzez firewalle i uwierzytelnianie, po organizacyjne. Wskazujemy informację o powołaniu Administratora Bezpieczeństwa Informacji oraz o opracowaniu dokumentów z zakresu ochrony danych osobowych (Polityka Bezpieczeństwa Informacji oraz Instrukcja zarządzania systemem informatycznym) – dlatego tak ważne by dokumenty te przed dokonaniem rejestracji przygotować i wdrożyć.

Aby jednak zgłoszony zbiór mógł zostać zarejestrowany jego administrator musi spełnić wszystkie wymagania, jakie nakłada na niego wspomniana ustawa oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Dlatego na koniec należy wskazać poziom stosowanych zabezpieczeń, który ma być adekwatny do sposobu przetwarzania danych.
Najczęściej będzie to poziom wysoki, który stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

Podsumowanie

Podsumowując zaznaczyć należy, iż obowiązek zgłoszenia do GIODO zbioru danych osobowych nie oznacza przesyłania danych osobowych swoich klientów. We wniosku rejestracyjnym jak i aktualizacyjnym wskazuje się konkretne zbiory danych osobowych opisując kategorie przetwarzanych danych oraz cel i zakres ich przetwarzania.

Dwa sklepy i agencja marketingowa – co należy zgłosić do GIODO?

Dwa sklepy i agencja marketingowa – co należy zgłosić do GIODO?

rejestracja w giodo

 

 

 

W ramach mojej działalności prowadzę dwa sklepy i agencję marketingową. Czy do GIODO muszę zgłosić też agencję marketingową, czy wystarczą tylko sklepy?
Prowadząc własną działalność, należy dostosować ją do wymogów ustawy o ochronie danych osobowych.
Czy będąc właścicielem kilku firm, mogę zgłosić tylko te wybrane?

 

Jeżeli zarówno sklepy internetowe jak i agencja marketingowa są prowadzone w ramach jednej działalności gospodarczej, wówczas wystarczy stworzyć jeden komplet dokumentacji – jest jeden Administrator danych.

 

W sytuacji natomiast, jeżeli któraś działalność jest prowadzona np. w formie spółki z o.o., to spółka ta będzie już osobnym Administratorem danych i będzie wymagała przygotowania i wdrożenia osobnej dokumentacji. W ramach agencji marketingowej z pewnością również będą przetwarzane dane osobowe, dlatego tu również należałoby zidentyfikować zbiory danych osobowych i dokonać ich rejestracji.
Obowiązek rejestracji zbiorów danych osobowych w GIODO został wprost wpisany do art. 40 Ustawy o ochronie danych osobowych, w myśl którego administrator danych ma obowiązek zgłosić zbiór danych do rejestracji GIODO, chyba, że zachodzi jeden z wyjątków określonych w art. 43 ust. 1 UODO.

Dodatkowo należy wskazać, że agencja reklamowa i sklepy, będą mogły rozpocząć przetwarzanie danych osobowych zawartych w zbiorze danych dopiero po jego zgłoszeniu do GIODO. Jeśli zaś któraś z powyższych firm będzie planować przetwarzać tzw. dane wrażliwe (np. informacje o stanie zdrowia, przekonaniach religijnych) to, żeby w ogóle móc to robić w sposób legalny, będzie musiała zaczekać aż zbiór taki zostanie zarejestrowany.

 

Podsumowanie

Istotne z punktu widzenia prawa jest samo przetwarzanie danych osobowych, więc jeżeli przedsiębiorca w ramach prowadzonej działalności przetwarza dane osobowe, to jego działania podlegają reżimowi w.w. Ustawy. Prowadząc jedną działalność, a w ramach niej kilka różnych firm, pozostajemy Administratorem danych osobowych dla każdej z nich i tworzymy jeden komplet dokumentacji. Sytuacja komplikuje się, gdy jedna z prowadzonych przez nas firm ma formę np. spółki z o.o. – wówczas spółka jest odrębnym Administratorem danych, w związku z tym należy stworzyć dla niej nową dokumentację i dokonać kolejnego zgłoszenia do GIODO.

Mały sklep internetowy a GIODO – czy trzeba się rejestrować, jakie zbiory, jakie obowiązki?

Mały sklep internetowy a GIODO – czy trzeba się rejestrować, jakie zbiory, jakie obowiązki?

Przedsiębiorca prowadzący zarówno mały jak i duży sklep internetowy podlega reżimowi ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku, a zatem musi wypełnić wymogi dotyczące ochrony danych osobowych.

Czy muszę rejestrować zbiór danych osobowych?

Przede wszystkim Administrator danych jeszcze przed rozpoczęciem działalności sklepu internetowego (jak wskazuje art. 46 ust. 1 ustawy o ochronie danych osobowych) ma obowiązek zarejestrować w GIODO zbiory danych osobowych lub powołać Administratora Bezpieczeństwa Informacji i zgłosić go do GIODO. W drugim przypadku trzeba będzie pamiętać jedynie o zgłoszeniu danych osobowych wrażliwych, jeśli takie przetwarza.

Przetwarzanie danych obejmuje ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie oraz usuwanie. Każdy sklep internetowy, niezależnie od wielkości, który wykonuje jakiekolwiek operacje na danych osobowych powinien dokonać rejestracji w GIODO.

Dane wrażliwe są to zgodnie z art. 27 ustawy o ochronie danych osobowych dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania filozoficzne lub religijne, przynależność związkową, partyjną, wyznaniową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych. Przetwarzanie danych osobowych wrażliwych jest dozwolone gdy osoba, której te dane dotyczą wyrazi na to pisemną zgodę.

Administrator danych we wniosku rejestracyjnym do GIODO winien wskazać rodzaj przetwarzanych przez siebie danych oraz cel ich przetwarzania.

Jakie zbiory danych powinien zgłosić sklep internetowy?

Sklep internetowy przetwarza dane generalnie w celu realizacji zamówień swoich klientów, prowadzi rejestry umów cywilnoprawnych a niekiedy decyduje się na wysyłkę newslettera oraz tworzenie baz statystycznych. Zgłoszenie do GIODO może dotyczyć więc kilku zbiorów, a zatem będzie konieczne wypełnienie kilku wniosków rejestracyjnych, albowiem każdy zbiór danych jest zgłaszany odrębnie na oddzielnym formularzu.

Nie można niestety wskazać jednej uniwersalnej listy zbiorów, które w przypadku każdego sklepu internetowego podlegałyby zgłoszeniu, albowiem każdy podmiot jest inny i działa na innych zasadach.

Należy pamiętać, że często (choć nie zawsze, bo i tu znajdą się wyjątki) z mocy ustawy (art. 43) niektóre zbiory danych będą podlegać zwolnieniu od rejestracji w GIODO np. Zbiór danych pracowników (przyszłych, obecnych i byłych).

Jakie obowiązki ma właściciel sklepu internetowego?

1. Przygotowanie Polityki bezpieczeństwa informacji oraz instrukcji zarzadzania systemem informatycznym

Administrator danych osobowych ma ustawowy obowiązek opracowania, wdrożenia i prowadzenia dokumentacji systemu ochrony danych osobowych (art. 36 ust. 2).

Należy pamiętać, że na sam wymóg prowadzenia dokumentacji nie ma wpływu rodzaj, cel, sposób przetwarzania ani wielkość przetwarzanych zbiorów danych osobowych.

Obowiązkową dokumentację systemu ochrony danych osobowych stanowi:

  1. Polityka bezpieczeństwa;
  2. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (§3).Nie jest to zbiór zamknięty i powinien być rozszerzony na pozostałe dokumenty określone wprost lub wynikające z przepisów Ustawy:
  3. Upoważnienia do przetwarzania danych osobowych (art. 37);
  4. Ewidencja upoważnień do przetwarzania danych osobowych (art. 39 ust. 1);
  5. Zobowiązania do zachowania poufności (art. 39 ust. 2).

Ważne by dokumentacja była przejrzysta i kompleksowa dla wszystkich osób przetwarzających dane osobowe w organizacji, a także by nie odbiegała od rzeczywistości.

2. Rejestracja zbioru danych osobowych w GIODO

Obowiązek rejestracyjny dotyczy wszelkich zbiorów danych osobowych, bez względu na kategorię przetwarzanych danych osobowych, tj. zwykłe czy wrażliwe, rodzaj przetwarzanych danych osobowych, tj. zawartość informacyjna dla każdej z osób, wielkość zbioru, tj. liczby przetwarzanych w nim informacji.

Aktualnie istnieją dwa sposoby rejestracji zbioru danych sposoby złożenia wniosku o rejestrację zbioru danych osobowych:

  1. wypełnienie elektronicznego formularza wniosku znajdującego się na platformie internetowej GIODO i wstępnego zatwierdzenia jego treści (nie jest konieczne posiadanie podpisu elektronicznego i nie jest formalnym potwierdzeniem złożenia wniosku), wydrukowanie wniosku i podpisanie go przez Administratora danych osobowych i przesłanie wniosku pocztą na adres Biura GIODO
  2. wypełnienie elektronicznego formularza wniosku znajdującego się na platformie internetowej GIODO, zatwierdzenie jego treści poprzez uwierzytelnienie przez Administratora danych osobowych przy użyciu mechanizmów podpisu elektronicznego formalne złożenie wniosku.Należy pamiętać, iż dane osobowe można przetwarzać z chwilą złożenia „Wniosku o rejestrację zbioru”(art. 46 ust. 1), natomiast „wrażliwe” dane osobowe dopiero po uzyskaniu decyzji o zarejestrowaniu zbioru (art. 46 ust. 2 w zw. z art. 42 ust. 4).
  3. Obowiązek informacyjny wypełniany przy zbieraniu danych osobowych (art. 24 i 25 Ustawy o ochronie danych osobowych)

Na ADO ciąży specjalny obowiązek informacyjny albowiem istotnym jest, aby osoba zainteresowana (np. klient, pracownik) miała możliwość realnej oceny sytuacji i podjęcia decyzji co do udostępnienia swoich danych.

Administrator danych osobowych jest zobowiązany poinformować osobę, której to bezpośrednio dotyczy o:

adresie siedziby swojego przedsiębiorstwa i jego pełnej nazwie lub gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku, celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców pozyskiwanych danych; prawie dostępu do treści swoich danych oraz ich prawie do ich poprawiania; dobrowolności albo obowiązku podania danych, a jeśli taki obowiązek istnieje, o jego podstawie prawnej.

Czy Administrator danych ma obowiązek powołania ABI?

Kwestia powołania lub niepowołania Administratora bezpieczeństwa informacji jest indywidualnym wyborem każdego przedsiębiorcy, który w każdej chwili może zostać zmieniony.

ADO może powołać Administratora bezpieczeństwa informacji (ABI) – czyli osobę nadzorującą z jego upoważnienia przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych poprzez powierzenie zadań z zakresu ochrony danych osobowych bądź to swojemu pracownikowi bądź poprzez skorzystanie z usług profesjonalisty mającego doświadczenie w pełnieniu obowiązków Administratora bezpieczeństwa informacji

Podsumowanie

Jednym słowem, nie ma taryfy ulgowej nawet dla małych sklepów internetowych. Ustawa o ochronie danych osobowych traktuje wszystkie podmioty, niezależnie od ich wielkości – jednakowo. Procedura zgłoszenia zbiorów osobowych nie jest nader czasochłonna a pozwoli uniknąć nieprzyjemnych konsekwencji w postaci pociągnięcia do odpowiedzialności z tytułu nieprzestrzegania przepisów ustawy o ochronie danych osobowych.

Czy prowadzisz sklep internetowy?

 

Czy sprzedajesz produkty online lub na Allegro?