Czy do GIODO przesyłam dane osobowe klientów i czy muszę tę listę aktualizować?
Każdy przedsiębiorca, który przetwarza dane osobowe swoich klientów podlega reżimowi Ustawy o ochronie danych osobowych. W Polsce w dalszym ciągu ciągle króluje nieświadomość w zakresie tego jakie obowiązki nałożył na firmę ustawodawca i z tego powodu większość przedsiębiorców naraża się na przykre konsekwencje prawne. Nie ma co się dziwić, ciężko być specjalistą w każdej dziedzinie.
Poniżej pokrótce wyjaśnimy na czym polega obowiązek zgłoszeniowy do GIODO.
Kto podlega obowiązkowi rejestracji w GIODO?
Każdy przedsiębiorca przetwarzając dane osobowe klientów staje się Administratorem Danych Osobowych i jako ten jest zobowiązany zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 uodo).
Art. 40. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1.
Ważne by obowiązek rejestracji zbiorów danych osobowych spełnić jeszcze przed rozpoczęciem właściwej działalności (art.46 ust.1 uodo ), czyli rozpoczęciem faktycznej sprzedaży towarów.
Art. 46. 1. Administrator danych może, z zastrzeżeniem ust. 2, rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku.
Jeżeli już działalność rozpoczęto, należy takiego zgłoszenia dokonać jak najszybciej.
Co podlega zgłoszeniu do GIODO?
Zgłaszając zbiór nie wysyła się żadnych danych osobowych klientów. Rejestracja w GIODO obejmuje jedynie konkretne zbiory ze wskazaniem na cel i zakres przetwarzania zawartych w nim danych osobowych.
Jak wygląda wniosek do GIODO?
Wniosek rejestracyjny do GIODO składa się z kilku części.
I CZĘŚĆ: określamy, czy jest to nowy wniosek, czy aktualizacja lub też wniosek dotyczący danych wrażliwych (ustawa definiuje cześć danych osobowych jako wrażliwe i ogranicza możliwości ich zbierania, ale nie dotyczy to zdecydowanej większości przypadków).
II CZĘŚĆ: określamy Administratora Danych (naszą firmę) i przesłankę, na podstawie której będziemy zbierać dane.
III CZĘŚĆ określamy:
- cel przetwarzania danych (np. realizacja zamówień),
- kategorie osób, których dane zamierzamy zbierać (np.: klienci i potencjalni klienci sklepu)
- informację o tym, jakie dane zamierzamy gromadzić (lista przykładowa do zaznaczenia oraz miejsce do wpisania innych)
- informacje o danych wrażliwych – ustawa o ochronie danych osobowych określa w ten sposób dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, stan zdrowia, kod genetyczny, informacje o nałogach, życiu seksualnym, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
IV CZĘŚĆ: wskazujemy, w jaki sposób zbieramy dane, czyli czy bezpośrednio od danej osoby czy z innego źródła (np. kupionej legalnie bazy danych)
komu będziemy dane udostępniać ( w przypadku sklepu internetowego będzie to zwykle firma kurierska, biuro rachunkowe itp.) oraz czy będziemy je wysyłać za granicę i do państw trzecich.
V CZĘŚĆ: wskazujemy sposób przetwarzania danych (czy tylko na papierze czy tez elektronicznie; czy na komputerach połączonych z Internetem, czy centralnie czy w architekturze rozproszonej), a także opisu zabezpieczeń stosowanych w związku z przetwarzaniem danych – od czysto fizycznych (typu drzwi, zamki, szafy, sejfy) i sprzętowych (np. niszczarki), poprzez firewalle i uwierzytelnianie, po organizacyjne. Wskazujemy informację o powołaniu Administratora Bezpieczeństwa Informacji oraz o opracowaniu dokumentów z zakresu ochrony danych osobowych (Polityka Bezpieczeństwa Informacji oraz Instrukcja zarządzania systemem informatycznym) – dlatego tak ważne by dokumenty te przed dokonaniem rejestracji przygotować i wdrożyć.
Aby jednak zgłoszony zbiór mógł zostać zarejestrowany jego administrator musi spełnić wszystkie wymagania, jakie nakłada na niego wspomniana ustawa oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Dlatego na koniec należy wskazać poziom stosowanych zabezpieczeń, który ma być adekwatny do sposobu przetwarzania danych.
Najczęściej będzie to poziom wysoki, który stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
Podsumowanie
Podsumowując zaznaczyć należy, iż obowiązek zgłoszenia do GIODO zbioru danych osobowych nie oznacza przesyłania danych osobowych swoich klientów. We wniosku rejestracyjnym jak i aktualizacyjnym wskazuje się konkretne zbiory danych osobowych opisując kategorie przetwarzanych danych oraz cel i zakres ich przetwarzania.
